エンドポイント特権管理を実装する

  • 5 分

Microsoft Intune Suite の一部として、エンドポイント特権管理 (EPM) は、特権の管理方法を合理化することで、企業とエンド ユーザーに対する IT サポートを大幅に向上させます。 IT プロフェッショナルは、システムの全体的なセキュリティを損なうことなく、特定のタスクを完了するために必要なアクセス許可をユーザーに提供できます。 つまり、ユーザーはフルタイムの管理者権限を得るために待つ必要がなく、ワークフローの中断を最小限に抑えることができます。

IT サポート チームの場合、エンドポイント特権管理 (EPM) は、事前に定義されたポリシーに基づいて一時的な管理者アクセスを自動化することで、特権要求の繰り返し処理の負担を軽減し、効率を向上させます。 これは、サポート チームがデバイスをより適切に制御し、管理タスクが安全に実行されるようにするのに役立ちます。

特権の割り当てを自動化することで、IT 部門は、すべての管理タスクを手動で承認する必要がなくなり、より大きく複雑な問題に集中できます。 また、エンド ユーザーは、不要な遅延なしにトラブルシューティング、ソフトウェアのインストール、またはシステム設定の管理に必要なアクセス許可にすばやくアクセスでき、問題の迅速な解決に繋がります。

基本的に、エンドポイント特権管理 (EPM) は、セキュリティとユーザーの生産性の間で適切なバランスを提供し、ユーザーはタスクを効率的に完了し、IT 担当者は管理アクセス権を持つユーザー、持っている期間、その目的を完全に制御できます。

規制対象の業界の組織にとっては、生産性だけでなく、エンドポイント特権管理 (EPM) の監査証跡も重要な機能です。 IT 管理者は、特権の使用のすべてのインスタンスを追跡し、アカウンタビリティを確保し、データ セキュリティ規制へのコンプライアンスを簡素化できます。 これにより、組織は、ユーザーをサポートするために必要な柔軟性を犠牲にすることなく、強力なセキュリティ体制を維持できます。

特権が昇格されるたびに、特権が付与された日時と理由、期間、付与したユーザーが自動的にログに記録されます。 この監査証跡により、IT チームは特権アクセスをリアルタイムで監視し、異常なアクティビティを検出し、昇格されたすべてのタスクが企業のセキュリティ ポリシーと一致することを確認できます。 監査またはセキュリティ レビューの場合、これらの詳細なレコードはコンプライアンスの証明として機能し、特権管理が厳密に制御されていることを示します。

さらに、これらのログは、より広範なコンプライアンス管理ツールまたはシステムに統合できるため、組織は追加のオーバーヘッドなしで厳しい規制要件を満たすことができます。 コンプライアンス レポートを迅速かつ正確に生成する機能により、透明性が向上し、アクセスが常に検証および正当化されるゼロ トラスト セキュリティ モデルを組織が維持できるようになります。

IT チームにとっての本当の利点は、このプロセスが完全に自動化されていることです。 必要なすべてのデータがシステムによってリアルタイムでキャプチャされるため、記録や監視を手動で行う必要はありません。 これにより、規制コンプライアンスが簡素化されるだけでなく、特権が使用される方法とタイミングを継続的に監視することで、組織のセキュリティ体制が強化されます。

エンドポイント特権管理のロールベースのアクセス制御

エンドポイント特権管理を管理するには、目的のタスクを完了するための十分な権限を持つ次のアクセス許可を含む Intune ロールベースのアクセス制御 (RBAC) ロールがアカウントに割り当てられている必要があります。

  • エンドポイント特権管理ポリシーの作成 – このアクセス許可は、エンドポイント特権管理のポリシーまたはデータとレポートを操作するために必要であり、次の権限をサポートします。

    • レポートの表示
    • 読み取り
    • 作成
    • 更新する
    • 削除
    • 割り当て

  • エンドポイント特権管理の昇格要求 - このアクセス許可は、承認のためにユーザーによって送信された昇格要求を処理するために必要であり、次の権限をサポートします。

    • 昇格要求を表示する
    • 昇格要求を変更する

独自のカスタム RBAC ロールに 1 つ以上の権限を持つこのアクセス許可を追加することも、エンドポイント特権管理の管理専用の組み込み RBAC ロールを使用することもできます。

  • エンドポイント特権マネージャー – この組み込みロールは、Intune コンソールでのエンドポイント特権管理の管理専用です。 このロールには、"エンドポイント特権管理ポリシーの作成" および "エンドポイント特権管理の昇格要求" のすべての権限が含まれます。

  • エンドポイント特権閲覧者 - この組み込みロールを使用して、エンドポイント特権管理ポリシーを、レポートを含めて Intune コンソールで表示します。 このロールには、次の権限が含まれます。

    • レポートの表示
    • 読み取り
    • 昇格要求を表示する

専用ロールに加えて、Intune の次の組み込みロールには、"エンドポイント特権管理ポリシーの作成" の権限も含まれています。

  • エンドポイント セキュリティ マネージャー - このロールには、"エンドポイント特権管理ポリシーの作成" および "エンドポイント特権管理の昇格要求" のすべての権限が含まれます。

  • 読み取り専用オペレーター - このロールには、次の権限が含まれます。

    • レポートの表示
    • 読み取り
    • 昇格要求を表示する

詳細については、Microsoft Intune のロールベースのアクセス制御に関するページを参照してください。