AzureADでアカウントのロックアウトを設定してみました。
AzureADにおけるアカウントのロックアウト設定について
アカウントのロックアウトは何回サインインが失敗したらアカウントをロックするかという内容を定義する設定です。
AzureADでは「スマート ロックアウト」とも呼ばれます。
AzureADの場合、ロックアウトされた場合には二度と使えなくなるのではなく、ロックアウト期間後に再度サインインが実施できます。
また、そのロックアウト期間も変更可能な値です。
この設定はAzure Active Directory Premium P1以上のライセンスで利用可能な機能です。
ロックアウトを設定する
今回は4回失敗したら30分間アカウントをロックする設定を入れます。
裏を返せば3回までの失敗は許容されます。
Azureポータルから [AzureAD]-[セキュリティ]-[認証方法]-[パスワード保護] の画面を開きます。
・「ロックアウトのしきい値」を [3] に変更します。
※デフォルトの値は [10] です。
・「ロックアウト期間(秒単位)」を [1800] に変更します。
※デフォルトの値は [60] です。
![「ロックアウトのしきい値」と「ロックアウト期間(秒単位)」の値を変更](https://bonjiri-blog.com/wp-content/uploads/set-account-lockout-in-azuread-001-01-800x493.png)
・「保存」をクリックして設定完了です。
[参考] それぞれの値の上限値
「ロックアウトのしきい値」は 1~50 の値を設定可能であり、
「ロックアウト期間(秒単位)」は 5~18000 の値を設定可能です。
![「ロックアウトのしきい値」と「ロックアウト期間(秒単位)」の上限値](https://bonjiri-blog.com/wp-content/uploads/set-account-lockout-in-azuread-002.png)
サインインを4回失敗してログを確認する
実際にサインインを4回失敗させます。
しきい値内の単なるPWのミスである場合、サインイン時の画面は以下のような表示となり、再度PW入力試行が可能です。
![しきい値内の単なるPWのミスのサインイン画面](https://bonjiri-blog.com/wp-content/uploads/set-account-lockout-in-azuread-003-01.png)
しきい値を超えた時点で、サインイン時の画面は以下のような表示となり、アカウントがロックされます。
![しきい値を超えた後のサインイン画面](https://bonjiri-blog.com/wp-content/uploads/set-account-lockout-in-azuread-004-01.png)
AzureADのサインインログからも確認してみます。
サインインログでは「単一要素認証」の [失敗] としてログが出てきます。
その中でもアカウントロック後のエラーコードは [50053] として検出されます。
![サインインログではエラーコード50033が表示される](https://bonjiri-blog.com/wp-content/uploads/set-account-lockout-in-azuread-005-02-800x428.png)
普通のPW間違いの場合にも同じく「単一要素認証」の [失敗] としてログが出ますが、
エラーコードは [50126] として検出されます。
![サインインログではエラーコード50126が表示される](https://bonjiri-blog.com/wp-content/uploads/set-account-lockout-in-azuread-006-03.png)
なので、アカウントロックを検知したい場合にはエラーコード [50033] を検知するとよいのかなと思います。
[参考] ロックアウトのしきい値の回数までは間違えてOK
今回の設定では3回までは間違えてOKで、4回目の失敗からアカウントロックとなります。
また、何回か失敗した後にサインイン成功した場合、次のサインイン試行の際にはこのカウントはリセットされます。
アカウントロックのしきい値のカウントは試行ごとに独立しています。
例えば、3回失敗後に4回目で成功した場合、その後もう一回サインイン試行する際には、先ほどと同じく3回失敗後に4回目に正常なPWを入力できればサインイン可能です。
コメント