Microsoft 365 でのアクセス制御に使用するツールとテクノロジの詳細
Microsoft 365 は、さまざまなツールとテクノロジーを使用して、サービス チーム アカウントを安全に維持します。 このユニットでは、これらのツールのいくつかを確認して、Microsoft がゼロ常駐アクセス (ZSA) を実施する方法を説明するための基盤を構築します。
ID 管理ツール (IDM)
Microsoft 365 は、ID 管理ツール (IDM) と呼ばれるアカウント管理システムを使用して、ライフサイクルを通じてサービス チーム アカウントを追跡します。 IDM は、最初のアカウント要求から、資格の確認、承認、作成、変更、およびアカウントが不要になったときの無効化まで、すべてのサービス チーム アカウントの状態を自動的に追跡します。
新しいサービス チーム アカウントを作成する前に、IDM はすべての資格要件が満たされていることを確認します。 これらの要件には、個人スクリーニング、セキュリティおよびプライバシー トレーニング、適切なマネージャーの承認が含まれます。 また、IDM は、アカウントの変更が要求されるたびにマネージャーに承認を通知します。 従業員が異動した場合、解雇された場合、または必要なトレーニングを完了できなかった場合、IDM はサービス チーム アカウントへのアクセスを自動的に取り消し、マネージャーに通知します。
自動化は、大規模なセキュリティを提供する方法の中心です。 アカウント管理の大部分は IDM によって自動化されています。 IDM は、非アクティブ状態が 90 日を超えた場合、サービス チーム アカウントを自動的に無効にします。 さらに、ログイン試行失敗のしきい値を超えた場合、サービス チーム アカウントは自動的にロックされます。 サービス チーム アカウントは、ライフサイクルを通じて自動的に監査されます。 手動アクセス レビューは例外です。 それらが発生した場合、Microsoft 365 サービス チームは少なくとも四半期ごとに実行します。
役割ベースのアクセス制御 (RBAC)
Microsoft 365 サービス チームは、Active Directory (AD) とMicrosoft Entra IDによって適用される Role-Based Access Control (RBAC) を使用します。 サービス チームの担当者は、管理者の承認に従って、必要な役割へのアクセスを要求します。 承認された場合、システムをサポートするための役割に対応するセキュリティ グループに配置されます。
サービス チーム アカウントのアクセスは、最小限の特権の原則に従って管理されます。 RBAC は、サービス チーム アカウントを、その役割に対応する環境で必要なタスクを完了するために必要なアクセスのみに制限します。 RBAC は、サービス チーム アカウントを現在の責任に適した役割に制限することにより、職務分離の要件を適用するのにも役立ちます。
リモート アクセス
Microsoft 365 システム コンポーネントは、運用チームから地理的に分離されたデータ センターに格納されます。 データセンターの担当者は Microsoft 365 環境に物理的にアクセスできますが、論理的にはアクセスできません。 反対に、サービス チームの担当者は論理的にアクセスできますが、物理的にはアクセスできません。 その結果、サービス チームの担当者はリモート アクセスを通じて環境を管理します。 承認済みのすべてのアクティビティは、Microsoft 365 環境へのリモート アクセス経由で実行が承認されます。 Microsoft 365 をサポートするためのリモート アクセスを必要とするサービスチームの担当者は、承認されたマネージャーからの承認後にのみリモート アクセスを許可されます。 すべてのリモート アクセスは、安全なリモート接続のために FIPS 140-2 互換 TLS を使用します。
セキュリティで保護されたアクセス ワークステーション (SAW)
Microsoft 365 は、Microsoft 365 運用環境をサポートするサービス チーム エンジニアにセキュリティで保護されたアクセス ワークステーション (SAW) を発行します。 SAW は、Microsoft 365 サービスをサポートするときにエンジニアが管理アクションを実行するために使用するデバイスの攻撃面を減らすことにより、セキュリティを強化します。
Microsoft の SAW は、ハードウェアとソフトウェアの脆弱性に対する追加の保護を備えた特別に設計および製造されたノートパソコンです。 Microsoft は、信頼できるサプライヤーと直接提携して SAW を構築し、SAW ハードウェアのセキュリティを確保するためにサプライチェーンを短縮します。 意図的に制限された機能を備えた強化されたオペレーティング システムは、一般的な攻撃ベクトルをさらに軽減または排除します。 SAW の強化プラクティスには、USB ドライブへの書き込みを無効にする、厳密なアプリケーション許可リストを適用する、生産性スイートと電子メール アクセスを削除する、インターネット閲覧を制限する、セキュリティで強化されたブラウザーの使用を強制する、プロキシ フィルター経由でトラフィックをルーティングする、グループ ポリシーを介して非アクティブなスクリーン セーバーロックアウトを強制するなどがあります。
Microsoft 365 アクセス制御システムは、アクセス時にエンジニアの SAW の状態を自動的にチェックし、非準拠の SAW からの接続を拒否します。 デバイス正常性チェックは、IP 制限、IPsec ポリシー、および多要素認証によるユーザー識別検証を含む他のアクセス制御を補完します。 SAW の使用は厳密に監視および記録され、不正使用を検出して防止します。 非準拠デバイスは自動的に無効化されます。
多要素認証 (MFA)
Microsoft 365 では、すべてのサービス チーム アカウントに多要素認証 (MFA) が必要です。 MFA は、システムにサインインするときにエンジニアの ID を証明するために、複数の形式の検証または要因を要求することにより、アカウントのセキュリティを向上させます。 MFA に使用できる要素のタイプは、次の 3 つのカテゴリに分類されます。
- ユーザーが知っているもの – パスワード、セキュリティの質問への回答、暗証番号 (PIN)
- ユーザーが持っているもの – 通知を受け取るセキュリティ トークン ジェネレーターまたはモバイル アプリ
- ユーザー自身 – 指紋や顔のスキャンなどの生体認証プロパティ
Microsoft 365 では、MFA に少なくとも 2 つの要素が必要です。 MFA を使用すると、資格情報の公開の影響が制限されるため、Microsoft 365 のセキュリティが向上します。 Microsoft 365 では、ユーザーのパスワードを侵害する攻撃者も、完全に認証するためにセキュリティ トークン ジェネレーターを所有する必要があります。 Microsoft 365 へのアクセスには単一の要素だけでの認証では不十分であり、潜在的な攻撃者を締め出し、ユーザーが侵害されたパスワードを変更する時間を提供します。