Azure AD で緊急アクセス用管アカウントを管理するManage emergency access accounts in Azure AD

管理者として別のユーザーのアカウントへのサインインやアクティブ化ができなくなるので、Azure Active Directory (Azure AD) 組織から誤ってロックアウトされないようにすることが重要です。It is important that you prevent being accidentally locked out of your Azure Active Directory (Azure AD) organization because you can't sign in or activate another user's account as an administrator. 複数の "緊急アクセス用アカウント" を組織に作成することにより、誤って管理アクセスが不可能になることによる影響を軽減できます。You can mitigate the impact of accidental lack of administrative access by creating two or more emergency access accounts in your organization.

緊急アクセス用アカウントは高い特権を持っており、特定のユーザーには割り当てられません。Emergency access accounts are highly privileged, and they are not assigned to specific individuals. 緊急アクセス用アカウントは、通常の管理者アカウントを使うことができない "緊急事態" に制限されます。Emergency access accounts are limited to emergency or "break glass"' scenarios where normal administrative accounts can't be used. 緊急用アカウントはどうしても必要なときにだけ使うという制限を守ることをお勧めします。We recommend that you maintain a goal of restricting emergency account use to only the times when it is absolutely necessary.

この記事では、Azure AD で緊急アクセス用アカウントを管理するためのガイドラインを提供します。This article provides guidelines for managing emergency access accounts in Azure AD.

緊急アクセス用アカウントを使用する理由Why use an emergency access account

次のような場合に緊急アクセス用アカウントの使用が必要になることがあります。An organization might need to use an emergency access account in the following situations:

  • ユーザー アカウントがフェデレーションされており、携帯ネットワークの途絶または ID プロバイダーの停止のためにフェデレーションを現在使用できない場合。The user accounts are federated, and federation is currently unavailable because of a cell-network break or an identity-provider outage. たとえば、環境内の ID プロバイダー ホストがダウンしている場合、Azure AD が ID プロバイダーにリダイレクトしたときにユーザーはサインインできない可能性があります。For example, if the identity provider host in your environment has gone down, users might be unable to sign in when Azure AD redirects to their identity provider.
  • 管理者が Azure Multi-Factor Authentication によって登録されていて、すべての個別デバイスを利用できないか、サービスを利用できない場合。The administrators are registered through Azure Multi-Factor Authentication, and all their individual devices are unavailable or the service is unavailable. ユーザーは、ロールをアクティブ化する Multi-Factor Authentication を完了できない可能性があります。Users might be unable to complete Multi-Factor Authentication to activate a role. たとえば、携帯ネットワークが停止すると、ユーザーがデバイスに対して登録したただ 2 つの認証メカニズムである、電話呼び出しへの応答も、テキスト メッセージの受信も、できなくなります。For example, a cell network outage is preventing them from answering phone calls or receiving text messages, the only two authentication mechanisms that they registered for their device.
  • 最後にグローバル管理者アクセス権を持っていたユーザーが組織からいなくなった場合。The person with the most recent Global Administrator access has left the organization. Azure AD では最後のグローバル管理者アカウントを削除できないようになっていますが、オンプレミスでアカウントが削除または無効化されるのを防ぐことはできません。Azure AD prevents the last Global Administrator account from being deleted, but it does not prevent the account from being deleted or disabled on-premises. いずれの場合も、アカウントを復旧できなくなる可能性があります。Either situation might make the organization unable to recover the account.
  • 自然災害などの予期しない状況が発生した場合。携帯電話や他のネットワークが利用できなくなる可能性があります。Unforeseen circumstances such as a natural disaster emergency, during which a mobile phone or other networks might be unavailable.

緊急アクセス用アカウントを作成するCreate emergency access accounts

複数の緊急アクセス用アカウントを作成します。Create two or more emergency access accounts. これらのアカウントは、*.onmicrosoft.com ドメインを使い、オンプレミス環境からフェデレーションまたは同期されていないクラウド専用のアカウントである必要があります。These accounts should be cloud-only accounts that use the *.onmicrosoft.com domain and that are not federated or synchronized from an on-premises environment.

これらのアカウントを構成するときに、次の要件が満たされている必要があります。When configuring these accounts, the following requirements must be met:

  • 緊急アクセス用アカウントを組織内の個別ユーザーと関連付けることはできません。The emergency access accounts should not be associated with any individual user in the organization. アカウントが、従業員が所有する携帯電話、従業員が出張で持ち歩くハードウェア トークン、またはその他の従業員固有の資格情報と結び付けられていないことを確認します。Make sure that your accounts are not connected with any employee-supplied mobile phones, hardware tokens that travel with individual employees, or other employee-specific credentials. この予防策には、資格情報が必要なときに従業員がそれを入手できないような状況が該当します。This precaution covers instances where an individual employee is unreachable when the credential is needed. Azure AD との複数の通信手段がある既知の安全な場所に、登録済みのデバイスを保管しておくことが重要です。It is important to ensure that any registered devices are kept in a known, secure location that has multiple means of communicating with Azure AD.
  • 緊急アクセス用アカウントを使用する認証メカニズムは、他の緊急アクセス用アカウントを含むその他の管理アカウントで使用する認証メカニズムと別のものにする必要があります。The authentication mechanism used for an emergency access account should be distinct from that used by your other administrative accounts, including other emergency access accounts. たとえば、通常の管理者のサインインがオンプレミスの MFA を使用する場合、Azure MFA が別のメカニズムになります。For example, if your normal administrator sign-in is via on-premises MFA, then Azure MFA would be a different mechanism. ただし、Azure MFA が管理者アカウントの認証の主要な部分である場合は、これらには、サードパーティの MFA プロバイダーによる条件付きアクセスの使用などの別のアプローチを検討してください。However if Azure MFA is your primary part of authentication for your administrative accounts, then consider a different approach for these, such as using Conditional Access with a third-party MFA provider.
  • デバイスまたは資格情報は、有効期限が切れておらず、使用不足による自動クリーンアップの対象になっていないことが必要です。The device or credential must not expire or be in scope of automated cleanup due to lack of use.
  • グローバル管理者ロールの割り当てを、緊急アクセス用アカウントに対して永続的にする必要があります。You should make the Global Administrator role assignment permanent for your emergency access accounts.

少なくとも 1 つのアカウントを電話ベースの多要素認証から除外するExclude at least one account from phone-based multi-factor authentication

侵害されたパスワードによる攻撃のリスクを減らすため、すべての個別ユーザーに対して多要素認証を使うことをお勧めします。To reduce the risk of an attack resulting from a compromised password, Azure AD recommends that you require multi-factor authentication for all individual users. このグループには、管理者と、アカウントが侵害されると重大な影響のある他のすべてのユーザー (たとえば財務責任者) が含まれます。This group includes administrators and all others (for example, financial officers) whose compromised account would have a significant impact.

ただし、少なくとも 1 つの緊急アクセス用アカウントには、緊急性のない他のアカウントと同じ多要素認証メカニズムを使用しないでください。However, at least one of your emergency access accounts should not have the same multi-factor authentication mechanism as your other non-emergency accounts. これにはサード パーティの多要素認証ソリューションも含まれます。This includes third-party multi-factor authentication solutions. Azure AD および他の接続されているサービスとしてのソフトウェア (SaaS) アプリのすべての管理者に対して多要素認証を要求する条件付きアクセス ポリシーがある場合は、緊急アクセス用アカウントをこの要件から除外し、代わりに別のメカニズムを構成してください。If you have a Conditional Access policy to require multi-factor authentication for every administrator for Azure AD and other connected software as a service (SaaS) apps, you should exclude emergency access accounts from this requirement, and configure a different mechanism instead. さらに、アカウントに、ユーザーごとの多要素認証ポリシーがアカウントにないことを確認してください。Additionally, you should make sure the accounts do not have a per-user multi-factor authentication policy.

少なくとも 1 つのアカウントを条件付きアクセス ポリシーから除外するExclude at least one account from Conditional Access policies

緊急時には、問題を修正するためにアクセスをブロックする可能性のあるポリシーは望ましくありません。During an emergency, you do not want a policy to potentially block your access to fix an issue. 少なくとも 1 つの緊急アクセス用アカウントを、すべての条件付きアクセス ポリシーから除外してください。At least one emergency access account should be excluded from all Conditional Access policies. ベースライン ポリシーを有効にしている場合、緊急アクセス用アカウントを除外する必要があります。If you have enabled a baseline policy, you should exclude your emergency access accounts.

フェデレーション ガイドFederation guidance

AD Domain Services および ADFS または同様の ID プロバイダーを使用している組織が Azure AD にフェデレーションするために、その ID プロバイダーが MFA 要求を提供できる緊急アクセス用アカウントを構成するオプションが追加されています。An additional option for organizations that use AD Domain Services and ADFS or similar identity provider to federate to Azure AD, is to configure an emergency access account whose MFA claim could be supplied by that identity provider. たとえば、緊急アクセス用アカウントは、スマートカードなどに格納された証明書とキーのペアでバックアップできます。For example, the emergency access account could be backed by a certificate and key pair such as one stored on a smartcard. そのユーザーが AD に対して認証されると、ADFS は Azure AD に要求を提供し、ユーザーが MFA 要件を満たしていることを示すことができます。When that user is authenticated to AD, ADFS can supply a claim to Azure AD indicating that the user has met MFA requirements. このアプローチを使ったときでも、フェデレーションを確立できない場合に備えて、組織には引き続きクラウドベースの緊急アクセス用アカウントが必要になります。Even with this approach, organizations must still have cloud-based emergency access accounts in case federation cannot be established.

アカウントの資格情報を安全に保管するStore account credentials safely

緊急アクセス用アカウントの資格情報は安全に保管し、それらを使うことを許可されたユーザーのみに知らせる必要があります。Organizations need to ensure that the credentials for emergency access accounts are kept secure and known only to individuals who are authorized to use them. スマートカードを使用するお客様も、パスワードを使用するお客様もいます。Some customers use a smartcard and others use passwords. 緊急アクセス用アカウントのパスワードは、通常、2 または 3 つの部分に分けて、異なる紙に書き記し、個別に安全な耐火性の場所に保管します。A password for an emergency access account is usually separated into two or three parts, written on separate pieces of paper, and stored in secure, fireproof safes that are in secure, separate locations.

パスワードを使用する場合は、期限切れになっていない強力なパスワードをアカウントで使用していることを確認してください。If using passwords, make sure the accounts have strong passwords that do not expire the password. 理想的には、パスワードは、少なくとも 16 文字の長さでランダムに生成する必要があります。Ideally, the passwords should be at least 16 characters long and randomly generated.

サインイン ログと監査ログを監視するMonitor sign-in and audit logs

組織では、緊急用アカウントからのサインインと監査のログ アクティビティを監視し、他の管理者に通知をトリガーする必要があります。Organizations should monitor sign-in and audit log activity from the emergency accounts and trigger notifications to other administrators. 緊急用アカウントでのアクティビティを監視すると、これらのアカウントがテストまたは実際の緊急時にのみ使用されていることを確認できます。When you monitor the activity on break glass accounts, you can verify these accounts are only used for testing or actual emergencies. Azure Log Analytics を使用すると、サインイン ログを監視し、緊急用アカウントへのサインインが発生したら常に、管理者に対するメールと SMS のアラートをトリガーすることができます。You can use Azure Log Analytics to monitor the sign-in logs and trigger email and SMS alerts to your admins whenever break glass accounts sign in.

前提条件Prerequisites

  1. Azure Monitor に Azure AD サインイン ログを送信しますSend Azure AD sign-in logs to Azure Monitor.

緊急用アカウントのオブジェクト ID を取得するObtain Object IDs of the break glass accounts

  1. ユーザー管理者ロールに割り当てられているアカウントを使用して、Azure portal にサインインします。Sign in to the Azure portal with an account assigned to the User administrator role.
  2. [Azure Active Directory] > [ユーザー] を選択します。Select Azure Active Directory > Users.
  3. 緊急用アカウントを探し、そのユーザーの名前を選択します。Search for the break-glass account and select the user’s name.
  4. 後で使用できるように、オブジェクト ID 属性をコピーして保存します。Copy and save the Object ID attribute so that you can use it later.
  5. 2 番目の緊急用アカウントに対して以上の手順を繰り返します。Repeat previous steps for second break-glass account.

アラート ルールを作成するCreate an alert rule

  1. Azure Monitor で監視共同作成者ロールに割り当てられているアカウントを使用して、Azure portal にサインインします。Sign in to the Azure portal with an account assigned to the Monitoring Contributor role in Azure Monitor.
  2. [すべてのサービス] を選択し、[検索] に「log analytics」と入力して、 [Log Analytics ワークスペース] を選択します。Select All services", enter "log analytics" in Search and then select Log Analytics workspaces.
  3. ワークスペースを選択します。Select a workspace.
  4. ワークスペースで、 [アラート] > [新しいアラート ルール] を選択します。In your workspace, select Alerts > New alert rule.
    1. [リソース] で、サブスクリプションがアラート ルールを関連付けようとしているものであることを確認します。Under Resource, verify that the subscription is the one with which you want to associate the alert rule.

    2. [条件] で、 [追加] を選択します。Under Condition, select Add.

    3. [シグナル名][Custom log search](カスタム ログ検索) を選択します。Select Custom log search under Signal name.

    4. [検索クエリ] に次のクエリを入力し、2 つの緊急用アカウントのオブジェクト ID を挿入します。Under Search query, enter the following query, inserting the object IDs of the two break glass accounts.

      注意

      追加する緊急用アカウントごとに、別の "or UserId == "<オブジェクト GUID>"" をクエリに追加します。For each additional break glass account you want to include, add another "or UserId == "ObjectGuid"" to the query.

      緊急用アカウントのオブジェクト ID をアラート ルールに追加する

    5. [アラート ロジック] に、次のように入力します。Under Alert logic, enter the following:

      • ベース: 結果の数Based on: Number of results
      • 演算子:より大きいOperator: Greater than
      • しきい値: 0Threshold value: 0
    6. [評価基準] で、クエリの実行時間として [期間 (分単位)] を選択し、クエリを実行する頻度として [頻度 (分単位)] を選択します。Under Evaluated based on, select the Period (in minutes) for how long you want the query to run, and the Frequency (in minutes) for how often you want the query to run. 頻度は期間以下でなければなりません。The frequency should be less than or equal to the period.

      アラート ロジック

    7. [完了] を選択します。Select Done. これで、このアラートの月額推定コストが表示されるようになります。You may now view the estimated monthly cost of this alert.

  5. アラートによって通知されるユーザーのアクション グループを選択します。Select an action group of users to be notified by the alert. 作成する場合は、「アクション グループを作成する」を参照してください。If you want to create one, see Create an action group.
  6. アクション グループのメンバーに送信されるメール通知をカスタマイズするには、 [アクションをカスタマイズする] でアクションを選択します。To customize the email notification sent to the members of the action group, select actions under Customize Actions.
  7. [アラートの詳細] で、アラート ルールの名前を指定し、必要に応じて説明を追加します。Under Alert Details, specify the alert rule name and add an optional description.
  8. イベントの [重大度レベル] を選択します。Set the Severity level of the event. [重大 (重大度 0)] に設定することをお勧めします。We recommend that you set it to Critical(Sev 0).
  9. [ルールの作成時に有効にする] は、 [はい] のままにします。Under Enable rule upon creation, leave it set as yes.
  10. しばらくアラートをオフにするには、 [アラートを表示しない] チェック ボックスをオンにし、アラートが再び通知されるようになるまでの待機時間を入力して、 [保存] を選択します。To turn off alerts for a while, select the Suppress Alerts check box and enter the wait duration before alerting again, and then select Save.
  11. [アラート ルールの作成] をクリックします。Click Create alert rule.

アクション グループを作成するCreate an action group

  1. [アクション グループの作成] を選択します。Select Create an action group.

    通知アクションのアクション グループを作成する

  2. アクション グループの名前と短い名前を入力します。Enter the action group name and a short name.

  3. サブスクリプションとリソース グループを確認します。Verify the subscription and resource group.

  4. アクションの種類で、 [Email/SMS/Push/Voice](電子メール/SMS/プッシュ/音声) を選択します。Under action type, select Email/SMS/Push/Voice.

  5. グローバル管理者に通知する」などのアクション名を入力します。Enter an action name such as Notify global admin.

  6. [アクションの種類] として [Email/SMS/Push/Voice](電子メール/SMS/プッシュ/音声) を選択します。Select the Action Type as Email/SMS/Push/Voice.

  7. [詳細の編集] を選択し、構成する通知方法を選択して必要な連絡先情報を入力した後、 [OK] を選択して詳細を保存します。Select Edit details to select the notification methods you want to configure and enter the required contact information, and then select Ok to save the details.

  8. トリガーするその他のアクションを追加します。Add any additional actions you want to trigger.

  9. [OK] を選択します。Select OK.

アカウントを定期的に検証するValidate accounts regularly

緊急アクセス用アカウントの使用と緊急アクセス用アカウントの検証についてスタッフ メンバーをトレーニングするときは、定期的に少なくとも次の手順を行います。When you train staff members to use emergency access accounts and validate the emergency access accounts, at minimum do the following steps at regular intervals:

  • アカウントチェック アクティビティが行われていることをセキュリティ監視スタッフが認識していることを確認します。Ensure that security-monitoring staff are aware that the account-check activity is ongoing.
  • これらのアカウントを使用する緊急時対処プロセスが文書化され、最新のものになっていることを確認します。Ensure that the emergency break glass process to use these accounts is documented and current.
  • 緊急時にこれらの手順を行う必要がある可能性のある管理者およびセキュリティ担当者が、プロセスについてトレーニングされていることを確認します。Ensure that administrators and security officers who might need to perform these steps during an emergency are trained on the process.
  • 緊急アクセス用アカウントのアカウント資格情報 (特にパスワード) を更新し、緊急アクセス用アカウントでサインインし管理タスクを実行できることを検証します。Update the account credentials, in particular any passwords, for your emergency access accounts, and then validate that the emergency access accounts can sign-in and perform administrative tasks.
  • ユーザーが、ユーザーの個人デバイスや個人情報に Microsoft Azure Multi-Factor Authentication またはセルフサービスのパスワード リセット (SSPR) を登録していないことを確認します。Ensure that users have not registered Multi-Factor Authentication or self-service password reset (SSPR) to any individual user’s device or personal details.
  • デバイスに対する Microsoft Azure Multi-Factor Authentication にアカウントが登録されている場合、サインインまたはロールのアクティブ化で使うには、緊急時にデバイスを使う必要があるすべての管理者がデバイスにアクセスできることを確認します。If the accounts are registered for Multi-Factor Authentication to a device, for use during sign-in or role activation, ensure that the device is accessible to all administrators who might need to use it during an emergency. また、同じ障害モードを共有していない少なくとも 2 つのネットワーク パスを通じてデバイスが通信できることも確認します。Also verify that the device can communicate through at least two network paths that do not share a common failure mode. たとえば、デバイスが施設のワイヤレス ネットワークと携帯電話会社ネットワークの両方を介してインターネットに通信できるようにします。For example, the device can communicate to the internet through both a facility's wireless network and a cell provider network.

これらの手順は、以下のように定期的およびキーの変更ごとに実行する必要があります。These steps should be performed at regular intervals and for key changes:

  • 少なくとも 90 日ごとAt least every 90 days
  • 異動、退職、新規採用など、最近 IT スタッフの変更があったときWhen there has been a recent change in IT staff, such as a job change, a departure, or a new hire
  • 組織の Azure AD サブスクリプションが変更されたときWhen the Azure AD subscriptions in the organization have changed

次の手順Next steps