緊急アクセス アカウントを作成し、管理する
誤って Microsoft Entra ID からロックアウトされないようにすることが重要です。 Microsoft Entra ID では、別のユーザーのアカウントを管理者としてサインインさせたり、アクティブにしたりすることはできません。 誤って管理アクセス権がなくなる可能性を軽減することができます。 シークレットで、組織内に 2 つ以上の "緊急アクセス アカウント" を作成します。
緊急アクセス アカウントは特権性が高いため、特定の個人には割り当てられません。 緊急アクセス用アカウントは、通常の管理者アカウントを使うことができない "緊急事態" に制限されます。 緊急アカウントへのアクセスを制限することをお勧めします。 このアカウントは、必要な場合にのみ使用します。
この記事では、Microsoft Entra ID で緊急アクセス用アカウントを管理するためのガイドラインを提供します。
緊急アクセス用アカウントを使用する理由
次のような場合に緊急アクセス用アカウントの使用が必要になることがあります。
- ユーザー アカウントがフェデレーションされており、携帯ネットワークの途絶または ID プロバイダーの停止のためにフェデレーションを現在使用できない場合。 たとえば、環境内の ID プロバイダー ホストがダウンしている場合、Microsoft Entra ID が ID プロバイダーにリダイレクトしたときにユーザーはサインインできない可能性があります。
- 管理者は Microsoft Entra 多要素認証を使用して登録されます。 そのすべての個別デバイスを使用できないか、サービスを利用できません。 ユーザーは、ロールをアクティブ化する多要素認証を完了できない可能性があります。 たとえば、携帯電話ネットワークの停止によって、電話の呼び出しに応答したりテキスト メッセージを受信したりすることができなくなっています。 特にこれらの認証方法が、登録されているただ 2 つの認証メカニズムである場合です。
- 最後にグローバル管理者アクセス権を持っていたユーザーが組織からいなくなった場合。 Microsoft Entra ID では最後の全体管理者アカウントを削除できないようになっていますが、オンプレミスでアカウントが削除または無効化されるのを防ぐことはできません。 いずれの場合も、アカウントを復旧できなくなる可能性があります。
- 自然災害などの予期しない状況が発生した場合。携帯電話や他のネットワークが利用できなくなる可能性があります。
緊急アクセス用アカウントを作成する
複数の緊急アクセス用アカウントを作成します。 これらのアカウントは、.onmicrosoft.com ドメインを使用し、オンプレミス環境からフェデレーションまたは同期されていない、クラウド専用のアカウントである必要があります。
管理者が緊急アカウントを構成する場合は、次の要件を満たす必要があります。
- 緊急アクセス アカウントは、組織内の個々のユーザーに関連付けられていてはなりません。 アカウントが、従業員が提供する携帯電話、個々の従業員と共に移動するハードウェア トークン、またはその他の従業員固有の資格情報を使用して接続されていないことを確認します。 この予防策には、資格情報が必要なときに従業員がそれを入手できないような状況が該当します。 登録されたデバイスは、既知の安全な場所に保管する必要があります。 これらの場所には、Microsoft Entra ID と通信する複数の手段が必要です。
- 緊急アクセス アカウントに使用される認証メカニズムは、はっきり分けておく必要があります。 他の緊急アクセス アカウントなど、他の管理アカウントで使用されるものとは別にしておきます。 たとえば、管理者による通常のサインインがオンプレミスの MFA で行われる場合、多要素認証は異なるメカニズムになります。 ただし、多要素認証が管理者アカウントの認証の主要な部分である場合は、緊急アカウントには別のアプローチを検討します。 カスタム コントロールからのサードパーティ MFA プロバイダーによる条件付きアクセスの使用などを試します。
- デバイスまたは資格情報は、有効期限が切れておらず、使用不足による自動クリーンアップの対象になっていないことが必要です。
- グローバル管理者ロールの割り当てを、緊急アクセス用アカウントに対して永続的にする必要があります。
少なくとも 1 つのアカウントを電話ベースの多要素認証から除外する
侵害されたパスワードによる攻撃のリスクを減らすため、すべての個別ユーザーに対して多要素認証を使うことをお勧めします。 このグループには、管理者と、アカウントが侵害されると損害が発生する可能性の高い他のすべてのユーザー (たとえば財務責任者) が含まれます。
ただし、緊急アクセス アカウントの少なくとも 1 つは、他の非緊急アカウントと同じ多要素認証メカニズムを使用しないようにする必要があります。 これにはサード パーティの多要素認証ソリューションも含まれます。 Microsoft Entra ID および他の接続されているサービスとしてのソフトウェア (SaaS) アプリのすべての管理者に対して多要素認証を要求する条件付きアクセス ポリシーがある場合は、緊急アクセス用アカウントをこの要件から除外し、代わりに別のメカニズムを構成してください。 さらに、アカウントにユーザーごとの多要素認証ポリシーがないようにする必要があります。
少なくとも 1 つのアカウントを条件付きアクセス ポリシーから除外する
緊急時に、問題を解決するためのアクセスがポリシーによってブロックされる可能性があるようでは困ります。 少なくとも 1 つの緊急アクセス用アカウントを、すべての条件付きアクセス ポリシーから除外してください。
フェデレーション ガイド
AD Domain Services と ADFS または同様の ID プロバイダーを使用している組織が Microsoft Entra ID にフェデレーションするためのもう 1 つのオプションは、その ID プロバイダーによって MFA 要求を提供できる緊急アクセス用アカウントを構成することです。 たとえば、緊急アクセス用アカウントは、スマートカードなどに格納された証明書とキーのペアでバックアップできます。 そのユーザーが AD に対して認証されると、ADFS は Microsoft Entra ID に要求を提供し、ユーザーが MFA 要件を満たしていることを示すことができます。 このアプローチを使用するのであっても、フェデレーションを確立できない場合に備えて、クラウドベースの緊急アクセス アカウントを組織で用意する必要があります。
サインインと監査のログを監視する
組織では、緊急アカウントからのサインインと監査ログのアクティビティを監視し、他の管理者に通知をトリガーする必要があります。 緊急アカウントでのアクティビティを監視するときは、これらのアカウントがテストまたは実際の緊急時にのみ使用されるかを確認できます。 Azure Log Analytics を使用して、サインイン ログを監視し、緊急アカウントでのサインインがあるたびに、管理者へのメールと SMS のアラートをトリガーすることができます。
アカウントを定期的に検証する
緊急アクセス用アカウントの使用と緊急アクセス用アカウントの検証についてスタッフ メンバーをトレーニングするときは、定期的に少なくとも次の手順を行います。
- アカウントチェック アクティビティが行われていることをセキュリティ監視スタッフが認識していることを確認します。
- これらのアカウントを使用する緊急プロセスがドキュメント化されていて、最新の状態であることを確認します。
- 緊急時にこれらの手順を行う必要がある可能性のある管理者およびセキュリティ担当者が、プロセスについてトレーニングされていることを確認します。
- 緊急アクセス アカウントのアカウント資格情報 (特にパスワード) を更新してから、緊急アクセス アカウントでサインインして管理タスクを実行できることを確認します。
- ユーザーが個人のデバイスまたは詳細情報に多要素認証またはセルフサービス パスワード リセット (SSPR) を登録していないことを確認します。
- デバイスに対する Microsoft Entra 多要素認証にアカウントが登録されている場合、サインインまたはロールのアクティブ化で使うには、緊急時にデバイスを使う必要があるすべての管理者がデバイスにアクセスできることを確認します。 また、デバイスが、一般的な障害モードを共有していない 2 つ以上のネットワーク パスを介して通信できることを確認します。 たとえば、デバイスが施設のワイヤレス ネットワークと携帯電話会社ネットワークの両方を介してインターネットに通信できるようにします。
これらの手順は、以下のように定期的およびキーの変更ごとに実行する必要があります。
- 少なくとも 90 日ごと
- 異動、退職、新規採用など、最近 IT スタッフの変更があったとき
- 組織の Microsoft Entra サブスクリプションが変更されたとき