振る舞い検知について

振る舞い検知を使用すると、ユーザーに2段階認証を提供するように求める条件を構成できます。

振る舞い検知を使用するには、次の情報を指定します。

• 追跡する動作のタイプ。
• ユーザーの動作を評価する際に考慮する、以前に成功した認証の粒度、スコープ、または回数に関する詳細。

追跡する動作条件の定義の一環として実行するアクションは指定しません。これは、動作条件をサインオンポリシーに追加するときに個別に行います。振る舞い検知を有効にするため、動作条件をサインオンポリシーに追加します。

動作タイプ

振る舞い検知を構成するには、まず追跡する動作タイプを選択します。次に、動作条件の名前と、ユーザーのサインイン時に評価される条件の詳細を指定できます。

追跡できる動作タイプは、次の一般的なカテゴリーに分類されます。

• ロケーション
• IPアドレス
• デバイス
• 速度

動作条件

各動作タイプには、複数の動作条件を含めることができます。以下の条件に関して、サインインアクティビティを追跡できます。

• 新しい国、州、または都市からサインインする
• 以前成功したサインイン試行のロケーションから、指定された距離以上離れた新しいロケーションでサインインする
• 新しいデバイスからサインインする
• 新しいIPアドレスからサインインする
• 2回連続してサインインしようとすると、ユーザーが移動することが不可能と思われるロケーションからサインインする

この複数の動作条件の例をもう少し詳しく説明するために、以下の2つのロケーションの動作条件があると仮定します。

• 国ベースで、サインイン試行を行った国を追跡する
• 都市ベースで、サインイン試行を行った都市を追跡する

これら両方の動作をサインオンポリシーに追加すると、国の変更が最初に検知されたときに多要素認証が要求されますが、都市の変更が検知された場合は2要素認証を行わずにアクセスを許可できます。

動作条件の評価方法

次の表に、構成可能な振る舞い検知のタイプに関する追加情報を示します。

動作タイプ	条件タイプ	説明	デフォルトの評価とカスタマイズ
ロケーション	新しい都市	以前成功したサインイン試行の発信元ではない都市。	過去20回の成功したサインイン試行と照合されます。照合する回数は変更できます。
	新しい州	以前成功したサインイン試行の発信元ではない州または地域。	過去15回の成功したサインイン試行と照合されます。照合する回数は変更できます。
	新しい国	以前成功したサインイン試行の発信元ではない国。	過去10回の成功したサインイン試行と照合されます。照合する回数は変更できます。
	新しいジオロケーション	以前成功したサインイン試行の発信元ではない、指定された半径範囲外のロケーション。	以前成功したサインイン試行のロケーションから半径20キロメートルの範囲外にあるロケーションの、過去20回の成功したサインイン試行と照合されます。照合する数を変更し、半径サイズを指定して、経度と緯度でロケーションを定義することができます。
デバイス	新しいデバイス	以前成功したサインイン試行の発信元ではないデバイス。デバイスはクライアントに基づいています。ブラウザーの変更は新しいデバイスと見なされます。 改良された新しいデバイス振る舞い検知機能により、HTTP Cookieを保存するブラウザーで新しいデバイスを検知するためのより優れたメカニズムが提供されます。デバイス振る舞い検知は、Webブラウザーと信頼できるアプリケーションから渡されたデータに基づいています。この機能の詳細については、「強化された新規デバイス振る舞い検知」を参照してください。	過去20回の成功したサインイン試行と照合されます。照合する回数は変更できます。
IP	新しいIPアドレス	以前成功したサインイン試行の発信元ではないIPアドレス。	過去50回の成功したサインイン試行と照合されます。照合する回数は変更できます。
速度	速度	不審なサインイン試行を識別するために使用される速度の測定値。 速度は、2つの連続するユーザーサインイン試行の間の距離と経過時間を基に評価されます。	連続する2回のサインイン試行間の地理的な距離および経過時間と照合されます。デフォルトは時速805 km（時速500マイル）です。

関連項目

振る舞い検知を構成する

グローバルセッションポリシールールを追加する

振る舞い検知のシステムログイベント

ユーザー動作プロファイルをリセットする