Azure AD Premium P2 の IdP(Identity Protection)は、ユーザーIDへの脅威をいち早く察知するために有効なソリューションであることは、以前にも書きました。
リスク「高」検知に着目することで、危険な兆候に気付くことができます。
しかし、実際に運用してみると、必ずしもすべてのリスク「高」が脅威であるとは限りません。
以下のブログに、詳細な説明や対処方法が記載されています。
User at risk detected のメールを受け取ったときの対応について | Japan Azure Identity Support Blog (jpazureid.github.io)
IdP は機械学習が用いられており、例えば普段と違う IPアドレスからのアクセスなど、リスクとして検知される場合があります。
コロナ禍で出張も減ったので、出張先や旅先からのアクセスといったケースは減ったかもしれませんが、それ以外にも Azure 仮想サーバー上からのアクセスなども普段と違った IPアドレスからと認識されます。
上記ブログにも書かれているように、リスク「高」の場合にはユーザー本人にそのアクセスの覚えがあるか確認することをお勧めします。
また、本人の記憶が曖昧で判断がつかない場合は、念のためパスワードリセットを促しましょう。
その上で正しくリスクを処理してクローズしましょう。