次の方法で共有

アクセス許可管理 API を使用してマルチクラウド インフラストラクチャのアクセス許可を検出、修復、監視する (プレビュー)

  • [アーティクル]

Microsoft Entra Permissions Managementでは、Microsoft Azure、アマゾン ウェブ サービス (AWS)、Google Cloud Platform (GCP) などの複数のクラウド インフラストラクチャ全体のすべての ID に割り当てられたアクセス許可を包括的に可視化できます。 Microsoft Graph のアクセス許可管理 API は、マルチクラウド インフラストラクチャでこれらのアクセス許可を検出、管理、監視するためのプログラムによる方法を提供します。

この記事では、Microsoft Graph を使用してプログラムで管理できるアクセス許可管理機能について説明します。

アクセス許可の管理の詳細については、「Microsoft Entra Permissions Management」を参照してください。

アクセス許可管理 API の主なユース ケース

複数のクラウドにまたがるすべての ID に割り当てられたアクセス許可を包括的に可視化することで、アクセス許可管理 API を使用すると、Microsoft Entra Permissions Managementの 3 つの主要なユース ケース (検出修復監視) に対処できます。

承認システム

承認システムは、ID とリソースを含むプラットフォームです。 ID がアクセスできるリソースと実行できるアクションを制御するアクセス許可が公開されます。

authorizationSystem リソースの種類とその関連メソッドを使用して、Permissions Management にオンボードされている承認システムとその詳細を検出します。 現在、Permissions Management は Microsoft Azure、AWS、GCP をサポートしています。

次の主要な API シナリオを使用すると、承認システムの詳細を取得できます。

説明 API
承認システムを取得する list authorizationSystems
AWS 承認システムの詳細を取得する awsAuthorizationSystems を一覧表示する
Azure 承認システムの詳細を取得する azureAuthorizationSystems の一覧表示
GCP 承認システムの詳細を取得する gcpAuthorizationSystems を一覧表示する

AWS 承認システムAzure 承認システム、GCP 承認システムの API 操作クイック リファレンスについて説明します。

承認システム インベントリ

すべての権限システムには、権限システムの機能を形成するオブジェクトの定義されたセットがあります。 たとえば、ユーザーやサービス アカウントなどの ID、アクションとリソースなどです。

次の主要な API シナリオでは、承認システムのインベントリを取得できます。

説明 API
承認システム内のすべての ID を一覧表示する
  • すべての AWS ID を一覧表示する
  • すべての Azure ID を一覧表示する
  • すべての GCP ID を一覧表示する
    		•
    特定の承認システムの ID の種類を一覧表示する
  • AWS の ロールユーザー を一覧表示する
  • Azure でマネージド IDユーザーおよびサービス プリンシパルを 一覧表示する
  • GCP で ユーザーサービス アカウントを 一覧表示する
    		•
    その他のインベントリ
  • AWS の アクションポリシーリソースサービス を一覧表示する
  • Azure の アクションリソースロール定義サービス を一覧表示する
  • GCP での アクションリソースロールおよびサービス を一覧表示する
    		•

    アクセス許可要求

    ID は、承認システム内のアクションとリソースに対するアクセス許可を要求できます。 アクセス許可要求機能を使用すると、呼び出し元は自分のアクセス許可を要求したり、別の ID に代わってアクセス許可を要求したり、他の ID で要求を承認、拒否、または取り消したりできます。

    次の主要な API シナリオでは、オンデマンド機能にアクセス許可を実装できます。

    シナリオ API
    アクセス許可を要求します。要求を許可または拒否する scheduledPermissionsRequest を作成する
    アクセス許可要求を取り消す scheduledPermissionsRequest: cancelAll
    アクセス許可要求とその状態を追跡する アクセス許可の一覧表示RequestChanges

    アクセス許可の分析

    Permissions Management は、アクセス許可分析 API を使用して、承認システムの ID とリソースのアクセス許可リスクを検出するのに役立ちます。 これらの結果を使用して、次のようなユース ケースを自動化できます。

    • ダッシュボードの構築
    • リスク レビューをトリガーする
    • 修復の優先順位付け
    • チケットの生成

    次のサンプル結果は、API から入手できます。

    見つける サンプル シナリオ API
    非アクティブな ID: 過去 90 日間に付与されたアクセス許可を使用していない ID。
  • 複数の承認システム間で非アクティブなユーザー
  • 複数の認可システムにまたがる非アクティブなサーバーレス関数
  • 非アクティブな Azure サービス プリンシパル
  • 非アクティブな GCP サービス アカウント
  • 非アクティブな AWS ロール
  • 非アクティブな AWS リソース (ec2 など)
    		•
    非アクティブなグループ: 過去 90 日間にグループ経由で割り当てられたアクセス許可を使用した ID がありません。
  • 複数の認可システムにまたがる非アクティブなグループ
    		•
    スーパー ID: 承認システム全体の管理者レベルのアクセス許可。 これらの ID は、承認システムのすべてのリソースを管理できます。
  • 複数の承認システムにまたがるスーパー ユーザー
  • 複数の認可システムにまたがるスーパー サーバーレス関数
  • Super Azure サービス プリンシパル
  • Super GCP サービス アカウント
  • スーパー AWS ロール
  • ec2 などのスーパー AWS リソース
    		•

    その他の結果は次のとおりです。

    • リソースベースの結果: Azure BLOB コンテナー、S3 バケット、パブリックにアクセスできるストレージ バケットなど。ネットワーク セキュリティ グループを開きます。シークレット情報にアクセスしたり、セキュリティ ツールを利用したりできる ID
    • オーバープロビジョニングされたユーザー、ロール、リソース、サービス プリンシパル、およびサービス アカウント
    • AWS で強制されていない多要素認証を持つユーザー
    • 特権エスカレーションの機会
    • AWS アクセス キーの有効期間と使用状況

    ゼロ トラスト

    この機能は、組織が id を ゼロ トラスト アーキテクチャの 3 つの基本原則に合わせるのに役立ちます。

    • 明確に確認する
    • 最小特権を使用する
    • 侵害を想定する

    ゼロ トラストとその他の方法の詳細については、organizationをガイド原則に合わせる方法については、ゼロ トラスト ガイダンス センターを参照してください。

    アクセス許可と特権

    アクセス許可管理 API を呼び出すには、呼び出し元に Microsoft Graph のアクセス許可は必要ありません。 ただし、Microsoft Entra テナントと外部システムには適切な特権が必要です。

    詳細については、「Permissions Management ロールとアクセス許可レベル」を参照してください。

    関連コンテンツ