ID およびアクセス管理の概要
Microsoft オンライン サービスは、承認されていないアクセスや悪意のあるアクセスから運用システムを保護する方法を説明します。
Microsoft オンライン サービスは、Microsoft のエンジニアがお客様のコンテンツにアクセスすることなくサービスを運用できるように設計されています。 既定では、Microsoft エンジニアは顧客コンテンツへのゼロ スタンディング アクセス (ZSA) を持ち、運用環境への特権アクセスを持っていません。 Microsoft オンライン サービスは Just-In-Time (JIT) Just-Enough-Access (JEA) モデルを使用して、Microsoft オンライン サービスをサポートするためにこのようなアクセスが必要な場合に、サービス チーム エンジニアに運用環境への一時的な特権アクセスを提供します。 JIT アクセス モデルは、従来の永続的な管理者アクセスを、必要に応じた特権ロールへの一時的な昇格をエンジニアが要求するプロセスへと置き換えます。
運用サービスをサポートするためにサービス チームに割り当てられたエンジニアは、ID とアクセス管理ソリューションを通じてサービス チーム アカウントの適格性を要求します。 適格性の要求により、一連の人事チェックがトリガーされ、エンジニアがすべてのクラウド スクリーニング要件に合格し、必要なトレーニングを完了し、アカウント作成前に適切な管理承認を受けたかどうかを確認できます。 すべての資格要件を満たしている場合にのみ、要求した環境のサービス チーム アカウントを作成できます。 サービス チーム アカウントの資格を維持するには、担当者はロールベースのトレーニングを毎年実施し、2 年ごとに再審査する必要があります。 これらのチェックを完了または合格しなかった場合、適格性は自動的に取り消されます。
サービス チーム アカウントは、常に管理者特権を付与したり、顧客コンテンツにアクセスしたりすることはありません。 エンジニアは、Microsoft オンライン サービスをサポートするために追加のアクセス権を必要とする場合、Lockbox というアクセス管理ツールを使用して、必要なリソースへの一時的な昇格されたアクセスを要求します。 ロックボックスは、割り当てられたタスクを完了するために必要な最小限の特権、リソース、時間への昇格したアクセス権を制限します。 承認されたレビュー担当者が JIT アクセス要求を承認した場合、エンジニアには、割り当てられた作業を完了するために必要な特権のみを持つ一時的なアクセス権が付与されます。 この一時的なアクセスには多要素認証が必要であり、承認された期間の有効期限が切れると自動的に取り消されます。
JEA は、JIT アクセスの要求時に適格性とロックボックス ロールによって適用されます。 エンジニアの適格性の範囲内の資産へのアクセス要求のみが受け入れられ、承認者に渡されます。 Lockbox は、許可されたしきい値を超える要求を含め、エンジニアの適格性とロックボックスロールの範囲外にある JIT 要求を自動的に拒否します。
Lockbox でロールベースのアクセス制御 (RBAC) を使用して最小限の特権を適用する方法を Microsoft オンライン サービス
サービス チーム アカウントは、常に管理者特権を付与したり、顧客コンテンツにアクセスしたりすることはありません。 制限付き管理者特権に対する JIT 要求は、Lockbox を使用して管理されます。 Lockbox は RBAC を使用して、エンジニアが行うことができる JIT 昇格要求の種類を制限し、最小限の特権を適用するための追加の保護レイヤーを提供します。 RBAC は、サービス チーム アカウントを適切なロールに制限することで、職務の分離を強制するのにも役立ちます。 サービスをサポートするエンジニアには、その役割に基づいてセキュリティ グループへのメンバーシップが付与されます。 セキュリティ グループのメンバーシップでは、特権アクセス権は付与されません。 代わりに、セキュリティ グループを使用すると、エンジニアは Lockbox を使用して、システムのサポートに必要な場合に JIT 昇格を要求できます。 エンジニアが行うことができる特定の JIT 要求は、セキュリティ グループのメンバーシップによって制限されます。
Microsoft オンライン サービスは運用システムへのリモート アクセスをどのように処理しますか?
Microsoft オンライン サービス システム コンポーネントは、運用チームとは地理的に分離されたデータセンターに収容されています。 データセンターの担当者は、Microsoft オンライン サービス システムに論理的にアクセスできません。 その結果、Microsoft サービス チームの担当者はリモート アクセスを通じて環境を管理します。 Microsoft オンライン サービスをサポートするためにリモート アクセスを必要とするサービス チームの担当者には、承認されたマネージャーからの承認後にのみリモート アクセスが許可されます。 すべてのリモート アクセスは、安全なリモート接続のために FIPS 140-2 互換 TLS を使用します。
Microsoft オンライン サービスは、セキュリティで保護された管理 ワークステーション (SAW) をサービス チームのリモート アクセスに使用して、Microsoft オンライン サービス環境を侵害から保護します。 これらのワークステーションは、USB ポートをロックダウンしたり、セキュア 管理 ワークステーションで使用できるソフトウェアを環境をサポートするために必要なものに制限したりするなど、運用環境データの意図的または意図しない損失を防ぐよう設計されています。 セキュリティで保護された管理 ワークステーションは、Microsoft エンジニアによる顧客データの悪意のある侵害や不注意による侵害を検出して防止するために、密接に追跡および監視されます。
Microsoft 担当者による特権アクセスは、2 要素認証を使用して Microsoft が制御する NSG を介して特定のパスに従います。 NSG を介するすべてのアクセスとアクティビティが密接に監視され、アラートとレポートを使用して異常な接続が識別されます。 サービス チームは、サービスの正常性を確保し、異常な使用パターンを検出するために、傾向ベースの監視も実装します。
Customer Lockbox は、顧客コンテンツに対する保護を追加する方法を説明します。
顧客は、Customer Lockbox を有効にすることで、コンテンツに追加のレベルのアクセス制御を追加できます。 ロックボックス昇格要求に顧客コンテンツへのアクセスが含まれる場合、Customer Lockbox は承認ワークフローの最後の手順として顧客からの承認を必要とします。 このプロセスにより、組織はこれらの要求を承認または拒否するオプションを提供し、顧客に直接アクセス制御を提供します。 顧客がカスタマー ロックボックス要求を拒否した場合、要求されたコンテンツへのアクセスは拒否されます。 お客様が一定期間内に要求を拒否または承認しなかった場合、Microsoft がお客様のコンテンツにアクセスすることなく、要求の有効期限が自動的に切れます。 顧客が要求を承認した場合、Microsoft の顧客コンテンツへの一時的なアクセスは、トラブルシューティング操作を完了するために割り当てられた時間の経過後に自動的にログに記録され、監査可能になり、取り消されます。
関連する外部規制 & 認定
Microsoft のオンライン サービスは、外部の規制と認定に準拠するために定期的に監査されます。 ID とアクセス制御に関連する制御の検証については、次の表を参照してください。
Azure と Dynamics 365
外部監査 | Section | 最新のレポート日 |
---|---|---|
ISO 27001 適用性に関する声明 証明書 |
A.9.1: アクセス制御のビジネス要件 A.9.2: ユーザー アクセス管理 A.9.3: ユーザーの責任 A.9.4: システムとアプリケーションのアクセス制御 A.15.1: サプライヤー関係における情報セキュリティ |
2024 年 4 月 8 日 |
ISO 27017 適用性に関する声明 証明書 |
A.9.1: アクセス制御のビジネス要件 A.9.2: ユーザー アクセス管理 A.9.3: ユーザーの責任 A.9.4: システムとアプリケーションのアクセス制御 A.15.1: サプライヤー関係における情報セキュリティ |
2024 年 4 月 8 日 |
SOC 1 SOC 2 SOC 3 |
OA-2: アクセスのプロビジョニング OA-7: JIT アクセス OA-21: 管理 ワークステーションと MFA をセキュリティで保護する |
2024 年 8 月 16 日 |
Microsoft 365
外部監査 | Section | 最新のレポート日 |
---|---|---|
FedRAMP | AC-2: アカウント管理 AC-3: アクセスの適用 AC-5: 職務の分離 AC-6: 最小特権 AC-17: リモート アクセス |
2024 年 8 月 21 日 |
ISO 27001/27017 適用性に関する声明 認定 (27001) 認定 (27017) |
A.9.1: アクセス制御のビジネス要件 A.9.2: ユーザー アクセス管理 A.9.3: ユーザーの責任 A.9.4: システムとアプリケーションのアクセス制御 A.15.1: サプライヤー関係における情報セキュリティ |
2024 年 3 月 |
SOC 1 | CA-33: アカウントの変更 CA-34: ユーザー認証 CA-35: 特権アクセス CA-36: リモート アクセス CA-57: カスタマー ロックボックス Microsoft 管理の承認 CA-58: 顧客のロックボックス サービス要求 CA-59: 顧客のロックボックス通知 CA-61: JIT の確認と承認 |
2024 年 8 月 1 日 |
SOC 2 | CA-32: 共有アカウント ポリシー CA-33: アカウントの変更 CA-34: ユーザー認証 CA-35: 特権アクセス CA-36: リモート アクセス CA-53: サード パーティの監視 CA-56: 顧客ロックボックスの顧客の承認 CA-57: カスタマー ロックボックス Microsoft 管理の承認 CA-58: 顧客のロックボックス サービス要求 CA-59: 顧客のロックボックス通知 CA-61: JIT の確認と承認 |
2024 年 1 月 23 日 |
SOC 3 | CUEC-15: カスタマー ロックボックス要求 | 2024 年 1 月 23 日 |