管理単位を使用して委任を構成する

  • 7 分

管理単位は、他の Microsoft Entra リソースのコンテナーにすることができる Microsoft Entra ID リソースです。 管理単位には、ユーザー、グループ、デバイスのみを含めることができます。

管理単位では、ロールのアクセス許可が、組織の任意の定義部分に限定されます。 たとえば、管理単位を使用して、ヘルプデスク管理者のロールを地域のサポート スペシャリストに委任できます。そうすれば、そのスペシャリストが自分のサポートするリージョンのユーザーのみを管理できます。 管理単位は、Azure portal、PowerShell コマンドレットおよびスクリプト、または Microsoft Graph を使用して管理できます。

管理単位とは何ですか?

Microsoft Entra ID では、単一のテナントを使用すると、管理者ロールをユーザーに割り当てた場合、そのユーザーは、テナント内のすべてのユーザーの管理者になります。 最小特権のセキュリティ原則について常に考えてください。これは、管理責任を付与するための最良の方法です。 管理単位は、Microsoft Entra ID でこの課題を解決するために作成されたコンテナーです。 ユーザー管理者の管理範囲を特定のユーザーとグループの集合のみとする場合。 病院の研究部門のユーザーのみを管理するとします。 管理単位を設定できます。 その管理単位の中に、研究チームのユーザーとグループを追加したうえで、管理単位内のユーザー管理者ロールに特定のユーザーを追加します。このユーザーを Admin-for-research と呼ぶことにします。 Admin-for-research は、その管理単位内のユーザーを管理することはできますが、その管理範囲がテナント全体にわたることはありません。こうして最小限の特権の原則が実現されます。

管理単位では、どのような管理者ロールが使用できますか?

管理単位は、次のロールのユーザーに管理させることができます。

  • 認証管理者
  • グループ管理者
  • ヘルプデスク管理者
  • ライセンス管理者
  • パスワード管理者
  • ユーザー管理者

注意

従来、オンプレミスの Active Directory では、ディレクトリに組織単位 (OU) をセットアップし、その OU にユーザーを追加することによって、この機能が実現されていました。

管理単位を計画する

管理単位を使用して、Microsoft Entra リソースを論理的にグループ化できます。 IT 部門がグローバルに分散している組織では、適切な地理的境界を定義する管理単位を作成するでしょう。 グローバルな組織に、業務において半自律的なサブ組織がある別のシナリオでは、管理単位でサブ組織を表すことができます。

管理単位を作成する条件は、組織固有の要件によって決まります。 管理単位は、Microsoft 365 サービスをまたがる構造を定義するための一般的な方法です。 Microsoft 365 サービスをまたがる使用を考慮して管理単位を準備することをお勧めします。 管理単位の下にある Microsoft 365 間で共通のリソースを関連付けることができる場合は、管理単位から最大の価値を得ることができます。

次の段階に進むには、組織内の管理単位の作成が予想されます。

  1. 初期導入: 組織は初期条件に基づいて管理単位の作成を開始しますが、条件の適用範囲を絞り込むにつれて管理単位の数が増加していきます。
  2. 排除: 条件を定義すると、不要になった管理単位が削除されます。
  3. 安定化: 組織の構造が定義されており、管理単位の数が短期間で大幅に変更されることはありません。

Microsoft Entra ID で管理を委任する

組織が成長すると複雑になります。 一般的な対応の 1 つが、Microsoft Entra 管理者ロールでアクセス管理のワークロードの一部を削減することです。 ユーザーには、アプリにアクセスしたりタスクを実行したりするための最小限のアクセス許可を割り当てることができます。 グローバル管理者ロールをすべてのアプリケーション所有者に割り当てない場合であっても、アプリケーション管理の責任を既存のグローバル管理者に負わせます。 より分散化された管理に組織が移行する理由はたくさんあります。

Microsoft Entra ID では、アプリケーションの作成と管理のアクセス許可を次の方法で委任できます。

  • アプリケーションを作成できるユーザーを制限し、作成されたアプリケーションを管理できるユーザーを制限する。 既定では、Microsoft Entra ID で、すべてのユーザーがアプリケーションを登録し、作成されたアプリケーションのすべての側面を管理できます。 選択されたユーザーのみがそのアクセス許可を持つように制限できます。
  • アプリケーションに 1 人以上の所有者を割り当てる。 特定のアプリケーションに関する Microsoft Entra ID 構成のすべての側面を管理する能力を誰かに付与する簡単な方法。
  • すべてのアプリケーションに対する Microsoft Entra ID での構成を管理するためのアクセス権を付与する、組み込みの管理ロールを割り当てる。 IT エキスパートに、幅広いアプリケーション構成を管理するためのアクセス権を付与しつつ、アプリケーション構成に関連しない Microsoft Entra ID の他の部分を管理するアクセス権は付与しないようにするための推奨される方法。
  • 特定のアクセス許可を定義するカスタム ロールを作成します。 次に、ロールをユーザーに割り当てて、制限付き所有者を割り当てます。 または、ディレクトリ スコープ (すべてのアプリケーション) で、制限付き管理者として割り当てることができます。

アクセス権を付与する場合は、2 つの理由から、上記のいずれかの方法を使用します。 まず、管理タスクを実行する機能を委任することで、グローバル管理者のオーバーヘッドを減らすことができます。 2 番目の理由として、制限付きアクセス許可を使用することでセキュリティ体制が改善され、未承認アクセスの可能性が減少します。

委任を計画する

ニーズに合った委任モデルを開発する作業です。 委任モデルの開発は反復的な設計プロセスなので、次の手順に従うことをお勧めします。

  • 必要なロールを定義する
  • アプリの管理を委任する
  • アプリケーションを登録する権限を付与する
  • アプリの所有権を委任する
  • セキュリティ プランを作成する
  • 緊急アカウントを作成する
  • ご自身の管理者ロールを保護する
  • 特権昇格を一時的なものにする

ロールを定義する

どの Active Directory タスクが管理者によって実行されるか、また、それらのタスクがどのようにロールに対応するかを決定します。 各タスクの頻度、重要度、および難易度を評価する必要があります。 これらの条件はタスクの定義には欠かせません。これによりアクセス許可を委任するかどうかが左右されるためです。

  • 定期的に実行され、リスクが限られており、簡単に完了できるタスクが、委任に適しています。
  • ほとんど実行されないにもかかわらず、組織全体に潜在的なリスクをもたらし、高いスキルを必要とするタスクは、委任する前に慎重に検討する必要があります。 代わりに、必要なロールにアカウントを一時的に昇格させるか、タスクを再割り当てすることができます。

アプリの管理を委任する

組織内のアプリが急増すると、お使いの委任モデルへの負担が大きくなる可能性があります。 グローバル管理者にアプリケーション アクセス管理の負担をかけている場合、時間が経つにつれ、モデルのオーバーヘッドが増える可能性があります。 エンタープライズ アプリケーションの構成などを受け持つグローバル管理者ロールをユーザーに付与している場合、それを、特権が低い次のロールにオフロードできるようになりました。 これは、セキュリティ体制を改善し、判断ミスの可能性を減らすうえで役立ちます。 最も大きな特権を持つアプリケーション管理者ロールは次のとおりです。

  • アプリケーション管理者ロール。登録、シングル サインオン設定、ユーザーとグループの割り当てとライセンス、アプリケーション プロキシ設定、同意など、ディレクトリ内のすべてのアプリケーションの管理権限が付与されます。 条件付きアクセスの管理権限は付与されません。
  • クラウド アプリケーション管理者ロール。アプリケーション管理者のすべての権限が付与されます。ただし、アプリケーション プロキシ設定へのアクセス許可は除きます (オンプレミスのアクセス許可がないため)。

アプリの登録を委任する

既定では、すべてのユーザーがアプリケーション登録を作成できます。 アプリケーション登録を作成する権限を選択的に与えるには:

  • [ユーザー設定][ユーザーはアプリケーションを登録できる] を [いいえ] に設定します。
  • ユーザーをアプリケーション開発者ロールに割り当てる

アプリケーションがデータにアクセスする許可に同意する権限を選択的に与えるには:

  • [エンタープライズ アプリ] の [ユーザー設定] で、[ユーザーは自身の代わりにアプリが会社のデータにアクセスすることに同意できる] を [いいえ] に設定します
  • ユーザーをアプリケーション開発者ロールに割り当てる

アプリケーション開発者が新しいアプリケーション登録を作成すると、最初の所有者として自動的に追加されます。

アプリの所有権を委任する

さらに細かくアプリ アクセスを委任するために、所有権を個々のエンタープライズ アプリケーションに割り当てることができます。 アプリケーション登録所有者の割り当てに対する既存のサポートを改善します。 所有権は、エンタープライズ アプリケーション画面でエンタープライズ アプリケーションごとに割り当てられます。 その利点は、所有者が自分の所有するエンタープライズ アプリケーションのみを管理できる点にあります。 たとえば、Salesforce アプリケーションに所有者を割り当てると、その所有者は、Salesforce へのアクセスと Salesforce の構成を管理できますが、他のアプリケーションについては管理できません。 1 つのエンタープライズ アプリケーションが多くの所有者を持つことができ、1 人のユーザーが多くのエンタープライズ アプリケーションの所有者になることができます。 アプリ所有者ロールは 2 つあります。

  • エンタープライズ アプリケーション所有者ロールでは、シングルサインオン設定、ユーザーとグループの割り当て、他の所有者の追加など、ユーザーが所有するエンタープライズ アプリケーションの管理権限が付与されます。 アプリケーション プロキシ設定または条件付きアクセスの管理権限は付与されません。
  • アプリケーション登録所有者ロールでは、アプリケーション マニフェスト、他の所有者の追加など、ユーザーが所有するアプリに対するアプリケーション登録の管理権限が付与されます。

セキュリティ プランを作成する

Microsoft Entra ID には、Microsoft Entra 管理者ロールに関するセキュリティ プランを作成および実施するための広範なガイドが用意されています。「ハイブリッドおよびクラウド デプロイ用の特権アクセスをセキュリティで保護する」をご覧ください。

緊急アカウントを作成する

問題が発生したときにご自身の ID 管理ストアに引き続きアクセスできるように、緊急アクセス用管理者アカウントの作成に関するページの説明に従って、緊急アクセス用アカウントを準備します。

ご自身の管理者ロールを保護する

攻撃者に特権アカウントを支配されると、多大な損害が発生する可能性があります。 常にまずこれらのアカウントを保護します。 すべての Microsoft Entra 組織で使用できるセキュリティの既定値群機能を使います。 セキュリティの既定値群では、特権のある Microsoft Entra アカウントに対して多要素認証が適用されます。