ID およびアクセス管理ベースラインの作成

  • 5 分

ID およびアクセス管理 (IAM) は、アクセス権の付与と会社の資産のセキュリティ強化のためのキーです。 自分のクラウドベースの資産をセキュリティで保護および制御するには、自分の Azure 管理者、アプリケーション開発者、アプリケーション ユーザーのために、ID とアクセスを管理する必要があります。

IAM セキュリティに関する推奨事項

以降のセクションでは、CIS Microsoft Azure Foundations Security Benchmark v. 1.3.0 にある IAM の推奨事項について説明します。 各推奨事項には、Azure portal で実行するための基本的な手順が含まれています。 これらの手順は、独自のサブスクリプションに対して実行し、独自のリソースを使用して各セキュリティに関する推奨事項を検証する必要があります。 レベル 2 オプションを使用すると、一部の機能またはアクティビティが制限される可能性があることに注意してください。そのため、どのセキュリティ オプションを適用するかを慎重に検討してください。

重要

これらのステップの一部を完了するには、Microsoft Entra インスタンスの管理者である必要があります。

Microsoft Entra 管理ポータルへのアクセスを制限する - レベル 1

管理者ではないユーザーは Microsoft Entra 管理ポータルにアクセスできるべきではありません。データは機密性が高く、最小限の特権の規則が該当するからです。

  1. Azure portal にサインインします。 Microsoft Entra ID を検索して選択します。

  2. 左側のメニューの [管理] で、[ユーザー] を選択します。

  3. 左側のメニューで、[ユーザー設定] を選択します。

  4. [管理ポータル][ユーザー設定] で、[Microsoft Entra 管理ポータルへのアクセスを制限する][はい] に設定されていることを確認します。 この値を [はい] に設定することで、すべての非管理者は Microsoft Entra 管理ポータルのどのデータにもアクセスできなくなります。 この設定では、PowerShell や他のクライアント (Visual Studio など) の使用に対するアクセスは制限されません。

  5. 設定を変更する場合は、メニュー バーで [保存] を選択します。

Screenshot of the Azure portal that shows the Restrict access to Microsoft Entra administration portal option set to Yes.

Microsoft Entra ユーザーの多要素認証を有効にする

  • Microsoft Entra ID 特権ユーザーの多要素認証を有効にする - レベル 1
  • Microsoft Entra 非特権ユーザーの多要素認証を有効にする - レベル 2

すべての Microsoft Entra ユーザーの多要素認証を有効にします。

  1. Azure portal にサインインします。 Microsoft Entra ID を検索して選択します。

  2. 左側のメニューの [管理] で、[ユーザー] を選択します。

  3. [すべてのユーザー] メニュー バーで、[ユーザーごとの MFA] を選択します。

    Screenshot that shows the multifactor authentication option in the Microsoft Entra pane of the Azure portal.

  4. [多要素認証] ウィンドウで、[多要素認証の状態] がすべてのユーザーに対して [有効] に設定されていることを確認します。 多要素認証を有効にするには、ユーザーを選択します。 [クイック操作] で、[有効化]>[多要素認証の有効化] を選択します。

    Screenshot that shows how to turn on multifactor authentication for a user by using the quick steps link.

信頼されたデバイスで多要素認証を記憶しない - レベル 2

ユーザーが信頼済みのデバイスとブラウザーに対する多要素認証の記憶機能は、すべての多要素認証ユーザー向けの無料の機能です。 ユーザーは、多要素認証を使用して正常にデバイスにサインインした後、一定の日数の間、後続の確認を迂回することができます。

アカウントまたはデバイスが侵害された場合、信頼済みデバイスに対する多要素認証の記憶はセキュリティに悪影響を及ぼす可能性があります。 セキュリティの推奨事項は、信頼されたデバイスの多要素認証の記憶を無効にすることです。

  1. Azure portal にサインインします。 Microsoft Entra ID を検索して選択します。

  2. 左側のメニューの [管理] で、[ユーザー] を選択します。

  3. [すべてのユーザー] メニュー バーで、[ユーザーごとの MFA] を選択します。

  4. [多要素認証] ウインドウで、ユーザーを選択します。 [簡単な手順] で、[ユーザー設定の管理] を選択します。

    Screenshot that shows the Microsoft Entra multifactor authentication users window and the manage user settings link.

  5. [記憶されているすべてのデバイスで多要素認証を復元する] チェックボックスを選択してから、[保存] を選択します。

    Screenshot that shows the Restore multifactor authentication on all remembered devices option selected.

ゲスト ユーザーがいないか、アクセスを制限する - レベル 1

ゲスト ユーザーが存在しないことを確認します。または、ビジネスでゲスト ユーザーが必要な場合は、ゲストのアクセス許可を制限してください。

  1. Azure portal にサインインします。 Microsoft Entra ID を検索して選択します。

  2. 左側のメニューの [管理] で、[ユーザー] を選択します。

  3. [フィルターの追加] ボタンを選択します。

  4. [フィルター] で、[ユーザーの種類] を選択します。 [値][ゲスト] を選択します。 [適用] を選択して、ゲスト ユーザーが存在しないことを確認します。

    Screenshot of the Azure portal that shows Microsoft Entra ID filtering for guest users.

  5. 設定を変更する場合は、メニュー バーで [保存] を選択します。

パスワード オプション

  • パスワード リセット時にユーザーに通知する - レベル 1
  • 他の管理者がパスワードをリセットしたときに、すべての管理者に通知する - レベル 2
  • パスワードをリセットするために 2 つの方法を要求する - レベル 1

多要素認証を設定すると、攻撃者は両方の ID 認証フォームに不正侵入しないと、悪意を持ってユーザーのパスワードをリセットすることはできません。 パスワードのリセットには、2 つの形式の ID 認証が必要であることを確認します。

  1. Azure portal にサインインします。 Microsoft Entra ID を検索して選択します。

  2. 左側のメニューの [管理] で、[ユーザー] を選択します。

  3. 左側のメニューで、[パスワード リセット] を選択します。

  4. 左側のメニューの [管理] で、[認証方法] を選択します。

  5. [リセットのために必要な方法の数]2 に設定します。

  6. 設定を変更する場合は、メニュー バーで [保存] を選択します。

Screenshot of the Azure portal that shows the Microsoft Entra password reset authentication methods pane with number of methods required to reset set to 2.

ユーザーの認証方法を再確認する間隔を設定する - レベル 1

認証の再確認を無効にすると、登録ユーザーに自身の認証情報の再確認を求めるメッセージが表示されなくなります。 より安全なオプションは、設定された間隔で認証の再確認を有効にすることです。

  1. Azure portal にサインインします。 Microsoft Entra ID を検索して選択します。

  2. 左側のメニューの [管理] で、[ユーザー] を選択します。

  3. 左側のメニュー ペインで、[パスワード リセット] を選択します。

  4. 左側のメニューの [管理] で、[登録] を選択します。

  5. [ユーザーが認証情報を再確認するように求められるまでの日数]0 に設定されてい "ない" ことを確認します。 既定値は 180 日です。

  6. 設定を変更する場合は、メニュー バーで [保存] を選択します。

Screenshot of the Azure portal that shows the form for number of days to reconfirm authentication information.

ゲスト招待の設定 - レベル 2

ゲスト ユーザーを招待できるのは管理者のみです。 管理者による招待に制限することにより、確実に、承認されたアカウントだけが Azure リソースにアクセスできるようになります。

  1. Azure portal にサインインします。 Microsoft Entra ID を検索して選択します。

  2. 左側のメニューの [管理] で、[ユーザー] を選択します。

  3. 左側のメニューで、[ユーザー設定] を選択します。

  4. [ユーザー設定] ペインの [外部ユーザー] で、[外部コラボレーションの設定を管理する] を選択します。

  5. [外部コラボレーション設定][ゲスト招待設定] で、[特定の管理者ロールに割り当てられているユーザーのみがゲスト ユーザーを招待できる] を選択します。

    Screenshot that shows the Guest invite settings with Only users assigned to specific admin roles can invite guest users selected.

  6. 設定を変更する場合は、メニュー バーで [保存] を選択します。

ユーザーがセキュリティ グループを作成および管理する - レベル 2

この機能が有効である場合、Microsoft Entra ID のすべてのユーザーが新しいセキュリティ グループを作成できます。 セキュリティ グループの作成は、管理者に制限する必要があります。

  1. Azure portal にサインインします。 Microsoft Entra ID を検索して選択します。

  2. 左側のメニューの [管理] で、[グループ] を選択します。

  3. [すべてのグループ] ペインの左側のメニューの [設定] で、[全般] を選択します。

  4. [セキュリティ グループ][ユーザーは Azure Portal、API、または PowerShell でセキュリティ グループを作成できる] を確実に [いいえ] に設定します。

    Screenshot that shows the Groups General settings pane, with the Users can create security groups option set to No.

  5. 設定を変更する場合は、メニュー バーで [保存] を選択します。

セルフサービスによるグループ管理が有効になりました - レベル 2

ビジネスでセルフサービス グループ管理をさまざまなユーザーに委任する必要がある場合を除き、この機能を無効にすることが安全上の推奨事項です。

  1. Azure portal にサインインします。 Microsoft Entra ID を検索して選択します。

  2. 左側のメニューの [管理] で、[グループ] を選択します。

  3. [すべてのグループ] ペインの左側のメニューの [設定] で、[全般] を選択します。

  4. [セルフ サービス グループ管理] で、すべてのオプションを確実に [いいえ] に設定します。

  5. 設定を変更する場合は、メニュー バーで [保存] を選択します。

Screenshot that shows Microsoft Entra self-service group options set to No.

アプリケーション オプション - ユーザーにアプリの登録を許可する - レベル 2

管理者がカスタム アプリケーションを登録する必要があります。

  1. Azure portal にサインインします。 Microsoft Entra ID を検索して選択します。

  2. 左側のメニューの [管理] で、[ユーザー] を選択します。

  3. 左側のメニューで、[ユーザー設定] を選択します。

  4. [ユーザー設定] ペインで、[アプリの登録][いいえ] に設定されていることを確認します。

  5. 設定を変更する場合は、メニュー バーで [保存] を選択します。

Screenshot that shows Microsoft Entra users with app registrations set to No.