Microsoft Entra Permissions Management へのクイックスタート ガイド
Microsoft Entra Permissions Management のクイックスタート ガイドへようこそ。
Permissions Management は、すべての ID に割り当てられたアクセス許可への包括的な可視性を提供するクラウド インフラストラクチャ エンタイトルメント管理 (CIEM) ソリューションです。 これらの ID には、Microsoft Azure、アマゾン ウェブ サービス (AWS)、Google Cloud Platform (GCP) のマルチクラウド インフラストラクチャ全体で、過剰な特権が与えられたワークロードとユーザーの ID、アクション、リソースが含まれます。 Permissions Management を使用すると、組織は、未使用かつ過剰なアクセス許可の検出、自動での適切なサイズ設定、継続的な監視を行うことで、クラウドのアクセス許可を効果的にセキュリティで保護し管理できます。
このクイックスタート ガイドでは、(複数の) マルチクラウド環境を設定し、データ収集を構成し、アクセス許可によるアクセスを有効にして、クラウド ID が管理されセキュリティで保護されるようにします。
前提条件
開始するには、オンボード プロセス用の次のツールへのアクセスが必要です。
- BASH 環境を使用する Azure CLI または Azure Cloud Shell でのローカル BASH シェルへのアクセス (Azure CLI は含まれています)。
- AWS、Azure、GCP コンソールへのアクセス。
- AWS と GCP のオンボードに必要な Microsoft Entra テナントでの新しいアプリ登録を作成するには、"全体管理者" ロールがユーザーに割り当てられている必要があります。
手順 1: Permissions Management を設定する
Permissions Management を有効にするには、Microsoft Entra テナント (たとえば、Microsoft Entra 管理センターなど) が必要です。
- Azure アカウントを持っている場合、自動的に Microsoft Entra 管理センター テナントを持っていることになります。
- アカウントをまだ持っていない場合は、entra.microsoft.com で無料アカウントを作成してください。
上記の点が満たされている場合は、次の手順に進みます。
組織で Microsoft Entra Permissions Management を有効にする
自分が "全体管理者" であることを確認してください。 Permissions Management のロールとアクセス許可の詳細を確認してください。
手順 2: マルチクラウド環境をオンボードする
ここまでで以下のことが完了しています。
- Microsoft Entra 管理センター テナントの "Permissions Management 管理者" ロールが割り当てられている。
- Permissions Management のライセンスを購入したか、45 日間の無料試用版をアクティブ化した。
- Permissions Management を正常に起動した。
次に、Permissions Management のコントローラーとデータ収集モードのロールと設定について確認します。
コントローラーを設定する
コントローラーを使用すると、Permissions Management 内でユーザーに付与するアクセスのレベルを決定する選択が行えます。
オンボード中にコントローラーを有効にすると、Permissions Management に管理者アクセス権または読み取りおよび書き込みアクセス権が付与されるため、ユーザーは (AWS、Azure、または GCP コンソールに移動することなく) Permissions Management を通して直接、アクセス許可を適切にサイズ設定し修復を行うことができます。
オンボード中にコントローラーを無効にするか、ずっと有効にしないと、Permissions Management ユーザーにはお使いの (複数の) 環境への読み取り専用アクセス権が付与されます。
Note
オンボード中にコントローラーを有効にしない場合は、オンボードの完了後に有効にするオプションがあります。 オンボード後に Permissions Management でコントローラーを設定するには、「オンボード後のコントローラーの有効化または無効化」を参照してください。 AWS 環境の場合、一旦コントローラーを有効にすると、無効にすることは "できません"。
オンボード中にコントローラー設定を設定するには:
- [有効化] を選択して、Permissions Management に読み取りおよび書き込みアクセス権を付与します。
- [無効化] を選んで、Permissions Management に読み取り専用アクセス権を付与します。
データ収集を構成する
Permissions Management でデータを収集するために選択できるモードが 3 つあります。
自動 (推奨) Permissions Management は、現在および今後のサブスクリプションすべての検出、オンボード、監視を自動的に行います。
手動 Permissions Management が検出、オンボード、監視を行う個々のサブスクリプションを手動で入力します。 データ収集ごとに最大 100 個のサブスクリプションを入力できます。
選択 Permissions Management は、現在のすべてのサブスクリプションを自動的に検出します。 検出されたら、どのサブスクリプションをオンボードして監視するかを選択します。
Note
自動モードまたは選択モードを使用するには、データ収集の構成中にコントローラーを有効にする必要があります。
データ収集を構成するには:
- Permissions Management で、[データ コレクター] ページに移動します。
- クラウド環境 (AWS、Azure、または GCP) を選びます。
- コンフィギュレーションの作成をクリックします。
Note
データ収集プロセスには時間がかかり、ほとんどの場合、約 4 から 5 時間かかります。 期間は、使用している承認システムのサイズと、収集に使用できるデータの量によって異なります。
アマゾン ウェブ サービス (AWS) をオンボードする
Permissions Management は Microsoft Entra 上でホストされているため、AWS 環境をオンボードするためには他にも実行するべき手順があります。
AWS を Permissions Management に接続するには、Permissions Management が有効になっている Microsoft Entra 管理センター テナントに Microsoft Entra アプリケーションを作成する必要があります。 この Microsoft Entra アプリケーションは、AWS 環境への OIDC 接続を設定するために使用されます。
"OpenID Connect (OIDC) は、OAuth 2.0 ファミリ仕様に基づく相互運用可能な認証プロトコルです。"
前提条件
ユーザーは、Microsoft Entra ID 内に新しいアプリ登録を作成するために、"グローバル管理者" または "Permissions Management 管理者" ロールの割り当てを持っている必要があります。
次に対するアカウント ID とロール:
- AWS OIDC アカウント: OIDC IdP を通して OIDC 接続を作成してホストするために自分が指定する AWS メンバー アカウント
- AWS ログ アカウント (省略可能ですが推奨されます)
- AWS Management アカウント (省略可能ですが推奨されます)
- Permissions Management によって監視および管理される AWS メンバー アカウント (手動モード用)
自動または選択のデータ収集モードを使用するには、AWS Management アカウントを接続する必要があります。
この手順では、AWS CloudTrail アクティビティ ログ (AWS Trails 内で見つかります) を持つ S3 バケットの名前を入力することで、コントローラーを有効にすることができます。
AWS 環境をオンボードしてデータ収集を構成するには、「アマゾン ウェブ サービス (AWS) アカウントのオンボード」を参照してください。
Microsoft Azure のオンボード
Microsoft Entra テナントで Permissions Management を有効にした時に、CIEM 用のエンタープライズ アプリケーションが作成されています。 Azure 環境をオンボードするには、Permissions Management に対してこのアプリケーションへのアクセス許可を付与します。
Permissions Management が有効になっている Microsoft Entra テナントで、クラウド インフラストラクチャ エンタイトルメント管理 (CIEM) エンタープライズ アプリケーションを見つけます。
"閲覧者" ロールを CIEM アプリケーションに割り当てて、Permissions Management が環境内の Microsoft Entra サブスクリプションを読み取れるようにします。
前提条件
CIEM アプリケーションにロールを割り当てるサブスクリプションまたは管理グループ スコープで
Microsoft.Authorization/roleAssignments/writeアクセス許可を持つユーザー。自動または選択のデータ収集モードを使用するには、管理グループ スコープで "閲覧者" ロールを割り当てる必要があります。
コントローラーを有効にするには、CIEM アプリケーションに "ユーザー アクセス管理者" ロールを割り当てる必要があります。
Azure 環境をオンボードし、データ収集を構成するには、「Microsoft Azure サブスクリプションのオンボード」を参照してください。
Google Cloud Platform (GCP) をオンボードする
Permissions Management は Microsoft Azure 上でホストされているため、GCP 環境をオンボードするためには実行するべき追加の手順があります。
GCP を Permissions Management に接続するには、Permissions Management が有効になっている Microsoft Entra テナントに Microsoft Entra 管理センター アプリケーションを作成する必要があります。 この Microsoft Entra 管理センター アプリケーションは、GCP 環境への OIDC 接続を設定するために使用されます。
"OpenID Connect (OIDC) は、OAuth 2.0 ファミリ仕様に基づく相互運用可能な認証プロトコルです。"
前提条件
AWS と GCP のオンボードには、Microsoft Entra で新しいアプリ登録 (OIDC 接続を支援するために必要) を作成できるユーザーが必要です。
以下の ID の詳細:
- GCP OIDC プロジェクト: OIDC IdP を通して OIDC 接続を作成してホストするために自分が指定する GCP プロジェクト。
- プロジェクト番号とプロジェクト ID
- GCP OIDC ワークロード ID
- プール ID、プール プロバイダー ID
- GCP OIDC サービス アカウント
- G-suite IdP シークレット名と G-suite IdP ユーザー メール (省略可能)
- オンボードしたい GCP プロジェクトの ID (省略可能、手動モード用)
組織、フォルダー、またはプロジェクト レベルで GCP サービス アカウントに "ビューアー" と "セキュリティ レビュー担当者" ロールを割り当てて、Permissions Management に GCP 環境への読み取りアクセス権を付与します。
この手順では、組織、フォルダー、またはプロジェクト レベルで GCP サービス アカウントに "ロール管理者" と "セキュリティ管理者" ロールを割り当てることで、コントローラー モードを有効にするオプションがあります。
Note
Permissions Management の既定のスコープはプロジェクト レベルです。
GCP 環境をオンボードしてデータ収集を構成するには、「GCP プロジェクトのオンボード」を参照してください。
まとめ
お疲れさまでした。 (複数の) 環境のデータ収集の構成が完了し、データ収集プロセスが開始されました。 データ収集プロセスには時間がかかり、ほとんどの場合、約 4 から 5 時間かかります。 期間は、オンボードした承認システムの量と、収集に使用できるデータの量によって異なります。
Permissions Management UI の状態列には、自分がデータ収集のどのステップにいるかが表示されます。
- 保留中: Permissions Management はまだ検出もオンボードも開始していません。
- 検出中: Permissions Management は認可システムを検出しています。
- 進行中: Permissions Management は認可システムの検出を完了し、オンボード中です。
- オンボード済み: データ収集が完了し、検出されたすべての認可システムが Permissions Management にオンボードされます。
Note
データ収集プロセスが続いている間に、Permissions Management のユーザーとグループの設定を開始できます。
次のステップ
参考資料: