Microsoft Entra Permissions Management 運用リファレンス

この運用ガイドでは、エンタープライズ環境で Microsoft Entra Permissions Management を運用するためのチェック、アクション、ベストプラクティスについて説明します。ガイダンスには、次の 3 つのフェーズがあります。

大規模に管理するフレームワークを実装する: アクセス許可を委任し、運用動作をガイドするプロセスを開発します。
アクセス許可のサイズを適切に設定し、最小権限の原則を自動化する: 重要な結果を修復し、オンデマンドのアクセス許可で Just-In-Time (JIT) アクセスを実装します。
Microsoft Entra Permissions Management の監視とアラートの構成: 定期的なレポートのスケジュール設定、アラートの構成、レスポンス戦略のプレイブックの開発を行います。

Note

このガイドの推奨事項は、発行日現在のものです。 Microsoft の製品とサービスは時間の経過と共に進化するため、継続的に ID プラクティスを評価することをお勧めします。一部の推奨事項は、すべてのお客様環境に適用できないものがあります。

開始基準

このガイドは、「Microsoft Entra Permissions Management のクイックスタートガイド」を完了していることを前提としています。

このガイドで使用されている用語を理解するには、次の用語集を使用してください。

任期	定義
認可システム	ID へのアクセスを許可するシステム。たとえば、Azure サブスクリプション、AWS アカウント、GCP プロジェクトなどです。
アクセス許可	リソースに対してアクションを実行する能力を持つ ID。
アクセス許可クリープインデックス (PCI)	ID とリソース全体で、未使用または過剰なアクセス許可の数を測定するための集計メトリック。これは、すべての ID について定期的に測定されます。 PCI の範囲は 0 から 100 です。スコアが高いほど、リスクが高くなります。
オンデマンドのアクセス許可	Microsoft Entra Permissions Management 機能で、ID が一定期間、または必要に応じてオンデマンドでアクセス許可を要求および付与することができます。

主要なタスクを計画して実装するには、利害関係者を割り当てることをお勧めします。次の表は、このガイドで引用されている利害関係者チームの概要を示しています。

利害関係者チーム	説明
Identity and Access Management (IAM)	IAM システムの日常業務の管理
クラウドインフラストラクチャ	Azure、AWS、GCP のアーキテクトと運用チーム
情報セキュリティアーキテクチャ	組織の情報セキュリティプラクティスを計画および設計する
情報セキュリティ運用	情報セキュリティアーキテクチャに関する情報セキュリティプラクティスを実行および監視する
インシデント対応	セキュリティインシデントを識別して解決する
セキュリティの保証と監査	IT プロセスがセキュリティで保護され、準拠していることを確認するのに役立ちます。定期的な監査を実施し、リスクを評価し、特定された脆弱性を緩和し、全体的なセキュリティ体制を強化するためのセキュリティ対策を推奨します。
対象となる認可システムの技術所有者	独自の個別の認可システム: Azure サブスクリプション、AWS アカウント、Microsoft Entra Permissions Management にオンボードされた GCP プロジェクト

本製品を運用する場合は、検出/修復/監視フローを使用することをお勧めします。次の例では、過剰にプロビジョニングされたアクティブユーザー (環境内の高リスクの過剰アクセス許可ユーザー) に対するプロアクティブフローの使用に注意してください。

検出: 環境の可視性を実現し、結果に優先順位を付けます。たとえば、オーバープロビジョニングされたアクティブユーザーの一覧には、Permissions Analytics Report を使用します。
修復: 検出結果に基づいて対処します。たとえば、Permissions Management 修復ツールを使用して、オーバープロビジョニングされたアクティブユーザーから 1 回のクリックで未使用のタスクを取り消し、過去のアクティビティに基づいて適切なサイズのロールを作成します。
監視: アラートを作成して、修正すべき検出結果がないか環境を継続的に監視します。たとえば、オーバープロビジョニングされたアクティブユーザーを通知するアクセス許可分析アラートを作成します。