Azure AD Privileged Identity Management で管理者権限の利用を制御する
Microsoft 365 には全体管理者やサービスごとの管理者など、様々な管理者の役割が用意されていますが、役割が割り当てられたアカウントが外部に流出してしまった場合、Microsoft 365 の乗っ取りや機密情報が盗まれるなど、非常に大きなリスクがあります。そのため多要素認証や簡単なパスワードの設定を禁止する等アカウント自体のセキュリティ対策も重要ですが、同時に管理者権限も厳重に管理する必要があります。
Azure AD Privileged Identity Management (PIM) とは
PIM は全体管理者やコンプライアンス管理者など、Microsoft 365 の設定や格納されている情報すべてにアクセスできる特権ロール (役割) を厳格に管理する機能です。この機能を利用することで、管理に必要な役割を必要な時に、組織内で承認されてから割り当てることができます。
PIM を利用すると、以下が行えるようになります。
- 役割ごとに、利用申請が可能なユーザーを設定できる。
- 利用申請が可能なユーザーは、特定の役割を利用したいときに PIM 画面から申請ができる。
- 利用申請が承認されたユーザーは、指定した時間内のみ対象の役割を利用することができる。
- 利用期限が切れた後は、自動的に付与された役割が剥奪される。
この機能を利用することで、特権を持つ役割を永続的に割り当てるアカウントを最小に減らし、特権ロールを利用した攻撃や組織情報へのアクセスなどの被害を抑えることができます。
PIM は、Microsoft 365 E5、EMS E5、Azure AD Premium P2 のいずれかのライセンスが必要です。
PIM の設定画面へのアクセス方法
PIM の設定画面は、Azure AD 管理センターからアクセスできます。
- Azure AD 管理センターの [Azure AD Privileged Identity Management] (https://aad.portal.azure.com/#blade/Microsoft_Azure_PIMCommon/CommonMenuBlade/quickStart) にアクセスし、[Azure AD ロール] をクリックします。
- [ロール] をクリックします。
- 設定対象の役割名 (ロール名) をクリックします。
PIM の利用準備を行う
管理者が役割に対して、以下の設定を行います。
- 役割の「アクティブ化」 と 「割り当て」
- 役割の利用を許可するユーザーを登録する
役割の 「アクティブ化」 と 「割り当て」
PIM を利用するには、最初に PIM の [設定] で、「アクティブ化」 と 「割り当て」 を行います。
- アクティブ化とは
ユーザーに役割を割り当てる際の設定です。
例えば、アクティブ化 (役割が利用できる) の時間上限や割り当て時の承認有無などが設定できます。
- 割り当てとは
[割り当ての追加] 設定の [資格のある割り当て] と [アクティブな割り当て] の既定値を設定します。
[永続的に…] は既定でチェックが入力されているため、期限なく役割の申請や役割の利用ができます。運用に応じて、有効期限を設定してください。
- [資格のある割り当て] とは、役割の利用申請を許可するユーザーを割り当てる設定のことです。[割り当ての追加] 設定内では、「対象」 と表示されています。
- [アクティブな割り当て] とは、申請処理なくユーザーに役割を割り当てる設定のことです。[割り当ての追加] 設定内では、「アクティブ」 と表示されています。
役割の利用を許可するユーザーを登録する
役割の設定完了後、[割り当ての追加] で指定したユーザーに [割り当ての種類] と [割り当て期間] を設定します。
割り当ての種類は [対象] と [アクティブ] があります。種類の選択とあわせて、割り当て期間も指定します。
- 対象 : 指定したユーザーに役割の利用申請を許可する
- アクティブ : 指定したユーザーに申請処理なく役割を割り当てる
例えば次のように割り当てられたユーザーは、2021/05/01 ~ 2021/09/30 の間のみ、グローバル管理者の利用申請を行うことができます。
ユーザーが役割の利用申請を行う
PIM の設定完了後、ユーザーは自分に割り当てられた役割の利用申請が可能です。
- [Azure AD Privileged Identity Management] 画面 (https://aad.portal.azure.com/#blade/Microsoft_Azure_PIMCommon/CommonMenuBlade/quickStart) にアクセスし、[自分のロール] をクリックします。
- [資格ある割り当て] タブに自分に割り当てられている役割名が表示されています。利用申請を行う役割の [アクティブ化] をクリックします。
- 利用時間やアクティブ理由を入力し、[アクティブ化] をクリックします。
役割の [設定] で [アクティブにするには承認が必要です] にチェックを入れていた場合、登録した承認者の承認が必要となります。
※ 承認者に承認依頼メールが送付されます。
- 承認され、役割の利用が許可されると、ユーザーは役割を利用した作業が行えます
<承認依頼メール>
まとめ
ユーザーアカウントのセキュリティ対策として、パスワードやログオン時の多要素認証などサインインアカウントの認証強化だけでなく、特権ロールへの対策も重要です。PIM を利用し、組織データの安全性をさらに高めていきましょう。
Microsoft 365 管理者向けコース
- CI520-O 今からはじめる Azure AD 基礎
Microsoft 365、Microsoft Azure では、ユーザーの管理や認証を行うしくみとして Azure AD が採用されています。本コースでは Azure AD の基礎を理解し、組織のセキュリティ向上につながる設定や運用を行っていただくことをめざします。Azure AD を「何となく使っているけれど一度基本からしっかり理解を深めたい」という方や、これから Microsoft 365 の管理者になる AD をそもそも知らない方などにおすすめのコースです。 - CI531-H シナリオベースで理解する Microsoft 365 セキュリティ機能
Microsoft 365 で利用できるセキュリティ機能と、それぞれが何のために利用するものかシナリオベースで解説します。 “どんな” 機能が利用できて、”何に” 対するセキュリティ対策になり、利用するためにはどのような設定が必要かを整理します。 - CI525-H Office 365 とクラウドサービスの認証ベストプラクティス (Azure AD 編)
Microsoft 365 をはじめとするクラウドサービスへのユーザー認証の設計と実装について学習します。Azure AD では、SAML、OpenID Connect、OAuth2.0 など、様々なID 連携プロトコルを利用して 365 だけでなく、SaaS や PaaS などのクラウドサービスにシングルサインオンするために必要な実装やシングルサインオン環境を実現するために必要な知識を習得します。 - CI532-H EMS で実現するクラウド IT インフラ管理
企業でのデバイス管理や展開をおこなう方を対象に、EMS を利用した “モダンマネージメント” を実践していただこうと考えています。豊富な実習を通してクラウドベースでの IT インフラ管理へ移行する方法を習得し、管理の考え方もクラウドベースにシフトしていきましょう。 - CI535-H Microsoft 365 を利用したインシデント対応
Microsoft 365 E5 を利用している企業を対象に、サイバー攻撃の検知や対応を具体的に行う方法について解説し、インシデント対応プロセスをどのように進めていくべきかについてベストプラクティスを探っていきます。 - CI510-H 管理者のための Microsoft Teams – 活用シナリオ理解と管理手法
IT 管理者向けに Microsoft Teams 活用のためのシナリオや、必要となる管理知識を解説します。Teams の導入/展開にあたり、理解しておかないといけない運用管理の手法や注意事項をご理解いただけます。
オンライン コースも提供中!