CA Policy Analyzer ユーザーマニュアル
ポリシーの構成に潜むリスクを自動的に検出する機能です。
ギャップ分析の実行時に診断も同時に行われ、結果は設計書エクスポートにも含まれます。診断結果は重要度別に分類され、対処の優先順位を判断しやすくなっています。
すべてのユーザーをブロックするポリシーが存在し、管理者にも適用される可能性がある場合に検出されます。
ロックアウトリスクは最も重要な診断項目です。管理者が自分自身をロックアウトすると、テナントへのアクセスが不可能になる場合があります。必ず「緊急アクセスアカウント(Break Glass Account)」を除外してください。
確認ポイント:
レガシー認証(旧式のプロトコル)をブロックするポリシーが存在しないか、不完全な場合に検出されます。
レガシー認証は MFA をバイパスできるため、ブロックが強く推奨されます。レガシー認証プロトコルには IMAP、POP3、SMTP などが含まれ、これらは多要素認証に対応していないため、攻撃者に悪用されるリスクがあります。
推奨対応: 「その他のクライアント(レガシー)」を対象に含むブロックポリシーを作成してください。
管理者グループがセキュリティポリシーから除外されているが、管理者専用の代替ポリシーが存在しない場合に検出されます。
管理者アカウントは攻撃対象になりやすいため、一般ユーザーと同等以上の保護が必要です。特に、グローバル管理者や特権ロール管理者などの高権限アカウントは、最も厳格なポリシーで保護すべきです。
推奨対応: 管理者専用の MFA + 準拠デバイスポリシーを作成してください。
同じ条件に対して矛盾する制御を設定しているポリシーの組み合わせを検出します。
例: 同じユーザーグループに対して、あるポリシーは MFA を要求し、別のポリシーはブロックしている場合。
また、実質的に同じ効果を持つ重複ポリシーも検出します。重複ポリシーは管理の複雑さを増し、意図しない変更の原因になります。
ポリシーの競合は、意図しないアクセス許可やブロックの原因になります。検出された場合は、ポリシーの優先順位と意図を確認してください。
CA Policy Analyzer User Manual
The Diagnostics feature automatically detects risks hidden in your policy configurations.
Diagnostics run simultaneously with the Gap Analysis, and results are also included in the design document export. Diagnostic results are categorized by severity, making it easier to prioritize remediation efforts.
Detected when a policy exists that blocks all users and may also apply to administrators.
Lockout risk is the most critical diagnostic item. If administrators lock themselves out, access to the tenant may become impossible. Always ensure that a "Break Glass Account" (emergency access account) is excluded from block policies.
Verification points:
Detected when no policy exists to block legacy authentication (older protocols), or when such a policy is incomplete.
Legacy authentication can bypass MFA, so blocking it is strongly recommended. Legacy authentication protocols include IMAP, POP3, SMTP, and others that do not support multi-factor authentication, making them vulnerable to exploitation by attackers.
Recommended action: Create a block policy that targets "Other clients (legacy)".
Detected when administrator groups are excluded from security policies but no dedicated administrator-specific alternative policy exists.
Administrator accounts are prime targets for attacks and require protection equal to or greater than that of regular users. In particular, high-privilege accounts such as Global Administrators and Privileged Role Administrators should be protected by the strictest policies.
Recommended action: Create a dedicated MFA + compliant device policy for administrators.
Detects combinations of policies that set contradictory controls for the same conditions.
Example: One policy requires MFA for a user group while another policy blocks the same group entirely.
It also detects duplicate policies that effectively have the same result. Duplicate policies increase management complexity and can cause unintended changes.
Policy conflicts can cause unintended access grants or blocks. When detected, review the priority and intent of the affected policies.