Azure AD Privileged Identity Management (PIM) をデプロイするDeploy Azure AD Privileged Identity Management (PIM)

このステップ バイ ステップ ガイドでは、Azure Active Directory (Azure AD) 組織での Privileged Identity Management (PIM) のデプロイを計画する方法について説明します。This step-by-step guide describes how to plan the deployment of Privileged Identity Management (PIM) in your Azure Active Directory (Azure AD) organization.

ヒント

この記事全体で、次のようなマークが項目に付けられています。Throughout this article, you will see items marked as:

✔️Microsoft のお勧めMicrosoft recommends

これらは一般的な推奨事項であり、特定の企業のニーズに該当する場合にのみ実装する必要があります。These are general recommendations, and you should only implement if they apply to your specific enterprise needs.

Privileged Identity Management についてLearn about Privileged Identity Management

Azure AD Privileged Identity Management は、Azure AD、Azure リソース、およびその他の Microsoft Online Services 全体の特権管理者ロールを管理するのに役立ちます。Azure AD Privileged Identity Management helps you to manage privileged administrative roles across Azure AD, Azure resources, and other Microsoft Online Services. 特権 ID が割り当てられ、忘れられる世界において、Privileged Identity Management では Just-In-Time アクセス、承認依頼ワークフロー、完全に統合されたアクセス レビューなどのソリューションが提供されます。これにより、リアルタイムに特権ロールの悪意のあるアクティビティを特定し、明らかにして防ぐことができます。In a world where privileged identities are assigned and forgotten, Privileged Identity Management provides solutions like just-in-time access, request approval workflows, and fully integrated access reviews so you can identify, uncover, and prevent malicious activities of privileged roles in real time. 組織全体にわたって特権ロールを管理するために Privileged Identity Management をデプロイすれば、特権ロールのアクティビティに関する貴重な分析情報を表示する際のリスクが大幅に軽減されます。Deploying Privileged Identity Management to manage your privileged roles throughout your organization will greatly reduce risk while surfacing valuable insights about the activities of your privileged roles.

Privileged Identity Management の事業価値Business value of Privileged Identity Management

リスクを管理する - 最小特権アクセスと Just-In-Time アクセスの原則を適用することで、組織をセキュリティで保護します。Manage risk - Secure your organization by enforcing the principle of least privilege access and just-in-time access. 特権ロールへのユーザーの永続的な割り当ての数を最小限にし、昇格のための承認と MFA を適用することで、組織内の特権アクセスに関するセキュリティ リスクを大幅に軽減できます。By minimizing the number of permanent assignments of users to privileged roles and enforcing approvals and MFA for elevation, you can greatly reduce security risks related to privileged access in your organization. また、最小特権および Just-In-Time アクセスを適用することで、特権ロールへのアクセスの履歴を表示し、セキュリティ問題が発生したときにその問題を追跡することができます。Enforcing least privilege and just-in-time access will also allow you to view a history of access to privileged roles and track down security issues as they happen.

コンプライアンスとガバナンスに対応する - Privileged Identity Management をデプロイすると、進行中の ID ガバナンスのための環境が作成されます。Address compliance and governance - Deploying Privileged Identity Management creates an environment for on-going identity governance. 特権 ID の Just-In-Time 昇格では、組織内の特権アクセス アクティビティを Privileged Identity Management で追跡する手段が提供されます。Just-in-time elevation of privileged identities provides a way for Privileged Identity Management to keep track of privileged access activities in your organization. また、組織内の永続的なロールと資格のあるロールのすべての割り当てに関する通知を表示および受信することもできます。You will also be able to view and receive notifications for all assignments of permanent and eligible roles inside your organization. アクセス レビューでは、不要な特権 ID を定期的に監査して削除でき、組織が最も厳格な ID、アクセス、およびセキュリティ標準に準拠していることを確認できます。Through access review, you can regularly audit and remove unnecessary privileged identities and make sure your organization is compliant with the most rigorous identity, access, and security standards.

コストを削減する - Privileged Identity Management を正しくデプロイし、非効率性、人的エラー、セキュリティの問題を排除することで、コスト削減します。Reduce costs - Reduce costs by eliminating inefficiencies, human error, and security issues by deploying Privileged Identity Management correctly. 最終的には、回復にコストがかかり、困難である、特権 ID に関するサイバー犯罪が減少します。The net result is a reduction of cyber crimes associated with privileged identities, which are costly and difficult to recover from. また、Privileged Identity Management は、組織が規制および標準に準拠する際に、アクセス情報の監査に関するコストを減らすのに役立ちます。Privileged Identity Management will also help your organization reduce cost associated with auditing access information when it comes to complying with regulations and standards.

詳しくは、「Azure AD Privileged Identity Management とは」をご覧ください。For more information, see What is Azure AD Privileged Identity Management?.

ライセンスの要件Licensing requirements

Privileged Identity Management を使用するには、お客様のディレクトリに次のいずれかの有料ライセンスまたは試用版ライセンスが必要です。To use Privileged Identity Management, your directory must have one of the following paid or trial licenses:

  • Azure AD Premium P2Azure AD Premium P2
  • Enterprise Mobility + Security (EMS) E5Enterprise Mobility + Security (EMS) E5
  • Microsoft 365 M5Microsoft 365 M5

詳細については、「Privileged Identity Management を使用するためのライセンスの要件」を参照してください。For more information, see License requirements to use Privileged Identity Management.

主要な用語Key terminology

用語または概念Term or concept 説明Description
有資格eligible ロールを使用するためにユーザーが少なくとも 1 つのアクションを実行する必要があるロールの割り当て。A role assignment that requires a user to perform one or more actions to use the role. あるロールに対して資格があるとは、特権タスクを実行する必要が生じたときに、ユーザーがそのロールをアクティブ化できることを意味します。If a user has been made eligible for a role, that means they can activate the role when they need to perform privileged tasks. ロールへの永続的な割り当てと、ロールの候補としての割り当てに、アクセスの違いはありません。There's no difference in the access given to someone with a permanent versus an eligible role assignment. 常時のアクセスを必要としないユーザーがいる、というのが唯一の違いです。The only difference is that some people don't need that access all the time.
アクティブ化activate ユーザーに資格のあるロールを使用するために、1 つまたは複数のアクションを実行するプロセス。The process of performing one or more actions to use a role that a user is eligible for. 要求されるアクションには、多要素認証 (MFA) チェックの実行、業務上の妥当性の指定、指定された承認者に対する承認要求などがあります。Actions might include performing a multi-factor authentication (MFA) check, providing a business justification, or requesting approval from designated approvers.
Just-In-Time (JIT) アクセスjust-in-time (JIT) access 悪意のあるユーザーまたは未承認ユーザーがアクセス許可の期限が切れた後にアクセスできないように、ユーザーに特権タスクを実行する一時的なアクセス許可を与えるモデル。A model in which users receive temporary permissions to perform privileged tasks, which prevents malicious or unauthorized users from gaining access after the permissions have expired. ユーザーが必要な場合にのみ、アクセスが許可されます。Access is granted only when users need it.
最小特権アクセスの原則principle of least privilege access すべてのユーザーに、実行権限があるタスクを実行するのに必要な最小特権のみを与える、推奨されるセキュリティ プラクティス。A recommended security practice in which every user is provided with only the minimum privileges needed to accomplish the tasks they are authorized to perform. このプラクティスではグローバル管理者の数を最小限にし、代わりに特定のシナリオで特定の管理者ロールが使用されます。This practice minimizes the number of Global Administrators and instead uses specific administrator roles for certain scenarios.

詳細については、「用語集」を参照してください。For more information, see Terminology.

Privileged Identity Management のしくみの概要High-level overview of how Privileged Identity Management works

  1. Privileged Identity Management は、ユーザーを特権ロールの対象とするように設定されます。Privileged Identity Management is set up so that users are eligible for privileged roles.
  2. 資格のあるユーザーは、特権ロールを使用する必要がある場合、Privileged Identity Management でロールをアクティブ化します。When an eligible user needs to use their privileged role, they activate the role in Privileged Identity Management.
  3. ロールに対して構成された Privileged Identity Management 設定に応じて、ユーザーは (多要素認証の実行、承認の取得、理由の指定など) 特定の手順を完了する必要があります。Depending on the Privileged Identity Management settings configured for the role, the user must complete certain steps (such as performing multi-factor authentication, getting approval, or specifying a reason.)
  4. ユーザーは、そのロールを正常にアクティブ化したら、事前に構成された期間にロールを取得します。Once the user successfully activates their role, they will get the role for a pre-configured time period.
  5. 管理者は、監査ログで Privileged Identity Management のすべてのアクティビティの履歴を表示できます。Administrators can view a history of all Privileged Identity Management activities in the audit log. また、アクセス レビューやアラートなどの Privileged Identity Management 機能を使用して、Azure AD 組織をセキュリティで保護し、コンプライアンスに対応することもできます。They can also further secure their Azure AD organizations and meet compliance using Privileged Identity Management features like access reviews and alerts.

詳しくは、「Azure AD Privileged Identity Management とは」をご覧ください。For more information, see What is Azure AD Privileged Identity Management?.

Privileged Identity Management によって管理できるロールRoles that can be managed by Privileged Identity Management

Azure AD ロール – これらのロールは、(グローバル管理者、Exchange 管理者、セキュリティ管理者など) Azure Active Directory 内にあるすべてです。Azure AD roles – These roles are all in Azure Active Directory (such as Global Administrator, Exchange Administrator, and Security Administrator). ロールおよびそれらの機能の詳細については、「Azure Active Directory の管理者ロール アクセス許可」を参照してください。You can read more about the roles and their functionality in Administrator role permissions in Azure Active Directory. 管理者を割り当てるロールを判断する際に役立つタスク別の最小特権ロールに関するページも参照してください。For help with determining which roles to assign your administrators, see least privileged roles by task.

Azure リソース ロール – これらのロールは、Azure リソース、リソース グループ、サブスクリプション、または管理グループにリンクされています。Azure resource roles – These roles are linked to an Azure resource, resource group, subscription, or management group. Privileged Identity Management では、所有者、ユーザー アクセス管理者、共同作成者などの組み込みロールと、カスタム ロールの両方に対する Just-In-Time アクセスが提供されます。Privileged Identity Management provides just-in-time access to both built-in roles like Owner, User Access Administrator, and Contributor, as well as custom roles. Azure リソース ロールの詳細については、ロールベースのアクセス制御 (RBAC) に関するページを参照してください。For more information about Azure resource roles, see role-based access control (RBAC).

詳細については、「Privileged Identity Management で管理できないロール」を参照してください。For more information, see Roles you cannot manage in Privileged Identity Management.

デプロイを計画するPlan your deployment

このセクションでは、組織で Privileged Identity Management をデプロイする前に行う必要がある手順を中心に説明します。This section focuses on what you need to do before deploying Privileged Identity Management in your organization. 手順に従い、このセクションの概念を理解することが重要です。そうすることで、組織の特権 ID に最適な計画を作成することができます。It is essential to follow the instructions and understand the concepts in this section as they will guide you to create the best plan tailored for your organization’s privileged identities.

利害関係者を識別するIdentify your stakeholders

以下のセクションは、プロジェクトに関連するすべての利害関係者を識別し、サインオフ、確認、または最新情報の把握が必要な場合に役立ちます。The following section helps you identify all the stakeholders that are involved in the project and need to sign off, review, or stay informed. これには、Azure AD ロール用の Privileged Identity Management と、Azure リソース ロール用の Privileged Identity Management のデプロイに関する個別の表が含まれます。It includes separate tables for deploying Privileged Identity Management for Azure AD roles and Privileged Identity Management for Azure resource roles. ご自分の組織に合わせて、利害関係者を以下の表に追加してください。Add stakeholders to the following table as appropriate for your organization.

  • SO = このプロジェクトをサインオフするSO = Sign off on this project
  • R = このプロジェクトを確認し、情報を提供するR = Review this project and provide input
  • I = このプロジェクトに関する情報を受け取るI = Informed of this project

利害関係者:Azure AD ロール用の Privileged Identity ManagementStakeholders: Privileged Identity Management For Azure AD roles

名前Name RoleRole ActionAction
名前とメールName and email ID アーキテクトまたは Azure グローバル管理者Identity architect or Azure Global Administrator
この変更をどのように組織内の主要な ID 管理インフラストラクチャに合わせるかを定義する責任がある、ID 管理チームの代表。A representative from the identity management team in charge of defining how this change is aligned with the core identity management infrastructure in your organization.
SO/R/ISO/R/I
名前とメールName and email サービス所有者 / ライン マネージャーService owner / Line manager
サービスまたはサービス グループの IT 所有者の代表。A representative from the IT owners of a service or a group of services. 主に決定を下し、チームの Privileged Identity Management のロールアウトを支援します。They are key in making decisions and helping to roll out Privileged Identity Management for their team.
SO/R/ISO/R/I
名前とメールName and email セキュリティ所有者Security owner
計画が組織のセキュリティ要件を満たしていることをサインオフできるセキュリティ チームの代表。A representative from the security team that can sign off that the plan meets the security requirements of your organization.
SO/RSO/R
名前とメールName and email IT サポート マネージャー / ヘルプデスクIT support manager / Helpdesk
ヘルプデスクの観点から、この変更のサポート可能性に関する情報を提供できる、IT サポート組織の代表。A representative from the IT support organization who can provide input on the supportability of this change from a helpdesk perspective.
R/IR/I
パイロット ユーザーの名前とメールName and email for pilot users 特権ロール ユーザーPrivileged role users
特権 ID 管理が実装されるユーザーのグループ。The group of users for which privileged identity management is implemented. Privileged Identity Management が実装されてからそのロールをアクティブ化する方法を把握する必要があります。They will need to know how to activate their roles once Privileged Identity Management is implemented.
II

利害関係者:Azure リソース ロール用の Privileged Identity ManagementStakeholders: Privileged Identity Management For Azure resource roles

名前Name RoleRole ActionAction
名前とメールName and email サブスクリプション / リソース所有者Subscription / Resource owner
Privileged Identity Management をデプロイする必要がある各サブスクリプションまたはリソースの IT 所有者の代表A representative from the IT owners of each subscription or resource that you want to deploy Privileged Identity Management for
SO/R/ISO/R/I
名前とメールName and email セキュリティ所有者Security owner
計画が組織のセキュリティ要件を満たしていることをサインオフできるセキュリティ チームの代表。A representative from the security team that can sign off that the plan meets the security requirements of your organization.
SO/RSO/R
名前とメールName and email IT サポート マネージャー / ヘルプデスクIT support manager / Helpdesk
ヘルプデスクの観点から、この変更のサポート可能性に関する情報を提供できる、IT サポート組織の代表。A representative from the IT support organization who can provide input on the supportability of this change from a helpdesk perspective.
R/IR/I
パイロット ユーザーの名前とメールName and email for pilot users RBAC ロール ユーザーRBAC role users
特権 ID 管理が実装されるユーザーのグループ。The group of users for which privileged identity management is implemented. Privileged Identity Management が実装されてからそのロールをアクティブ化する方法を把握する必要があります。They will need to know how to activate their roles once Privileged Identity Management is implemented.
II

Privileged Identity Management を有効にするEnable Privileged Identity Management

計画プロセスの一環として、まず、Privileged Identity Management に同意し、「Privileged Identity Management の使用を開始する」の記事に従って、Privileged Identity Management を有効にする必要があります。As part of the planning process, you must first consent to and enable Privileged Identity Management by following our start using Privileged Identity Management article. Privileged Identity Management を有効にすると、特にデプロイに役立つように設計されているいくつかの機能にアクセスできます。Enabling Privileged Identity Management gives you access to some features that are specifically designed to help with your deployment.

Azure リソース用の Privileged Identity Management をデプロイするのが目的の場合は、Privileged Identity Management で管理する Azure リソースの検出に関する記事に従う必要があります。If your objective is to deploy Privileged Identity Management for Azure resources, you should follow our discover Azure resources to manage in Privileged Identity Management article. 各リソース、リソース グループ、およびサブスクリプションの所有者のみが、Privileged Identity Management 内でこれらを検出できます。Only owners of each resource, resource group, and subscription will be able to discover them inside Privileged Identity Management. Azure リソース用に Privileged Identity Management をデプロイしようとしているグローバル管理者である場合、すべての Azure サブスクリプションを管理するためにアクセス権を昇格し、検出のためにディレクトリのすべての Azure リソースへのアクセス権を自分自身に与えることができます。If you are a Global Administrator trying to deploy Privileged Identity Management for your Azure resources, you can elevate access to manage all Azure subscriptions to give yourself access to all Azure resources in the directory for discovery. しかし、Privileged Identity Management でリソースを管理する前に、各サブスクリプション所有者から承認を得ることをお勧めします。However, we advise that you get approval from each of your subscription owners before managing their resources with Privileged Identity Management.

最小特権の原則を適用するEnforce principle of least privilege

組織で Azure AD および Azure リソースの両方のロールに対して、最小特権の原則を適用していることを確認するのが重要です。It is important to make sure that you have enforced the principle of least privilege in your organization for both your Azure AD and your Azure resource roles.

Azure AD ロールAzure AD roles

Azure AD ロールの場合、組織では、ほとんどの管理者が 1 つまたは 2 つの特定の管理者ロールのみを必要とする場合に、非常に多くの管理者にグローバル管理者ロールを割り当てるのが一般的です。For Azure AD roles, it is common for organizations to assign the Global Administrator role to a significant number of administrators when most administrators only need one or two specific administrator roles. また、特権ロールの割り当てが非管理のままになる傾向があります。Privileged role assignments also tend to be left unmanaged.

注意

ロールの委任でよくある落とし穴:Common pitfalls in role delegation:

  • Exchange を担当する管理者には、日常業務を行うのに Exchange 管理者ロールのみが必要である場合でも、グローバル管理者ロールが与えられます。The administrator in charge of Exchange is given the Global Administrator role even though they only need the Exchange Administrator role to perform their day to day job.
  • 管理者にはセキュリティおよび SharePoint 管理者の両方のロールが必要であり、1 つのロールのみを委任するほうが簡単であるため、Office 管理者にはグローバル管理者ロールが割り当てられます。The Global Administrator role is assigned to an Office administrator because the administrator needs both Security and SharePoint administrator roles and it is easier to just delegate one role.
  • 管理者は、かなり前にタスクを実行するためのセキュリティ管理者ロールが割り当てられていますが、削除されたことはありません。The administrator was assigned a Security Administrator role to perform a task long ago, but was never removed.

以下の手順に従って、Azure AD ロールに対して最小特権の原則を適用します。Follow these steps to enforce the principle of least privilege for your Azure AD roles.

  1. 使用可能な Azure AD 管理者ロールに関するページをお読みになり、理解して、ロールの細分性を把握してください。Understand the granularity of the roles by reading and understanding the available Azure AD administrator roles. お客様とそのチームは、特定のタスクの最小特権ロールについて説明されている、Azure AD の ID タスクごとの管理者ロールに関するページを参照する必要もあります。You and your team should also reference administrator roles by identity task in Azure AD, which explains the least privileged role for specific tasks.

  2. 組織内の特権ロールを持つユーザーのリスト。List who has privileged roles in your organization. Privileged Identity Management ウィザードを使用して、以下のようなページを表示することができます。You can use the Privileged Identity Management wizard to get to a page like the following.

    特権ロールがあるユーザーを示す [特権ロールの検出] ウィンドウ

  3. 組織内のすべてのグローバル管理者の場合、ロールが必要である理由を確認します。For all Global Administrators in your organization, find out why they need the role. 前のドキュメントの内容に従って、ユーザーのジョブが 1 つ以上の詳細な管理者ロールによって実行できる場合は、グローバル管理者ロールから削除し、Azure Active Directory 内で適宜、割り当てを行う必要があります (参照:Microsoft には、現在、グローバル管理者ロールを持つ約 10 人の管理者のみが存在します。Based on reading the previous documentation, if the person’s job can be performed by one or more granular administrator roles, you should remove them from the Global Administrator role and make assignments accordingly inside Azure Active Directory (As a reference: Microsoft currently only has about 10 administrators with the Global Administrator role. 詳細については、Microsoft での Privileged Identity Management の使用方法に関するページを参照してください)。Learn more at how Microsoft uses Privileged Identity Management).

  4. 他のすべての Azure AD ロールの場合は、割り当てリストを確認し、ロールが不要となった管理者を特定し、それらの割り当てから削除します。For all other Azure AD roles, review the list of assignments, identify administrators who no longer need the role, and remove them from their assignments.

最後の 2 つの手順を自動化するために、Privileged Identity Management でアクセス レビューを使用することができます。To automate the last two steps, you can use access reviews in Privileged Identity Management. Privileged Identity Management での Azure AD ロールのアクセス レビューの開始に関するページの手順に従うことで、1 人以上のメンバーを持つ各 Azure AD ロールに対してアクセス レビューを設定できます。Following the steps in start an access review for Azure AD roles in Privileged Identity Management, you can set up an access review for every Azure AD role that has one or more members.

Azure AD ロールの [アクセス レビューを作成する] ウィンドウ

レビュー担当者を [メンバー (セルフ)] に設定する必要があります。You should set the reviewers to Members (self). これにより、ロール内のすべてのメンバーにメールが送信され、アクセスが必要かどうかを確認させることができます。This will send out an email to all members in the role to get them to confirm whether they need the access. また、詳細設定で [承認時に理由が必要] をオンにし、ユーザーがロールを必要とする理由を示せるようにする必要があります。You should also turn on Require reason on approval in the advanced settings so that users can state why they need the role. この情報に基づき、不要なロールからユーザーを削除し、グローバル管理者の場合はより詳細な管理者のロールを委任することができます。Based on this information, you will be able to remove users from unnecessary roles and delegate more granular administrator roles in the case of Global Administrators.

アクセス レビューは、ロールへのアクセスを確認するように担当者に通知するメールに依存します。Access reviews rely on emails to notify people to review their access to the roles. メールがリンクされていない特権アカウントがある場合は、必ず、それらのアカウントに対してセカンダリ メール フィールドを設定してください。If you have privileged accounts that don’t have emails linked, be sure to populate the secondary email field on those accounts. 詳細については、Azure AD の proxyAddresses 属性に関するページを参照してください。For more information, see proxyAddresses attribute in Azure AD.

Azure リソース ロールAzure resource roles

Azure サブスクリプションとリソースについては、同様のアクセス レビュー プロセスを設定し、各サブスクリプションまたはリソースのロールを確認できます。For Azure subscriptions and resources, you can set up a similar Access review process to review the roles in each subscription or resource. このプロセスの目標は、各サブスクリプションまたはリソースにアタッチされている所有者およびユーザー アクセス管理者割り当てを最小限にし、また、不要な割り当てを削除することです。The goal of this process is to minimize Owner and User Access Administrator assignments attached to each subscription or resource as well as to remove unnecessary assignments. しかし、組織では多くの場合、そのようなタスクを各サブスクリプションまたはリソースの所有者に委任します。これは、その所有者が特定のロール (特にカスタム ロール) をよりよく理解しているためです。However, organizations often delegate such tasks to the owner of each subscription or resource because they have a better understanding of the specific roles (especially custom roles).

組織内の Azure リソースに対して Privileged Identity Management をデプロイしようとしているグローバル管理者ロールを持つ IT 管理者である場合は、すべての Azure サブスクリプションを管理するためにアクセス権を昇格し、各サブスクリプションにアクセスできます。If you are an IT administrator with the Global Administrator role trying to deploy Privileged Identity Management for Azure resources in your organization, you can elevate access to manage all Azure subscriptions to get access to each subscription. その後、各サブスクリプション所有者を見つけ、協力して不要な割り当てを削除し、所有者ロールの割り当てを最小限にすることができます。You can then find each subscription owner and work with them to remove unnecessary assignments and minimize owner role assignment.

また、Azure サブスクリプションの所有者ロールを持つユーザーは、Azure リソースのアクセス レビューを利用し、Azure AD ロールについて前述したプロセスと同様に、不要なロール割り当てを監査して削除できます。Users with the Owner role for an Azure subscription can also utilize access reviews for Azure resources to audit and remove unnecessary role assignments similar to the process described earlier for Azure AD roles.

Privileged Identity Management で保護する必要があるロール割り当てを決定するDecide which role assignments should be protected by Privileged Identity Management

組織内の特権ロール割り当てをクリーンアップした後、Privileged Identity Management で保護するロールを決定する必要があります。After cleaning up privileged role assignments in your organization, you will need to decide which roles to protect with Privileged Identity Management.

ロールが Privileged Identity Management によって保護されている場合、それに割り当てられている資格のあるユーザーは、そのロールによって付与される特権を使用するために昇格する必要があります。If a role is protected by Privileged Identity Management, eligible users assigned to it must elevate to use the privileges granted by the role. 昇格プロセスには、承認の取得、多要素認証の実行、アクティブ化する理由の提供が含まれる場合もあります。The elevation process may also include obtaining approval, performing multi-factor authentication, and/or providing a reason why they are activating. Privileged Identity Management では、通知および Privileged Identity Management と Azure AD 監査イベント ログを通じて、昇格を追跡することもできます。Privileged Identity Management can also track elevations through notifications and the Privileged Identity Management and Azure AD audit event logs.

Privileged Identity Management で保護するロールを選択することは困難である場合があり、組織ごとに異なります。Choosing which roles to protect with Privileged Identity Management can be difficult and will be different for each organization. このセクションでは、Azure AD ロールと Azure リソース ロールについてのベスト プラクティス アドバイスを提供します。This section provides our best practice advice for Azure AD and Azure resource roles.

Azure AD ロールAzure AD roles

最も多くのアクセス許可を持つ Azure AD ロールの保護に優先順位を付けることが重要です。It is important to prioritize protecting Azure AD roles that have the most number of permissions. すべての Privileged Identity Management 顧客の使用パターンに基づいて、Privileged Identity Management によって管理されている上位 10 個の Azure AD ロールは次のとおりです。Based on usage patterns among all Privileged Identity Management customers, the top 10 Azure AD roles managed by Privileged Identity Management are:

  1. 全体管理者Global administrator
  2. セキュリティ管理者Security administrator
  3. ユーザー管理者User administrator
  4. Exchange 管理者Exchange administrator
  5. SharePoint 管理者SharePoint administrator
  6. Intune 管理者Intune administrator
  7. セキュリティ閲覧者Security reader
  8. サービス管理者Service administrator
  9. 課金管理者Billing administrator
  10. Skype for Business 管理者Skype for Business administrator

ヒント

✔️Microsoft のお勧め: 最初の手順として、すべてのグローバル管理者とセキュリティ管理者を Privileged Identity Management を使用して管理します。これらは侵害が発生したときに最も害を及ぼす可能性があるためです。Microsoft recommends you manage all your Global Administrators and Security Administrators using Privileged Identity Management as a first step as they are the ones that can do the most harm when compromised.

組織でどのデータとアクセス許可を最も機密性の高いものと見なすかが重要です。It is important to consider what data and permission are most sensitive for your organization. たとえば、一部の組織では、Privileged Identity Management を使用して Power BI 管理者ロールまたはチーム管理者ロールを保護できます。これらのロールでデータにアクセスしたり、コア ワークフローを変更したりできるためです。As an example, some organizations may want to protect their Power BI Administrator role or their Teams Administrator role using Privileged Identity Management as they have the ability to access data and/or change core workflows.

ゲスト ユーザーが割り当てられているロールは、特に攻撃に対して脆弱です。If there are any roles with guest users assigned, they are particularly vulnerable to attack.

ヒント

✔️Microsoft のお勧め: Privileged Identity Management を使用してゲスト ユーザーが割り当てられているすべてのロールを管理し、侵害されたゲスト ユーザー アカウントに関するリスクを減らします。Microsoft recommends you manage all roles with guest users using Privileged Identity Management to reduce risk associated with compromised guest user accounts.

ディレクトリ閲覧者、メッセージ センター閲覧者、セキュリティ閲覧者などの閲覧者ロールは、書き込みアクセス許可がないため、他のロールに比べ、それほど重要ではないと思われる場合があります。Reader roles like the Directory Reader, Message Center Reader, and Security Reader are sometimes believed to be less important compared to other roles as they don’t have write permission. しかし、一部の顧客はこれらのロールも保護します。これは、これらのアカウントへのアクセス権を得た攻撃者が、個人を特定できる情報 (PII) などの機密データを読み取れる可能性があるためです。However, we have seen some customers also protect these roles because attackers who have gained access to these accounts may be able to read sensitive data, such as personally identifiable information (PII). 組織内の閲覧者ロールを Privileged Identity Management を使用して管理する必要があるかどうかを判断するときに、このことを考慮する必要があります。You should take this into consideration when deciding whether reader roles in your organization need to be managed using Privileged Identity Management.

Azure リソース ロールAzure resource roles

Azure リソース用の Privileged Identity Management を使用して管理する必要があるロール割り当てを決定するときに、まず、組織で最も重要なサブスクリプション/リソースを特定する必要があります。When deciding which role assignments should be managed using Privileged Identity Management for Azure resource, you must first identify the subscriptions/resources that are most vital for your organization. このようなサブスクリプション/リソースの例を以下に示します。Examples of such subscriptions/resources are:

  • 最も機微なデータをホストするリソースResources that host the most sensitive data
  • 主要な顧客向けアプリケーションが依存するリソースResources that core, customer-facing applications depend on

最も重要なサブスクリプション/リソースを決定するのに問題があるグローバル管理者の場合は、組織内のサブスクリプション所有者に連絡し、各サブスクリプションで管理されているリソースのリストを収集する必要があります。If you are a Global Administrator having trouble deciding which subscriptions/resources are most important, you should reach out to subscription owners in your organization to gather a list of resources managed by each subscription. その後、サブスクリプション所有者と協力し、リソースが侵害された場合の重大度レベル (低、中、高) に基づいて、そのリソースをグループ化する必要があります。You should then work with the subscription owners to group the resources based on severity level in the case they are compromised (low, medium, high). この重大度レベルに基づき、Privileged Identity Management でのリソース管理に優先順位を付ける必要があります。You should prioritize managing resources with Privileged Identity Management based on this severity level.

ヒント

✔️Microsoft のお勧め: 重要なサービスのサブスクリプション/リソース所有者と協力し、機微なサブスクリプション/リソース内のすべてのロールに対して、Privileged Identity Management ワークフローを設定します。Microsoft recommends you work with subscription/resource owners of critical services to set up Privileged Identity Management workflow for all roles inside sensitive subscriptions/resources.

Azure リソース用の Privileged Identity Management では、期限付きのサービス アカウントがサポートされます。Privileged Identity Management for Azure resources supports time-bound service accounts. 通常のユーザー アカウントを扱う方法とまったく同じように、サービス アカウントを扱う必要があります。You should treat service accounts exactly the same as how you would treat a regular user account.

重要でないサブスクリプション/リソースの場合は、すべてのロールに対して Privileged Identity Management を設定する必要はありません。For subscriptions/resources that are not as critical, you won’t need to set up Privileged Identity Management for all roles. しかし、所有者ロールとユーザー アクセス管理者ロールについては、Privileged Identity Management で引き続き保護する必要があります。However, you should still protect the Owner and User Access Administrator roles with Privileged Identity Management.

ヒント

✔️Microsoft のお勧め: Privileged Identity Management を使用して、すべてのサブスクリプション/リソースの所有者ロールとユーザー アクセス管理者ロールを管理します。Microsoft recommends you manage Owner roles and User Access Administrator roles of all subscriptions/resources using Privileged Identity Management.

永続的とする、または有資格とする必要があるロール割り当てを決定するDecide which role assignments should be permanent or eligible

Privileged Identity Management で管理するロールのリストを決定したら、資格のあるロールと永続的にアクティブなロールを取得する必要があるユーザーを決定する必要があります。Once you have decided the list of roles to be managed by Privileged Identity Management, you must decide which users should get the eligible role versus the permanently active role. 永続的にアクティブなロールは、Azure Active Directory および Azure リソースを通じて割り当てられる通常のロールですが、資格のあるロールは Privileged Identity Management でのみ割り当てることができます。Permanently active roles are the normal roles assigned through Azure Active Directory and Azure resources while eligible roles can only be assigned in Privileged Identity Management.

ヒント

✔️Microsoft のお勧め: 永続的なグローバル管理者ロールが必要である、推奨される 2 つの非常時の緊急アクセス アカウントを除き、Azure AD ロールと Azure リソース ロールの両方に対する永続的にアクティブな割り当てをゼロにします。Microsoft recommends you have zero permanently active assignments for both Azure AD roles and Azure resource roles other than the recommended two break-glass emergency access accounts, which should have the permanent Global Administrator role.

継続的な管理者をゼロにすることをお勧めしますが、組織でこれをすぐに実現するのは困難なことがあります。Even though we recommend zero standing administrator, it is sometimes difficult for organizations to achieve this right away. この決定を行う際の考慮事項を以下に示します。Here are things to consider when making this decision:

  • 昇格の頻度 – ユーザーに特権割り当てが必要なのは 1 回のみである場合、永続的な割り当ては必要ありません。Frequency of elevation – If the user only needs the privileged assignment once, they shouldn’t have the permanent assignment. 一方、日常業務のロールを必要とし、Privileged Identity Management を使用することで生産性が大幅に低下する場合は、永続的なロールの対象にすることができます。On the other hand, if the user needs the role for their day-to-day job and using Privileged Identity Management would greatly reduce their productivity, they can be considered for the permanent role.
  • 組織に固有のケース – 資格のあるロールを与えられている人が、連絡および適用するには非常に離れたチームに所属しているか、地位の高い役員であり、昇格プロセスが困難な場合は、永続的なロールの対象にすることができます。Cases specific to your organization – If the person being given the eligible role is from a very distant team or a high-ranking executive to the point that communicating and enforcing the elevation process is difficult, they can be considered for the permanent role.

ヒント

✔️Microsoft のお勧め: 永続的なロールを割り当てるユーザーについて、定期的なアクセス レビューを設定します (該当する場合)。Microsoft recommends you to set up recurring access reviews for users with permanent role assignments (should you have any). このデプロイ計画の最後のセクションでは、定期的なアクセス レビューの詳細を確認しますLearn more about recurring access review in the final section of this deployment plan

Privileged Identity Management 設定のドラフトを作成するDraft your Privileged Identity Management settings

Privileged Identity Management ソリューションを実装する前に、組織で使用するすべての特権ロールに対して、Privileged Identity Management 設定のドラフトを作成することをお勧めします。Before you implement your Privileged Identity Management solution, it is good practice to draft your Privileged Identity Management settings for every privileged role your organization uses. このセクションには、特定のロールに対する Privileged Identity Management 設定の例がいくつか含まれています (これらは参照目的のみであり、実際の組織では異なる場合があります)。This section has some examples of Privileged Identity Management settings for particular roles (they are only for reference and might be different for your organization). これらの各設定については、表の後の Microsoft のお勧めで詳しく説明します。Each of these settings is explained in detail with Microsoft’s recommendations after the tables.

Azure AD ロール用の Privileged Identity Management 設定Privileged Identity Management settings for Azure AD roles

RoleRole Require MFA (MFA が必須)Require MFA 通知Notification インシデント チケットIncident ticket 承認を要求するRequire approval 承認者Approver アクティブ化期間Activation Duration 永続的な管理者Permanent admin
グローバル管理者Global Administrator ✔️ ✔️ ✔️ ✔️ その他のグローバル管理者Other Global Administrators 1 時間1 Hour 緊急アクセス アカウントEmergency access accounts
Exchange 管理者Exchange Administrator ✔️ ✔️ なしNone 2 時間2 Hour なしNone
ヘルプデスク管理者Helpdesk Administrator ✔️ なしNone 8 時間8 Hour なしNone

Azure リソース ロール用の Privileged Identity Management 設定Privileged Identity Management settings for Azure resource roles

RoleRole Require MFA (MFA が必須)Require MFA 通知Notification 承認を要求するRequire approval 承認者Approver アクティブ化期間Activation duration アクティブな管理者Active admin アクティブな有効期限Active expiration 有資格の有効期限Eligible expiration
重要なサブスクリプションの所有者Owner of critical subscriptions ✔️ ✔️ ✔️ サブスクリプションのその他の所有者Other owners of the subscription 1 時間1 Hour なしNone 該当なしn/a 3 か月3 month
それほど重要ではないサブスクリプションのユーザー アクセス管理者User Access Administrator of less critical subscriptions ✔️ ✔️ なしNone 1 時間1 Hour なしNone 該当なしn/a 3 か月3 month
Virtual Machine ContributorVirtual Machine Contributor ✔️ なしNone 3 時間3 Hour なしNone 該当なしn/a 6 か月6 month

次の表で各設定について説明します。The following table describes each of the settings.

SettingSetting 説明Description
RoleRole 設定を定義するロールの名前。Name of the role you are defining the settings for.
Require MFA (MFA が必須)Require MFA ロールをアクティブ化する前に、資格のあるユーザーが MFA を実行する必要があるかどうか。Whether the eligible user needs to perform MFA before activating the role.

✔️Microsoft のお勧め: 特にゲスト ユーザーが割り当てられているロールの場合、すべての管理者ロールに対して MFA を適用します。Microsoft recommends you enforce MFA for all administrator roles, especially if the roles have guest users.
通知Notification true に設定すると、組織内のグローバル管理者、特権ロール管理者、およびセキュリティ管理者は、資格のあるユーザーがロールをアクティブ化したときに、メール通知を受け取ります。If set to true, Global Administrator, Privileged Role Administrator, and Security Administrator in the organization will receive an email notification when an eligible user activates the role.

注: 一部の組織ではその管理者アカウントにメール アドレスが関連付けられていません。これらのメール通知を取得するには、管理者がこれらのメールを受け取るように、代替メール アドレスを設定する必要があります。Note: Some organizations don’t have an email address tied to their administrator accounts, to get these email notifications, you should go set an alternative email address so administrators will receive these emails.
インシデント チケットIncident ticket 資格のあるユーザーがロールをアクティブ化するときに、インシデント チケット番号を記録する必要があるかどうか。Whether the eligible user needs to record an incident ticket number when activating their role. この設定は、組織で内部インシデント番号を使用して各アクティブ化を特定し、不要なアクティブ化を軽減するのに役立ちます。This setting helps an organization identify each activation with an internal incident number to mitigate unwanted activations.

✔️Microsoft のお勧め: 内部システムに Privileged Identity Management を関連付けるために、インシデント チケット番号を活用します。Microsoft recommends taking advantage of incident ticket numbers to tie Privileged Identity Management into your internal system. これは、アクティブ化のコンテキストを必要とする承認者に特に役立ちます。This is particularly useful for approvers who need context for the activation.
承認を要求するRequire approval 資格のあるユーザーが、ロールをアクティブ化するために承認を得る必要があるかどうか。Whether the eligible user needs to get approval to activate the role.

✔️Microsoft のお勧め: 最も多くのアクセス許可を持つロールに対して承認を設定します。Microsoft recommends you to set up approval for roles with the most permission. すべての Privileged Identity Management 顧客の使用パターンに基づき、グローバル管理者、ユーザー管理者、Exchange 管理者、セキュリティ管理者、およびパスワード管理者は承認が設定される最も一般的なロールです。Based on usage patterns of all Privileged Identity Management customers, Global Administrator, User Administrator, Exchange Administrator, Security Administrator, and Password Administrator are the most common roles with approval setup.
承認者Approver 資格のあるロールをアクティブ化するために承認が必要な場合、要求を承認する必要がある人をリストします。If approval is required to activate the eligible role, list out the people who should approve the request. 既定では、Privileged Identity Management により、特権ロール管理者であるすべてのユーザーが承認者として設定されます。永続的であるか、有資格であるかは関係ありません。By default, Privileged Identity Management sets the approver to be all users who are a privileged role administrator whether they are permanent or eligible.

注: ユーザーが Azure AD ロールの対象であり、さらにロールの承認者である場合、自身を承認することはできません。Note: If a user is both eligible for an Azure AD role and an approver of the role, they will not be able to approve themselves.

✔️Microsoft のお勧め: グローバル管理者ではなく、特定のロールとそのアクセスの多いユーザーについて最も知識が豊富な人を承認者として選びます。Microsoft recommends that you choose approvers to be those who are most knowledgeable about the specific role and its frequent users rather than a Global Administrator.
アクティブ化期間Activation duration 期限が切れる前に、ロールでユーザーがアクティブ化される期間。The length of time a user will be activated in the role before it will expire.
永続的な管理者Permanent admin ロールの永続的な管理者になるユーザーのリスト (アクティブ化することはありません)。List of users who will be a permanent administrator for the role (never have to activate).

✔️Microsoft のお勧め: グローバル管理者以外のすべてのロールに対して、継続的な管理者をゼロにします。Microsoft recommends you have zero standing administrator for all roles except for Global Administrators. 詳細については、この計画の、対象にする必要があるユーザーと、永続的にアクティブにする必要があるユーザーに関するセクションを参照してください。Read more about it in the who should be made eligible and who should be permanently active section of this plan.
アクティブな管理者Active admin Azure リソースの場合、アクティブな管理者は、ロールを使用するためにアクティブ化する必要がないユーザーのリストとなります。For Azure resources, active administrator is the list of users who will never have to activate to use the role. これは Azure AD ロールの場合のように永続的な管理者と見なされません。ユーザーがこのロールを失う有効期限を設定できるためです。This is not referred to as permanent administrator like in Azure AD roles because you can set an expiration time for when the user will lose this role.
アクティブな有効期限Active expiration Azure リソース ロールのアクティブなロール割り当ての有効期限は、この構成された期間後に切れます。An active role assignment for Azure resource roles expire after this configured time period. アクティブな期間は、15 日、1 か月、3 か月、6 か月、1 年または永続的から選ぶことができます。You can choose from 15 days, 1 month, 3 month, 6 month, 1 year or permanently active.
有資格の有効期限Eligible expiration Azure リソース ロールの資格のあるロール割り当ての有効期限は、この構成された期間後に切れます。An eligible role assignment for Azure resource roles expire after this configured time period. 有資格の期間は、15 日、1 か月、3 か月、6 か月、1 年または永続的から選ぶことができます。You can choose from 15 days, 1 month, 3 month, 6 month, 1 year or permanently eligible.

ソリューションを実装するImplement your solution

適切な計画の基盤は、Azure Active Directory で正常にアプリケーションをデプロイできるベースとなります。The foundation of proper planning is the basis upon which you can deploy an application successfully with Azure Active Directory. インテリジェント セキュリティと統合を提供し、正常なデプロイのための時間を短縮しつつ、オンボードを簡略化します。It provides intelligent security and integration that simplifies onboarding while reducing the time for successful deployments. この組み合わせにより、エンド ユーザーのダウンタイムを軽減しつつ、確実にアプリケーションが簡単に統合されるようになります。This combination ensures that your application is integrated with ease while mitigating down time for your end users.

テスト ユーザーを特定するIdentify test users

このセクションを使用して、実装を検証するために一連のユーザーやユーザー グループを特定します。Use this section to identify a set of users and or groups of users to validate the implementation. 計画セクションで選択した設定に基づいて、各ロールに対してテストするユーザーを特定します。Based on the settings that you selected in the planning section, identify the users that you want to test for each role.

ヒント

✔️Microsoft のお勧め: 各 Azure AD ロールのサービス所有者をテスト ユーザーにし、プロセスに慣れ、ロールアウトのための内部アドボケーターになれるようにします。Microsoft recommends you make service owners of each Azure AD role to be the test users so they can become familiar with the process and become an internal advocator for the roll out.

この表では、各ロールの設定が機能していることを確認するテスト ユーザーを特定します。In this table, identify the test users that will verify that the settings for each role is working.

ロール名Role name テスト ユーザーTest users
<ロール名><Role name> <ロールをテストするユーザー><Users to test the role>
<ロール名><Role name> <ロールをテストするユーザー><Users to test the role>

実装をテストするTest implementation

これでテスト ユーザーを特定できたので、以下の手順を使用して、テスト ユーザー用に Privileged Identity Management を構成します。Now that you have identified the test users, use this step to configure Privileged Identity Management for your test users. 組織で、Azure portal 内の Privileged Identity Management を使用するのではなく、Privileged Identity Management ワークフローをユーザー独自の内部アプリケーションに組み込む必要がある場合、Privileged Identity Management のすべての操作もグラフ API を介してサポートされます。If your organization wants to incorporate Privileged Identity Management workflow into your own internal application instead of using Privileged Identity Management in the Azure portal, all the operations in Privileged Identity Management are also supported through our graph API.

Azure AD ロール用に Privileged Identity Management を構成するConfigure Privileged Identity Management for Azure AD roles

  1. 計画内容に基づいて、Azure AD ロールの設定を構成します。Configure the Azure AD role settings based on what you planned.

  2. [Azure AD ロール] に移動し、 [ロール] をクリックして、先ほど構成したロールを選びます。Navigate to Azure AD roles, click Roles, and then select the role you just configured.

  3. テスト ユーザーのグループについては、既に永続的な管理者である場合、それらを検索し、その行の 3 つのドットをクリックして永続的から有資格に変換することで、対象にすることができます。For the group of test users, if they are already a permanent administrator, you can make them eligible by searching for them and converting them from permanent to eligible by clicking the three dots on their row. まだロールの割り当てがない場合は、新たに資格のある割り当てを行うことができます。If they don’t have the role assignments yet, you can make a new eligible assignment.

  4. テストするすべてのロールについて、手順 1 から 3 を繰り返します。Repeat steps 1-3 for all the roles you want to test.

  5. テスト ユーザーを設定したら、Azure AD ロールをアクティブ化する方法に関するリンクをそれらのユーザーに送信する必要があります。Once you have set up the test users, you should send them the link for how to activate their Azure AD role.

Azure リソース ロール用に Privileged Identity Management を構成するConfigure Privileged Identity Management for Azure resource roles

  1. テストするサブスクリプションまたはリソース内のロール用に、Azure リソース ロールの設定を構成します。Configure the Azure resource role settings for a role inside a subscription or resource that you want to test.

  2. そのサブスクリプションの [Azure リソース] に移動し、 [ロール] をクリックして、先ほど構成したロールを選びます。Navigate to Azure resources for that subscription and click Roles, select the role you just configured.

  3. テスト ユーザーのグループについては、既にアクティブな管理者である場合、それらを検索して対象にし、そのロール割り当てを更新できます。For the group of test users, if they are already an active administrator, you can make them eligible by searching for them and update their role assignment. まだロールがない場合は、新しいロールを割り当てることができます。If they don’t have the role yet, you can assign a new role.

  4. テストするすべてのロールについて、手順 1 から 3 を繰り返します。Repeat steps 1-3 for all the roles you want to test.

  5. テスト ユーザーを設定したら、Azure リソース ロールをアクティブ化する方法に関するリンクをそれらのユーザーに送信する必要があります。Once you have set up the test users, you should send them the link for how to activate their Azure resource role.

このステージを使用して、ロールに対して設定した構成がすべて正しく機能するかどうかを確認する必要があります。You should use this stage to verify whether all the configuration you set up for the roles are working correctly. 次の表を使用して、テストを文書化します。Use the following table to document your tests. また、このステージを使用して、影響を受けるユーザーとの連絡を最適化する必要があります。You should also use this stage to optimize the communication with affected users.

RoleRole アクティブ化中に予期される動作Expected behavior during activation 実際の結果Actual results
グローバル管理者Global Administrator (1) MFA を要求する(1) Require MFA
(2) 承認を要求する(2) Require Approval
(3) 承認者が通知を受け取り、承認できる(3) Approver receives notification and can approve
(4) ロールの有効期限が事前に設定された時間後に切れる(4) Role expires after preset time
サブスクリプション X の所有者Owner of subscription X (1) MFA を要求する(1) Require MFA
(2) 資格のある割り当ての有効期限が構成された期間後に切れる(2) eligible assignment expires after configured time period

Privileged Identity Management について影響を受ける利害関係者に連絡するCommunicate Privileged Identity Management to affected stakeholders

Privileged Identity Management をデプロイすると、特権ロールのユーザー向けの手順が増えます。Deploying Privileged Identity Management will introduce additional steps for users of privileged roles. Privileged Identity Management によって特権 ID に関するセキュリティ問題が大幅に減りますが、テナント全体のデプロイの前に効率的に連絡するために変更が必要になります。Although Privileged Identity Management greatly reduces security issues associated with privileged identities, the change needs to be effectively communicated before the tenant-wide deployment. 影響を受ける管理者の数に応じて、組織では、多くの場合、変更に関する内部ドキュメント、ビデオ、あるいはメールを作成することを選択します。Depending on the number of impacted administrators, organizations often elect to create an internal document, a video, or an email about the change. これらの連絡内容には以下のものがよく含まれます。Frequently included in these communications include:

  • PIM とはWhat is PIM
  • 組織での利点What is the benefit for the organization
  • 影響を受ける人Who will be affected
  • PIM のロールアウトのタイミングWhen will PIM be rolled out
  • ユーザーがロールをアクティブ化するために必要な追加手順What additional steps will be required for users to activate their role
  • PIM に関する問題についての連絡先情報またはヘルプデスクのリンクContact information or helpdesk link for any issues associated with PIM

ヒント

✔️Microsoft のお勧め: ヘルプデスク/サポート チームとの時間を設定し、Privileged Identity Management ワークフローについて説明します (組織に内部 IT サポート チームがある場合)。Microsoft recommends you to set up time with your helpdesk/support team to walk them through the Privileged Identity Management workflow (if your organization has an internal IT support team). 適切なドキュメントと連絡先情報を提供します。Provide them with the appropriate documentations as well as your contact information.

運用環境に移行するMove to production

テストが正常に完了したら、Privileged Identity Management 構成で定義した各ロールのすべてのユーザーについて、テスト フェーズのすべての手順を繰り返し、Privileged Identity Management を運用環境に移行します。Once your testing is complete and successful, move Privileged Identity Management to production by repeating all the steps in the testing phases for all the users of each role you defined in your Privileged Identity Management configuration. Azure AD ロール用の Privileged Identity Management については、組織は、多くの場合、グローバル管理者用の Privileged Identity Management をテストし、ロールアウトしてから、その他のロール用の Privileged Identity Management をテストしてロールアウトします。For Privileged Identity Management for Azure AD roles, organizations often test and roll out Privileged Identity Management for Global Administrators before testing and rolling out Privileged Identity Management for other roles. 一方、Azure リソースでは、組織は通常、一度に 1 つの Azure サブスクリプションについて、Privileged Identity Management をテストしてロールアウトします。Meanwhile for Azure resource, organizations normally test and roll out Privileged Identity Management one Azure subscription at a time.

その場合、ロールバックが必要ですIn the case a rollback is needed

Privileged Identity Management が運用環境で必要に応じて機能しない場合、以下のロールバック手順が、Privileged Identity Management の設定の前の既知の正常な状態に戻すのに役立ちます。If Privileged Identity Management failed to work as desired in the production environment, the following rollback steps can assist you to revert back to a known good state before setting up Privileged Identity Management:

Azure AD ロールAzure AD roles

  1. Azure Portal にサインインします。Sign in to the Azure portal.
  2. [Azure AD Privileged Identity Management] を開きます。Open Azure AD Privileged Identity Management.
  3. [Azure AD ロール][ロール] の順にクリックします。Click Azure AD roles and then click Roles.
  4. 構成した各ロールについて、資格のある割り当てを持つすべてのユーザーに対する省略記号 ( ... ) をクリックします。For each role that you have configured, click the ellipsis (...) for all users with an eligible assignment.
  5. [永続化] オプションをクリックし、ロール割り当てを永続化します。Click the Make permanent option to make the role assignment permanent.

Azure リソース ロールAzure resource roles

  1. Azure Portal にサインインします。Sign in to the Azure portal.
  2. [Azure AD Privileged Identity Management] を開きます。Open Azure AD Privileged Identity Management.
  3. [Azure リソース] をクリックしてから、ロールバックするサブスクリプションまたはリソースをクリックします。Click Azure resources and then click a subscription or resource you want to roll back.
  4. [ロール] をクリックします。Click Roles.
  5. 構成した各ロールについて、資格のある割り当てを持つすべてのユーザーに対する省略記号 ( ... ) をクリックします。For each role that you have configured, click the ellipsis (...) for all users with an eligible assignment.
  6. [永続化] オプションをクリックし、ロール割り当てを永続化します。Click the Make permanent option to make the role assignment permanent.

デプロイ後の次の手順Next steps after deploying

組織の特権 ID のセキュリティ保護の観点から、Privileged Identity Management を運用環境に正常にデプロイすることは重要な一歩です。Successfully deploying Privileged Identity Management in production is a significant step forward in terms of securing your organization’s privileged identities. Privileged Identity Management をデプロイすることで、セキュリティとコンプライアンスで使用する必要がある追加の Privileged Identity Management 機能が提供されます。With the deployment of Privileged Identity Management comes additional Privileged Identity Management features that you should use for security and compliance.

Privileged Identity Management アラートを使用して特権アクセスを保護するUse Privileged Identity Management alerts to safeguard your privileged access

テナントの保護を強化するには、Privileged Identity Management の組み込みアラート機能を利用する必要があります。You should utilize Privileged Identity Management’s built-in alerting functionality to better safeguard your tenant. 詳細については、セキュリティ アラートに関するページを参照してください。For more information, see security alerts. これらのアラートには、管理者が特権ロールを使用していない、ロールが Privileged Identity Management 外で割り当てられている、ロールのアクティブ化の頻度が高すぎるなどがあります。These alerts include: administrators aren’t using privileged roles, roles are being assigned outside of Privileged Identity Management, roles are being activated too frequently and more. 組織を完全に保護するには、定期的にアラート リストを確認し、問題を修正する必要があります。To fully protect your organization, you should regularly go through your list of alerts and fix the issues. アラートは、次のようにして表示および修正できます。You can view and fix your alerts the following way:

  1. Azure Portal にサインインします。Sign in to the Azure portal.
  2. [Azure AD Privileged Identity Management] を開きます。Open Azure AD Privileged Identity Management.
  3. [Azure AD ロール][アラート] の順にクリックします。Click Azure AD roles and then click Alerts.

ヒント

✔️Microsoft のお勧め: 高重大度のマークが付けられたすべてのアラートを直ちに処理します。Microsoft recommends you deal with all alerts marked with high severity immediately. 中および低の重大度アラートについては、最新情報を把握し、セキュリティ脅威と思われる場合には変更を加える必要があります。For medium and low severity alerts, you should stay informed and make changes if you believe there is a security threat.

特定のアラートがいずれも役に立たない場合や、組織に該当しない場合は、アラート ページで常にアラートを無視できます。If any of the specific alerts aren’t useful or does not apply to your organization, you can always dismiss the alert on the alerts page. Azure AD の設定ページでは、この無視をいつでも元に戻すことができます。You can always revert this dismissal later in the Azure AD settings page.

組織の特権 ID を定期的に監査するように定期的なアクセス レビューを設定するSet up recurring access reviews to regularly audit your organization’s privileged identities

アクセス レビューは、特権ロールが割り当てられているユーザーまたは特定のレビュー担当者に、各ユーザーに特権 ID を必要かどうかをたずねる最適な方法です。Access reviews are the best way for you to ask users assigned with privileged roles or specific reviewers whether each user need the privileged identity. アクセス レビューは、攻撃対象領域を減らし、コンプライアンスを維持する必要がある場合に最適です。Access reviews are great if you want to reduce attack surface and stay compliant. アクセス レビューの開始の詳細については、Azure AD ロールのアクセス レビューAzure リソース ロールのアクセス レビューに関するページを参照してください。For more information about starting an access review, see Azure AD roles access reviews and Azure resource roles access reviews. 一部の組織では、法令に常に準拠するために定期的なアクセス レビューを行う必要がありますが、その他の組織では、組織全体で最小特権の原則を適用するためにアクセス レビューが最適です。For some organizations, performing periodic access review is required to stay compliant with laws and regulations while for others, access review is the best way to enforce the principal of least privilege throughout your organization.

ヒント

✔️Microsoft のお勧め: すべての Azure AD および Azure リソース ロールに対して、四半期ごとのアクセス レビューを設定します。Microsoft recommends you set up quarterly access reviews for all your Azure AD and Azure resource roles.

ほとんどの場合、Azure AD ロールのレビュー担当者自身はユーザーですが、Azure リソース ロールのレビュー担当者は、そのロールが属するサブスクリプションの所有者です。In most cases, the reviewer for Azure AD roles is the users themselves while the reviewer for Azure resource roles is the owner of the subscription, which the role is in. しかし、多くの場合、企業には特定の人物のメール アドレスにリンクされていない特権アカウントがあります。However, it is often the case where companies have privileged accounts that are not linked with any particular person’s email address. そのような場合、アクセスを読み取り、確認する人はいません。In those cases, no one reads and reviews the access.

ヒント

✔️Microsoft のお勧め: 定期的に確認されるメール アドレスにリンクされていない、特権ロールが割り当てられているすべてのアカウントに対してセカンダリ メール アドレスを追加しますMicrosoft recommends you add a secondary email address for all accounts with privileged role assignments that are not linked to a regularly checked email address

セキュリティとコンプライアンスを向上させるために監査ログを最大限に活用するGet the most out of your audit log to improve security and compliance

監査ログは、最新情報を把握し、規制に準拠できるようにするための場所です。The Audit log is the place where you can stay up-to-date and be compliant with regulations. Privileged Identity Management では、現在、監査ログ内に組織のすべての履歴の以下の 30 日分の履歴が格納されています。Privileged Identity Management currently stores a 30-day history of all your organization’s history inside its audit log including:

  • 資格のあるロールのアクティブ化/非アクティブ化Activation/deactivation of eligible roles
  • Privileged Identity Management の内外でのロールの割り当てアクティビティRole assignment activities inside and outside of Privileged Identity Management
  • ロール設定の変更Changes in role settings
  • 承認を設定したロール アクティブ化の要求/承認/拒否アクティビティRequest/approve/deny activities for role activation with approval setup
  • アラートの更新Update to alerts

グローバル管理者または特権ロール管理者である場合は、これらの監査ログにアクセスできます。You can access these audit logs if you are a Global Administrator or a privileged role administrator. 詳細については、Azure AD ロールの監査履歴Azure リソース ロールの監査履歴に関するページを参照してください。For more information, see audit history for Azure AD roles and audit history for Azure resource roles.

ヒント

✔️Microsoft のお勧め: 1 人以上の管理者が、毎週、すべての監査イベントに目を通し、毎月、監査イベントをエクスポートするようにします。Microsoft recommends you to have at least one administrator read through all audit events on a weekly basis and export your audit events on a monthly basis.

より長い期間、監査イベントを自動的に格納する必要がある場合、Privileged Identity Management の監査ログは、Azure AD 監査ログに自動的に同期されます。If you want to automatically store your audit events for a longer period of time, Privileged Identity Management’s audit log is automatically synced into the Azure AD audit logs.

ヒント

✔️Microsoft のお勧め: セキュリティとコンプライアンスのニーズに応じて、Azure ストレージ アカウントに監査イベントをアーカイブするように、Azure ログ監視を設定します。Microsoft recommends you to set up Azure log monitoring to archive audit events in an Azure storage account for the need of security and compliance.