Microsoft Entra ID の特権を持つロールとアクセス許可 (プレビュー)

  • [アーティクル]

重要

特権ロールとアクセス許可に関するラベルは、現在プレビュー段階です。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用される法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。

Microsoft Entra ID には、特権として識別されるロールとアクセス許可があります。 これらのロールとアクセス許可を使用し、ディレクトリ リソースの管理を他のユーザーに委任したり、資格情報ポリシー、認証ポリシー、認可ポリシーを変更したり、制限付きデータにアクセスしたりできます。 特権ロールの割り当ては、セキュリティで保護された意図した方法で使用しないと、特権の昇格につながる可能性があります。 この記事では、特権ロールとアクセス許可、および使用方法のベスト プラクティスについて説明します。

特権を持つロールとアクセス許可はどれですか?

特権を持つロールとアクセス許可の一覧については、「Microsoft Entra の組み込みロール」を参照してください。 Microsoft Entra 管理センター、Microsoft Graph PowerShell、または Microsoft Graph API を使用して、特権として識別されるロール、アクセス許可、ロールの割り当てを識別することもできます。

Microsoft Entra 管理センターで、 PRIVILEGED ラベルを探します。

特権ラベル アイコン。

[ロールと管理者] ページで、特権ロールが Privileged 列で識別されます。 割り当て 列には、ロールの割り当ての数が一覧表示されます。 特権ロールをフィルター処理することもできます。

[特権] と [割り当て] の列を示す Microsoft Entra のロールと管理者のページのスクリーンショット。

特権ロールのアクセス許可を表示すると、特権を持つアクセス許可を確認できます。 アクセス許可を既定のユーザーとして表示した場合、特権を持つアクセス許可を確認することはできません。

ロールの特権アクセス許可を示す Microsoft Entra のロールと管理者のページのスクリーンショット。

カスタム ロールを作成すると、どのアクセス許可が特権を持ち、カスタム ロールが特権としてラベル付けされているかを確認できます。

特権アクセス許可を持つカスタム ロールを示す [新しいカスタム ロール] ページのスクリーンショット。

特権ロールを使用するためのベスト プラクティス

特権ロールを使用するためのベスト プラクティスをいくつか次に示します。

  • 最小特権の原則を適用する
  • Privileged Identity Management を使用して Just-In-Time アクセスを許可する
  • すべての管理者アカウントに対して多要素認証を有効にする
  • 定期的なアクセス レビューを構成し、時間が経って不要になったアクセス許可を取り消す
  • 全体管理者の数を 5 人未満に制限する
  • 特権ロールの割り当ての数を 10 未満に制限する

詳細については、「Microsoft Entra のロールのベスト プラクティス」を参照してください。

特権アクセス許可と保護されたアクション

特権アクセス許可と保護されたアクションは、さまざまな目的を持つセキュリティ関連の機能です。 PRIVILEGED ラベルを持つアクセス許可は、セキュリティで保護された意図した方法で使用されていない場合に特権の昇格につながる可能性があるアクセス許可を特定するのに役立ちます。 保護されたアクションは、多要素認証の要求など、セキュリティを強化するために条件付きアクセス ポリシーが割り当てられているロールのアクセス許可です。 条件付きアクセスの要件は、ユーザーが保護されたアクションを実行するときに適用されます。 保護されたアクションは現在プレビュー段階です。 詳細については、「Microsoft Entra ID 内の保護されたアクションとは」を参照してください。

機能 特権アクセス許可 保護されたアクション
セキュリティで保護された方法で使用する必要があるアクセス許可を特定する
アクションを実行するために追加のセキュリティを要求する

用語

Microsoft Entra ID の特権を持つロールとアクセス許可を理解するために、次の用語のいくつかを把握しておくことが役立ちます。

任期 定義
action セキュリティ プリンシパルがオブジェクト型に対して実行できるアクティビティ。 操作と呼ばれることもあります。
permission セキュリティ プリンシパルがオブジェクト型に対して実行できるアクティビティを指定する定義。 アクセス許可には、1 つ以上のアクションが含まれます。
特権アクセス許可 Microsoft Entra ID で、ディレクトリ リソースの管理を他のユーザーに委任したり、資格情報、認証、または認可ポリシーを変更したり、制限付きデータにアクセスしたりする目的で使用できるアクセス許可。
特権ロール 1 つ以上の特権アクセス許可を持つ組み込みロールまたはカスタム ロール。
特権ロールの割り当て 特権ロールを使用するロールの割り当て。
権限の昇格 セキュリティ プリンシパルが、最初に別のロールを偽装することによって提供された割り当てロールよりも多くのアクセス許可を取得する場合。
保護されたアクション セキュリティを強化するために条件付きアクセスが適用されたアクセス許可。

ロールのアクセス許可を理解する方法

アクセス許可のスキーマは、Microsoft Graph の REST 形式にほぼ従っています。

<namespace>/<entity>/<propertySet>/<action>

次に例を示します。

microsoft.directory/applications/credentials/update

アクセス許可の要素 説明
namespace タスクが公開される、前に microsoft が付加された製品またはサービス。 たとえば、Microsoft Entra ID 内のすべてのタスクには、microsoft.directory 名前空間が使用されます。
エンティティ Microsoft Graph でサービスによって公開される論理機能またはコンポーネント。 たとえば、Microsoft Entra ID からはユーザーとグループ、OneNote からはメモ、Exchange からはメールボックスと予定表が公開されます。 名前空間内のすべてのエンティティを指定するための特別な allEntities キーワードがあります。 これは、製品全体へのアクセスを許可するロールでよく使用されます。
propertySet アクセスが許可されているエンティティの特定のプロパティまたは側面。 たとえば、microsoft.directory/applications/authentication/read は、Microsoft Entra ID でアプリケーション オブジェクトの応答 URL、ログアウト URL、および暗黙的なフロー プロパティを読み取る機能を付与します。
  • allProperties は、特権プロパティを含む、エンティティのすべてのプロパティを指定します。
  • standard は、一般的なプロパティを指定しますが、read アクションに関連する特権プロパティは除外されます。 たとえば、microsoft.directory/user/standard/read には、公開用の電話番号やメール アドレスなどの標準プロパティを読み取る機能は含まれますが、多要素認証に使用されるプライベートの二次的な電話番号やメール アドレスを読み取ることはできません。
  • basic は、一般的なプロパティを指定しますが、update アクションに関連する特権プロパティは除外されます。 読み取ることができるプロパティのセットは、更新できるものと異なる場合があります。 そのため、それを反映するために standardbasic のキーワードが用意されています。
action 許可される操作。最も一般的なものは、作成、読み取り、更新、または削除 (CRUD) です。 上記のすべての能力 (作成、読み取り、更新、削除) を指定するための特別な allTasks キーワードがあります。

認証ロールの比較

認証関連ロールの機能との比較を次の表に示します。

役割 ユーザーの認証方法を管理する ユーザーごとの MFA を管理する MFA 設定を管理する 認証方法ポリシーを管理する パスワード保護ポリシーを管理する 機密性の高いプロパティを更新する ユーザーを削除および復元する
認証管理者 一部のユーザーに対してはい 一部のユーザーに対してはい いいえ 番号 いいえ 一部のユーザーに対してはい 一部のユーザーに対してはい
特権認証管理者 すべてのユーザーに対してはい すべてのユーザーに対してはい いいえ 番号 No すべてのユーザーに対してはい すべてのユーザーに対してはい
認証ポリシー管理者 いいえ 番号 イエス イエス はい いいえ いいえ
ユーザー管理者 いいえ 番号 番号 番号 いいえ 一部のユーザーに対してはい 一部のユーザーに対してはい

パスワードをリセットできるロール

次の表の列には、パスワードをリセットして、更新トークンを無効にできるロールが一覧表示されています。 行には、パスワードをリセットできる対象のロールが一覧表示されています。 例えば、パスワード管理者は、ディレクトリ閲覧者、ゲスト招待元、パスワード管理者、管理者ロールのないユーザーのパスワードをリセットできます。 ユーザーに他のロールが割り当てられている場合、パスワード管理者はそれらのパスワードをリセットできません。

次の表は、テナントのスコープで割り当てられたロールを対象にしています。 管理単位のスコープで割り当てられたロールについては、さらに制限が適用されます

パスワードをリセットできる対象のロール パスワード管理者 ヘルプデスク管理者 認証管理者 [ユーザー管理者] 特権認証管理者 全体管理者
認証管理者      
ディレクトリ リーダー
グローバル管理者         ✅*
グループ管理者      
ゲスト招待元
ヘルプデスク管理者    
メッセージ センター閲覧者  
パスワード管理者
特権認証管理者        
特権ロール管理者        
レポート閲覧者  
User
(管理者ロールなし)
User
(管理者ロールはないが、ロールを割り当て可能なグループのメンバーまたは所有者)		        
制限付き管理の管理単位をスコープとするロールを持つユーザー        
ユーザー管理者      
使用状況の概要レポート閲覧者  
すべてのカスタム ロール

重要

パートナー レベル 2 のサポート ロールでは、すべての非管理者および管理者 (全体管理者を含む) のパスワードをリセットし、更新トークンを無効にすることができます。 パートナー レベル 1 のサポート ロールでは、非管理者のみに対してパスワードをリセットし、更新トークンを無効にすることができます。 これらのロールは非推奨であるため、使用しないでください。

パスワードのリセット機能には、セルフサービスのパスワード リセットに必要な次の機密プロパティを更新する機能が含まれています。

  • businessPhones
  • MobilePhone
  • otherMails

機密性の高いアクションを実行できるロール

一部の管理者は、一部のユーザーに対して次の機密性の高いアクションを実行できます。 すべてのユーザーは、機密性の高いプロパティを読み取ることができます。

機密性の高いアクション 機密性の高いプロパティ名
ユーザーの無効化または有効化 accountEnabled
勤務先の電話番号の更新 businessPhones
携帯電話番号の更新 mobilePhone
オンプレミスの不変 ID の更新 onPremisesImmutableId
その他のメールアドレスの更新 otherMails
パスワード プロファイルの更新 passwordProfile
ユーザー プリンシパル名の更新 userPrincipalName
ユーザーの削除または復元 該当なし

次の表の列には、機密性の高いアクションを実行できるロールが一覧表示されています。 行には、機密性の高いアクションを実行できる対象のロールが一覧表示されています。

次の表は、テナントのスコープで割り当てられたロールを対象にしています。 管理単位のスコープで割り当てられたロールについては、さらに制限が適用されます

機密性の高いアクションを実行できる対象のロール 認証管理者 [ユーザー管理者] 特権認証管理者 全体管理者
認証管理者  
ディレクトリ リーダー
グローバル管理者    
グループ管理者  
ゲスト招待元
ヘルプデスク管理者  
メッセージ センター閲覧者
パスワード管理者
特権認証管理者    
特権ロール管理者    
レポート閲覧者
User
(管理者ロールなし)
User
(管理者ロールはないが、ロールを割り当て可能なグループのメンバーまたは所有者)		    
制限付き管理の管理単位をスコープとするロールを持つユーザー    
ユーザー管理者  
使用状況の概要レポート閲覧者
すべてのカスタム ロール

次のステップ