企業が直面するセキュリティの脅威は絶え間なく進化しており、それらに対応するとなると、マルチテナント環境の管理はさらに複雑になる可能性があります。 複数のテナント間を移動すると時間がかかり、セキュリティ オペレーション センター (SOC) チームの全体的な効率が低下するおそれがあります。 Microsoft Defender XDR のマルチテナント管理により、セキュリティ オペレーション チームは、管理するすべてのテナントを単一の統合ビューで確認できます。 このビューを使用すると、チームはインシデントをすばやく調査し、複数のテナントからのデータに対して高度なハンティングを実行して、セキュリティ オペレーションを向上できます。
Microsoft Entra ID Governance を使用すると、SOC チームおよび脅威ハンター チームのメンバーであるユーザーのアクセスとライフサイクルを管理できます。 このドキュメントでは、次の内容について説明します。
- SOC チームがテナント間でリソースに安全にアクセスできるようにするために導入できる制御機能。
- ライフサイクルとアクセスの制御を実装する方法を示すトポロジ例。
- デプロイに関する考慮事項 (ロール、監視、API)。
SOC ユーザーのライフサイクルとアクセスを管理する
Microsoft Entra には、SOC ユーザーのライフサイクルを管理するため、および必要とするリソースへのアクセスを安全に提供するために必要な制御が用意されています。 このドキュメントでは、ソース テナントという用語は、SOC ユーザーが作成され、認証を受ける場所を指します。 ターゲット テナントとは、インシデント発生時に、SOC ユーザーが調査するテナントを指します。 組織には、合併や買収、事業単位に合わせたテナントの調整、地域に合わせたテナントの調整が行われることにより、複数のターゲット テナントが存在します。
ライフサイクル制御
エンタイトルメント管理では、アクセス パッケージおよび接続されている組織を作成することにより、ターゲット テナント管理者は、ソース テナントのユーザーがアクセスを要求できるリソース (例: アプリ ロール、ディレクトリ ロール、グループ) のコレクションを定義できます。 ユーザーが、必要なリソースの承認を得ても、B2B アカウントをまだ持っていない場合、エンタイトルメント管理によって、そのユーザーの B2B アカウントがターゲット テナント内に自動的に作成されます。 ユーザーのエンタイトルメントがターゲット テナント内に残っていない場合、そのユーザーの B2B アカウントは自動的に削除されます。 エンタイトルメント管理は、組織内と組織全体の両方で使用できます。
テナント間同期を使用すると、ソース テナントで、組織内のテナント全体での B2B ユーザーの作成、更新、削除を自動化できます。
エンタイトルメント管理とテナント間同期の比較
| 機能 | エンタイトルメント管理 | テナント間同期 |
|---|---|---|
| ターゲット テナントでユーザーを作成する | - | - |
| ソース テナントでユーザーの属性が変更されたときに、ターゲット テナントでそのユーザーを更新する | - | |
| ユーザーを削除する | - | - |
| グループ、ディレクトリ ロール、アプリ ロールにユーザーを割り当てる | - | |
| ターゲット テナント内のユーザーの属性 | 最小限、要求時にユーザー自身によって提供される | ソース テナントから同期される |
アクセス制御
エンタイトルメント管理とテナント間アクセス ポリシーを使用して、テナント間のリソースへのアクセスを制御できます。 エンタイトルメント管理では適切なユーザーが適切なリソースに割り当てられますが、テナント間アクセス ポリシーと条件付きアクセスは、適切なユーザーが適切なリソースにアクセスしていることを確認するために必要な実行時チェックを一緒に実行します。
エンタイトルメント管理
エンタイトルメント管理のアクセス パッケージを使用して Microsoft Entra ロールを割り当てると、大規模なロールの割り当てを効率的に管理し、ロール割り当てライフサイクルを改善するのに役立ちます。 ディレクトリ ロール、アプリ ロール、グループへのアクセスを取得するための柔軟な要求および承認プロセスが提供されると同時に、ユーザー属性に基づいたリソースへの自動割り当ても可能になります。
テナント間アクセス ポリシー
外部 ID のテナント間アクセス設定を使用して、B2B コラボレーションを介して他の Microsoft Entra 組織とのコラボレーションを行う方法を管理します。 これらの設定によって、お客様のリソースに対して外部 Microsoft Entra 組織の受信アクセス ユーザーが持つレベルと、お客様のユーザーが外部組織に対して持つ送信アクセスのレベルの両方が決まります。
展開トポロジ
このセクションでは、テナント間同期、エンタイトルメント管理、テナント間アクセス ポリシー、条件付きアクセスなどのツールを一緒に使用する方法について説明します。 どちらのトポロジでも、ターゲット テナント管理者は、ターゲット テナント内のリソースへのアクセスを完全に制御できます。 これらのトポロジは、プロビジョニングおよびプロビジョニング解除を開始するユーザーが異なります。
トポロジ 1
トポロジ 1 では、ソース テナントでエンタイトルメント管理とテナント間同期を構成して、ユーザーをターゲット テナントにプロビジョニングします。 その後、ターゲット テナントの管理者は、ターゲット テナント内の必要なディレクトリ ロール、グループ、アプリ ロールへのアクセスを提供するアクセス パッケージを構成します。
トポロジ 1 を構成する手順
ソース テナントで、ソース テナントの内部アカウントをターゲット テナントの外部アカウントとしてプロビジョニングするようにテナント間同期を構成します。
ユーザーは、テナント間同期のサービス プリンシパルに割り当てられると、ターゲット テナントに自動的にプロビジョニングされます。 ユーザーは、構成から削除されると、自動的にプロビジョニング解除されます。 属性マッピングの一環として、定数型の新しいマッピングを追加し、ユーザーにディレクトリ拡張機能をプロビジョニングして、ユーザーが SOC 管理者であることを示すことができます。 または、この手順で使用できる属性 (部署など) がある場合は、拡張機能の作成をスキップできます。 この属性は、必要なロールへのアクセスをユーザーに提供するためにターゲット テナントで使用されます。
ソース テナントで、テナント間同期のサービス プリンシパルをリソースとして含むアクセス パッケージを作成します。
ユーザーは、パッケージへのアクセス権が付与されると、テナント間同期のサービス プリンシパルに割り当てられます。 必ずアクセス パッケージの定期的なアクセス レビューを設定するか、または割り当て時間を制限して、ターゲット テナントにアクセスする必要があるユーザーのみが引き続きアクセスできるようにします。
ターゲット テナントで、インシデントの調査に必要なロールを提供するアクセス パッケージを作成します。
セキュリティ閲覧者ロールを提供するための 1 つの自動割り当てアクセス パッケージと、セキュリティ オペレーター ロールとセキュリティ管理者ロール用に 1 つの要求ベースのパッケージを作成することをお勧めします。
セットアップが完了すると、SOC ユーザーは myaccess.microsoft.com に移動して、ソース テナント内の必要なアクセス パッケージへの時間制限付きアクセスを要求できます。 承認されると、SOC ユーザーは自動的に、セキュリティ閲覧者ロールでターゲット テナントにプロビジョニングされます。 その後、ユーザーは、セキュリティ オペレーターまたはセキュリティ管理者のロールを必要とする任意のテナントで追加のアクセスを要求できます。 ユーザーは、アクセス期間が終了するか、アクセス レビューの一環として削除されると、アクセスが不要になったすべてのターゲット テナントからプロビジョニング解除されます。
トポロジ 2
トポロジ 2 では、ターゲット テナント管理者が、ソース ユーザーがアクセスを要求できるアクセス パッケージとリソースを定義します。 ソース テナント管理者がターゲット テナントにアクセスできるユーザーを制限したい場合、テナント間アクセス ポリシーとアクセス パッケージを組み合わせて使用し、ホーム テナントのアクセス パッケージに含まれるグループのメンバーであるユーザーを除いて、ターゲット テナントへのすべてのアクセスをブロックできます。
トポロジ 2 を構成する手順
ターゲット テナントで、ソース テナントを、接続されている組織として追加します。
この設定により、ターゲット テナント管理者は、ソース テナントがアクセス パッケージを使用できるようにすることができます。
ターゲット テナントで、セキュリティ閲覧者、セキュリティ管理者、セキュリティ オペレーターのロールを提供するアクセス パッケージを作成します。
これで、ソース テナントのユーザーは、ターゲット テナントのアクセス パッケージを要求できるようになりました。
セットアップが完了すると、SOC ユーザーは myaccess.microsoft.com に移動して、各テナント内の必要なアクセス パッケージへの時間制限付きアクセスを要求できます。
トポロジの比較
どちらのトポロジでも、ユーザーがアクセスするリソースをターゲット テナントで制御できます。 これは、テナント間アクセス ポリシー、条件付きアクセス、アプリとロールのユーザーへの割り当てを組み合わせて使用して実現できます。 これらのトポロジは、プロビジョニングを構成して開始するユーザーが異なります。 トポロジ 1 では、ソース テナントでプロビジョニングを構成し、ユーザーをターゲット テナントにプッシュします。 トポロジ 2 では、ターゲット テナントで、そのテナントにアクセスする資格があるユーザーを定義します。
ユーザーが一度に複数のテナントにアクセスする必要がある場合、トポロジ 1 を使用すると、ユーザーは、1 つのテナントのアクセス パッケージへのアクセスを簡単に要求でき、複数のテナントに自動的にプロビジョニングされます。 ターゲット テナントで、そのテナントにプロビジョニングされるユーザーを完全に制御し、そのテナントで必要な承認を実行する必要がある場合、トポロジ 2 は、これらのニーズを満たすのに最適です。
デプロイに関する考慮事項
監視
Microsoft Entra で SOC アナリストによって実行されたアクションは、アナリストが作業している Microsoft Entra テナントで監査されます。 組織は、実行されたアクションの監査証跡を保持することができ、特定のアクションが実行されたときにアラートを生成できます。また、監査ログを Azure Monitor にプッシュして、実行されたアクションを分析することもできます。
Microsoft Defender for Cloud で SOC アナリストによって実行されたアクションも監査されます。
PowerShell または API を使用したデプロイのスケーリング
Microsoft Entra のユーザー インターフェイスを使用して構成されるすべての手順には、不随する Microsoft Graph API と PowerShell コマンドレットがあり、これらを使用して組織内のテナント全体に必要なポリシーおよび構成をデプロイできます。
| 機能 | Microsoft Graph API | PowerShell |
|---|---|---|
| テナント間同期 | リンク | リンク |
| エンタイトルメント管理 | リンク | リンク |
| テナント間アクセス ポリシー | リンク | リンク |
ロールベースのアクセス制御
トポロジ 1 とトポロジ 2 で説明した機能を構成するには、次のロールが必要です。
- テナント間アクセス設定の構成 - セキュリティ管理者
- テナント間同期の構成 - ハイブリッド ID 管理者
- エンタイトルメント管理の構成 - ID ガバナンス管理者
- Microsoft Defender では、セキュリティ閲覧者、セキュリティ管理者、セキュリティ オペレーターなどの組み込みロールとカスタム ロールの両方がサポートされています。