特権アクセス管理を管理する

  • 9 分

Privileged Access Management (PAM) の管理には、特権管理アクセスに関連付けられているワークフロー、ポリシー、承認の監視と管理が含まれます。

要求を管理する

要求の管理は Privileged Access Management (PAM) のコア機能であり、昇格されたアクセス許可を必要とする機密性の高いタスクが必要な場合にのみ承認されるようにします。 要求の送信、承認、または拒否により、管理アクションが制御され、ログに記録され、セキュリティ ポリシーに準拠します。

要求を送信する

要求を送信すると、ユーザーは一時的に昇格されたアクセス許可を取得して、より高い特権を必要とするタスクを実行できます。 これにより、永続的なアクセスを許可することなく機密性の高い操作が安全に完了し、誤用や侵害のリスクが軽減されます。 特権アクセスの要求は、要求が送信されてから最大24時間有効です。 承認または拒否されていない場合、要求の有効期限が切れ、アクセスは承認されません。

Microsoft 365 管理 センターを使用して要求を送信する

  1. Microsoft 365 管理 センターにサインインします。

  2. [Settings>Org settings>Security & privacy>Privileged access] に移動します。

  3. [ ポリシーの作成と要求の管理>Request access ] を選択し、フォームに入力します。

    • 種類: タスク、ロール、または役割グループ

    • スコープ: Exchange

    • アクセス: 使用可能なオプションから選択する

    • 期間 (時間): アクセスを希望する時間数。 要求できる時間数に制限はありません。

    • 理由: 要求の理由を指定する

  4. [ 作成] を 選択して、新しい特権アクセス管理要求を作成します。

PowerShell を使用して要求を送信する

PowerShell の New-ElevatedAccessRequest コマンドレットを使用して、特権アクセス要求を送信します。 この要求は、指定したタスクに対して管理者特権のアクセス許可を一時的に付与します。

New-ElevatedAccessRequest -Task 'Exchange\<exchange management cmdlet name>' -Reason '<appropriate reason>' -DurationHours <duration in hours>

:

New-ElevatedAccessRequest -Task 'Exchange\New-MoveRequest' -Reason 'Attempting to fix the user mailbox error' -DurationHours 4
  • -Task: 特権アクセスが要求される Exchange コマンドレットを指定します。
  • -Reason: 要求の正当な理由を提供します。
  • -DurationHours: 昇格されたアクセスの期間 (時間単位) を定義します。

要求を承認または拒否する

要求を承認または拒否すると、承認者はユーザーの昇格されたアクセス要求の必要性と妥当性を評価できます。 この手順では、組織のセキュリティ ポリシーを適用し、承認されたユーザーのみが特権タスクを実行できるようにします。

Microsoft 365 管理 センターを使用して要求を承認または拒否する

  1. 承認者は、要求の電子メール通知を受け取ります。

    特権アクセス管理の承認者が受け取る通知を示すスクリーンショット。

  2. 承認者は管理センターにログインし、次のことができます。

    • 要求の詳細を確認する

    • 要求を承認または拒否する

    特権アクセス管理要求を承認または拒否する方法を示すスクリーンショット。

  3. 承認された要求により、ユーザーは指定した期間内にタスクを完了できます。

PowerShell を使用して要求を承認または拒否する

PowerShell を使用して特権アクセス管理要求を承認または拒否するには:

  • 要求を承認する:

    送信されたアクセス要求を付与するには、 Approve-ElevatedAccessRequest コマンドレットを使用します。

    Approve-ElevatedAccessRequest -RequestId <request id> -Comment '<approval comment>'

    :

    Approve-ElevatedAccessRequest -RequestId a4bc1bdf-00a1-42b4-be65-b6c63d6be279 -Comment '<approval comment>'

  • 要求を拒否する:

    送信されたアクセス要求を拒否するには、 Deny-ElevatedAccessRequest コマンドレットを使用します。

    Deny-ElevatedAccessRequest -RequestId <request id> -Comment '<denial comment>'

    :

    Deny-ElevatedAccessRequest -RequestId a4bc1bdf-00a1-42b4-be65-b6c63d6be279 -Comment '<denial comment>'

  • -RequestId: 承認する特定の要求を識別します。

  • -Comment: 承認または拒否の決定に関するオプションのコメントを追加します。

ポリシーの表示、変更、削除

特権アクセス ポリシーは PAM のバックボーンであり、アクセス権が付与される条件を定義します。 ポリシーを定期的に確認、変更、削除することで、organizationのセキュリティ構成を最新の状態に保ち、運用上のニーズに合わせて調整することができます。

Microsoft 365 管理 センターを使用してポリシーを表示、変更、削除する

  1. [Settings>Org settings>Security & privacy>Privileged access] に移動します。

  2. [ ポリシーの作成と要求の管理>ポリシーの管理] を選択します

ここから、以下の操作を行うことができます。

  • ポリシーの表示: 構成されているすべてのポリシーとその詳細を確認します。

  • ポリシーの変更: 次のようなフィールドを更新します。

    • 承認の種類を更新して、手動承認と自動承認を切り替えます。

    • 承認者を変更して、承認を担当する別のグループを割り当てます。

  • 更新後に変更を保存します。

  • ポリシーの削除: 削除するポリシーを選択し、[ ポリシーの削除] を選択して、削除を確認します。

PowerShell を使用してポリシーを表示、変更、削除する

ポリシーの表示

Get-ElevatedAccessApprovalPolicy コマンドレットを使用して、特権アクセス管理ポリシーの一覧を取得します。

Get-ElevatedAccessApprovalPolicy

ポリシーの変更

Set-ElevatedAccessApprovalPolicy コマンドレットを使用して、既存の特権アクセス ポリシーを更新します。 このコマンドレットを使用すると、承認の種類や承認者グループなどのフィールドを変更できます。

Set-ElevatedAccessApprovalPolicy -Identity <Policy ID> -ApprovalType '<Manual or Auto>' -ApproverGroup '<New Approver Group>'

:

Set-ElevatedAccessApprovalPolicy -Identity 'Policy123' -ApproverGroup 'securityadmins@fabrikam.com' -ApprovalType 'Manual'

  • -Identity: 変更する特定のポリシーを識別します。

  • -ApproverGroup: 承認を処理する新しいメールが有効なセキュリティ グループを割り当てます。

  • -ApprovalType: 手動または自動承認が必要なポリシーをUpdatesします。

ポリシーの削除

Remove-ElevatedAccessApprovalPolicy コマンドレットを使用して、古い特権アクセス ポリシーを削除します。 これにより、環境が確実に整理されます。

Remove-ElevatedAccessApprovalPolicy -Identity <Policy ID>

特権アクセス管理を無効にする

PAM を無効にすると、管理者特権のアクセス要求と承認に関する制御が削除され、標準の管理アクセス レベルに戻ります。 通常、このアクションは、PAM が不要になった場合、または代替ソリューションが実装されている場合に予約されます。

Microsoft 365 管理 センターを使用して特権アクセス管理を無効にする

[ 特権アクセス要求を許可する] をオフにし、 特権アクセス設定で既定の承認グループを選択します。

PowerShell を使用して特権アクセス管理を無効にする

Disable-ElevatedAccessControl

PAM の監査と監視

監査と監視アクティビティは、ポリシーのギャップを特定し、コンプライアンスを確保し、異常を検出するために重要です。 ログを確認し、定期的な評価を行うことで、組織は特権アクセスを効果的に制御できます。

監査ログ

要求や承認を含む PAM アクティビティは、コンプライアンス目的でログに記録されます。

  1. Microsoft Purview ポータルに移動します。

  2. [ソリューション>監査] を選択し、PAM に関連するアクティビティを検索します。

  3. アクティビティの種類、日付範囲、またはユーザーでログをフィルター処理します。

定期的なレビュー

定期的なレビューを実施することで、ポリシーと承認者グループのメンバーシップが引き続き関連性と効果を維持できます。 これらのレビューは、組織の変更に適応し、堅牢なセキュリティを維持するために不可欠です。

  • ポリシー レビュー: ポリシーを定期的に評価して、組織のニーズと一致していることを確認します。

  • 承認者グループ メンバーシップ: 承認者が最新で承認されていることを確認します。

PAM の問題のトラブルシューティング

一般的な問題

  • 失敗した要求の送信: 要求元に十分なアクセス許可があることを確認します。

  • 承認の遅延: 承認者が通知を受け取り、管理センターにアクセスできるかどうかを確認します。

  • ポリシーの競合: 複数のポリシーが重複していないことを確認し、意図しない動作を引き起こします。