Microsoft Entra ロールのアクセス許可を分析する
アクセス許可とは アクセス許可の辞書での定義は、特定のアクションを実行することに対する同意または承認です。 Microsoft Entra ID では、実行できる操作ごとにアクセス許可があります。 アクセス許可の範囲は、設定の表示から、設定を変更できるものまで多岐にわたります。 さらには、ユーザーの追加または削除やそれ以上のアクセス許可が付与されます。 アクセス許可を割り当てることができる主な場所は、ユーザー レベルとグループ レベルの 2 つです。 ただし、すべては最終的にユーザーに伝わります。 ユーザーにはメンバー ユーザーとゲスト ユーザーがあります。 ゲスト ユーザーの既定のアクセス許可は、メンバーほど多くありません。
ユーザーの既定のアクセス許可の例
| メンバー ユーザー | ゲスト ユーザー |
|---|---|
| ユーザーとその連絡先の一覧を列挙する | 自分のプロパティを読み取る |
| ゲスト ユーザーを招待する | ゲスト ユーザーを招待する |
| セキュリティ グループと Microsoft 365 グループを作成できる | 非表示でないグループを名前で検索できる |
| 新しいアプリケーションを登録する | 登録済みアプリケーションとエンタープライズ アプリケーションのプロパティを読み取る |
Note
これは、違いを示すための、ほんの小さなサブセットです。 完全な一覧については、既定のユーザー アクセス許可に関する記事をご覧ください
アクセス許可の制御 - 追加と制限
| ユーザー設定 | ロールと管理者 |
|---|---|
|
|
Microsoft Entra ID の [管理] メニューの [ユーザー設定] を使用して、既定のユーザーの既定のアクセス許可を制限または制御できます。 または、[ロールと管理者] を使って、ユーザーとグループに新しいアクセス許可を追加できます。 常に最小特権の概念を使用し、ユーザーが必要な権限のみを持っていることを確認します。 [ユーザー設定] では、ユーザーが次の操作を行うことを制限できます。
- アプリケーションの登録
- Azure portal にアクセスする
- LinkedIn 接続をブロックする
- 外部コラボレーションの設定を管理する
特定のユーザー アカウントまたはグループにロールを追加することで、メンバー ユーザー、ゲスト ユーザー、サービス プリンシパルにアクセス許可を追加できます。 ロールを追加することで、特定のアクティビティを実行するためのアクセス許可を付与します。 アクションは制限されており、最小限の特権のルールに対応します。
使用可能なアクセス許可を調べる
可能であれば、ユーザーに必要な最小限のアクセス許可のみを付与します。 そのためには、あるロールを割り当てると付与されるすべてのアクセス許可を把握している必要があります。 アクセス許可の一覧は、各ロールの説明で確認できます。 これを開くには、Microsoft Entra ID を起動してから、[ロールと管理者] 画面を開きます。 次にロールを選び、省略記号 [...] メニューから説明ページを開きます。 選んだロールに応じて、多数または少数のアクセス許可が表示されます。 アクセス許可の 2 つのセット:
- ロールのアクセス許可
- ゲストとサービス プリンシパルの基本的な読み取りアクセス許可