【AzureADコラム】AzureADロールの概要および運用のベストプラクティス
Microsoft
2022.05.27
イントロ
ご覧いただきありがとうございます。本コラムではAzureADロールの概要および実際にロールを運用する上での設定例やセキュリティ上の留意事項などをご紹介いたします。それではよろしくお願いいたします。
AzureADロールの概要
AzureADロールとは
⇒AzureのうちAzureADリソース(ユーザー、グループなど)に対するアクセス管理に使用するロールです。
AzureADロールの種類
AzureADロールは以下の3つの種類に分けられます。
| ロールの種類 | 概要 | ロールの例 |
|---|---|---|
| AzureAD固有ロール | AzureAD内のリソースの管理に用いられるロール | ユーザー管理者、グループ管理者など |
| サービス固有ロール | AzureAD以外のサービスを管理するロール | Dynamic365管理者、Exchange管理者、SharePoint管理者など |
| サービス間のロール | 複数のサービスを一括で管理するためのロール | グローバル管理者など |
AzureADロール管理のベストプラクティス
AzureADロール管理のベストプラクティスについて以下に示します。
- 1.最小特権を管理する
⇒操作に必要な最小限の権限を付与する - 2.Privileged Identity Managementを使用してJust-In-Timeアクセスを付与する
⇒あらかじめ権限の有効期限を設定する - 3.すべての管理者アカウントに対して多要素認証を有効にする
⇒多要素認証を有効にすることでアカウントへの不正アクセスリスクを減らす - 4.定期的なアクセスレビューを構成して時間の経過に伴う不要なアクセス許可を取り消す
⇒アクセス権を定期的に確認し、適切なユーザーにのみアクセス権が付与されていることを確認する - 5.グルーバル管理者の数を5人未満に制限する
⇒グローバル管理者の数を制限することで不正アクセスを受ける対象を減らす - 6.AzureADロールの割り当てにグループを使用しロールの割り当てを委任する
⇒ユーザーではなくグループにロールを割り当てることで管理しやすくする - 7.特権アクセスグループを使用して一度に複数のロールをアクティブにする
⇒特権アクセスグループを作成し、複数のロールに永続的にアクセスさせることが可能 - 8.AzureADロールにクラウドネイティブアカウントを使用する
⇒オンプレミスのアカウントが乗っ取られた場合にAzureADリソースへの不正アクセスリスクを減らす
基本的には上記8つの要件を満たした設定を行うことを目標とします。
ベストプラクティス設定例
AzureADロールのベストプラクティス設定のうち代表的なものを以下に示します。
| 設定項目 | 規定値 | ベストプラクティス設定 |
|---|---|---|
| パスワードリセット | パスワードリセットのための認証方法の数は1 | パスワードリセットのための認証方法は2とする |
| エンタープライズアプリケーション | 自分が同意できないアプリに対して管理者の同意を要求可能とする ⇒いいえ |
自分が同意できないアプリに対して管理者の同意を要求可能とする ⇒はい |
| ユーザー設定 | 外部ユーザーのAzureADポータルへのアクセスを制限する ⇒すべて |
外部ユーザーのAzureADポータルへのアクセスを制限する ⇒はい |
| デバイス | ユーザーはデバイスをAzureADに参加させることができる ⇒すべて |
ユーザーはデバイスをAzureADに参加させることができる ⇒選択済み |
| グループ | グループにAzureADロールを割り当てることができる ⇒いいえ |
グループにAzureADロールを割り当てることができる ⇒はい |
| プロパティ | Azureリソースのアクセス管理の可否 ⇒いいえ |
Azureリソースのアクセス管理の可否 ⇒いいえ |
| AzureMFA | ユーザーが不正アクセスを通報できる ⇒いいえ |
ユーザーが不正アクセスを通報できる ⇒はい |
AzureADロールの保護
AzureADロールを運用していくうえで考慮すべきセキュリティ事項について重要度に応じてステージ1~4に分類したセキュリティーロードマップを以下に示します。
| ステージ | 説明 | 対応策 |
|---|---|---|
| ステージ1(24~48時間) | 運用開始後24~48時間以内に実施することが推奨される重要な項目 | ・多要素認証の有効化 ・Privileged Identity Managementの使用 |
| ステージ2(2~4週間) | 頻繁に使用される攻撃手法を緩和するために2~4週間以内に実施することが推奨される項目 | ・条件付きアクセスの実装 ・アクティビティの監視 |
| ステージ3(1~3か月) | ステージ2の応用として1~3か月以内に実施することが推奨される項目 | ・アクセスレビューの実施 ・特に重要な管理者アカウントへの多要素認証強制 |
| ステージ4(6か月以降) | ステージ1~3の仕上げとして6か月目以降に実施することが推奨される項目 | ・管理者ロールの再確認 ・インシデント対応計画の定期的な検証 |
まとめ
今回はAzureADロールの概要およびAzureADロールを運用する上でのベストプラクティスについて説明させていただきました。
AzureADロール設定の際に何か一つでも参考になるものがあれば幸いです。
参考文献
「マイクロソフト公式ドキュメント」
※Microsoft, Active Directory, Windows Serverは、米国Microsoft Corporationの米国およびその他の国における登録商標または商標です。
※その他の商品名、会社名、団体名は、各社の商標または登録商標です。