Microsoft Entra ロールの検出と分析情報 (プレビュー) (以前のセキュリティ ウィザード)
Microsoft Entra ID の Privileged Identity Management (PIM) を使用して組織内のロールの割り当ての管理を開始する場合は、[検出と分析情報 (プレビュー)] ページを使用して開始できます。 この機能によって、組織内の特権ロールに割り当てられているユーザーと、PIM を使用して永続的なロールの割り当てを Just-In-Time 割り当てにすばやく変更する方法が示されます。 [Discovery and insights (preview)](検出と分析情報 (プレビュー)) で、永続的な特権ロールの割り当てを表示したり、変更を加えたりすることができます。 これは分析ツールであり、アクション ツールです。
検出と分析情報 (プレビュー)
組織で Privileged Identity Management の使用を開始する前に、すべてのロールの割り当てが永続になります。 ユーザーは特権を必要としない場合でも、常に割り当てられたロールに含まれます。 以前のセキュリティウィザードに代わる [Discovery and insights (preview)](検出と分析情報 (プレビュー)) には、特権ロールの一覧と、それらのロールに現在存在しているユーザーの数が表示されます。 1 人または複数のロール割り当て済みユーザーが不明な場合に、その詳細を確認するには、ロールの割り当ての一覧を表示できます。
✔️ Microsoft は、組織が全体管理者ロールが永続的に割り当てられる 2 つのクラウド専用緊急アクセス アカウントを作成することを推奨しています。 このようなアカウントは高い特権を持っており、特定のユーザーには割り当てられません。 これらのアカウントは、通常のアカウントを使用できない、または他のすべての管理者が誤ってロックアウトされたという緊急または "break glass" のシナリオに限定されます。これらのアカウントは、緊急アクセス アカウントに関する推奨事項に従って作成する必要があります。
また、ユーザーに Microsoft アカウント (つまり、Skype、Outlook.com などの Microsoft サービスへのサインインに使用するアカウント) がある場合は、ロールの割り当ても永続的に維持してください。 ロールの割り当てをアクティブ化するために Microsoft アカウントを持つユーザーに多要素認証が必要な場合、ユーザーはロックアウトされます。
[Discovery and insights (preview)](検出と分析情報 (プレビュー)) を開く
Microsoft Entra 管理センターに特権ロール管理者以上としてサインインします。
[ID ガバナンス]>[Privileged Identity Management]>[Microsoft Entra ロール]>[検出と分析情報 (プレビュー)] の順に移動します。
ページを開くと、検出プロセスが開始され、関連するロールの割り当てが検索されます。
[グローバル管理者の削減] を選択します。
グローバル管理者ロールの割り当ての一覧を確認します。
[次へ] を選択し、対象とするユーザーまたはグループを選択してから、 [対象化] または [割り当ての削除] を選択します。
すべてのグローバル管理者に対して、自身のアクセス権をレビューするように要求することもできます。
これらの変更のいずれかを選択すると、Azure の通知が表示されます。
次に、 [Eliminate standing access](継続的なアクセスを排除する) または [Review service principals](サービス プリンシパルを確認する) を選択して、他の特権ロールとサービス プリンシパルのロールの割り当てで上記の手順を繰り返します。 サービス プリンシパルのロールの割り当てでは、ロールの割り当てのみを削除できます。