Share via

Permissions Management (CIEM) を有効にする

  • [アーティクル]

Microsoft Defender for Cloud の Microsoft Entra Permissions Management (Permissions Management) との統合では、組織がクラウド インフラストラクチャ内のユーザー アクセスとエンタイトルメントを管理および制御するのに役立つクラウド インフラストラクチャ エンタイトルメント管理 (CIEM) セキュリティ モデルが提供されます。 CIEM は、クラウド ネイティブ アプリケーション保護プラットフォーム (CNAPP) ソリューションの重要なコンポーネントであり、誰または何が特定のリソースにアクセスできるかを可視化します。 これにより、アクセス権が最小特権の原則 (PoLP) に従うことが保証され、ユーザーまたはワークロード ID (アプリやサービスなど) は、タスクの実行に必要な最小限のアクセス レベルのみを受け取ります。 また、CIEM は、組織が Azure、AWS、GCP を含む複数のクラウド環境でアクセス許可の監視と管理を行うのにも役立ちます。

開始する前に

Azure に対して Permissions Management (CIEM) を有効にする

Azure アカウントで Defender CSPM プランを有効にすると、Azure CSPMStandard がサブスクリプションに自動的に割り当てられます。 Azure CSPM Standard では、クラウド インフラストラクチャ エンタイトルメント管理 (CIEM) の推奨事項が提供されます。

Permissions Management (CIEM) を無効にすると、Azure CSPM Standard 内での CIEM の推奨事項は計算されなくなります。

  1. Azure portal にサインインします。

  2. Microsoft Defender for Cloud」を検索して選択します。

  3. [環境設定] に移動します。

  4. 関連するサブスクリプションを選びます。

  5. Defender CSPM プランを見つけて、[設定] を選びます。

  6. Permissions Management (CIEM) を有効にします。

    Permissions Management のトグルがある場所を示すスクリーンショット。

  7. 続行を選択します。

  8. [保存] を選択します。

数時間以内に、適用される Permissions Management (CIEM) の推奨事項がサブスクリプションに表示されます。

Azure 推奨事項の一覧:

  • Azure のオーバープロビジョニングされた ID には、必要なアクセス許可のみを割り当てる必要があります

  • Azure 環境内の未使用 ID を取り消しまたは削除する必要があります

  • Azure 環境内のスーパー ID を取り消しまたは削除する必要があります

AWS に対して Permissions Management (CIEM) を有効にする

AWS アカウントで Defender CSPM プランを有効にすると、AWS CSPMStandard がサブスクリプションに自動的に割り当てられます。 AWS CSPM Standard では、クラウド インフラストラクチャ エンタイトルメント管理 (CIEM) の推奨事項が提供されます。 Permissions Management を無効にすると、AWS CSPM Standard 内での CIEM の推奨事項は計算されなくなります。

  1. Azure portal にサインインします。

  2. Microsoft Defender for Cloud」を検索して選択します。

  3. [環境設定] に移動します。

  4. 関連する AWS アカウントを選びます。

  5. Defender CSPM プランを見つけて、[設定] を選びます。

    AWS アカウントと有効にされた Defender CSPM プラン、および設定ボタンの場所を示すスクリーンショット。

  6. Permissions Management (CIEM) を有効にします。

  7. [アクセスの構成] を選択します。

  8. 関連するアクセス許可の種類を選びます。

  9. デプロイメント方法を選びます。

  10. 画面の指示に従い、更新されたスクリプトを AWS 環境で実行します。

  11. [AWS 環境で CloudFormation テンプレートが更新されました (スタック)] チェックボックスをオンにします。

    チェックボックスが画面のどこにあるかを示すスクリーンショット。

  12. [確認と生成] を選択します。

  13. [更新] を選択します。

数時間以内に、適用される Permissions Management (CIEM) の推奨事項がサブスクリプションに表示されます。

AWS 推奨事項の一覧:

  • AWS のオーバープロビジョニングされた ID には、必要なアクセス許可のみを割り当てる必要があります

  • Azure 環境内の未使用 ID を取り消しまたは削除する必要があります

GCP に対して Permissions Management (CIEM) を有効にする

GCP プロジェクトで Defender CSPM プランを有効にすると、GCP CSPMStandard がサブスクリプションに自動的に割り当てられます。 GCP CSPM Standard では、クラウド インフラストラクチャ エンタイトルメント管理 (CIEM) の推奨事項が提供されます。

Permissions Management (CIEM) を無効にすると、GCP CSPM Standard 内での CIEM の推奨事項は計算されなくなります。

  1. Azure portal にサインインします。

  2. Microsoft Defender for Cloud」を検索して選択します。

  3. [環境設定] に移動します。

  4. 関連する GCP プロジェクトを選びます。

  5. Defender CSPM プランを見つけて、[設定] を選びます。

    GCP プロジェクトの Defender CSPM プランの設定を選ぶ場所を示すスクリーンショット。

  6. Permissions Management (CIEM)[オン] に切り替えます。

  7. [保存] を選択します。

  8. [次: アクセスの構成] を選択します。

  9. 関連するアクセス許可の種類を選びます。

  10. デプロイメント方法を選びます。

  11. 画面の指示に従い、Cloud Shell または Terraform の更新されたスクリプトを GCP 環境で実行します。

  12. [変更を有効にするために展開テンプレートを実行しました] チェックボックスをオンにします。

    オンにする必要があるチェックボックスを示すスクリーンショット。

  13. [確認と生成] を選択します。

  14. [更新] を選択します。

数時間以内に、適用される Permissions Management (CIEM) の推奨事項がサブスクリプションに表示されます。

GCP 推奨事項の一覧:

  • GCP のオーバープロビジョニングされた ID には、必要なアクセス許可のみを割り当てる必要があります

  • GCP 環境内の未使用 ID を取り消しまたは削除する必要があります

  • GCP 環境内のスーパー ID を取り消しまたは削除する必要があります

次のステップ

Microsoft Entra 権限管理の詳細情報。