🗂

[Azure] Azure AD Privileged Identity Management について

2023/02/18に公開

学習資材

https://learn.microsoft.com/ja-jp/training/modules/azure-ad-privileged-identity-management/

ゼロトラストの考え方

  • ゼロトラストとは。

  • ゼロトラストの構成要素の考え方

  • MSのゼロトラストのコンポーネント

    デバイスからADに状態を保存し、条件付きアクセスアクセスポリシーで決定を行い、Intune上で動くシステムに対して適用をする。といった意味合いでの記載と思われる。

Privileged Identity Managementとは

日本語にすると、「特権ID管理」
上位の権限をあるユーザに付けたままにするセキュリティリスクを防止することができる。
具体的には、管理者の承認を得て、一時的に特権を利用できる機能を提供する。
https://www.softbanktech.co.jp/special/blog/cloud_blog/2020/0012/

PIMでは具体的に以下の機能が提供される。

  • アクセスレビュー
  • Just-In-Timeアクセス(Azure AD)
  • ロールのアクティブ
    • 承認
    • 正当な理由の提出
    • 多要素認証の強制
  • 監査履歴のダウンロード

PIMのスコープ

ID管理として、Azure ADはスコープ内のこと、Azure リソースに対するRBACに対してもPIMを有効にすることができる。
https://learn.microsoft.com/ja-jp/azure/active-directory/privileged-identity-management/pim-resource-roles-assign-roles

PIMでアクセスレビューを実施できないAzureロール

  • アカウント管理者
  • サービス管理者
  • 共同作成者

https://learn.microsoft.com/ja-jp/azure/active-directory/privileged-identity-management/pim-roles#classic-subscription-administrator-roles

PIMに必要なライセンス

Azure AD Premium P2、Enterprise Mobility + Security (EMS) E5、または Microsoft 365 M5。

PIMの注意点や補足

  1. PIMを使用する最初のグローバル管理者には、ディレクトリ内で特権ロール管理者が割り当てられる。その他のグローバル管理者やセキュリティ管理者は最初は読み取り専用になる。(≒最初一人にしか割り当てられない。)そのため、そのユーザのロックアウトを考慮して、最低でも2人に特権ロール管理者を割り当てておくことが重要になる。

2.割り当ての種類で"アクティブ"を選択するとき、有効期限も選択できる。基本的に永続アクティブになると思っていたが期限も設定可能なようである。特に承認の必要のないアクティブと、承認が必要になる対象という種類の切り分けだけなのだろう。

Discussion