Microsoft Entra ID のグループを使用してアクセス制御をセキュリティで保護する
Microsoft Entra ID では、グループを使用して、組織内のリソースへのアクセスを管理できます。 アプリケーションへのアクセスを管理して最小限に制限するには、アクセス制御にグループを使用します。 グループを使用すると、それらのグループのメンバーのみがリソースにアクセスできます。 グループを使用することにより、次の管理機能も有効になります。
- 属性ベースの動的グループ
- オンプレミスの Active Directory から同期される外部グループ
- 管理者による管理またはセルフサービス管理のグループ
アクセス制御のためのグループの利点の詳細については、アプリケーションへのアクセスの管理に関するページを参照してください。
アプリケーションの開発中に、グループ要求を使用してアクセスを承認します。 詳細については、Microsoft Entra ID を使用してアプリケーションに対するグループ要求を構成する方法に関するページを参照してください。
現在、多くのアプリケーションは、スケールの課題を回避するために (つまり、トークンで返されるグループの数を減らすために)、securityEnabled フラグが true に設定されたグループのサブセットを選択しています。 グループに対して securityEnabled フラグを true に設定しても、グループが安全に管理される保証はありません。
リスクを軽減するためのベスト プラクティス
次の表は、セキュリティ グループに関するいくつかのセキュリティのベスト プラクティスと、各プラクティスが軽減する潜在的なセキュリティ リスクを示しています。
| セキュリティのベスト プラクティス | 軽減されるセキュリティ リスク |
|---|---|
リソース所有者とグループ所有者が同じプリンシパルであることを確認する。 アプリケーションは、独自のグループ管理エクスペリエンスを構築し、アクセスを管理するための新しいグループを作成する必要があります。 たとえば、アプリケーションは、Group.Create アクセス許可を使用してグループを作成し、それ自体をグループの所有者として追加できます。 これにより、アプリケーションはそのグループを制御できますが、テナント内の他のグループを変更するための過度な特権を持つことはありません。 |
グループ所有者とリソース所有者が異なるエンティティである場合、グループ所有者は、リソースにアクセスすることが想定されていないユーザーをグループに追加する可能性があり、その結果、そのユーザーは意図せずにそれにアクセスできるようになります。 |
| リソース所有者とグループ所有者の間で暗黙的な合意を形成する。 リソース所有者とグループ所有者は、グループの目的、ポリシー、およびリソースへのアクセス権を取得するためにグループに追加できるメンバーに関して、調整を行う必要があります。 このレベルの信頼は、技術的な問題ではなく、当事者間またはビジネス上の合意に依存します。 | グループ所有者とリソース所有者が異なる意図を持っている場合、グループ所有者は、リソース所有者がアクセス権を付与することを意図していなかったユーザーをグループに追加する可能性があります。 このアクションにより、不要で潜在的にリスクがあるアクセスが発生する可能性があります。 |
| アクセス制御にプライベート グループを使用する。 Microsoft 365 グループは、可視性の概念によって管理されます。 このプロパティは、グループの参加ポリシーとグループ リソースの可視性を制御します。 セキュリティ グループには参加ポリシーがあり、誰にでも参加を許可するか、所有者の承認を必要とするかが決定されます。 オンプレミスで同期されるグループも、パブリックまたはプライベートである可能性があります。 オンプレミスで同期されるグループに参加しているユーザーは、クラウド リソースにもアクセスできます。 | アクセス制御にパブリック グループを使用する場合は、すべてのメンバーがグループに参加し、リソースへのアクセス権を取得することができます。 外部リソースへのアクセス権を付与するためにパブリック グループを使用する場合は、特権の昇格のリスクが存在します。 |
| グループの入れ子。 アクセス制御にグループを使用し、他のグループがそのメンバーになっている場合、サブグループのメンバーは、リソースへのアクセス権を取得できます。 この場合は、親グループとサブグループの複数のグループ所有者が存在します。 | 各グループの目的と、これらのグループにどのようにして適切なメンバーを追加するかに関して、複数のグループ所有者との調整を行うと、作業がより複雑になり、誤ってアクセス権を付与する可能性が高くなります。 入れ子にするグループの数を制限するか、可能であればまったく使用しないようにしてください。 |