Microsoft Entra Permissions Management 運用リファレンス
この運用ガイドでは、エンタープライズ環境で Microsoft Entra Permissions Management を運用するためのチェック、アクション、ベスト プラクティスについて説明します。 ガイダンスには、次の 3 つのフェーズがあります。
- 大規模に管理するフレームワークを実装する: アクセス許可を委任し、運用動作をガイドするプロセスを開発します。
- アクセス許可のサイズを適切に設定し、最小権限の原則を自動化する: 重要な結果を修復し、オンデマンドのアクセス許可で Just-In-Time (JIT) アクセスを実装します。
- Microsoft Entra Permissions Management の監視とアラートの構成: 定期的なレポートのスケジュール設定、アラートの構成、レスポンス戦略のプレイブックの開発を行います。
注意
このガイドの推奨事項は、発行日現在のものです。 Microsoft の製品とサービスは時間の経過と共に進化するため、継続的に ID プラクティスを評価することをお勧めします。 一部の推奨事項は、すべてのお客様環境に適用できないものがあります。
このガイドは、「Microsoft Entra Permissions Management のクイックスタート ガイド」を完了していることを前提としています。
このガイドで使用されている用語を理解するには、次の用語集を使用してください。
任期 | 定義 |
---|---|
認可システム | ID へのアクセスを許可するシステム。 たとえば、Azure サブスクリプション、AWS アカウント、GCP プロジェクトなどです。 |
アクセス許可 | リソースに対してアクションを実行する能力を持つ ID。 |
アクセス許可クリープ インデックス (PCI) | ID とリソース全体で、未使用または過剰なアクセス許可の数を測定するための集計メトリック。 これは、すべての ID について定期的に測定されます。 PCI の範囲は 0 から 100 です。 スコアが高いほど、リスクが高くなります。 |
オンデマンドのアクセス許可 | Microsoft Entra Permissions Management 機能で、ID が一定期間、または必要に応じてオンデマンドでアクセス許可を要求および付与することができます。 |
主要なタスクを計画して実装するには、利害関係者を割り当てることをお勧めします。 次の表は、このガイドで引用されている利害関係者チームの概要を示しています。
利害関係者チーム | 説明 |
---|---|
Identity and Access Management (IAM) | IAM システムの日常業務の管理 |
クラウド インフラストラクチャ | Azure、AWS、GCP のアーキテクトと運用チーム |
情報セキュリティアーキテクチャ | 組織の情報セキュリティ プラクティスを計画および設計する |
情報セキュリティ運用 | 情報セキュリティ アーキテクチャに関する情報セキュリティ プラクティスを実行および監視する |
インシデント対応 | セキュリティ インシデントを識別して解決する |
セキュリティの保証と監査 | IT プロセスがセキュリティで保護され、準拠していることを確認するのに役立ちます。 定期的な監査を実施し、リスクを評価し、特定された脆弱性を緩和し、全体的なセキュリティ体制を強化するためのセキュリティ対策を推奨します。 |
対象となる認可システムの技術所有者 | 独自の個別の認可システム: Azure サブスクリプション、AWS アカウント、Microsoft Entra Permissions Management にオンボードされた GCP プロジェクト |
本製品を運用する場合は、検出/修復/監視フローを使用することをお勧めします。 次の例では、過剰にプロビジョニングされたアクティブ ユーザー (環境内の高リスクの過剰アクセス許可ユーザー) に対するプロアクティブ フローの使用に注意してください。
- 検出: 環境の可視性を実現し、結果に優先順位を付けます。 たとえば、オーバープロビジョニングされたアクティブ ユーザーの一覧には、Permissions Analytics Report を使用します。
- 修復: 検出結果に基づいて対処します。 たとえば、Permissions Management 修復ツールを使用して、オーバープロビジョニングされたアクティブ ユーザーから 1 回のクリックで未使用のタスクを取り消し、過去のアクティビティに基づいて適切なサイズのロールを作成します。
- 監視: アラートを作成して、修正すべき検出結果がないか環境を継続的に監視します。 たとえば、オーバープロビジョニングされたアクティブ ユーザーを通知するアクセス許可分析アラートを作成します。