ユーザーが一定時間アイドル状態だったら Azure Portal からサインアウトさせたい
ときどき、セキュリティ対策として、
「ユーザーが一定時間アイドル状態だったら Azure Portal からサインアウトさせたい」
という話を聞きます。
こちらは、Azure Portal の設定に関しての公開ドキュメントがあり、実現ができます。
実際に設定したことがなく、どんな感じなのか動作がわかっていなかったので、確認してみました。
非アクティブ タイムアウト設定は、ワークステーションのセキュリティ保護を忘れた場合にリソースを未承認のアクセスから保護するのに役立ちます。 ユーザーはしばらくの間アイドル状態であった後、Azure portal セッションから自動的にサインアウトされます。
設定する
Azure Portal 上部の [歯車マーク] から設定ができます。
[サインアウトと通知] に、非アクティブのときのサインアウトに関する設定があります。
- グローバル管理者であれば、テナント全員に強制する形での設定ができます。
- その他のユーザーであれば、自分のサインアウトについてのコントロールができます。
なお、グローバル管理者から、非アクティブのときのサインアウトを強制されている場合は、その時間を超えない範囲での設定になります。
まずはグローバル管理者で、テナント全員に強制する場合を見ていきます。
| グローバル管理者 | |
|---|---|
| 設定画面 |  |
| 設定できる時間 | 最短、5分~、最長23時間59分 で設定できました。   5分より短いなど、設定不可の値を入れた場合はエラーがでて設定ができません。 
|
さて、続けてユーザー側を見ていきます。
ユーザーは、グローバル管理者から、非アクティタイムアウトが適用されているかどうかで、表示や設定内容が変わります。
| 強制されていない場合 一般ユーザー |
強制がある 一般ユーザー |
|
|---|---|---|
| 設定画面 | 強制されていない場合には、非アクティブ時のサインアウトが プルダウンで "なし" となっています。
|
以下の例は 23時間59分 (1439分) をグローバル管理者が設定した場合です。 ユーザーには "非アクティブ状態 1439分続くと、サインアウトとします。" が表示されています。 
|
| 設定できる時間 | 設定できる時間の粒度は以下の通りでした。 プルダウンでは、15分~2時間が選択できました。  プルダウンの一番下、ユーザー設定の期間 を選んだ場合でも15分刻みで設定する形です。 
|
ユーザーは、管理者から設定された時間よりも短い時間であれば、設定が可能です。 極端な値として 1分 も設定が可能で、動作します。 
|
動作を確認する
それでは、動作を確認してみます。
グローバル管理者から 15分 アイドル状態のときにサインアウトするように設定してあります。
ユーザーでは何も設定をしていませんので、 15分でサインアウトされる動きが想定です。
まずは Azure Portal へサインインしました。
放置をして様子を見ます。
放置を開始して、おおむね14分ほどたったところで ”間もなくサインアウトだよ” というお知らせが来ました。
そのまま放置を継続していると、およそ1分ほどで、画面が遷移し、サインアウトされました。
サインアウトされた表示の後、数秒後には、アカウントを選択する画面に戻りました。
例えば、しばらく離籍していた場合などは、上記のようにサインアウトされた状況になっているはずですね。
再度サインインしようと操作をした場合には、再度認証が必要になりますし、設定されていれば MFA の認証なども必要になります。
例外
なお、 Edge のプロファイルなどと連携をして、Azure Portal へのログイン時にそもそもパスワードなどの認証が求められない構成においては、時間を経過してもサインアウトされませんでした。
そのような場合は、時間経過にて ”間もなくサインアウト” のお知らせは来るのですが、サインアウトはされず、「サインアウトしない」の選択肢を選ぶことで継続利用が可能です。
参考
Discussion