Microsoft Entra ID Governance での最小限の特権の原則
ID ガバナンス戦略を採用する前に対処する必要がある 1 つの概念は、最小限の特権の原則 (PLOP) です。 最小限の特権とは、ユーザーとグループに、職務を実行するために必要な最小限のレベルのアクセスとアクセス許可のみを割り当てるという ID ガバナンスの原則です。 これは、ユーザーまたはグループが業務を遂行できるようにアクセス権を制限するだけでなく、攻撃者によって悪用される、またはセキュリティ侵害につながる可能性のある不要な特権を最小限に抑えるという考え方です。
Microsoft Entra ID Governance に関しては、最小限の特権の原則を適用すると、セキュリティの強化とリスクの軽減に役立ちます。 このアプローチにより、ユーザーとグループには、各自のロールと責任に関連するリソース、データ、アクションのみに対してアクセス権が付与され、それ以上は付与されません。
最小限の特権の原則の主要な概念
必要なリソースのみへのアクセス: タスクを実行するために本当に必要な場合にのみ、情報とリソースへのアクセスがユーザーに許可されます。 これにより、機密データへの不正アクセスを防ぎ、セキュリティ侵害の潜在的な影響を最小限に抑えます。 ユーザー プロビジョニングを自動化すると、アクセス権の不要な付与を減らすことができます。 ライフサイクル ワークフローは ID ガバナンス機能です。組織はこれを使用して、基本的なライフサイクル プロセスを自動化することで、Microsoft Entra ユーザーを管理できます。
ロールベースのアクセス制御 (RBAC): アクセス権は、ユーザーの特定のロールまたはジョブ機能に基づいて決定されます。 各ロールには、その責任を果たすために必要な最小限のアクセス許可が割り当てられます。 Microsoft Entra ロールベースのアクセス制御によって、Microsoft Entra リソースへのアクセスを管理します。
Just-In-Time 特権: アクセス権は、必要な期間だけ付与され、不要になったときに取り消されます。 これにより、攻撃者が過剰な特権を悪用する機会が減ります。 Privileged Identity Management (PIM) は Microsoft Entra ID のサービスで、これにより、お客様の組織内の重要なリソースへのアクセスを管理、制御、監視できるようになり、Just-In-Time アクセスを実現できます。
定期的な監査とレビュー: ユーザーのアクセスとアクセス許可の定期的なレビューが行われ、付与されているアクセス権が引き続き必要なことが確認されます。 これは、最小限の特権の原則からの逸脱を特定して修正するのに役立ちます。 Microsoft Entra ID のアクセス レビューは Microsoft Entra の一部であり、組織はこれを使用することで、グループ メンバーシップ、エンタープライズ アプリケーションへのアクセス、ロールの割り当てを効率的に管理できます。 ユーザーのアクセスを定期的にレビューし、適切なユーザーのみが継続的なアクセス権を持っていることを確認できます。
既定の拒否: 既定の方法はアクセスを拒否することであり、アクセスは承認された目的でのみ明示的に許可されます。 これは、不要な特権が付与される可能性がある "既定の許可" アプローチとは対照的です。 エンタイトルメント管理は、アクセス要求ワークフロー、アクセスの割り当て、レビュー、期限切れ処理を自動化することで、ID とアクセスのライフサイクルを大規模に管理できる、ID ガバナンス機能です。
最小限の特権の原則に従うことで、組織はセキュリティの問題のリスクを軽減し、アクセス制御がビジネス ニーズに合っていることを確認できます。
Identity Governance の機能で管理するための最小特権ロール
Identity Governance で管理タスクを実行するには、最小特権ロールを使用するのがベスト プラクティスです。 必要に応じて Microsoft Entra PIM を使用してロールをアクティブ化し、これらのタスクを実行することをお勧めします。 Identity Governance の機能を構成するための最小特権ディレクトリ ロールを次に示します。
| 機能 | 最小特権ロール |
|---|---|
| エンタイトルメント管理 | Identity Governance 管理者 |
| アクセス レビュー | ユーザー管理者 (特権ロール管理者を必要とする Azure または Microsoft Entra ロールのアクセス レビューを除く) |
| ライフサイクル ワークフロー | ライフサイクル ワークフロー管理者 |
| Privileged Identity Management | 特権ロール管理者 |
| 使用条件 | セキュリティ管理者または条件付きアクセス管理者 |
注意
エンタイトルメント管理の最小特権ロールは、ユーザー管理者ロールから Identity Governance 管理者ロールに変更されています。