Microsoft 365 を利用するにあたり、グループメンバーの管理やアプリケーション連携、管理者ロールの割り当て変更など、様々な管理業務が定期的に発生します。日々適切な管理ができていれば問題ないですが、完全自動化されていない限り、うっかり権限を変更しないまま運用したり、所属しているグループのメンバーが把握しきれていない状態になったりしてしまう可能性もあります。
過剰な権限を与えたままでは、資格情報の流出による Microsoft 365 への侵入などのリスクも考えられます。管理者は、不必要な権限を削除し、適切なグループ管理を行うよう、適宜確認して運用することが望ましいですよね。
そこでご紹介したいのが、効率的な管理が行える【アクセスレビュー】機能です。この機能は所謂「棚卸し」の機能で、グループやアプリに対するユーザーのアクセス状況が確認できるので、不要なメンバーや権限を効率的に削除することが可能です。
※ アクセスレビュー機能を使うには Azure AD Premium P2 ライセンスが必要です。
今回は、管理者ロールのアクセスレビューについてご紹介します。
管理者ロールのアクセスレビュー を設定
1.Privileged Identity Management に管理者アカウントでアクセスします。
2.左メニューの [Azure AD ロール] > [アクセスレビュー] をクリックし、画面上部の [新規] をクリックします。
3.アクセスレビュー名と、レビューの期間(回数)を指定します。
例えば毎月10日ごとにレビューを行う場合は、以下キャプチャのような設定になります。レビューは毎週・毎月など定期的な繰り返しの他、1回だけの設定も可能です。
4.[ロール] をクリックすると、画面右にロール選択画面が表示されますので、レビューしたい管理者ロールを選択します。複数選択することも可能です。
[レビュー担当者] は複数のユーザーを選択でき、該当のロールが割り振られているユーザー自身でレビューさせることも可能です。
5.[設定完了時] では、レビュー完了後の動作やレビュー担当者が反応しなかった場合の処置を選択します。
[詳細設定] では、レビュー担当者に対してレビュー開始の通知や承認の際の理由の有無などを選択します。
6.設定が完了したら、[開始] をクリックします。
7.レビュー担当者に以下のような通知が届くので、レビューを開始するをクリックしてレビューします。
8.以下のようなレビュー画面へアクセスされます。該当のロールが付与されているユーザー一覧が表示されており、サインインしてから経過した日数や推奨の操作があるので、これらを参考にユーザーの承認/拒否を決定します。
以上が管理者ロールに対するアクセスレビューの概要です。
なお、グループやアプリケーションに対しては、Identity Governance にて設定可能ですので、気になる方はお試しください!
その他にもセキュリティに関する疑問点・相談事項がございましたら、セキュリティデスクサービスのご利用もご検討ください。
セキュリティワークショップも期間限定で無料!
2021年12月24日までの期間限定で、セキュリティワークショップ2種を含む人気のワークショップを無料で承っております。実施期間はお客様のご都合によって調整可能ですので、まずはお申し込みだけでもご検討いただければ幸いです。
