Azure Active Directory B2C で緊急アクセス用管理者アカウントを管理する
管理者として別のユーザーのアカウントへのサインインやアクティブ化ができなくなるので、Azure Active Directory B2C (Azure AD B2C) 組織から誤ってロックアウトされないようにすることが重要です。 複数の "緊急アクセス用アカウント" を組織に作成することにより、誤って管理アクセスが不可能になることによる影響を軽減できます。
これらのアカウントを構成するときに、次の要件が満たされている必要があります。
緊急アクセス アカウントは、組織内の個々のユーザーに関連付けられていてはなりません。 アカウントが、従業員が提供する携帯電話、個々の従業員と共に移動するハードウェア トークン、またはその他の従業員固有の資格情報を使用して接続されていないことを確認します。 この予防策には、資格情報が必要なときに従業員がそれを入手できないような状況が該当します。 Azure AD B2C との複数の通信手段がある既知の安全な場所に、登録済みのデバイスを保管しておくことが重要です。
緊急アクセス用アカウントには強力な認証を使用するものとし、他の管理者アカウントと同じ認証方法は決して使用しないでください。
デバイスまたは資格情報は、有効期限が切れておらず、使用不足による自動クリーンアップの対象になっていないことが必要です。
前提条件
- 独自の Azure AD B2C テナントをまだ作成していない場合、ここで作成してください。 既存の Azure AD B2C テナントを使用できます。
- Azure AD B2C でのユーザー アカウントについて理解する。
- リソース アクセスを制御するユーザー ロールについて理解する。
- 条件付きアクセスを理解する
緊急アクセス用アカウントを作成する
複数の緊急アクセス用アカウントを作成します。 これらのアカウントは、.onmicrosoft.com ドメインを使用し、オンプレミス環境からフェデレーションまたは同期されていない、クラウド専用のアカウントである必要があります。
緊急アクセス用アカウントを作成するには、次の手順に従います。
既存の全体管理者として Azure portal にサインインします。 Microsoft Entra アカウントを使用する場合は、ご利用の Azure AD B2C テナントが含まれるディレクトリを必ず使用してください。
ポータル ツールバーの [Directories + subscriptions](ディレクトリ + サブスクリプション) アイコンを選択します。
[ポータルの設定] | [Directories + subscriptions](ディレクトリ + サブスクリプション) ページで Azure AD B2C ディレクトリを [ディレクトリ名] リストで見つけ、 [Switch] を選択します。
[Azure サービス] で、 [Azure AD B2C] を選択します。 または、Azure portal で、[Azure AD B2C] を検索して選択します。
左側のメニューの [管理] で、 [ユーザー] を選択します。
[+ 新しいユーザー] を選択します。
[Create user](ユーザーの作成) を選択します。
[ID] で、次を行います。
[ユーザー名] に、 "emergency account" などの一意のユーザー名を入力します。
[名前] に、"緊急用アカウント" などの名前を入力します。
[パスワード] に、一意のパスワードを入力します。
[グループとロール] で、次を行います。
[ユーザー] を選択します。
表示されたウィンドウで、[グローバル管理者] を検索して選択し、[選択] ボタンを選択します。
[設定] で、適切な [使用場所] を選択します。
[作成] を選択します
緊急用アカウントを作成したら、次の操作を行う必要があります。
条件付きアクセスを使用する場合、すべての条件付きアクセス ポリシーから少なくとも 1 つの緊急アクセス用アカウントを除外する必要があります。