Privileged Identity Management (PIM) と Microsoft Defender for Office 365 で使用する理由
Privileged Identity Management (PIM) は、ユーザーが限られた期間 (タイム ボックス化された期間と呼ばれることもあります) のデータにアクセスできるようにする Azure 機能です。 アクセスには、必要なアクションを実行するための "Just-In-Time" が指定され、アクセスが削除されます。 PIM は機密データへのユーザー アクセスを制限します。これにより、データやその他の設定に永続的にアクセスできる従来の管理者アカウントと比較してリスクが軽減されます。 では、この機能 (PIM) をMicrosoft Defender for Office 365でどのように使用できますか?
ヒント
PIM アクセスのスコープはロールと ID レベルで、複数のタスクを完了できるようにします。 これに対し、Privileged Access Management (PAM) のスコープはタスク レベルです。
PIM を使用して、関連するタスクに対して Defender for Office 365 への just-in-time アクセスを付与する手順
管理者は、Microsoft Defender for Office 365と連携するように PIM を設定することで、ユーザーが必要な昇格された特権を要求して正当化するためのプロセスを作成します。
この記事では、セキュリティ チームの Alex というユーザーのシナリオを使用します。 次のシナリオで Alex のアクセス許可を昇格できます。
- 通常の日常の操作 (脅威 ハンティングなど) に対するアクセス許可。
- 頻度の低い機密性の高い操作 ( 悪意のある配信メールの修復など) に対する一時的な高レベルの特権。
ヒント
この記事には、説明に従ってシナリオの特定の手順が含まれていますが、他のアクセス許可に対しても同じ手順を実行できます。 たとえば、インフォメーション ワーカーが検索やケースワークを実行するために電子情報開示で日常的なアクセスを必要とするが、organizationからデータをエクスポートするために昇格されたアクセス許可が必要な場合などです。
手順 1. サブスクリプションの Azure PIM コンソールで、ユーザー (Alex) を Azure Security Reader の役割に追加し、ライセンス認証に関連するセキュリティ設定を構成します。
- Microsoft Entra 管理 センターにサインインし、[Microsoft Entra ID>ロールと管理者] を選択します。
- 役割の一覧で[セキュリティ リーダー] を選択し、[設定]>[編集] の順に選択します。
- 'ライセンス認証の最大期間 (時間) 'を通常の作業日に設定し、Azure MFA を必要とする 'ライセンス認証時' に設定します。
- これは、日常的な操作に対する Alex の通常の特権レベルであるため、[アクティブ化>に正当な理由が必要な更新プログラム] をオフにします。
- [割り当ての追加]> [メンバーが選択されていない] を選択>するか、正しいメンバーを検索する名前を入力します。
- [ 選択 ] ボタンを選択して、PIM 特権 > に追加する必要があるメンバーを選択します。[割り当ての追加] ページで [次に> 変更を加える] を選択します (割り当ての種類は [ 有資格] と [ 期間の永続的に適格 ] の両方が既定値です) と [割り当て] を選択します。
ユーザーの名前 (このシナリオでは Alex) は、次のページの [適格な割り当て] の下に表示されます。 この結果は、前に構成した設定を使用して、ロールに PIM できることを意味します。
注:
Privileged Identity Management を簡単にレビューするにはこのビデオをご覧ください。
![役割設定の詳細 - [セキュリティ閲覧者] ページ](media/pim-mdo-role-setting-details-for-security-reader-show-8-hr-duration.png#lightbox)
手順 2. 他のタスクに必要な 2 番目 (昇格された) アクセス許可グループをCreateし、適格性を割り当てます。
Privileged Access グループ を使用して、独自のカスタム グループを作成し、アクセス許可を組み合わせたり、組織のプラクティスとニーズを満たすために必要な時間の粒度を増やすことができます。
必要なアクセス許可を持つロールまたはロール グループをCreateする
以下のいずれかの方法を実行します。
または
- Microsoft Defender XDR統合ロール ベースのアクセス制御 (RBAC) でカスタム ロールをCreateします。 詳細と手順については、「統合 RBAC モデルMicrosoft Defender XDR使用を開始する」を参照してください。
いずれかのメソッドの場合:
- わかりやすい名前 ("Contoso Search と Purge PIM" など) を使用します。
- メンバーを追加しないでください。 必要なアクセス許可を追加して保存し、次の手順に進みます。
昇格されたアクセス許可のMicrosoft Entra IDのセキュリティ グループをCreateする
- Microsoft Entra 管理 センターに戻り、[Microsoft Entra ID>Groups>新しいグループ] に移動します。
- 目的を反映するようにMicrosoft Entra グループに名前を付けます。現在、所有者やメンバーは必要ありません。
- [Microsoft Entraロールをグループに割り当てることができます] を[はい] に設定します。
- ロール、メンバー、または所有者を追加せず、グループを作成します。
- 作成したグループに戻るし、[Privileged Identity Management>Enable PIM] を選択します。
- グループ内で、[適格な割り当ての追加] [割り>当ての>追加] Search &削除する必要があるユーザーをメンバーのロールとして追加します。
- グループの [特権アクセス] ウィンドウ内で [設定] を構成します。 [メンバー] の役割の設定を [編集] を選択します。
- 組織に合わせてアクティブ化時間を変更します。 この例では、[更新] を選択Microsoft Entra前に、多要素認証、正当な理由、チケット情報が必要です。
新しく作成したセキュリティ グループを役割グループに入れ子にします。
注:
この手順は、必要なアクセス許可を持つロールまたはロール グループをCreateでEmail &コラボレーション 役割グループを使用した場合にのみ必要です。 Defender XDR統合 RBAC では、Microsoft Entra グループへの直接アクセス許可の割り当てがサポートされており、PIM のグループにメンバーを追加できます。
セキュリティー/コンプライアンス PowerShell に接続し、次のコマンドを実行します:
Add-RoleGroupMember "<Role Group Name>" -Member "<Azure Security Group>"`
Defender for Office 365 を使用して PIM の構成をテストする
この時点で、Microsoft Defender ポータル内で管理アクセス権を持たないテスト ユーザー (Alex) でサインインします。
ユーザーが日々のセキュリティ リーダーの役割をアクティブ化できる PIM に移動します。
Threat エクスプローラー を使用してメールを消去しようとすると、さらにアクセス許可が必要であることを示すエラーが表示されます。
2 度目は短時間の遅延の後に、PIM の役割がより昇格され、問題なくメールを削除できるようになります。
![[メール] タブの [アクション] ペイン](media/pim-mdo-add-the-search-and-purge-role-assignment-to-this-pim-role.png)
![[メール] タブの [アクション] ペイン](media/pim-mdo-add-the-search-and-purge-role-assignment-to-this-pim-role.png#lightbox)
管理ロールとアクセス許可の永続的な割り当ては、ゼロ トラストセキュリティ イニシアチブと一致しません。 代わりに、PIM を使用して、必要なツールへの Just-In-Time アクセスを許可できます。
このコンテンツに使用されたブログ投稿とリソースにアクセスさせていただき、カスタマー エンジニア Ben Harris さんに感謝します。