特権アクセス管理の使用を開始する

この記事では、organizationで特権アクセス管理を有効にして構成する方法について説明します。 Microsoft 365 管理センターまたは Exchange Management PowerShell を使用して、特権アクセスを管理および使用できます。

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。

開始する前に

特権アクセス管理を開始する前に、 Microsoft 365 サブスクリプション とアドオンを確認する必要があります。

特権アクセス管理を開始する前に、Microsoft 365 サブスクリプションとアドオンを確認する必要があります。 特権アクセス管理にアクセスして使用するには、organizationにサポートサブスクリプションまたはアドオンが必要です。 詳細については、特権アクセス管理の サブスクリプション要件 に関するページを参照してください。

既存の Office 365 Enterprise E5 プランがなく、特権アクセス管理を試したい場合は、既存のOffice 365 サブスクリプションに Microsoft 365 を追加するか、E5 Microsoft 365 Enterprise試用版にサインアップします。

特権アクセス管理を有効にして構成する

次の手順に従って、organizationで特権アクセスを設定して使用します。

  • 手順 1: 承認者のグループを作成する

    特権アクセスの使用を開始する前に、昇格されたタスクおよび権限のあるタスクへのアクセスを要求するための承認権限を必要とするユーザーを決定します。 承認者グループの一部であるユーザーは、アクセス要求を承認することができます。 このグループは、Office 365でメールが有効なセキュリティ グループを作成することで有効になります。

  • 手順 2: 特権アクセスを有効にする

    特権アクセスは、既定の承認者グループを使用して Office 365 で明示的に有効にする必要があります。これには、特権アクセス管理アクセス制御から除外する一連のシステム アカウントが含まれます。

  • 手順 3: アクセス ポリシーを作成する

    承認ポリシーを作成すると、個々のタスクでスコープを設定する特定の承認要件を定義できます。 承認の種類のオプションは自動または手動です。

  • 手順 4: 特権アクセス要求を送信/承認する

    有効にすると、特権アクセスは関連付けられた承認ポリシーが定義されているすべてのタスクにて承認が必要になります。 承認ポリシーに含まれるタスクの場合、タスクを実行するために必要なアクセス権限を持つには、ユーザーはアクセスを要求し、アクセスが許可されている必要があります。

承認が与えられると、アクセス要求したユーザーは目的のタスクを実行でき、特権アクセスはユーザーに代わってタスクを承認および実行します。 承認は、要求された期間 (既定の期間は 4 時間) にわたって有効で、その間依頼者は目的のタスクを複数回実行できます。 これらのすべての実行はログに記録され、セキュリティとコンプライアンスの監査で利用されます。

注:

Exchange Management PowerShell を使用して特権アクセスを有効にして構成する場合は、「多要素認証を使用して PowerShell をExchange Onlineに接続する」の手順に従って、Office 365資格情報を使用Exchange Online PowerShell に接続します。 PowerShell への接続中に特権アクセスを有効にする手順を使用するには、organizationの多要素認証 Exchange Onlineを有効にする必要はありません。 多要素認証を使用して接続すると、要求に署名するために特権アクセスによって使用される認証トークンが作成されます。

手順 1: 承認者のグループを作成する

  1. organizationの管理者アカウントの資格情報を使用してMicrosoft 365 管理センターにサインインします。

  2. 管理センターで、[ グループ] [グループ>の追加] の順に移動します。

  3. メールが有効なセキュリティ グループを選択し、新しいグループの [名前]、[グループのメール アドレス]、[説明] フィールドに入力します。

  4. グループを保存します。  グループが完全に構成され、Microsoft 365 管理センターに表示するには、数分かかることがあります。

  5. 新しい承認者のグループを選択し、[ 編集 ] を選択してユーザーをグループに追加します。

  6. グループを保存します。

手順 2: 特権アクセスを有効にする

Microsoft 365 管理 センター

  1. organizationの管理者アカウントの資格情報を使用して、Microsoft 365 管理 センターにサインインします。

  2. 管理センターで、[設定>] [組織の設定][セキュリティ] >& [プライバシー>特権アクセス] に移動します。

  3. [特権タスクの承認を要求する] コントロールを有効にします。

  4. 手順 1 で作成した承認者のグループを 既定の承認者グループとして割り当てます。

  5. 保存 して 閉じます

Exchange Management PowerShell で

特権アクセスを有効にし、承認者のグループを割り当てるには、PowerShell Exchange Onlineで次のコマンドを実行します。

Enable-ElevatedAccessControl -AdminGroup '<default approver group>' -SystemAccounts @('<systemAccountUPN1>','<systemAccountUPN2>')

例:

Enable-ElevatedAccessControl -AdminGroup 'pamapprovers@fabrikam.onmicrosoft.com' -SystemAccounts @('sys1@fabrikamorg.onmicrosoft.com', 'sys2@fabrikamorg.onmicrosoft.com')

注:

システム アカウント機能を利用して、組織内の特定の自動化が特権アクセスに依存せずに機能するようにしますが、このような除外は例外であり、許可された除外は定期的に承認および監査することをお勧めします。

手順 3: アクセス ポリシーを作成する

organizationに対して最大 30 個の特権アクセス ポリシーを作成および構成できます。

Microsoft 365 管理 センター

  1. organizationの管理者アカウントの資格情報を使用して、Microsoft 365 管理 センターにサインインします。

  2. 管理 センターで、[設定>] [組織の設定][セキュリティ] >& [プライバシー>特権アクセス] に移動します。

  3. [ アクセス ポリシーと要求の管理] を選択します

  4. [ ポリシーの構成] を選択し、[ ポリシーの追加] を選択します。

  5. ドロップダウン フィールドから、organizationに適した値を選択します。

    ポリシーの種類: タスク、役割、役割グループ

    ポリシースコープ: 交換

    ポリシー名: 利用可能なポリシーから選択します。

    承認の種類: 手動または自動

    承認グループ: 手順 1で作成した承認者グループを選択します。

  6. [ 作成 ] を選択し、[ 閉じる] を選択します。 ポリシーが完全に構成されて有効になるまでに数分かかる場合があります。

Exchange Management PowerShell で

承認ポリシーを作成して定義するには、Exchange Online PowerShell で次のコマンドを実行します。

New-ElevatedAccessApprovalPolicy -Task 'Exchange\<exchange management cmdlet name>' -ApprovalType <Manual, Auto> -ApproverGroup '<default/custom approver group>'

例:

New-ElevatedAccessApprovalPolicy -Task 'Exchange\New-MoveRequest' -ApprovalType Manual -ApproverGroup 'mbmanagers@fabrikamorg.onmicrosoft.com'

手順 4: 特権アクセス要求を送信/承認する

特権タスクを実行するための昇格認証の要求

特権アクセスの要求は、要求が送信されてから最大24時間有効です。 承認または拒否されていない場合、要求の有効期限が切れ、アクセスは承認されません。

Microsoft 365 管理 センター

  1. 資格情報を使用してMicrosoft 365 管理 センターにサインインします。

  2. 管理 センターで、[設定>] [組織の設定][セキュリティ] >& [プライバシー>特権アクセス] に移動します。

  3. [ アクセス ポリシーと要求の管理] を選択します

  4. [ 新しい要求] を選択します。 ドロップダウン フィールドから、organizationに適した値を選択します。

    要求の種類: タスク、役割、役割グループ

    要求スコープ: 交換

    要求名: 利用可能なポリシーから選択します。

    期間 (時間): アクセスを希望する時間数。 要求できる時間数に制限はありません。

    コメント: アクセス要求に関連するコメントのテキスト フィールド

  5. [ 保存] を選択 し、[ 閉じる] を選択します。 要求は、電子メールで承認者のグループに送信されます。

Exchange Management PowerShell で

Exchange Online PowerShell で次のコマンドを実行して、承認者のグループに承認要求を作成して送信します。

New-ElevatedAccessRequest -Task 'Exchange\<exchange management cmdlet name>' -Reason '<appropriate reason>' -DurationHours <duration in hours>

例:

New-ElevatedAccessRequest -Task 'Exchange\New-MoveRequest' -Reason 'Attempting to fix the user mailbox error' -DurationHours 4

昇格要求の状態を表示する

承認要求が作成されると、昇格要求の状態は、管理センターまたは Exchange Management PowerShell で、関連付けられている要求 ID を使用して確認できます。

Microsoft 365 管理センター

  1. 資格情報を使用してMicrosoft 365 管理センターにサインインします。

  2. 管理センターで、[設定>] [組織の設定][セキュリティ] >& [プライバシー>特権アクセス] に移動します。

  3. [ アクセス ポリシーと要求の管理] を選択します

  4. [ 表示 ] を選択して、送信された要求を 保留中承認済み、 拒否、または 顧客ロックボックス の状態でフィルター処理します。

Exchange Management PowerShell で

Exchange Online PowerShell で次のコマンドを実行して、特定の要求 ID の承認要求の状態を表示します。

Get-ElevatedAccessRequest -Identity <request ID> | select RequestStatus

例:

Get-ElevatedAccessRequest -Identity 28560ed0-419d-4cc3-8f5b-603911cbd450 | select RequestStatus

昇格承認要求の承認

承認要求が作成されると、関連する承認者グループのメンバーは電子メール通知を受け取り、要求 ID に関連付けられている要求を承認できます。 アクセスの要求者にはメール メッセージで要求の承認または拒否が通知されます。

Microsoft 365 管理センター

  1. 資格情報を使用してMicrosoft 365 管理センターにサインインします。

  2. 管理センターで、[設定>] [組織の設定][セキュリティ] >& [プライバシー>特権アクセス] に移動します。

  3. [ アクセス ポリシーと要求の管理] を選択します

  4. 一覧表示された要求を選択して詳細を表示し、要求に対してアクションを実行します。

  5. [ 承認] を 選択して要求を承認するか、[ 拒否 ] を選択して要求を拒否します。 以前に承認された要求は、[ 取り消し] を選択することでアクセスを取り消すことができます。

Exchange Management PowerShell で

昇格承認要求を承認するには、Exchange Online PowerShell で次のコマンドを実行します。

Approve-ElevatedAccessRequest -RequestId <request id> -Comment '<approval comment>'

例:

Approve-ElevatedAccessRequest -RequestId a4bc1bdf-00a1-42b4-be65-b6c63d6be279 -Comment '<approval comment>'

昇格承認要求を拒否するには、Exchange Online PowerShell で次のコマンドを実行します。

Deny-ElevatedAccessRequest -RequestId <request id> -Comment '<denial comment>'

例:

Deny-ElevatedAccessRequest -RequestId a4bc1bdf-00a1-42b4-be65-b6c63d6be279 -Comment '<denial comment>'

Office 365で特権アクセス ポリシーを削除する

organizationで不要になった場合は、特権アクセス ポリシーを削除できます。

Microsoft 365 管理センター

  1. organizationの管理者アカウントの資格情報を使用してMicrosoft 365 管理センターにサインインします。

  2. 管理センターで、[設定>] [組織の設定][セキュリティ] >& [プライバシー>特権アクセス] に移動します。

  3. [ アクセス ポリシーと要求の管理] を選択します

  4. [ ポリシーの構成] を選択します

  5. 削除するポリシーを選択し、[ ポリシーの削除] を選択します。

  6. [閉じる] を選択します。

Exchange Management PowerShell で

特権アクセス ポリシーを削除するには、Exchange Online PowerShell で次のコマンドを実行します。

Remove-ElevatedAccessApprovalPolicy -Identity <identity GUID of the policy you want to delete>

Office 365で特権アクセスを無効にする

必要に応じて、organizationの特権アクセス管理を無効にすることができます。 特権アクセスを無効にしても、関連付けられている承認ポリシーや承認者グループは削除されません。

Microsoft 365 管理センター

  1. organizationの管理者アカウントの資格情報を使用してMicrosoft 365 管理センターにサインインします。

  2. 管理 センターで、[設定>] [組織の設定][セキュリティ] >& [プライバシー>特権アクセス] に移動します。

  3. [特権アクセス制御の承認が必要] を有効にします。

Exchange Management PowerShell で

特権アクセスを無効にするには、Exchange Online PowerShell で次のコマンドを実行します。

Disable-ElevatedAccessControl