Microsoft 365

Micrsoft 365 に緊急アクセス用管理者アカウントを準備する

  • 2021.05.13

緊急アクセス用管理者アカウント(Break Glass アカウント) とは、普段利用している管理者アカウントが利用できなくなった時など緊急時に使用する管理者アカウントのことです。

  1. 緊急アクセス用管理者アカウントの利用シーン
  2. 緊急アクセス用管理者アカウントの注意点
  3. まとめ

緊急アクセス用管理者アカウントの利用シーン

  • 全体管理者アカウントのサインイン時、多要素認証で使用するモバイルデバイスを紛失してしまい、Microsoft 365 にサインインできない
  • Azure AD の条件付きアクセス機能で、全体管理者アカウントのサインインがブロックされてしまった

上記のような管理者アカウントでアクセスできない状態が発生した時に、緊急アクセス用管理者アカウントがあれば、サインインできない全体管理者アカウントを利用できるように設定変更が行えます。

緊急アクセス用管理者アカウントの注意点

緊急アクセス用管理者アカウントは、どのようなトラブル時でも利用できるアカウントである必要があります。そのため、組織のアカウントの運用管理と同じルールではなく以下のような点を考慮して管理を行います。

  • 通常のシステム運用では使用しない。
  • アカウントは Azure Active Directory で作成・管理する。
  • 永続的な全体管理者権限を付与する。
  • onmicrosoft.com ドメインを使用したアカウントとする (カスタムドメインアカウントにしない)。
  • 多要素認証や条件付きアクセス機能、セルフサービス パスワード リセット機能の設定対象から除外する。
  • アカウントの利用を定期的に監査する。
  • 少なくとも 90 日に一度は、アカウントとパスワードが利用できるか確認する。
  • 緊急アクセス用管理者アカウントを知っているシステム管理者の異動や退職があった時は、パスワードを変更する。
  • パスワードは、16 文字以上の長さでランダムに生成する。
  • パスワードは 2 つ以上に分けて、異なる紙に書き記し、個別に金庫等で厳重に保管する。

まとめ

自然災害などの予期しない状況の発生や多要素認証や条件付きアクセス機能でMicrosoft 365 へのアクセスがブロックされてしまった、管理者アカウントの流出によりパスワードが書き換えられたなど、Microsoft 365 の緊急事態に備えて、緊急アクセス用管理者アカウントを用意しておくことをお勧めします。

参考 URL
https://docs.microsoft.com/ja-jp/azure/active-directory/roles/security-emergency-access#validate-accounts-regularly

関連コース

  • CI505-H Microsoft 365 運用管理
    Microsoft 365 の運用管理において必要となる知識を習得し、行うべき設定項目を理解いただけます。アカウントやデバイス管理の必須となる Azure AD に対する必須知識から、Exchange Online、Microsoft Teams、SharePoint Online、OneDrive for Business などの各サービスに対して行うべき設定、推奨される設定、理解しておきたいしくみなど、運用管理に必要となる内容を基本から、運用にもとめられるレベルまで解説します。また入退社や人事異動への対応方法、監査ログや検疫といったセキュリティ・コンプライアンス対策のために行うべきこともあわせてご紹介します。
  • CI509-H Microsoft 365 デバイス運用管理
    IT 担当者を対象に、安全なモバイルワークを実現する第一歩である Microsoft 365 でのデバイスの管理や運用手法について解説します。デバイスの安全性を高めるために Microsoft Entra ID や Microsoft Intune により、OS のバージョン管理、利用可能とするアプリの許可、接続するネットワークの制限、デバイスの盗難や紛失、退職者のデバイスを正しく管理する方法などを解説します。本コースでは iPhone を使用した実習を行うため、モバイルデバイスの管理方法について、動作を確認しながらさまざまな機能をご理解いただけます。
  • CI507-H Microsoft 365 情報保護とコンプライアンス
    Microsoft 365 の管理者を対象に、ファイルやメール、チームといった Microsoft 365 内の情報を保護するために必要な基本知識や利用すべき機能、および利用方法を解説します。
  • CI508-H Microsoft 365 PowerShell による管理効率化
    Microsoft 365 に対する運用管理で PowerShell を利用するための基本や Exchange Online、SharePoint Online、Microsoft Teams を設定するための便利なコマンドライン、設定を自動化するためのスクリプトの作成方法など、PowerShell による Microsoft 365 管理の基本から必須スキルを運用管理で利用できるサンプルをもちいて解説します。また、今後利用が推奨される Microsoft Graph PowerShell SDK の利用方法もあわせて解説します。

お問い合わせ

イルミネート・ジャパンが提供するトレーニングやサービスに関するご相談など、
お気軽にご連絡ください。

担当者に相談する