次の方法で共有

Active Directory セキュリティ オンデマンド アセスメントを始める

  • [アーティクル]

Active Directory Security Assessment は、Active Directory および組織へのリスクを低減するために、具体的で実施可能なガイダンスを提供できるように設計されています。 このソリューションを利用すると、Microsoft の推奨する Securing Privilege Access (SPA) のロード マップ (その中でも Active Directory が重要なコンポーネントです) と比較したお客様の進行状況がわかります。

Active Directory のセキュリティ評価では、次を含む、複数の主要な柱に重点を置きます。

  • 運用プロセスのレビュー
  • 特権アカウント/グループ メンバーシップ、通常のアカウント ハイジーンを検証します。
  • フォレストおよびドメインの信頼性を検証します。
  • オペレーティング システム構成、セキュリティ パッチ、更新レベルを検証します。
  • Microsoft 推奨のガイダンスを基準としてドメイン、ドメイン コントローラー構成を検証します。
  • 主要なActive Directory オブジェクトのアクセス許可の付与状況を検証します。

Active Directory Security Assessment の実行

前提条件

サービス ハブを通じて使用できるオンデマンド評価のメリットを最大限に活かすためには、次のことを行う必要があります。

  1. アクティブな Azure サブスクリプションをサービス ハブにリンクさせて、AD Security Assessment を追加する。 詳細については、「オンデマンド評価の概要」を参照するか、「動画をリンクする方法」をご覧ください。
  2. 次の権限を持つドメインアカウント(ユーザーまたは Managed Service Account):
    • エンタープライズ管理者グループのメンバーシップまたは
    • フォレストに含まれる各ドメインのビルトイン Administrator グループ メンバーシップ
    • データ収集マシン上のローカル Administrator グループのメンバーシップ
    • ドメイン コントローラーが参加するすべての Microsoft ドメイン ネーム システム (DNS) サーバーに対する管理アクセス
  3. AD セキュリティ評価の前提条件のドキュメントを確認してください。 このドキュメントは、AD Security Assessment の詳細な技術文書と、アセスメントの実行に必要なサーバーの準備について説明します。 また、評価によって収集される異なる種類のデータについても説明しています。

              注: ご使用の環境の初期構成を行ってオンデマンド評価を実行するには、平均で 2 時間かかります。 評価を実行した後、Azure Log Analytics でデータを確認できます。 これにより、推奨事項の優先順位付けられたリストが提供されます。これは 6 つの重点分野にまたがって分類されます。 これにより、ユーザーとユーザーのチームが、リスク レベル、ご使用の環境の正常性、リスクを軽減する行為をすばやく理解し、IT 全体の正常性を向上できます。

AD セキュリティ評価のセットアップ

注: Azure サブスクリプションを Services Hub にリンクし、Services Hub で [IT 正常性]、[オンデマンド評価] から AD セキュリティ評価を追加するだけで、評価を正常にセットアップすることができます。

  1. データ収集マシン上に C:\OMS\ADS フォルダー (またはシステムによって予約されている C:\ODA 以外の他のフォルダー) を作成します。

  2. 管理者モードで通常の PowerShell (ISE ではない) を開いて以下のコマンドレットを実行します。

    Add-ADSecurityAssessmentTask -WorkingDirectory <workingdirectorypath> command,

                  WorkingDirectoryは、環境からデータを収集し、分析する間に作成されたファイルの保存に使用する既存ディレクトリまでのパスです。

                  Workspace Id - アップロードされたデータの保存に使用される Log Analytics ワークスペースの ID を指定します。

  3. この記事の前半で説明されている要件を満たす、必要なユーザー アカウントの資格情報を提供します。

  4. データ収集は、前回のスクリプトの実行から 1 時間以内に、そしてその後は 7 日ごとに、ADSecurityAssessment という名前のスケジュール化されたタスクによってトリガーされます。 [タスク スケジューラ ライブラリ]、[Microsoft]、[Operations Management Suite]、[AOI***]、[評価]、[ADSecurityAssessment] の順に選択して、タスクを変更して別の日付/時刻に実行することや、即時実行を強制することができます。

  5. 収集および分析している間に、セットアップ時に構成された作業ディレクトリ フォルダー下にデータが一時的に保存されます。

  6. 数時間後に、評価結果が Log Analytics とサービス ハブ ダッシュボードに掲載されます。 [Services Hub]、[正常性]、[評価] の順に移動し、アクティブな評価に対して [すべての推奨事項を表示] をクリックすると結果を確認できます。

  7. AD 環境に関する問題に Microsoft 認定エンジニアとともに対応したい場合は、Microsoft 担当者に連絡し、リモートまたはオンサイト CE 主導デリバリーについて問い合わせてください。

契約 リモート エンジニア オンサイト エンジニア
Premier ADS リモート データシート ADS オンサイト データシート
ユニファイド ADS リモート データシート ADS オンサイト データシート