Microsoft 365 の管理アクセス制御Administrative access controls in Microsoft 365

Microsoft は、microsoft によってお客様のコンテンツへのアクセスを意図的に制限する一方で、Microsoft の365の大部分を自動化するシステムと管理に多大な投資を行っています。Microsoft has invested heavily in systems and controls that automate most Microsoft 365 operations while intentionally limiting access to customer content by Microsoft. 人間がサービスを制御し、ソフトウェアがサービスを運用します。Humans govern the service, and software operates the service. これにより、Microsoft は Microsoft 365 をスケールで管理し、お客様のコンテンツに対する内部の脅威のリスクを管理することができます。This enables Microsoft to manage Microsoft 365 at scale and manage the risks of internal threats to customer content.

既定では、Microsoft のエンジニアは、Microsoft 365 ではゼロの管理者権限と、お客様のコンテンツへのアクセスがゼロになります。By default, Microsoft engineers have zero standing administrative privileges and zero standing access to customer content in Microsoft 365. Microsoft のエンジニアは、限られた期間、お客様のコンテンツへのアクセスを制限、監査、およびセキュリティで保護することができます。A Microsoft engineer can have limited, audited, and secured access to a customer's content for a limited amount of time. アクセスは、サービス操作に必要な場合と、Microsoft シニアマネージメントのメンバーによって承認された場合にのみ使用できます。Access is only when necessary for service operations and only when approved by a member of Microsoft senior management. お客様にライセンスを供与されたお客様のために、お客様は Microsoft 365 でホストされているコンテンツへのアクセスを承認します。For Customer Lockbox licensed customers, the customer provides access approval to their content hosted on Microsoft 365.

Microsoft では、複数の形式のクラウド配信を使用したオンラインサービスを提供しています。Microsoft provides online services using multiple forms of cloud delivery:

  • パブリッククラウド: Microsoft 365、Azure、および北アメリカ、南米、ヨーロッパ、アジア、オーストラリアなどでホストされているその他のサービスのマルチテナントバージョンが含まれています。Public clouds: Includes multi-tenant versions of Microsoft 365, Azure, and other services hosted in North America, South America, Europe, Asia, Australia, etc.
  • 国立雲: 米国外にあるすべての独立およびサードパーティ製の雲 (前述したものを除く) (中国で運用されている 365)、ドイツの microsoft 365 (ドイツのデータを使用している場合はドイツの場合がありますが、ドイツのテレの場合があります) により、顧客データおよびお客様のデータを含むシステムへのアクセスNational clouds: Includes all sovereign and third party-operated clouds outside of the United States (except ones noted previously), such as Microsoft 365 in China (operated by 21Vianet), and Microsoft 365 in Germany (operated by Microsoft, but under a model in which a German data trustee, Deutsche Telekom, controls and monitors Microsoft's access to customer data and systems that contain customer data).
  • 行政機関向けクラウド: 米国政府機関のお客様が利用できる Microsoft 365 および Azure サービスが含まれています。Government clouds: Includes Microsoft 365 and Azure services that are available to United States government customers.

この記事の目的として、Microsoft 365 サービスには次のものが含まれます。For purposes of this article, Microsoft 365 services include:

Microsoft 365 のアクセス制御Microsoft 365 access controls

アクセス制御を目的として、microsoft は Microsoft 365 データを顧客データまたはその他の種類のデータとして分類しています。For access control purposes, Microsoft categorizes Microsoft 365 data as customer data or other types of data.

顧客データCustomer data

お客様のデータは、Microsoft 365 サービスを使用している場合に、お客様によって提供されるすべてのデータです。Customer data is all data provided by or on behalf of a customer when using Microsoft 365 services. これは、Microsoft 365 ユーザーによって直接作成またはアップロードされる、次のようなお客様向けコンテンツです。This is customer content directly created or uploaded by Microsoft 365 users, including:

  • メールEmails
  • SharePoint Online のコンテンツSharePoint Online content
  • インスタントメッセージInstant messages
  • 予定表アイテムCalendar items
  • ドキュメントDocuments
  • ContactsContacts
  • エンドユーザー識別情報 (EUII) (ユーザーに固有のデータ、または個別のユーザーに linkable されていても、顧客コンテンツは含まれません)End-user identifiable information (EUII) (data that is unique to a user or that is linkable to an individual user but does not include customer content)

その他の種類のデータOther types of data

その他の種類のデータは次のとおりです。Other types of data include:

  • アカウントデータ: 管理データ (管理者がサインアップまたはサービスを購入するときに提供される情報) と支払いデータ (クレジットカードの詳細などの支払い手段に関する情報) が含まれています。Account data: Includes administrative data (information provided by administrators when they sign-up or purchase services), and payment data (information about payment instruments, such as credit card details).
  • 組織的に識別できる情報: テナントを識別するために使用されるデータ、使用状況データ、個々のユーザーに linkable していないこと、または顧客コンテンツに含まれているデータを含みます。Organizationally identifiable information: Includes data used to identify a tenant, usage data, and not linkable to an individual user or included in customer content.
  • システムのメタデータ: 構成設定、システム状態、Microsoft IP アドレス、およびサブスクリプションとテナントに関する技術情報を含むサービスログが含まれています。System metadata: Includes service logs that contain configuration settings, system status, Microsoft IP addresses, and technical information about subscriptions and tenants.

Microsoft は、お客様のデータまたはアクセスコントロールのデータへのアクセスが許可されていないことを確認するためのアクセス制御メカニズムを確立しています。Microsoft has established access control mechanisms to ensure that no one has unapproved access to Customer Data or access control data. Access control データは、お客様のコンテンツや EUII、Microsoft のパスワード、セキュリティ証明書、およびその他の認証関連データへのアクセスを含む、環境内の他の種類のデータまたは機能へのアクセスを管理します。Access control data manages access to other types of data or functions within the environment, including access to customer content or EUII, Microsoft passwords, security certificates, and other authentication-related data. アクセス制御メカニズムは、Microsoft 365 運用環境への許可されていない物理、論理、またはリモートアクセスに対する保護も行います。Access control mechanisms also guard against unapproved physical, logical, or remote access to the Microsoft 365 production environment.

Microsoft が microsoft 365 を実行するために使用するアクセス制御には、次の3つのカテゴリがあります。There are three categories of access controls used by Microsoft for operating Microsoft 365:

  • 分離コントロールIsolation controls
  • 人事管理Personnel controls
  • テクノロジコントロールTechnology controls

これらのコントロールを組み合わせると、Microsoft 365 で悪意のあるアクションを防ぎ、検出することができます。When combined, these controls help prevent and detect malicious actions in Microsoft 365. Microsoft によって使用される分離、人物、およびテクノロジの各コントロールに加えて、ユーザーによって実装されるコントロールには、次の4つのカテゴリがあります。In addition to the isolation, personnel, and technology controls used by Microsoft, there is a fourth category of controls: those implemented by customers.

Microsoft 365 では、オンプレミス環境でのデータ管理と同じ方法でデータを管理できます。Microsoft 365 allows you to manage data the same way data is managed in on-premises environments. Microsoft 365 の組織にサインアップするユーザーは、自動的にグローバル管理者になります。The person who signs up an organization for Microsoft 365 automatically becomes a global administrator. グローバル管理者は、管理ポータルのすべての機能にアクセスでき、次のことができます。The global admin has access to all features in management portals and can:

  • ユーザーを作成または編集するCreate or edit users
  • 他のユーザーに管理者ロールを割り当てるAssign admin roles to others
  • ユーザーのパスワードをリセットするReset user passwords
  • ユーザーライセンスを管理するManage user licenses
  • ドメインの管理Manage domains
  • 顧客のロックボックス要求を承認するApprove Customer Lockbox requests

各組織で少なくとも2人の管理者アカウントを構成することをお勧めします。We recommend that each organization configure at least two admin accounts. 大規模な企業組織の場合、さまざまな機能を提供する特別な管理者アカウントをお勧めします。For large enterprise organizations, we recommend specialized admin accounts that serve different functions.

管理者の役割とアクセス許可の割り当ての詳細については、「管理者の役割の割り当て」および「管理者の役割について」を参照For information about assigning admin roles and permissions, see Assign admin roles and About admin roles.