手順 2。 Microsoft 365 特権アカウントを保護する

この記事は、Microsoft 365 Enterprise および Office 365 Enterprise の両方に適用されます。

スモール ビジネス ヘルプとラーニングに関するすべてのスモール ビジネス コンテンツをご覧ください。

情報収集やフィッシング攻撃を含む Microsoft 365 テナントのセキュリティ侵害は、通常、Microsoft 365 特権アカウントの資格情報を侵害することによって行われます。 クラウドのセキュリティは、お客様と Microsoft 間のパートナーシップに基づくものです。

  • Microsoft クラウド サービスは信頼とセキュリティの基盤の上に構築されます。 Microsoft が提供するセキュリティ制御と機能は、お客様のデータとアプリケーションの保護に役立ちます。

  • お客様はご自分のデータと ID を所有しており、それらとオンプレミス リソースのセキュリティ、およびご自分が制御しているクラウド コンポーネントのセキュリティを保護する責任を担っています。

Microsoft には、organizationを保護するための機能が用意されていますが、使用する場合にのみ有効です。 使用しない場合は、攻撃に対して脆弱になる可能性があります。 特権アカウントを保護するために、Microsoft は以下の詳細な手順に役立ちます。

  1. 専用の特権を持つクラウドベースのアカウントを作成し、必要な場合にのみ使用します。

  2. 専用の Microsoft 365 特権アカウントの多要素認証 (MFA) を構成し、最も強力な形式のセカンダリ認証を使用します。

  3. ゼロ トラスト ID とデバイス アクセスに関する推奨事項を使用して特権アカウントを保護します。

注:

特権ロールをセキュリティで保護するには、テナントへの特権アクセスをセキュリティで保護するためのMicrosoft Entraロールのベスト プラクティスをチェックします。

1. 専用の特権を持つクラウドベースのユーザー アカウントを作成し、必要な場合にのみ使用する

管理者ロールが割り当てられている日常的なユーザー アカウントを使用する代わりに、Microsoft Entra IDに管理者ロールを持つ専用ユーザー アカウントを作成します。

この時点から、管理者特権を必要とするタスクに対してのみ、専用の特権アカウントでサインインします。 他のすべての Microsoft 365 の管理は、他の管理ロールをユーザー アカウントに割り当てて行う必要があります。

注:

これには、日常のユーザー アカウントとしてサインアウトし、専用の管理者アカウントでサインインするための追加の手順が必要です。 ただし、これは管理者の操作に対してのみ行う必要があります。 管理者アカウント違反後に Microsoft 365 サブスクリプションを復旧するには、さらに多くの手順が必要であることを検討してください。

また、Microsoft Entra IDから誤ってロックアウトされるのを防ぐために、緊急アクセス アカウントを作成する必要もあります。

管理者ロールのオンデマンドの Just-In-Time 割り当てのために、Microsoft Entra Privileged Identity Management (PIM) を使用して特権アカウントをさらに保護できます。

2. 専用の Microsoft 365 特権アカウントの多要素認証を構成する

多要素認証 (MFA) には、アカウント名とパスワード以外の追加情報が必要です。 Microsoft 365 では、次の追加の検証方法がサポートされています。

  • Microsoft Authenticator アプリ
  • 電話
  • テキスト メッセージを介して送信されるランダムに生成された確認コード
  • スマート カード (仮想または物理) (フェデレーション認証が必要)
  • 生体認証デバイス
  • Oauth トークン

注:

アメリカ国立標準技術研究所 (NIST) の標準に準拠する必要がある組織では、電話またはテキスト メッセージベースの追加の検証方法の使用が制限されています。 詳細については、ここをクリックしてください。

クラウドにのみ格納されているユーザー アカウント (クラウド専用 ID モデル) を使用している小規模企業の場合は、専用特権アカウントごとにスマートフォンに送信される電話またはテキスト メッセージ検証コードを使用して MFA を構成するように MFA を設定 します。

Microsoft 365 ハイブリッド ID モデルを使用している大規模なorganizationの場合は、より多くの検証オプションがあります。 より強力なセカンダリ認証方法のセキュリティ インフラストラクチャが既に用意されている場合は、 MFA を設定 し、適切な検証方法用に各専用特権アカウントを構成します。

必要な強力な検証方法のセキュリティ インフラストラクチャが設定されておらず、Microsoft 365 MFA に対して機能していない場合は、Microsoft Authenticator アプリ、電話、または特権アカウントのスマート フォンに送信されるテキスト メッセージ検証コードを中間セキュリティ対策として使用して、MFA を使用して専用の特権アカウントを構成することを強くお勧めします。 MFA によって提供される追加の保護なしで、専用の特権アカウントを残さないでください。

詳細については、「Microsoft 365 の MFA」を参照してください。

3. ゼロ トラスト ID とデバイス アクセスに関する推奨事項を使用して管理者アカウントを保護する

安全で生産性の高い従業員を確保するために、Microsoft は ID とデバイスへのアクセスに関する一連の推奨事項を提供します。 ID については、次の記事の推奨事項と設定を使用します。

企業組織のための追加の保護

これらの追加の方法を使用して、特権アカウントと、それを使用して実行する構成が可能な限り安全であることを確認します。

特権アクセス ワークステーション (PAW)

高い権限を持つタスクの実行が、可能な限りセキュリティで保護されるようにするには、特権アクセス ワークステーション (PAW) を使用します。 PAW は、特権アカウントを必要とする Microsoft 365 構成などの機密性の高い構成タスクにのみ使用される専用コンピューターです。 このコンピューターは、インターネットの閲覧や電子メールに毎日使用されないため、インターネット攻撃や脅威から保護する方が適切です。

PAW を設定する手順については、「 特権アクセス ストーリーの一部としてのデバイスのセキュリティ保護」を参照してください。

Microsoft Entra テナントと管理者アカウントに対して Azure PIM を有効にするには、PIM を構成する手順に関するページを参照してください。

サイバー攻撃者に対する特権アクセスをセキュリティで保護するための包括的なロードマップを開発するには、「Microsoft Entra IDでのハイブリッドおよびクラウドデプロイの特権アクセスのセキュリティ保護」を参照してください。

Privileged Identity Management

特権アカウントに管理者ロールを永続的に割り当てるのではなく、PIM を使用して、必要に応じて管理者ロールのオンデマンドの Just-In-Time 割り当てを有効にすることができます。

管理者アカウントは、永続的な管理者から適格な管理者に移動します。 管理者ロールは、誰かが必要とするまで非アクティブとなります。 その後、ライセンス認証プロセスを完了して、管理者ロールを事前に決められた時間特権アカウントに追加します。 時間が経過すると、PIM は特権アカウントから管理者ロールを削除します。

PIM とこのプロセスを使用すると、特権アカウントが悪意のあるユーザーによる攻撃や使用に対して脆弱になる時間が大幅に短縮されます。

この機能を使用するには、Microsoft Entra ID ガバナンスまたは Microsoft Entra ID P2 サブスクリプションが必要です。 要件に適したライセンスを見つけるには、「Microsoft Entra IDの一般公開機能を比較する」を参照してください。

ユーザーのライセンスの詳細については、「Privileged Identity Managementを使用するためのライセンス要件」を参照してください。

詳細については、以下を参照してください:

特権アクセス管理

特権アクセス管理は、テナント内のタスク ベースのアクティビティに対して Just-In-Time アクセスを指定するポリシーを構成することで有効になります。 これは、機密データへの永続的なアクセスまたは重要な構成設定へのアクセスを持つ既存の特権管理者アカウントを使用する可能性のある侵害からorganizationを保護するのに役立ちます。 たとえば、テナント内のメールボックス設定にアクセスして変更するために明示的な承認を必要とする特権アクセス管理ポリシー organization構成できます。

この手順では、テナントで特権アクセス管理を有効にし、organizationのデータと構成設定へのタスク ベースのアクセスに対するセキュリティを強化する特権アクセス ポリシーを構成します。 organizationで特権アクセスを開始するには、次の 3 つの基本的な手順があります。

  • 承認者のグループを作成する
  • 特権アクセスを有効にする
  • 承認ポリシーを作成する

特権アクセス管理により、組織は永続的な特権なしで運用でき、そのような永続的な管理アクセスによって発生する脆弱性に対する防御レイヤーを提供できます。 特権アクセスには、関連する承認ポリシーが定義されているタスクを実行するための承認が必要です。 承認ポリシーに含まれるタスクを実行する必要があるユーザーは、アクセス承認を要求して許可する必要があります。

特権アクセス管理を有効にするには、「 特権アクセス管理の概要」を参照してください。

詳細については、「 特権アクセス管理について」を参照してください。

Microsoft 365 ログ記録用のセキュリティ情報とイベント管理 (SIEM)

サーバー上で実行される SIEM ソフトウェアは、アプリケーションとネットワーク ハードウェアによって作成されたセキュリティ アラートとイベントのリアルタイム分析を実行します。 SIEM サーバーが Microsoft 365 のセキュリティ アラートとイベントを分析およびレポート機能に含めることを許可するには、Microsoft Entra IDを SEIM に統合します。 「Azure Log Integration の概要」を参照してください。

次の手順

Microsoft 365 ユーザー アカウントを保護する

手順 3 に進み、ユーザー アカウントをセキュリティで保護します。