管理ユーザーの特権アクセス戦略を定義する
Privileged Identity Management (PIM) とは?
PIM は特権リソースへのアクセスを管理するための Microsoft Entra ID のサービスです。 PIM を使用すると、組織内の重要なリソースへのアクセスを管理、制御、監視できます。 このようなリソースには、Microsoft Entra ID、Azure、その他の Microsoft Online Services (Microsoft 365 や Microsoft Intune など) 内のリソースが含まれます。
PIM の機能
PIM により、リソースにアクセスするための時間ベースおよび承認ベースのロールのアクティブ化が提供されます。 これは、対象リソースに対する過剰、不要、または誤用であるアクセス許可のリスクを軽減するのに役立ちます。 PIM の主な機能は次のとおりです。
- Microsoft Entra ID と Azure のリソースに対する Just-In-Time の特権アクセスを提供する
- 開始日と終了日を使用した期限付きアクセス権をリソースに割り当てる
- 特権ロールをアクティブ化するために承認を要求する
- Azure 多要素認証を適用してロールをアクティブ化する
- なぜユーザーをアクティブ化するのかを把握するために理由を使用する
- 特権ロールがアクティブ化されたときに通知を受ける
- 継続してユーザーにロールが必要であることを確認するためにアクセス レビューを実施する
- 社内監査または外部監査に使用する監査履歴をダウンロードする
組織で PIM をデプロイする前に、このセクションの説明に従い、概念を理解してください。 これは、組織の特権 ID 要件に合わせて調整されたプランの作成に役立ちます。
注意
PIM には Premium P2 ライセンスが必要です。
利害関係者を識別する
次のセクションは、プロジェクトに関与するすべての利害関係者を識別するのに役立ちます。 承認やレビューを行ったり情報を得たりする必要があるユーザーを確認します。 これには、Microsoft Entra ロール用の PIM と、Azure ロール用の PIM のデプロイ用の個別の表が含まれます。 ご自分の組織に合わせて、利害関係者を以下の表に追加してください。
SO = このプロジェクトでの承認
R = このプロジェクトを確認し、情報を提供する
I = このプロジェクトに関する情報を受け取る
関係者:Microsoft Entra ロール用の Privileged Identity Management
| 名前 | ロール | 操作 |
|---|---|---|
| 名前とメール | ID アーキテクトまたは Azure グローバル管理者 - この変更を組織の主要な ID 管理インフラストラクチャと整合させる方法の定義を担当する ID 管理チームの代表者。 | SO/R/I |
| 名前とメール | サービス所有者またはライン マネージャー - サービスまたはサービス グループの IT 所有者の代表者。 意思決定を行い、チームの PIM のロールアウトを支援する、重要な役割を果たします。 | SO/R/I |
| 名前とメール | セキュリティ所有者 - 計画が組織のセキュリティ要件を満たしていることを承認できるセキュリティ チームの代表者。 | SO/R |
| 名前とメール | IT サポート マネージャーまたはヘルプデスク - ヘルプデスクの観点からこの変更のサポート可能性に関するフィードバックを提供できる IT サポート組織の代表者。 | R/I |
| パイロット ユーザーの名前とメール | 特権ロール ユーザー - Privileged Identity Management の実装対象であるユーザーのグループ。 PIM が実装されたら、ロールをアクティブ化する方法を調べる必要があります。 | I |
利害関係者: Azure ロール用の Privileged Identity Management
| 名前 | ロール | 操作 |
|---|---|---|
| 名前とメール | サブスクリプション所有者またはリソース所有者 - PIM をデプロイする必要のある各サブスクリプションまたはリソースの IT 所有者の代表者。 | SO/R/I |
| 名前とメール | セキュリティ所有者 - 計画が組織のセキュリティ要件を満たしていることを承認できるセキュリティ チームの代表者。 | SO/R |
| 名前とメール | IT サポート マネージャーまたはヘルプデスク - ヘルプデスクの観点からこの変更のサポート可能性に関するフィードバックを提供できる IT サポート組織の代表者。 | R/I |
| パイロット ユーザーの名前とメール | Azure ロール ユーザー - Privileged Identity Management の実装対象であるユーザーのグループ。 PIM が実装されたら、ロールをアクティブ化する方法を調べる必要があります。 | I |
Privileged Identity Management の使用開始
計画プロセスの一環として、「Privileged Identity Management の使用開始」の記事に従って PIM を準備します。 PIM により、デプロイに役立つように設計されたいくつかの機能にアクセスできます。
Azure リソース用の PIM のデプロイが目標である場合は、「Privileged Identity Management で管理する Azure リソースの検出」という記事に従ってください。 これらのリソースは、サブスクリプションと管理グループの所有者だけが PIM の管理下に置くことができます。 管理下に置いた後は、管理グループ、サブスクリプション、リソース グループ、リソースなど、すべてのレベルの所有者が PIM 機能を利用できるようになります。 Azure リソース用に PIM をデプロイしようとしているグローバル管理者である場合、すべての Azure サブスクリプションを管理するためにアクセス権を昇格し、検出のためにディレクトリのすべての Azure リソースへのアクセス権を自分自身に与えることができます。 しかし、PIM でリソースを管理する前に、各サブスクリプション所有者から承認を得ることをお勧めします。
最小特権の原則を適用する
組織で Microsoft Entra と Azure の両ロールに対して最小特権の原則を適用したことを確認するのが重要です。
最小特権の委任を計画する
Microsoft Entra ロールについては、管理者のほとんどが 1 つまたは 2 つの権限の少ない管理者ロールを必要とするだけである場合でも、組織は全体管理者ロールを何人かの管理者に割り当てていることが一般的です。 多くのグローバル管理者またはその他の高い特権を持つロールがある場合、特権ロールの割り当てを十分に厳密な方法で追跡することは困難です。
以下の手順に従って Microsoft Entra ロールに対して最小特権の原則を実装します。
使用可能な Microsoft Entra 管理者ロールを確認して把握することでロールの細分性を理解します。 チーム全体で、特定のタスクの最小特権ロールについて説明している Microsoft Entra ID 内の ID タスクごとの管理者ロールを確認する必要もあります。
組織内の特権ロールを持つユーザーのリスト。 PIM の検出と分析情報 (プレビュー) を使用して露出を減らすことができます。
組織内のすべてのグローバル管理者の場合、ロールが必要である理由を確認します。 次に、それらを全体管理者ロールから削除し、Microsoft Entra ID 内のより低レベルの特権を持つ組み込みロールまたはカスタム ロールを割り当てます。 ちなみに、Microsoft には現在、グローバル管理者ロールを持つ約 10 人の管理者のみが存在します。
他のすべての Microsoft Entra ロールに関しては、割り当ての一覧を確認し、ロールが不要となっている管理者を特定し、それらの管理者を割り当てから削除します。
最後の 2 つの手順を自動化するには、PIM でアクセス レビューを使用します。 "Privileged Identity Management 内の Microsoft Entra ロールのアクセス レビューの開始" 内の手順に従うことで、1 名以上のメンバーを持つ各 Microsoft Entra ID ロールに対してアクセス レビューを設定できます。
レビュー担当者を [メンバー (セルフ)] に設定します。 ロール内のすべてのメンバーに、アクセスが必要かどうかの確認を求めるメールが届きます。 また、詳細設定で [承認時に理由が必要] をオンにします。この場合、ユーザーはロールを必要とする理由を示す必要があります。 この情報に基づき、不要なロールからユーザーを削除したり、より細かいレベルの管理者ロールにユーザーを委任したりすることができます。
アクセス レビューは、ロールへのアクセスを確認するように担当者に通知するメールに依存します。 メールがリンクされていない特権アカウントがある場合は、必ず、それらのアカウントに対してセカンダリ メール フィールドを設定してください。
Azure リソース ロールの委任を計画する
Azure サブスクリプションとリソースについては、同様のアクセス レビュー プロセスを設定し、各サブスクリプションまたはリソースのロールを確認できます。 このプロセスの目標は、各サブスクリプションまたはリソースにアタッチされている所有者およびユーザー アクセス管理者割り当てを最小限にし、不要な割り当てを削除することです。 しかし、組織では多くの場合、そのようなタスクを各サブスクリプションまたはリソースの所有者に委任します。これは、その所有者が特定のロール (特にカスタム ロール) をよりよく理解しているためです。
グローバル管理者ロールを持ち、組織内の Azure ロールに対して PIM をデプロイしようとしているユーザーは、すべての Azure サブスクリプションを管理するためにアクセス権を昇格し、各サブスクリプションにアクセスできます。 その後、各サブスクリプション所有者を見つけ、協力して不要な割り当てを削除し、所有者ロールの割り当てを最小限にすることができます。
また、Azure サブスクリプションの所有者ロールを持つユーザーは、Azure リソースのアクセス レビューを使用して、Microsoft Entra ロールについて前述したプロセスと同様に、監査を行い不要なロール割り当てを削除することもできます。
Privileged Identity Management で保護する必要があるロール割り当てを決定する
組織内の特権ロールの割り当てをクリーンアップした後は、どのロールを PIM で保護するかを決定する必要があります。
ロールが PIM によって保護されている場合、それに割り当てられている資格のあるユーザーは、そのロールによって付与される特権を使用するために昇格する必要があります。 昇格プロセスには、承認の取得、Azure 多要素認証の使用、およびアクティブ化している理由の提供が含まれる場合もあります。 PIM では、通知および PIM と Microsoft Entra 監査イベント ログを通じて、昇格を追跡することもできます。
PIM で保護するロールを選択することは困難である場合があり、組織ごとに異なります。 このセクションでは、Microsoft Entra ロールと Azure ロールに関するベスト プラクティスについて説明します。
Microsoft Entra ロール
最も多くのアクセス許可を持つMicrosoft Entra ロールの保護に優先順位を付けることが重要です。 すべての PIM のお客様の使用パターンに基づき、PIM によって管理される Microsoft Entra ロールの上位 10 を以下に示します。
グローバル管理者
セキュリティ管理者
ユーザー管理者
Exchange 管理者
SharePoint 管理者
Intune 管理者
セキュリティ閲覧者
サービス管理者
課金管理者
Skype for Business 管理者
ヒント
Microsoft のお勧め: 最初の手順として、すべてのグローバル管理者とセキュリティ管理者を、PIM を使用して管理します。これらは、侵害が発生したときに最も害を及ぼす可能性があるユーザーであるためです。
組織にとって最も機密性の高いデータとアクセス許可を考慮することが重要です。 たとえば、組織によっては、PIM を使って Power BI 管理者ロールまたは Teams 管理者ロールを保護しようとする場合があります。これは、これらの管理者がデータにアクセスし、中心的なワークフローを変更することができるためです。
ゲスト ユーザーが割り当てられているロールは、攻撃に対して脆弱です。
ヒント
Microsoft のお勧め: PIM を使用してゲスト ユーザーが割り当てられているすべてのロールを管理し、侵害されたゲスト ユーザー アカウントに関連するリスクを軽減します。
ディレクトリ閲覧者、メッセージ センター閲覧者、セキュリティ閲覧者などの閲覧者ロールは、書き込みアクセス許可がないため、他のロールより重要でないと見なされる場合があります。 しかし、お客様によっては、これらのロールも保護の対象です。これは、これらのアカウントへのアクセス権を得た攻撃者によって、個人データなどの機密データが読み取られる可能性があるためです。 PIM を使用して組織内の閲覧者ロールを管理する必要があるかどうかを判断するときは、この点を考慮してください。
Azure ロール
Azure リソース用の PIM を使用して管理する必要があるロール割り当てを決定するときは、まず、組織で最も重要なサブスクリプション/リソースを特定する必要があります。 このようなサブスクリプション/リソースの例を以下に示します。
- 最も機密性の高いデータをホストするリソース。
- 顧客向けの中心的アプリケーションが依存するリソース。
最も重要なサブスクリプションとリソースをうまく決定できないグローバル管理者は、組織内のサブスクリプション所有者に連絡し、各サブスクリプションで管理されているリソースのリストを収集する必要があります。 その後、サブスクリプション所有者と協力しながら、リソースが侵害された場合の重大度レベル (低、中、高) に基づいて、そのリソースをグループ化します。 この重大度レベルに基づいて、PIM でのリソース管理に優先順位を付けます。
ヒント
Microsoft のお勧め: 重要なサービスのサブスクリプション/リソース所有者と協力し、機微なサブスクリプション/リソース内のすべてのロールに対して、PIM ワークフローを設定します。
Azure リソース用の PIM では、期限付きのサービス アカウントがサポートされます。 サービス アカウントは、通常のユーザー アカウントを扱う場合とまったく同様に扱う必要があります。
重要でないサブスクリプションやリソースについては、すべてのロールに PIM を設定する必要はありません。 しかし、所有者ロールとユーザー アクセス管理者ロールについては、PIM で引き続き保護する必要があります。
ヒント
Microsoft のお勧め: PIM を使用して、すべてのサブスクリプション/リソースの所有者ロールとユーザー アクセス管理者ロールを管理します。
グループを使用してロールを割り当てるかどうかを決定する
個々のユーザーではなくグループにロールを割り当てるかどうかは、戦略的な意思決定です。 計画するときに、次の場合はグループにロールを割り当ててロール割り当てを管理することを検討してください。
- 1 つのロールに多数のユーザーが割り当てられる。
- ロールの割り当てを委任しようとしている。
多くのユーザーが 1 つのロールに割り当てられる
ロールに割り当てられるユーザーを手動で追跡し、ユーザーがロールを必要とするタイミングに基づいてその割り当てを管理すると、時間がかかります。 グループをロールに割り当てるには、まず、ロールの割り当てが可能なグループを作成してから、そのグループを、ロールの資格があるとして割り当てます。 この操作により、グループ内のすべてのユーザーに対して、そのロールに昇格する資格を持つ個々のユーザーと同じアクティブ化プロセスが適用されます。 グループ メンバーは、PIM のアクティブ化要求および承認プロセスを使用して、グループへの割り当てを個別にアクティブ化します。 アクティブ化されるのは、グループではなく、ユーザーのグループ メンバーシップです。
ロールの割り当てを委任したい
グループ所有者は、グループのメンバーシップを管理できます。 Microsoft Entra ID のロール割り当て可能グループについては、グループ メンバーシップを管理できるのは、特権ロール管理者、全体管理者、グループ所有者だけです。 管理者がグループに新しいメンバーを追加すると、そのメンバーは、割り当てが適格であるかアクティブであるかに関係なく、そのグループが割り当てられているロールにアクセスできます。 グループ所有者を使用して、割り当てられたロールのグループ メンバーシップの管理を委任すると、必要な特権の範囲を縮小できます。
ヒント
Microsoft は、Microsoft Entra ID のロール割り当て可能グループを PIM の管理下に置くことを推奨しています。 ロール割り当て可能なグループを PIM の管理下に置くと、そのグループは特権アクセス グループと呼ばれます。 PIM を使用して、グループのメンバーシップを管理する前に所有者ロールの割り当てをアクティブ化するようにグループ所有者に要求します。
永続的とする、または有資格とする必要があるロール割り当てを決定する
PIM で管理するロールのリストを決定したら、資格のあるロールと永続的にアクティブなロールを取得する必要があるユーザーを決定する必要があります。 永続的にアクティブなロールは、Microsoft Entra ID および Azure リソースを通じて割り当てられる通常のロールですが、臨時ロールは PIM でのみ割り当てることができます。
Microsoft は、推奨される 2 つの非常時の緊急アクセス アカウント (永続的な全体管理者ロールが必要) を除き、Microsoft Entra ロールと Azure ロールの両方に対する永続的にアクティブな割り当てをゼロにすることを推奨しています。
継続的な管理者をゼロにすることをお勧めしますが、これを組織ですぐに実現するのは困難な場合があります。 この意思決定を行う際は、次の点を考慮する必要があります。
昇格の頻度 – ユーザーに特権割り当てが必要なのは 1 回のみである場合、永続的な割り当ては必要ありません。 一方、日常業務のロールを必要とし、PIM を使用することで生産性が大幅に低下する場合は、永続的なロールの対象にすることができます。
組織に固有のケース – 資格のあるロールを与えられている人が、連絡および適用するには離れたチームに所属しているか、地位の高い役員であり、昇格プロセスが困難な場合は、永続的なロールの対象にすることができます。
ヒント
Microsoft では、永続的なロールを割り当てるユーザーについて、定期的なアクセス レビューを設定することをお勧めします。
Privileged Identity Management 設定のドラフトを作成する
PIM ソリューションを実装する前に、組織で使用するすべての特権ロールに対して、PIM 設定のドラフトを作成することをお勧めします。 このセクションには、特定のロールに対する PIM 設定の例がいくつか含まれています (これらは参照のみを目的としており、実際の組織では異なる場合があります)。 これらの各設定については、表の後の Microsoft のお勧めで詳しく説明します。
Microsoft Entra ロール用の Privileged Identity Management 設定
| 設定 | 全体管理者 | Exchange 管理者 | ヘルプデスク管理者 |
|---|---|---|---|
| MFA を要求する。2 段階認証 | はい | はい | いいえ |
| Notification | はい | はい | いいえ |
| インシデント チケット | はい | いいえ | はい |
| 承認を要求する | はい | いいえ | いいえ |
| 承認者 | その他のグローバル管理者 | なし | なし |
| アクティブ化期間 | 1 時間 | 2 時間 | 8 時間 |
| 永続的な管理者 | 緊急アクセス アカウント | なし | なし |
Azure ロール用の Privileged Identity Management 設定
| 設定 | 重要なサブスクリプションの所有者 | それほど重要ではないサブスクリプションのユーザー アクセス管理者 | Virtual Machine Contributor |
|---|---|---|---|
| MFA を要求する。2 段階認証 | はい | はい | いいえ |
| Notification | はい | イエス | はい |
| 承認を要求する | はい | いいえ | いいえ |
| 承認者 | サブスクリプションのその他の所有者 | なし | なし |
| アクティブ化期間 | 1 時間 | 1 時間 | 3 時間 |
| アクティブな管理者 | なし | None | なし |
| アクティブな有効期限 | 該当なし | なし | 該当なし |
次の表で各設定について説明します。
| 設定 | 説明 |
|---|---|
| ロール | 設定を定義しているロールの名前。 |
| MFA を要求する。2 段階認証 | 資格のあるユーザーが MFA を実行する必要があるかどうか。ロールをアクティブにする前の 2 段階認証。 |
| MFA を強制することをお勧めします。すべての管理者ロールについて 2 段階認証 (特に、ロールにゲスト ユーザーがいる場合)。 | |
| Notification | true に設定すると、組織内のグローバル管理者、特権ロール管理者、およびセキュリティ管理者は、資格のあるユーザーがロールをアクティブ化したときに、メール通知を受け取ります。 |
| 組織によっては、管理者アカウントに関連付けられた電子メール アドレスがない場合があります。 これらのメール通知を受け取るには、代替メール アドレスを設定して、管理者がこれらのメールを受信するようにしてください。 | |
| インシデント チケット | 資格のあるユーザーがロールをアクティブ化するときに、インシデント チケット番号を記録する必要があるかどうか。 この設定は、組織で内部インシデント番号を使用して各アクティブ化を特定し、不要なアクティブ化を軽減するのに役立ちます。 |
| Microsoft のお勧め: 内部システム内に PIM を関連付けるために、インシデント チケット番号を活用します。 この方法は、承認者がアクティブ化のコンテキストを必要とする場合に役立ちます。 | |
| 承認を要求する | 資格のあるユーザーが、ロールをアクティブ化するために承認を得る必要があるかどうか。 |
| Microsoft のお勧め: 最も多くのアクセス許可を持つロールに対して承認を設定します。 すべての PIM のお客様の使用パターンに基づいて、グローバル管理者、ユーザー管理者、Exchange 管理者、セキュリティ管理者、パスワード管理者は、承認を必要とする最も一般的な役割です。 | |
| 承認者 | 資格のあるロールをアクティブ化するために承認が必要な場合、要求を承認する必要がある人々の一覧を作成します。 既定では、PIM により、特権ロール管理者であるすべてのユーザーが承認者として設定されます。永続的であるか、有資格であるかは関係ありません。 |
| ユーザーは、Microsoft Entra ロールとそのロールの承認者の両方に該当する場合、自分自身を承認することはできません。 | |
| Microsoft のお勧め: グローバル管理者ではなく、ロールとそれを最も頻繁に使用するユーザーについて最も知識が豊富なユーザーを承認者として選びます。 | |
| アクティブ化期間 | 期限が切れる前に、ロールでユーザーがアクティブ化される期間。 |
| 永続的な管理者 | ロールの永続的な管理者になるユーザーのリスト (アクティブ化することはありません)。 |
| Microsoft のお勧め: グローバル管理者以外のすべてのロールに対して、継続的な管理者をゼロにします。 | |
| アクティブな管理者 | Azure リソースの場合、アクティブな管理者は、ロールを使用するためにアクティブ化する必要がないユーザーのリストとなります。 このリストは、Microsoft Entra ロールの場合のように永続的な管理者とは見なされません。ユーザーがこのロールを失う有効期限を設定できるためです。 |
| アクティブな有効期限 | Azure ロールのアクティブなロール割り当ての有効期限は、構成された期間後に切れます。 アクティブな期間は、15 日、1 か月、3 か月、6 か月、1 年、または永続的から選ぶことができます。 |
| 有資格の有効期限 | Azure ロールの資格のあるロール割り当ての有効期限は、この期間後に切れます。 有資格の期間は、15 日、1 か月、3 か月、6 か月、1 年、または永続的から選ぶことができます。 |