次の方法で共有


Privileged Identity Management で Microsoft Entra ロールのセキュリティ アラートを構成する

Microsoft Entra ID の組織内で疑わしいアクティビティや危険なアクティビティが行われると、Privileged Identity Management (PIM) によりアラートが生成されます。 アラートは、トリガーされると Privileged Identity Management ダッシュボードに表示されます。 アラートを選択して、アラートをトリガーしたユーザーまたはロールが一覧表示されたレポートを表示します。

Note

Privileged Identity Management の 1 つのイベントで、複数の受信者 (担当者、承認者、管理者) 宛の電子メール通知を生成できます。 1 つのイベントごとに送信できる通知の最大数は 1000 です。 受信者の数が 1000 を超える場合は、最初の 1000 人の受信者のみが電子メール通知を受け取ります。 これにより、他の担当者、管理者、または承認者が Microsoft Entra ID および Privileged Identity Management のアクセス許可を使用できなくなることはありません。

[アラート] ページを示すスクリーンショット。アラートとその重大度の一覧が表示されています。

ライセンス要件

Privileged Identity Management を使用するにはライセンスが必要です。 ライセンスの詳細については、「Microsoft Entra ID ガバナンス ライセンスの基礎」を参照してください。

セキュリティのアラート

このセクションでは、Microsoft Entra ロールのすべてのセキュリティ アラートの一覧を、修正方法および回避方法と共に示します。 重大度には、次のような意味があります。

  • : ポリシー違反のため直ちに対処が必要です。
  • : 早急の対処は必要ありませんが、ポリシー違反の可能性が通知されています。
  • : 早急な対処は必要ありませんが、望ましいポリシー変更が提案されています。

Note

Microsoft Entra ロールの PIM セキュリティ アラートを読み取ることができるのは、全体管理者特権ロール管理者グローバル閲覧者セキュリティ管理者、およびセキュリティ閲覧者のみです。

管理者が特権ロールを使用してません

重要度:

説明
このアラートが表示される理由 特権ロールが割り当てられているユーザーは、攻撃の可能性を高める必要がありません。 アクティブに使用されていないアカウントでは、攻撃者が気付かれずに居続けることも簡単です。
修正方法 リスト内のユーザーを確認し、必要のない特権ロールから、これらのユーザーを削除します。
防止 業務上の正当な理由があるユーザーにのみ、特権ロールを割り当てます。
定期的なアクセス レビューをスケジュールして、ユーザーにまだそれらのアクセスが必要なことを確認します。
ポータル内での軽減策のアクション 対象の特権ロールからアカウントを削除します。
トリガー ユーザーがロールをアクティブ化しないで一定の日数が経過するとトリガーされます。
日数 この設定では、ユーザーがロールをアクティブ化しないままでいられる最大日数を 0 から 100 で指定します。

ロールのアクティブ化に多要素認証は必要ありません

重要度:

説明
このアラートが表示される理由 多要素認証を使用しないと、侵害されたユーザーが特権ロールをアクティブ化できます。
修正方法 ロールのリストを確認し、すべてのロールに対して多要素認証を要求してください。
防止 すべてのロールに対して MFA を要求します。
ポータル内での軽減策のアクション 特権ロールのアクティブ化には、多要素認証が必須になるようにしてください。

組織に Microsoft Entra ID P2 または Microsoft Entra ID ガバナンスがない

重要度:

説明
このアラートが表示される理由 現在の Microsoft Entra 組織には、Microsoft Entra ID P2 または Microsoft Entra ID ガバナンスがありません。
修正方法 Microsoft Entra エディションに関する情報を確認します。 Microsoft Entra ID P2 または Microsoft Entra ID ガバナンスにアップグレードします。

Potential stale accounts in a privileged role (特権ロール内のアカウントが古い可能性があります)

重大度:

説明
このアラートが表示される理由 このアラートは、アカウントの最後のパスワード変更日に基づいてトリガーされなくなりました。 このアラートは、過去 n 日間サインインしていない特権ロールのアカウントを対象とします。ここで、n は 1 から 365 日の範囲で構成できる日数です。 このようなアカウントは、保守されておらず、攻撃者に対して脆弱なサービス アカウントまたは共有アカウントの可能性があります。
修正方法 リスト内のアカウントを確認します。 もうアクセスが不要になっているアカウントは、特権ロールから削除します。
防止 パスワードを知っているユーザーの変更がある場合、共有されているアカウントで強力なパスワードがローテーションされていることを確認します。
アクセス レビューを使用して特権ロールを持つアカウントを定期的に確認し、不要になっているロールの割り当てを削除します。
ポータル内での軽減策のアクション 対象の特権ロールからアカウントを削除します。
ベスト プラクティス パスワードを使って認証を行い、全体管理者やセキュリティ管理者などの高い特権を持つ管理者ロールに割り当てられる共有、サービス、および緊急アクセス用のアカウントでは、次の場合にパスワードをローテーションする必要があります。
  • 管理アクセス権の悪用や侵害が関係するセキュリティ インシデントの後
  • 管理者ではなくなったユーザーの特権を変更した後 (たとえば、IT 管理者であった従業員が IT 部門から異動したり退職したりした後)
  • IT スタッフの認識された侵害や変更がない場合でも、一定の間隔で (たとえば、毎四半期または毎年)
これらのアカウントの資格情報には複数のユーザーがアクセスできるので、資格情報をローテーションして、それらのロールから抜けたユーザーがアカウントにアクセスできないようにする必要があります。 アカウントの保護に関する詳細情報

ロールが Privileged Identity Management の外部に割り当てられている

重大度:

説明
このアラートが表示される理由 Privileged Identity Management の外部で行われた特権ロールの割り当てが正しく監視されておらず、アクティブな攻撃を示している可能性があります。
修正方法 リスト内のユーザーを確認し、Privileged Identity Management の外部で割り当てられた特権ロールから、これらのユーザーを削除します。 アラート設定で、アラートとそれに付随する電子メール通知の両方を有効または無効にすることもできます。
防止 ユーザーが特権ロールを割り当てられた Privileged Identity Management の外部の場所を調査し、そこからの今後の割り当てを禁止します。
ポータル内での軽減策のアクション 対象の特権ロールからユーザーを削除します。

Note

アラート設定からアラートが有効になっている場合に、PIM により "PIM の外部に割り当てられたロール" アラートのメール通知が送信されます。PIM の Microsoft Entra ロールの場合は、Privileged Identity Management が有効になっている特権ロール管理者セキュリティ管理者全体管理者にメールが送信されます。 PIM の Azure リソースの場合、メールは所有者ユーザー アクセス管理者に送信されます。

グローバル管理者が多すぎます

重要度:

説明
このアラートが表示される理由 グローバル管理者は、最上位の特権ロールです。 全体管理者が侵害された場合、攻撃者はこの管理者のすべてのアクセス許可を使用できるようになり、システム全体が危険にさらされます。
修正方法 リストのユーザーを確認し、グローバル管理者ロールがどうしても必要ではないユーザーをすべて削除します。
代わりに、下位の特権ロールをこれらのユーザーに割り当てます。
防止 ユーザーには最低限必要な特権ロールを割り当てます。
ポータル内での軽減策のアクション 対象の特権ロールからアカウントを削除します。
トリガー 2 つの異なる条件が満たされるとトリガーされます。これらの両方の条件を構成できます。 1 つ目として、グローバル管理者ロールの割り当て数が特定のしきい値に達する必要があります。 2 つ目として、総ロール割り当て数のうち一定の割合がグローバル管理者である必要があります。 これらの測定値の一方のみが満たされている場合は、アラートは表示されません。
Minimum number of Global Administrators (グローバル管理者の最低人数) この設定では、全体管理者のロールの割り当て数を、Microsoft Entra 組織には少なすぎると考えられる 2 から 100 の数で指定します。
グローバル管理者の割合 この設定では、Microsoft Entra 組織の管理者のうちグローバル管理者の割合について、それより低下すると望ましくない最低限の値 (0% から 100% の範囲) を指定します。

ロールをアクティブ化する頻度が高すぎます

重要度:

説明
このアラートが表示される理由 同じユーザーが同じ特権ロールに対してアクティブ化を複数行っているのは、攻撃の兆候です。
修正方法 リスト内のユーザーを確認し、それらのユーザーの特権ロールのアクティブ化期間が、タスクを実行するのに十分長い設定になっていることを確認します。
防止 特権ロールのアクティブ化期間が、ユーザーがタスクを実行するのに十分な長さに設定されていることを確認してください。
複数の管理者によって共有されているアカウントを持つ特権ロールに多要素認証を要求してください。
ポータル内での軽減策のアクション 該当なし
トリガー ユーザーが指定期間内に同じ特権ロールを複数回アクティブ化するとトリガーされます。 期間とアクティブ化の回数の両方を構成できます。
アクティブ化の更新の時間枠 この設定では、不審な更新の追跡に使用する期間を日、時間、分、および秒で指定します。
Number of activation renewals (アクティブ化の更新回数) この設定では、選択した期間内に通知を受け取るアクティブ化の回数を 2 から 100 で指定します。 スライダーを動かすか、テキスト ボックスに数字を入力して設定を変更できます。

セキュリティ アラート設定のカスタマイズ

次の手順に従って、Privileged Identity Management で Microsoft Entra ロールに対するセキュリティ アラートを構成します。

  1. Microsoft Entra 管理センター特権ロール管理者以上としてサインインします。

  2. [ID ガバナンス]>[Privileged Identity Management]>[Microsoft Entra ロール]>[アラート]>[設定] の順に移動します。 ダッシュボードに [Privileged Identity Management] タイルを追加する方法については、「Privileged Identity Management の使用開始」を参照してください。

    [設定] が強調表示されている [アラート] ページのスクリーンショット。

  3. 環境で機能し、セキュリティの目標に合うようにさまざまなアラートの設定をカスタマイズします。

    [アラート設定] ページのスクリーンショット。

次のステップ