強化されたセキュリティ管理環境Enhanced Security Admin Environment

強化されたセキュリティ管理環境 (ESAE) アーキテクチャ (多くの場合、red フォレスト、管理フォレスト、または強化されたフォレストと呼ばれます) は、Windows Server Active Directory (AD) 管理者にセキュリティで保護された環境を提供するためのアプローチです。The Enhanced Security Admin Environment (ESAE) architecture (often referred to as red forest, admin forest, or hardened forest) is an approach to provide a secure environment for Windows Server Active Directory (AD) administrators.

このアーキテクチャパターンの使用に関するマイクロソフトの推奨事項は、特権のあるユーザーをセキュリティで保護するための既定の推奨アプローチとして、最新の 特権アクセス戦略 および 迅速な近代化計画 (ランプ) ガイダンスに置き換えられました。Microsoft’s recommendation to use this architectural pattern has been replaced by the modern privileged access strategy and rapid modernization plan (RAMP) guidance as the default recommended approach for securing privileged users. セキュリティで強化された管理フォレストパターン (オンプレミスまたはクラウドベース) は、以下に示す例外ケースにのみ適したカスタム構成と見なされるようになりました。The ESAE hardened administrative forest pattern (on-prem or cloud-based) is now considered a custom configuration suitable only for exception cases listed below.

既に ESAE を持っている場合はどうすればよいですか?What if I already have ESAE?

セキュリティを強化するためにこのアーキテクチャを既にデプロイしているお客様や、複数フォレストの管理を簡略化するために、ESAE の実装が設計および意図したとおりに運用されている場合、それらを削除したり交換したりする緊急度はありません。For customers that have already deployed this architecture to enhance security and/or simplify multi-forest management, there is no urgency to retire or replace an ESAE implementation if it's being operated as designed and intended. すべてのエンタープライズシステムと同様に、セキュリティ更新プログラムを適用し、ソフトウェアが サポートライフサイクル内にあることを確認して、ソフトウェアを管理する必要があります。As with any enterprise systems, you should maintain the software in it by applying security updates and ensuring software is within support lifecycle.

また、Microsoft は、ESAE またはセキュリティが強化されたフォレストを持つ組織が、迅速な近代化計画 (傾斜)のガイダンスを使用して最新の特権アクセス戦略を採用することをお勧めします。Microsoft also recommends organizations with ESAE / hardened forests adopt the modern privileged access strategy using the rapid modernization plan (RAMP) guidance. これは、既存の ESAE 実装を補完し、Azure AD のグローバル管理者、機密性の高いビジネスユーザー、標準エンタープライズユーザーなど、ESAE によって保護されていないロールに適切なセキュリティを提供します。This complements an existing ESAE implementation and provides appropriate security for roles not already protected by ESAE including Azure AD Global Administrators, sensitive business users, and standard enterprise users. 詳細については、「 privileged access security レベルのセキュリティ保護」を参照してください。For more information, see the article Securing privileged access security levels.

推奨事項を変更する理由Why change the recommendation?

最初は10年前に ESAE を設計したので、ローカル id プロバイダーとして AD を使用するオンプレミス環境に焦点を当てました。When ESAE was originally designed 10 years ago, the focus was on on-premise environments with AD as the local identity provider. ESAE と強化されたフォレストの実装では、Windows Server Active Directory 管理者の保護に重点を置いています。ESAE / hardened forest implementations focus on protecting Windows Server Active Directory administrators.

Microsoft では、新しいクラウドベースのソリューションを推奨しています。これは、管理およびビジネスに依存する役割とシステムをより広い範囲で保護するために、より迅速に展開できるためです。Microsoft recommends the new cloud-based solutions because they can be deployed more quickly to protect a broader scope of administrative and business-sensitive roles and systems.

特権アクセス戦略は、非常に大きな機密性の高いユーザーのセットに対して保護と監視を提供し、セキュリティ保証を迅速に作成するための低コストの段階的な手順を提供します。The privileged access strategy provides protections and monitoring for a much larger set of sensitive users, while providing incremental lower-cost steps to rapidly build security assurances.

特定のユースケースに対しても有効ですが、ESAE の強化されたフォレストの実装はコストが高く、使用が困難であり、より新しいクラウドベースのソリューションと比較して、より多くの運用サポートが必要になります (アーキテクチャには複雑な性質があるため)。While still valid for specific use cases, ESAE hardened forest implementations are more costly and more difficult to use, requiring more operational support compared to the newer cloud-based solution (due to the complex nature of that architecture). ESAE 実装は、Windows Server Active Directory 管理者だけを保護するように設計されています。ESAE implementations are designed to protect only Windows Server Active Directory administrators. クラウドベースの特権アクセス戦略は、   非常に大きな機密性の高いユーザーのセットに対して保護と監視を提供し、セキュリティ保証を迅速に作成するための低コストの段階的な手順を提供します。The cloud based privileged access strategy provides protections and monitoring for a much larger set of sensitive users, while providing incremental lower-cost steps to rapidly build security assurances.

有効な ESAE のユースケースは何ですか?What are the valid ESAE use cases?

このアーキテクチャパターンは、メインストリームの推奨事項ではありませんが、限られた一連のシナリオで有効です。While not a mainstream recommendation, this architectural pattern is valid in a limited set of scenarios.

このような例外が発生した場合、組織はソリューションの技術的な複雑さと運用コストを増大させる必要があります。In these exception cases, the organization must accept the increased technical complexity and operational costs of the solution. 組織は、リスクを測定し、リスクを監視し、ESAE 実装の使用状況とメンテナンスに一貫した運用性を適用するための高度なセキュリティプログラムを備えている必要があります。The organization must have a sophisticated security program to measure risk, monitor risk, and apply consistent operational rigor to the usage and maintenance of the ESAE implementation.

シナリオの例を次に示します。Example scenarios include:

  • 分離された オンプレミス環境-オフラインの research 研究所、重要なインフラストラクチャやユーティリティ、監督制御とデータ取得 (scada)/工業制御システム (ICS) などの切断された運用テクノロジ (OT) 環境、オンプレミステクノロジに完全に依存している公的機関のお客様。Isolated on-premises environments - where cloud services are unavailable such as offline research laboratories, critical infrastructure or utilities, disconnected operational technology (OT) environments such as Supervisory control and data acquisition (SCADA) / Industrial Control Systems (ICS), and public sector customers that are fully reliant on on-premises technology.
  • 高度に規制 された環境–業界や政府の規制によっては、管理フォレストの構成が必要になる場合があります。Highly regulated environments – industry or government regulation may specifically require an administrative forest configuration.
  • 高いレベルのセキュリティ保証は必須です 。リスクが低い組織は、ソリューションの複雑さと運用コストの増加に対応できます。High level security assurance is mandated - organizations with low risk tolerance that are willing to accept the increased complexity and operational cost of the solution.

注意

ほとんどの組織では、Microsoft はほとんどのシナリオにおいて、分離されたセキュリティで保護されたフォレストモデルを推奨していませんが、信頼されたクラウドサービスを世界中の組織に提供するための非常に優れたセキュリティ要件があるため、内部的に同様のアーキテクチャ (および関連するサポートプロセスと担当者) をWhile Microsoft no longer recommends an isolated hardened forest model for most scenarios at most organizations, Microsoft still operates a similar architecture internally (and associated support processes and personnel) because of the extreme security requirements for providing trusted cloud services to organizations around the globe.

次のステップNext steps

特権 アクセス戦略 と迅速な 近代化計画 (ランプ) のガイダンスを確認して、特権のあるユーザーにセキュリティで保護された環境を提供します。Review the privileged access strategy and rapid modernization plan (RAMP) guidance for providing secure environments for privileged users.