Share via

よく寄せられる質問 (FAQ)

  • [アーティクル]

この記事では、Microsoft Entra Permissions Management についてよく寄せられる質問 (FAQ) に回答します。

Microsoft Entra Permissions Management とは

Microsoft Entra Permissions Management (Permissions Management) は、すべての ID に割り当てられたアクセス許可に包括的な可視性を提供するクラウド インフラストラクチャ エンタイトルメント管理 (CIEM) ソリューションです。 たとえば、Microsoft Azure、アマゾン ウェブ サービス (AWS)、Google Cloud Platform (GCP) のマルチクラウド インフラストラクチャ全体で、過剰な特権が与えられたワークロードとユーザー ID、アクション、リソースなどが対象となります。 Permissions Management では、未使用および過剰なアクセス許可を検出し、自動的に適切なサイズに変更し、継続的に監視します。 最小特権アクセスの原則を補強することによってゼロ トラストのセキュリティ戦略を強化します。

アクセス許可管理を使用するための前提条件にはどのようなものがありますか?

アクセス許可管理では、AWS、GCP、および Microsoft Azure からのデータ収集をサポートしています。 データ収集と解析を行うには、Permissions Management を使用するために Microsoft Entra アカウントを持っている必要があります。

まだ Microsoft Entra ID 内にない、IaaS プラットフォームにアクセスする他の ID を持つお客様は、Permissions Management を使用できますか?

はい。お客様は AWS IAM アカウントや GCP アカウントのリスク、または Okta や AWS IAM などの他の ID プロバイダーに由来するリスクを検出、軽減、監視できます。

お客様はどこでアクセス許可管理にアクセスできますか?

お客様は、Microsoft Entra 管理センター から Permissions Management インターフェイスにアクセスできます。

クラウドを使用していない利用者はオンプレミスで Permissions Management を使えますか?

いいえ、アクセス許可管理はホステッド クラウドオファリングです。

Azure 以外のお客様はアクセス許可管理を使用できますか?

はい。Azure を使用していないお客様もこのソリューションを使用できます。 権限管理はマルチクラウド ソリューションのため、Azure のサブスクリプションを使用していないお客様もベネフィットが得られます。

現在、アクセス許可管理プレビューは、欧州連合 (ヨーロッパ) でホストされているテナントで使用できますか?

はい。アクセス許可管理は、現在、欧州連合 (EU) でホストされているテナントで使用できます。

Azure の Microsoft Entra ID Privileged Identity Management (PIM) を既に使用している場合、Permissions Management によってどのような価値が提供されますか?

Permissions Management は、Microsoft Entra PIM を補完します。 Microsoft Entra PIM は、Azure、Microsoft Online Services およびグループを使用するアプリの管理者ロールに対して Just-In-Time アクセスを提供します。 Permissions Management を使用すると、Azure、AWS、GCP 全体の特権アクセスのマルチクラウド検出、修復、監視が可能になります。

Permissions Management はどのパブリック クラウド インフラストラクチャをサポートしていますか?

アクセス許可管理では現在、アマゾン ウェブ サービス (AWS)、Google Cloud Platform (GCP)、および Microsoft Azure という 3 つの主要なパブリック クラウドがサポートされています。

アクセス許可管理 はハイブリッド環境をサポートしていますか?

現在、アクセス許可管理 はハイブリッド環境をサポートしていません。

アクセス許可管理では、どのような種類の ID がサポートされていますか?

アクセス許可管理では、ユーザー ID (例えば、従業員、顧客、外部パートナーなど) とワークロード ID (例えば、仮想マシン、コンテナー、Web アプリ、サーバーレス関数など) がサポートされています。

アクセス許可管理はGovernment Cloudで利用可能ですか?

いいえ、現在アクセス許可管理はGovernment Cloudでは利用可能ではありません。

アクセス許可管理はソブリン クラウド利用可能ですか?

いいえ、現在現在アクセス許可管理はソブリン クラウドでは利用可能ではありません。

アクセス許可管理では、アクセス許可の使用状況に関する分析情報はどのような方法で収集されますか?

Permissions Management には、さまざまな ID に割り当てられたアクセス許可、アクティビティ ログ、およびリソースのメタデータを収集するデータ コレクターがあります。 データ コレクターは、すべての ID に付与されたリソースにアクセスするためのアクセス許可と、付与されたアクセス許可の使用状況の詳細の完全な可視性を提供します。

アクセス許可管理ではどの様な方法でクラウドアクセス許可リスクを評価しますか?

アクセス許可管理では、クラウド インフラストラクチャ全体ですべての ID とそのアクセス許可 (付与されたものと使用されたもの) が細かく可視化され、どのようなアクションがどの ID によってどのリソースに対して実行されたかがすべて明らかになります。 この可視性は、ユーザー ID に限定されるものではなく、仮想マシン、アクセス キー、コンテナー、スクリプトなどのワークロード ID に対しても提供されます。 ダッシュボードには、最もリスクの高い ID とリソースを特定するためのアクセス許可プロファイルの概要が表示されます。

権限クリープ インデックスとは何ですか?

権限クリープ インデックス (PCI) とは、付与されたアクセス許可と行使されたアクセス許可を比較して決定される、ID またはロールに関連付けられるリスクの定量的測定値です。 ユーザーはこれを使用することで、ID とリソース全体での未使用または過剰にプロビジョニングされたアクセス許可の数に関連したリスク レベルを即座に評価できます。 ID に付与されているアクセス許可に基づいて、それらの ID が原因でどの程度の損害が発生するか測定されます。

アクセス許可管理を使用して未使用または過剰なアクセス許可を削除するにはどうすればいいですか?

アクセス許可管理を使用すると、ユーザーは数回のクリックで、過剰なアクセス許可を適切なサイズに変更し、最小特権ポリシーの適用を自動化できます。 このソリューションでは各 ID のアクセス許可の使用状況データ履歴が継続的に分析され、ユーザーはその ID のアクセス許可を、日常的な操作にのみ使用されているアクセス許可になるように適切なサイズに変更できます。 未使用およびその他のリスクの高いアクセス許可はすべて自動的に削除できます。

削除したユーザーが [分析] タブに依然として表示されるのはなぜですか?

ユーザーに従来の管理者ロールが割り当てられているか確認します。 ユーザーが削除されても、従来の管理者ロールがなくなりません。 これを解決するには、[従来の管理者] ページに移動し、そのロールの割り当てをユーザー別に削除します。

アクセス許可管理で、アクセス許可をオンデマンドで付与するにはどうすればいいですか?

ID が特定のリソース セットに対して特定のアクション セットを実行する必要がある、非常時または 1 回限りのシナリオでは、ID は、セルフサービス ワークフローを使用して、限られた期間、これらのアクセス許可をオンデマンドで要求できます。 ユーザーは、組み込みのワークフロー エンジンまたは独自の IT Service Management (ITSM) ツールを使用できます。 ユーザー エクスペリエンスは、どの ID の種類、ID のソース (ローカル、エンタープライズ ディレクトリ、またはフェデレーション)、およびクラウドでも同じです。

オンデマンドのアクセス許可と Just-In-Time アクセスの違いは何ですか?

Just-In-Time (JIT) アクセスは、最小特権の原則を実行するために使用される方法です。これを使用した場合は、目前のタスクを実行するための最小レベルのアクセス許可が ID に付与されます。 オンデマンドのアクセス許可は JIT アクセスの一種です。これを使用すると、アクセス許可の一時的昇格が可能になり、ID は、要求により、時間に基づいてリソースにアクセスできます。

アクセス許可管理で、アクセス許可使用をモニターするにはどうすればいいですか?

アクセス許可の使用状況を監視するには、アクセス許可クリープ インデックス (PCI) の増減を追跡するだけで十分です。 Permissions Management ダッシュボードの [分析] タブで PCI を監視できます。

アクセス許可の使用状況レポートを生成できますか?

アクセス許可管理 には、特定のデータ セットをキャプチャするさまざまな種類のシステム レポートが用意されています。 これらのレポートを使用すると、次のことを実行できます。

  • タイムリーな意思決定を行う。
  • 使用状況の傾向とシステムまたはユーザーのパフォーマンスを分析する。
  • リスクの高い領域を特定する。

アクセス許可の使用状況レポートの詳細については、アクセス許可分析レポートの生成とダウンロードに関する記事を参照してください。

アクセス許可管理はサードパーティの ITSM (情報技術サービス管理) ツールと統合されますか?

ServiceNow などの ITMS ツールとの統合は、今後のロードマップで行われます。

アクセス許可管理の展開方法は?

グローバル管理者ロールのユーザーは、Microsoft Entra テナントに最初に Permissions Management をオンボードし、次に AWS アカウント、GCP プロジェクト、および Azure サブスクリプションをオンボードする必要があります。 オンボードの詳細については、製品ドキュメントを参照してください。

アクセス許可管理をデプロイするにはどの位かかりますか?

各ユーザーと、AWS アカウント、GCP プロジェクト、Azure サブスクリプションの数によって異なります。

アクセス許可管理がデプロイされたら、どのくらいの時間でアクセス許可の分析情報を取得できますか?

データ収集を設定して完全にオンボードすると、数時間以内にアクセス許可使用状況の分析情報にアクセスできます。 権限クリープ インデックスは機械学習エンジンによって 1 時間ごとに更新されるため、ユーザーはすぐにリスク評価を開始できます。

アクセス許可管理では機密の個人データの収集と格納は行われていますか?

いいえ。アクセス許可管理には、機密性の高い個人データへのアクセス権がありません。

アクセス許可管理 に関するその他の詳細情報はどこで入手できますか?

ブログを読んだり、Web ページにアクセスしたりすることができます。 また、Microsoft の担当者に連絡して、デモの予定を入れることもできます。

データの破棄/使用停止プロセスとは何ですか?

お客様がアクセス許可管理の 45 日間無料試用を開始したが、試用の有効期限から 45 日以内に有料ライセンスに切り替えなかった場合、収集されたデータはすべて、試用の有効期限から 30 日以内に削除されます。

お客様がサービスのライセンスを停止することにした場合は、ライセンス終了から 30 日以内に、以前に収集されたデータが削除されます。

お客様は、アクセス許可管理サービスを使用しているグローバル管理者が正式なデータ主体の要求を提出した場合、特定のデータを削除、エクスポート、変更することもできます。 要求を提出するには:

エンタープライズのお客様の場合、Microsoft の担当者、アカウント チーム、またはテナント管理者に連絡し、データ主体要求を依頼する高優先度の IcM サポート チケットを提出できます。 IcM 要求には、詳細や個人を特定できる情報を含めないでください。 詳細については、IcM の提出後にお尋ねします。

セルフサービスのお客様の場合 (Microsoft 365 管理センターで試用版または有料ライセンスを設定)、アクセス許可管理のプライバシー チームにお問い合わせできます。アクセス許可管理でプロファイル ドロップダウン メニューを選択し、[アカウント設定] を選択します。 指示に従い、データ主体要求を行います。

Azure データ主体要求」に詳細があります。

Microsoft Entra Permissions Management を使用するにはライセンスが必要ですか?

はい。2022 年 7 月 1 日以降、新しいお客様がこのサービスを使用する場合、45 日間の無料試用版ライセンスまたは有料ライセンスを取得する必要があります。 https://aka.ms/TryPermissionsManagement で試用版を有効にするか、https://aka.ms/BuyPermissionsManagement でリソース ベースのライセンスを直接購入することができます。

権限管理の料金はいくらですか?

権限管理は、リソース/年あたり $125 (リソース/月あたり 10.40 ドル) です。 権限管理には、コンピューティングまたはメモリを使用するリソースを含むワークロードのライセンスが必要です。

すべてのリソースに料金が必要ですか?

Permissions Management はすべてのリソースをサポートしていますが、Microsoft はクラウド環境ごとに請求対象のリソースに対するライセンスのみを要求します。 課金対象リソースの詳細については、「認可システムでリスト表示される課金対象リソースの表示」を参照してください

自分が使っている請求対象リソースの数を計算するにはどうすればよいですか?

マルチクラウド インフラストラクチャ全体の請求対象リソースを計算するには、まず、Permissions Management の 45 日間の無料試用版をアクティブにするか、有料ライセンスを購入する必要があります。 Permissions Management で、[設定] (歯車アイコン) を選択し、[請求対象リソース] タブをクリックします。[Total Number of Licenses] (ライセンスの総数) 列で請求対象リソースの数を確認します。

CloudKnox サービスのレガシ バージョンを使用している場合はどうすればよいですか?

現在、元の CloudKnox サービスのお客様が 2022 年後半に新しい Microsoft Entra Permissions Management サービスに移行できるように、移行計画の開発に取り組んでいます。

ヨーロッパで Microsoft Entra Permissions Management を使用できますか?

はい。製品は準拠しています。

GA リリースでサポートされている新しい 18 言語のいずれかを有効にするにはどうすればよいですか?

18 の言語にローカライズされるようになりました。 お使いのブラウザー設定に応じて選択されますが、Microsoft Entra Permissions Management の URL にクエリ文字列サフィックスを追加すると、選択した言語を手動で有効にすることができます。

?lang=xx-XX

ここで、xx-XX は、使用可能な言語パラメーター 'cs-CZ'、'de-DE'、 'en-US'、'es-ES'、'fr-FR'、'hu-HU'、'id-ID'、'it-IT'、'ja-JP'、'ko-KR'、'nl-NL'、'pl-PL'、'pt-BR'、'pt-PT'、'ru-RU'、'sv-SE'、'tr-TR'、'zh-CN'、または 'zh-TW' のいずれかです。

リソース

次の手順