Microsoft 管理アカウントの種類を認識する
Microsoft では、ゼロ常駐アクセス (ZSA) の原則に基づき、特権のあるアカウントに関連付けられているリスクが軽減されます。 これにより管理者は、永続的な特権が与えられていないユーザー アカウントでサービスを実行できます。 Just-In-Time (JIT) と Just-Enough-Access (JEA) を組み合わせて使用することで、ZSA は顧客データを保護するための堅牢なフレームワークを提供します。
Microsoft 365 は、組織のミッションおよびビジネス機能をサポートするアカウントの3つのカテゴリを特定しました。これには、サービス チーム アカウント、サービス アカウント、顧客アカウントがあります。 これらのカテゴリのサービス チームのアカウントとサービス アカウントは、Microsoft によって管理され、製品とサービスを運用およびサポートすることができます。 3 番目のカテゴリの顧客アカウントは顧客によって管理され、お客様の内部のアクセス制御要件を満たす柔軟性を提供します。
Microsoft 管理アカウント
Microsoft は、サービス チーム アカウントとサービス アカウントの2種類のアカウントを直接管理します。
サービス チーム アカウント は、主要な Microsoft 365 サービスの開発、保守、修復を行う個々の Microsoft の担当者が使用します。 アクセス権は、役割ベースのアクセス制御 (RBAC) を使用してサービス チームのアカウントに付与されます。 RBAC は、職務の分離を強制的に実行し、認定された承認者が承認した特定のアクティビティを実行するために必要な最低限のアクセスのみをチーム メンバーに与えます。
サービス アカウント も Microsoft によって管理されていますが、個々の Microsoft 担当者には割り当てられません。 代わりにサービス アカウントは、Microsoft 365 サービスによって、Microsoft クラウド環境内のサーバーやその他サービスの認証に使用されます。 これらのアカウントは、Microsoft の担当者がアクセスすることはできず、Microsoft の製品とサービスを操作するために、自動プロセスでのみ使用されます。
顧客管理のアカウント
クラウド環境では、お客様とクラウド サービス プロバイダーが、コンプライアンス準拠とセキュリティ保護を実現するコンピューティング環境に対する責任を共有することが大切です。 Microsoft では、責任共有モデルを使うことで、Microsoft 365 のセキュリティ上および運用上の責任範囲を定義しています。 Microsoft 365 は、基盤となるクラウド インフラストラクチャとサービスをセキュリティで保護していますが、ユーザーも、ユーザーとデータのためのセキュリティで保護されたテナント環境を確保する責任を認識している必要があります。 特権アクセス管理については、お客様は Microsoft 365 テナント内の顧客アカウントの提供および管理を担当します。
顧客アカウントを使用して、Microsoft 365 テナント内でアクセス制御を管理します。 顧客アカウントを使用すると、ユーザーが定義したユーザーは Microsoft 365 サービスにアクセスできます。 これらのアカウントは、顧客がMicrosoft Entra IDでプロビジョニングすることも、オンプレミスの Active Directory (AD) とフェデレーションすることもできます。 顧客管理のアカウントは、お客様の組織のユーザー向けのアクセス制御の要件を満たす柔軟性を持っています。 顧客アカウントではお客様のテナント以外のデータにはアクセスできません。
Microsoft がサービス チーム アカウントを管理して、Microsoft 365 のサービスと顧客データを保護している方法について説明します。