フェーズ 3 - 特権アクセス ポリシーを適用する

この記事は、「 特権アクセス アーキテクチャの実装 」ソリューション ガイドの一部です。

特権アクセスでは、ID システム、クラウドコントロール プレーン、ビジネスクリティカルな資産を直接制御できるため、ほとんどの組織で重大なセキュリティ リスクが発生します。

セキュリティで 保護された特権アクセス アーキテクチャ が、このリスクを軽減し、機密性の高いシステムに対する制御を強化することで、ビジネス シナリオ ( 重要なビジネス資産の保護 ) で重要な役割を果たすしくみについて説明します。

この記事では、実装のフェーズ 3 について説明します。 特権アクセス ポリシーを適用して、特権 ID を使用できる場所を制限します。

フェーズ 2 で確立された信頼されたデバイス信号を使用して、条件付きアクセスを構成して、承認された低リスクの特権アクセス ワークステーション (PAW) からのみ特権ロール、ポータル、管理インターフェイスを使用できるようにします。

保護の目標

フェーズ 3 では、次の保護目標が適用されます。

  • PAW 以外のデバイスから特権資格情報を使用できないようにします。
  • 管理ポータルとインターフェイスには、準拠している低リスクのデバイスからのみアクセスできます。
  • 特権アクセスには、強力なユーザー認証と検証済みのデバイス信頼が必要です。
  • 管理インターフェイス (ポータル、API、PowerShell) へのアクセスを承認済み PAW に制限します。
  • 盗まれた資格情報は、標準エンドポイントまたはアンマネージド エンドポイントから再利用することはできません。
  • 特権アクセス パスは、明示的、監査可能、および強制可能です。

保護スコープ

フェーズ 3 では、次のような特権アクションが発生する特権アクセス インターフェイスとワークフローを保護します。

  • クラウド管理ポータル (Azure ポータル、Microsoft Entra 管理センター、Microsoft 365 管理センター)
  • セキュリティ管理ポータル (Microsoft Defender ポータル)
  • 特権ロールの使用とアクティブ化 (PIM によって制御されるロールを含む)
  • 管理ブラウザー セッション
  • 特権デバイスで使用されるネットワーク エグレス パス

フェーズ 3 では、デバイスまたは ID は再構成されません。 フェーズ 1 とフェーズ 2 の出力を使用してポリシーを適用します。

軽減されたリスク

リスク 重要な理由 フェーズ 3 の軽減策
PAW 以外のデバイスから再利用される特権資格情報 MFA と承認により、攻撃者は侵害された標準ワークステーションで盗まれたトークンや資格情報を再利用できなくなります。 条件付きアクセスでは、準拠している低リスク PAW からのみ認証するために特権ロールが必要です。
危険度の高いデバイスまたはパッチが適用されていないデバイスからの特権アクセス 脆弱なデバイスを使用すると、攻撃者はすぐに管理制御を実行できます。 アクセスの決定は、特権アクセスを付与する前に、Intune のコンプライアンスとMicrosoft Defender for Endpointリスク レベルを評価します。
管理されていないデバイスまたは BYOD デバイスからアクセスできる管理ポータル クラウド コントロール プレーンは、組織の制御外のデバイスから到達可能になります。 条件付きアクセスは、管理ポータルを PAW に制限し、PAW 以外のデバイスからのアクセスをブロックします。
代替インターフェイスを使用した保護されたポータルの迂回 攻撃者は、PowerShell、API、または代替管理者エンドポイントを使用して制御を回避できます。 適用は、プライマリ ポータルだけでなく、管理インターフェイス間で一貫して適用されます。
侵害されたワークステーションからの特権ロールの有効化 安全でないデバイスでロールのアクティブ化が行われると、承認ワークフローがハイジャックされる可能性があります。 PIM ロールのアクティブ化とロールの使用は、同じ条件付きアクセス デバイス信頼要件を通じて適用されます。
資格情報だけで特権アクセスを許可する ID のみの保護では、信頼できる実行環境が想定されます。 フェーズ 3 では ID、デバイス、インターフェイスの条件をバインドするため、資格情報だけでは不十分です。
適用の可視性の欠如 ポリシーを適用しないと、特権アクセスが制限されていることを証明することは困難です。 条件付きアクセスの決定とDefenderテレメトリは、監査可能で監視可能な適用証拠を提供します。
ワークステーション侵害後の急速な被害拡大 攻撃者は、侵害されたデバイスから企業全体の制御にすばやくピボットします。 フェーズ 3 では、盗まれた資格情報が PAW の外部で使用できないようにし、一般的なエスカレーション パスを破ります。

フェーズの結果

フェーズ 3 を完了した後:

  • 特権ロールと管理ポータルには、準拠している低リスク PAW からのみアクセスできます。
  • 条件付きアクセスは、PAW 以外のデバイスからの特権アクセスをブロックします。
  • デバイスコンプライアンスとMicrosoft Defender for Endpointリスクシグナルは、アクセス決定に必要な入力です。
  • 特権アクセスは、ID、デバイス、およびインターフェイス の各レイヤーに適用されます。
  • アクセス試行はログに記録され、監視可能で、監査可能です。

前提条件

この記事の手順を構成する前に、

  • フェーズ 1 の手順を完了して、ID コントロール プレーンをセキュリティで保護します。
  • フェーズ 2 を完了して PAW をデプロイして強化します。
  • デバイスのコンプライアンスとエンドポイント統合のDefenderがアクティブになっていることを確認します。

手順 1 - 特権アクセスに MFA とデバイスの信頼を要求する

特権アクセスには、強力なユーザー認証と信頼されたデバイスが必要であることを確認します。

  1. Microsoft Entra管理センターで、Protection>Conditional Access>Policies に移動します。
  2. [新しいポリシーの作成] を選択します。
  3. [割り当て] で>ユーザーは次の設定を構成します。
    • グローバル管理者、セキュリティ管理者などの特権ディレクトリ ロールを含めます。
    • 緊急ブレークグラス グループを除外します。
  4. Assignments>Cloud アプリには、Azure ポータル、Microsoft Entra 管理センター、Microsoft 365 管理センター、Defender ポータルなどのクラウド管理アプリケーションが含まれます。
  5. [アクセス制御] で、次の設定を使用してアクセスを許可します。
    • 多要素認証を要求する
    • デバイスは準拠しているとする必要があります
    • Microsoft Defender for Endpoint のデバイス リスク = 低 を必須とする
  6. ポリシーを有効にします。

手順 2 - 管理ポータルを PAW に制限する

管理ポータルに準拠している PAW からのみアクセスできることを確認します。

  1. Microsoft Entra管理センターで、Protection>Conditional Access>Policies に移動します。
  2. [ 新しいポリシーの作成] を選択して、追加のポリシーを作成します。
  3. [割り当て] で>ユーザーは次の設定を構成します。
    • グローバル管理者、セキュリティ管理者などの特権ディレクトリ ロールを含めます。
    • 緊急ブレークグラス グループを除外します。
  4. 割り当て>Cloud アプリには、環境内の特権アクセスに使用される管理アプリケーションが含まれます。
  5. [アクセス制御] で、次の設定を使用してアクセスを許可します。
    • デバイスは準拠しているとする必要があります
    • Microsoft Defender for Endpoint のデバイス リスクを低にすることを必須とする
  6. ポリシーを有効にします。

手順 3 - PAW 以外のデバイスからの特権アクセスをブロックする

これらのデバイスが一般的なコンプライアンス要件を満たしている場合でも、管理ポータルへの特権アクセスが PAW 以外のデバイスからブロックされていることを確認します。

  1. Microsoft Entra管理センターで、Protection>Conditional Access>Policies に移動します。
  2. [ 新しいポリシーの作成] を選択して、3 つ目のポリシーを作成します。
  3. [割り当て] で>ユーザーは次の設定を構成します。
    • グローバル管理者、セキュリティ管理者などの特権ディレクトリ ロールを含めます。
    • 指定された緊急アクセス アカウントを除外します。
  4. 割り当て>クラウド アプリには同じ管理ポータルが含まれます。
  5. [ 条件] で、[ デバイスのフィルター] を選択します。
  6. PAW 以外のデバイスをターゲットにするようにデバイス フィルターを構成します。
    • [ フィルター処理されたデバイスを含める] を選択します。
    • PAW を区別するために組織が使用する属性または規則に基づいて、PAW 以外のデバイスを識別するデバイス フィルターを構成します。 これが フェーズ 2 で確立された識別方法と一致していることを確認します。
  7. [ 完了] を 選択して、デバイス フィルター条件を適用します。
  8. [ アクセス制御] で、[ アクセスのブロック] を選択します。
  9. [ 作成] を 選択してポリシーを有効にします。

手順 4 - PAW ネットワーク アクセスを制限する

PAW ネットワーク アクセスを、必要な管理エンドポイントと管理エンドポイントのみに制限します。 この構成は、プロトコルベースの広範な許容量ではなく、必要なエンドポイントを許可するために明示的なファイアウォール規則に依存します。

  1. Microsoft Intune管理センターで、Endpoint security>Firewall に移動します。

  2. [ポリシーを作成する] を選択します。

  3. ポリシー (Platform: Windows 10 以降) を構成します。 1. ファイアウォール プロファイルの設定を構成します。

    • 受信接続: 拒否
    • 送信接続: 許可 (既定、以下の規則によって制御)

  4. [ 設定] でファイアウォール 規則を構成します。 ファイアウォール規則を使用して、特権管理に必要なトラフィックを定義します。

  5. 次のような必要なサービスの 送信許可規則 を作成します。

    • DNS
    • DHCP
    • NTP
    • Intune や Microsoft Entra ID などの必要な Microsoft クラウド管理エンドポイント。
    • 必要な管理エンドポイント。

    各ルールでは、次の手順を実行する必要があります。

    • 方向の指定: 送信
    • アクションの指定: 許可
    • 宛先エンドポイント (IP 範囲、FQDN、またはサポートされているサービス タグ) を定義する

  6. 無制限の HTTP/HTTPS などの広範な許可規則が構成されていないことを確認します。

  7. セキュリティ で保護されたワークステーション デバイス (PAW) にポリシーを割り当てます。

  8. [ 作成] を 選択してポリシーをデプロイします。

これで、特権アクセス強制レイヤーが完了します。 次の記事では、これを基に、測定、監視、成功の条件について説明します。

次のステップ

特権アクセス強制レイヤーを配置した後、最後の手順は監視を 構成することです

  • Last updated on