Microsoft Entra ID の特権を持つロールとアクセス許可 (プレビュー)
重要
特権ロールとアクセス許可に関するラベルは、現在プレビュー段階です。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用される法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。
Microsoft Entra ID には、特権として識別されるロールとアクセス許可があります。 これらのロールとアクセス許可を使用し、ディレクトリ リソースの管理を他のユーザーに委任したり、資格情報ポリシー、認証ポリシー、認可ポリシーを変更したり、制限付きデータにアクセスしたりできます。 特権ロールの割り当ては、セキュリティで保護された意図した方法で使用しないと、特権の昇格につながる可能性があります。 この記事では、特権ロールとアクセス許可、および使用方法のベスト プラクティスについて説明します。
特権を持つロールとアクセス許可はどれですか?
特権を持つロールとアクセス許可の一覧については、「Microsoft Entra の組み込みロール」を参照してください。 Microsoft Entra 管理センター、Microsoft Graph PowerShell、または Microsoft Graph API を使用して、特権として識別されるロール、アクセス許可、ロールの割り当てを識別することもできます。
Microsoft Entra 管理センターで、 PRIVILEGED ラベルを探します。
[ロールと管理者] ページで、特権ロールが Privileged 列で識別されます。 割り当て 列には、ロールの割り当ての数が一覧表示されます。 特権ロールをフィルター処理することもできます。
特権ロールのアクセス許可を表示すると、特権を持つアクセス許可を確認できます。 アクセス許可を既定のユーザーとして表示した場合、特権を持つアクセス許可を確認することはできません。
カスタム ロールを作成すると、どのアクセス許可が特権を持ち、カスタム ロールが特権としてラベル付けされているかを確認できます。
特権ロールを使用するためのベスト プラクティス
特権ロールを使用するためのベスト プラクティスをいくつか次に示します。
- 最小特権の原則を適用する
- Privileged Identity Management を使用して Just-In-Time アクセスを許可する
- すべての管理者アカウントに対して多要素認証を有効にする
- 定期的なアクセス レビューを構成し、時間が経って不要になったアクセス許可を取り消す
- 全体管理者の数を 5 人未満に制限する
- 特権ロールの割り当ての数を 10 未満に制限する
詳細については、「Microsoft Entra のロールのベスト プラクティス」を参照してください。
特権アクセス許可と保護されたアクション
特権アクセス許可と保護されたアクションは、さまざまな目的を持つセキュリティ関連の機能です。 PRIVILEGED ラベルを持つアクセス許可は、セキュリティで保護された意図した方法で使用されていない場合に特権の昇格につながる可能性があるアクセス許可を特定するのに役立ちます。 保護されたアクションは、多要素認証の要求など、セキュリティを強化するために条件付きアクセス ポリシーが割り当てられているロールのアクセス許可です。 条件付きアクセスの要件は、ユーザーが保護されたアクションを実行するときに適用されます。 保護されたアクションは現在プレビュー段階です。 詳細については、「Microsoft Entra ID 内の保護されたアクションとは」を参照してください。
機能 | 特権アクセス許可 | 保護されたアクション |
---|---|---|
セキュリティで保護された方法で使用する必要があるアクセス許可を特定する | ✅ | |
アクションを実行するために追加のセキュリティを要求する | ✅ |
用語
Microsoft Entra ID の特権を持つロールとアクセス許可を理解するために、次の用語のいくつかを把握しておくことが役立ちます。
任期 | 定義 |
---|---|
action | セキュリティ プリンシパルがオブジェクト型に対して実行できるアクティビティ。 操作と呼ばれることもあります。 |
permission | セキュリティ プリンシパルがオブジェクト型に対して実行できるアクティビティを指定する定義。 アクセス許可には、1 つ以上のアクションが含まれます。 |
特権アクセス許可 | Microsoft Entra ID で、ディレクトリ リソースの管理を他のユーザーに委任したり、資格情報、認証、または認可ポリシーを変更したり、制限付きデータにアクセスしたりする目的で使用できるアクセス許可。 |
特権ロール | 1 つ以上の特権アクセス許可を持つ組み込みロールまたはカスタム ロール。 |
特権ロールの割り当て | 特権ロールを使用するロールの割り当て。 |
権限の昇格 | セキュリティ プリンシパルが、最初に別のロールを偽装することによって提供された割り当てロールよりも多くのアクセス許可を取得する場合。 |
保護されたアクション | セキュリティを強化するために条件付きアクセスが適用されたアクセス許可。 |
ロールのアクセス許可を理解する方法
アクセス許可のスキーマは、Microsoft Graph の REST 形式にほぼ従っています。
<namespace>/<entity>/<propertySet>/<action>
次に例を示します。
microsoft.directory/applications/credentials/update
アクセス許可の要素 | 説明 |
---|---|
namespace | タスクが公開される、前に microsoft が付加された製品またはサービス。 たとえば、Microsoft Entra ID 内のすべてのタスクには、microsoft.directory 名前空間が使用されます。 |
エンティティ | Microsoft Graph でサービスによって公開される論理機能またはコンポーネント。 たとえば、Microsoft Entra ID からはユーザーとグループ、OneNote からはメモ、Exchange からはメールボックスと予定表が公開されます。 名前空間内のすべてのエンティティを指定するための特別な allEntities キーワードがあります。 これは、製品全体へのアクセスを許可するロールでよく使用されます。 |
propertySet | アクセスが許可されているエンティティの特定のプロパティまたは側面。 たとえば、microsoft.directory/applications/authentication/read は、Microsoft Entra ID でアプリケーション オブジェクトの応答 URL、ログアウト URL、および暗黙的なフロー プロパティを読み取る機能を付与します。
|
action | 許可される操作。最も一般的なものは、作成、読み取り、更新、または削除 (CRUD) です。 上記のすべての能力 (作成、読み取り、更新、削除) を指定するための特別な allTasks キーワードがあります。 |
認証ロールの比較
認証関連ロールの機能との比較を次の表に示します。
役割 | ユーザーの認証方法の管理 | ユーザーごとの MFA の管理 | MFA 設定の管理 | 認証方法ポリシーの管理 | パスワード保護ポリシーの管理 | 機密性の高いプロパティの更新 | ユーザーの削除と復元 |
---|---|---|---|---|---|---|---|
認証管理者 | 一部のユーザーに対してはい | 一部のユーザーに対してはい | はい | いいえ | いいえ | 一部のユーザーに対してはい | 一部のユーザーに対してはい |
特権認証管理者 | すべてのユーザーに対してはい | すべてのユーザーに対してはい | いいえ | 番号 | No | すべてのユーザーに対してはい | すべてのユーザーに対してはい |
認証ポリシー管理者 | いいえ | イエス | イエス | イエス | はい | いいえ | いいえ |
ユーザー管理者 | いいえ | 番号 | 番号 | 番号 | いいえ | 一部のユーザーに対してはい | 一部のユーザーに対してはい |
パスワードをリセットできるロール
次の表の列には、パスワードをリセットして、更新トークンを無効にできるロールが一覧表示されています。 行には、パスワードをリセットできる対象のロールが一覧表示されています。 例えば、パスワード管理者は、ディレクトリ閲覧者、ゲスト招待元、パスワード管理者、管理者ロールのないユーザーのパスワードをリセットできます。 ユーザーに他のロールが割り当てられている場合、パスワード管理者はそれらのパスワードをリセットできません。
次の表は、テナントのスコープで割り当てられたロールを対象にしています。 管理単位のスコープで割り当てられたロールについては、さらに制限が適用されます。
パスワードをリセットできる対象のロール | パスワード管理者 | ヘルプデスク管理者 | 認証管理者 | [ユーザー管理者] | 特権認証管理者 | 全体管理者 |
---|---|---|---|---|---|---|
認証管理者 | ✅ | ✅ | ✅ | |||
ディレクトリ リーダー | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
グローバル管理者 | ✅ | ✅* | ||||
グループ管理者 | ✅ | ✅ | ✅ | |||
ゲスト招待元 | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
ヘルプデスク管理者 | ✅ | ✅ | ✅ | ✅ | ||
メッセージ センター閲覧者 | ✅ | ✅ | ✅ | ✅ | ✅ | |
パスワード管理者 | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
特権認証管理者 | ✅ | ✅ | ||||
特権ロール管理者 | ✅ | ✅ | ||||
レポート閲覧者 | ✅ | ✅ | ✅ | ✅ | ✅ | |
User (管理者ロールなし) |
✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
User (管理者ロールはないが、ロールを割り当て可能なグループのメンバーまたは所有者) |
✅ | ✅ | ||||
制限付き管理の管理単位をスコープとするロールを持つユーザー | ✅ | ✅ | ||||
ユーザー管理者 | ✅ | ✅ | ✅ | |||
ユーザー エクスペリエンス成功マネージャー | ✅ | ✅ | ✅ | ✅ | ✅ | |
使用状況の概要レポート閲覧者 | ✅ | ✅ | ✅ | ✅ | ✅ | |
その他すべての組み込みおよびカスタムのロール | ✅ | ✅ |
重要
パートナー レベル 2 のサポート ロールでは、すべての非管理者および管理者 (全体管理者を含む) のパスワードをリセットし、更新トークンを無効にすることができます。 パートナー レベル 1 のサポート ロールでは、非管理者のみに対してパスワードをリセットし、更新トークンを無効にすることができます。 これらのロールは非推奨であるため、使用しないでください。
パスワードのリセット機能には、セルフサービスのパスワード リセットに必要な次の機密プロパティを更新する機能が含まれています。
- businessPhones
- MobilePhone
- otherMails
機密性の高いアクションを実行できるロール
一部の管理者は、一部のユーザーに対して次の機密性の高いアクションを実行できます。 すべてのユーザーは、機密性の高いプロパティを読み取ることができます。
機密性の高いアクション | 機密性の高いプロパティ名 |
---|---|
ユーザーの無効化または有効化 | accountEnabled |
勤務先の電話番号の更新 | businessPhones |
携帯電話番号の更新 | mobilePhone |
オンプレミスの不変 ID の更新 | onPremisesImmutableId |
その他のメールアドレスの更新 | otherMails |
パスワード プロファイルの更新 | passwordProfile |
ユーザー プリンシパル名の更新 | userPrincipalName |
ユーザーの削除または復元 | 該当なし |
次の表の列には、機密性の高いアクションを実行できるロールが一覧表示されています。 行には、機密性の高いアクションを実行できる対象のロールが一覧表示されています。
次の表は、テナントのスコープで割り当てられたロールを対象にしています。 管理単位のスコープで割り当てられたロールについては、さらに制限が適用されます。
機密性の高いアクションを実行できる対象のロール | 認証管理者 | [ユーザー管理者] | 特権認証管理者 | 全体管理者 |
---|---|---|---|---|
認証管理者 | ✅ | ✅ | ✅ | |
ディレクトリ リーダー | ✅ | ✅ | ✅ | ✅ |
グローバル管理者 | ✅ | ✅ | ||
グループ管理者 | ✅ | ✅ | ✅ | |
ゲスト招待元 | ✅ | ✅ | ✅ | ✅ |
ヘルプデスク管理者 | ✅ | ✅ | ✅ | |
メッセージ センター閲覧者 | ✅ | ✅ | ✅ | ✅ |
パスワード管理者 | ✅ | ✅ | ✅ | ✅ |
特権認証管理者 | ✅ | ✅ | ||
特権ロール管理者 | ✅ | ✅ | ||
レポート閲覧者 | ✅ | ✅ | ✅ | ✅ |
User (管理者ロールなし) |
✅ | ✅ | ✅ | ✅ |
User (管理者ロールはないが、ロールを割り当て可能なグループのメンバーまたは所有者) |
✅ | ✅ | ||
制限付き管理の管理単位をスコープとするロールを持つユーザー | ✅ | ✅ | ||
ユーザー管理者 | ✅ | ✅ | ✅ | |
ユーザー エクスペリエンス成功マネージャー | ✅ | ✅ | ✅ | ✅ |
使用状況の概要レポート閲覧者 | ✅ | ✅ | ✅ | ✅ |
その他すべての組み込みおよびカスタムのロール | ✅ | ✅ |