ケース スタディ - 特権アクセス管理を実装する

  • 8 分

Contoso Corporation は、Microsoft Purview で Privileged Access Management (PAM) を実装し、セキュリティを強化し、継続的な管理アクセスに関連するリスクを軽減しています。 Exchange 構成を管理する管理者は、特定のタスクに対して一時的な昇格されたアクセス許可を要求し、アクセス許可が承認され、期限が設定され、監査可能であることを確認します。

シナリオ

Contoso IT 管理者は、ユーザーのメールボックスを移行するために、Exchange Onlineで新しい移動要求を実行する必要があります。 これは機密性の高いタスクであるため、管理者はアクセスを要求する必要があり、管理者が続行する前に Privileged Access Approvers グループによって要求が確認および承認されます。

このケース スタディでは、PAM を構成し、アクセス要求を承認するために Contoso が実行した手順について説明します。

  1. 承認者グループを作成する
  2. 特権アクセスを有効にする
  3. アクセス ポリシーを作成する
  4. アクセス要求の送信と承認

手順 1: 承認者グループを作成する

Contoso は、ユーザーのメールボックスの移行などの特権タスクの承認者として機能する上級管理者のグループを特定しました。

承認者グループを作成する手順

  1. 適切な管理者権限でMicrosoft 365 管理 センターにサインインします。

  2. [Teams & グループ>アクティブなチーム & グループ] に移動します。

  3. [セキュリティ グループ] を選択>メールが有効なセキュリティ グループを追加します

  4. [ 基本の設定 ] ページで、次の詳細を入力します。

    • [名前]: グループのわかりやすい名前を指定します。
    • 説明: グループの目的の簡単な説明を追加します。

  5. [ 所有者の割り当て] ページで、グループの所有者を割り当てます。

  6. [ メンバーの追加] ページで、承認者として機能する個人を追加します。

  7. [ 設定の編集] ページで、グループのメール アドレスを構成します。

  8. [グループの作成] を選択します。 グループが完全に構成されるまで数分待ちます。

    メールが有効なセキュリティ グループを作成するための完了画面を示すスクリーンショット。

この段階で、 特権アクセス承認者 グループは、特権アクセス要求を確認して承認する準備が整いました。

手順 2: 特権アクセス管理を有効にする

機密性の高いタスクの承認を強制するために、Contoso はMicrosoft 365 管理 センターで PAM を有効にします。

PAM を有効にする手順

  1. Microsoft 365 管理 センターで、[設定>組織の設定>セキュリティ & プライバシー>特権アクセス] に移動します。

  2. [ 特権アクセス要求を許可する] チェック ボックスをオンにし、既定の承認グループを選択します。

  3. 新しく作成した承認者グループを既定の承認グループとして割り当てます。

    特権アクセス管理でのメールが有効なセキュリティ グループの追加を示すスクリーンショット。

  4. [ 保存] を選択 して設定を適用します。

特権タスクを実行する前に、承認が必要になりました。

手順 3: アクセス ポリシーを作成する

IT チームは、特権タスク (特に Exchange のNew Move Request ) を管理するためのアクセス ポリシーを構成します。

特権アクセス ポリシーを作成する手順

  1. Microsoft 365 管理 センターで、[設定>Org の設定]>、[セキュリティ & プライバシー>特権アクセス] の順に移動します。

  2. [ ポリシーの作成と要求の管理] を選択し、[ ポリシーの管理] を選択します。

    特権アクセス管理ポリシーを管理する場所を示すスクリーンショット。

  3. [ ポリシーの追加] を選択します

  4. ポリシーの詳細を構成します。

    • ポリシーの種類: タスク
    • ポリシースコープ: 交換
    • ポリシー名: 新しい移動要求
    • 承認の種類: 手動
    • 承認者: Contoso は、新しく作成 された特権アクセス承認者グループを 選択します。

  5. [ 作成] を 選択してポリシーを確定します。

    特権アクセス ポリシーの追加を示すスクリーンショット。

このポリシーにより、 新しい移動要求 を実行するすべての管理者が、まず Privileged Access Approvers グループから承認を受ける必要があります。

手順 4: 要求を送信して承認する

IT 管理者は、ユーザーのメールボックスを移行するための管理者特権アクセスの要求を送信します。 Privileged Access Approvers グループのメンバーが要求を確認して承認します。

要求の送信

管理者は、Microsoft 365 管理 センターにサインインします。

  1. [Settings>Org settings>Security & privacy>Privileged access] に移動します。

  2. [ ポリシーの作成と要求の管理] を選択し、[ Access requests>Request access] を選択します。

  3. フォームに入力します。

    • : タスク
    • スコープ: Exchange
    • アクセス先: 新しい移動要求
    • 期間: 2 時間
    • 理由: Exchange メールボックスを移動するためのアクセス権が必要です。

  4. [ 作成] を 選択してアクセスを要求します。

    特権アクセス要求の送信を示すスクリーンショット。

要求の承認

  1. Privileged Access Approvers グループのメンバーは、新しいアクセス要求に関する電子メール通知を受け取ります。

    特権アクセスの電子メール要求を示すスクリーンショット。

  2. [ ポリシーの作成と要求の管理] を選択し、[ アクセス要求>Request access ] を選択してアクセス要求を表示します。

  3. 要求の詳細を確認した後、承認者は [ 承認] を選択します。

    Microsoft 365 管理ポータルでの特権アクセス要求を示すスクリーンショット。

管理者は、要求で指定された期間、承認されたタスクを実行できるようになりました。

PAM を実装することで、Contoso は 、新しい移動要求などの昇格されたタスクが厳密に制御されるようにします。 このプロセスにより、説明責任が追加され、セキュリティ リスクが最小限に抑えられます。また、アクセス許可が一時的でスコープ指定され、承認されていることを確認します。