Microsoft365の認定資格「Microsoft Certified: Security, Compliance, and Identity Fundamentals」の学習コンテンツとして提供されている4つのラーニングパスのうちの2つめ、「SC-900 パート 2: Microsoft Identity およびアクセス管理ソリューションの機能について説明します」の学習をしています。
4つめのモジュール「Azure AD の ID の保護およびガバナンスの機能について説明する」を学習しました。
ユニット:Azure AD の ID ガバナンスについて説明する
Azure AD の ID ガバナンスにより、組織は、次のタスクを実行できるようになります。
モジュール「Azure AD の ID の保護およびガバナンスの機能について説明する」より
・ID ライフサイクルの管理。
・アクセスのライフサイクルの管理。
・管理のための特権アクセスのセキュリティ保護。
ID ライフサイクルは、入社・異動・退社などの人事的な変化の都度情報更新を繰り返し管理すること
アクセスのライフサイクルは、所属部署や業務上の役割・職位などの変化によりアクセス権限の設定を変更していくこと
特権なアクセスのライフサイクルは、しかるべき役割を持ったユーザーに割り当てられているか監視して不正使用の可能性を回避すること
Azure AD Privileged Identity Managementは、これらの管理に役立つAzure AD Premium P2 の機能
ユニット:エンタイトルメント管理とアクセス レビューについて説明する
エンタイトルメント管理は、組織が ID とアクセスのライフサイクルを大規模に管理できるようにする ID ガバナンス機能です。 エンタイトルメント管理により、アクセス要求ワークフロー、アクセス割り当て、レビュー、および有効期限が自動的に管理されます。
モジュール「Azure AD の ID の保護およびガバナンスの機能について説明する」より
リソースへの従業員のアクセスを管理する際の課題は、
・ユーザーが、どのアクセス権が自分に必要かがわからなかったり、わかったとしても、だれがそれを承認するのかがわかりにくい。
モジュール「Azure AD の ID の保護およびガバナンスの機能について説明する」より
・ユーザーがリソースへのアクセス権を見つけて取得すると、それを、業務上の目的で必要である期間よりも長く持ち続ける場合がある。
・外部ユーザーのアクセス権を管理する。
これらの課題に対処する機能として、エンタイトルメント管理には、次の機能が含まれる
・アクセス パッケージの作成を、管理者以外のユーザーに委任します。 これらのアクセス パッケージには、ユーザーが要求できるリソースが含まれています。 委任されたアクセス パッケージ マネージャーは、次に、アクセス権を要求できるユーザー、そのアクセス権の承認を担当するユーザー、アクセス権の有効期限などのルールを含むポリシーを定義します。
モジュール「Azure AD の ID の保護およびガバナンスの機能について説明する」より
・外部ユーザーを管理します。 ディレクトリにまだ存在しないユーザーがアクセス権を要求し、それが承認されると、そのユーザーは自動的にディレクトリに招待され、アクセス権を割り当てられます。 アクセス権の有効期限が切れ、かつ他のアクセス パッケージが割り当てられていない場合には、ディレクトリ内の B2B アカウントを自動的に削除できます。
エンタイトルメント管理は、Azure AD Premium P2 の機能
Azure Active Directory (AD) アクセス レビューを使用すると、グループ メンバーシップ、エンタープライズ アプリケーションへのアクセス、およびロールの割り当てを効率的に管理できます。
アクセス レビューは、次の場合に役立ちます。
・グローバル管理者などの特権ロールのユーザーが多すぎる。
・人事データが Azure AD にない場合など、自動化が不可能である。
・ビジネス クリティカルなデータへのアクセスを制御する必要がある。
・ガバナンス ポリシーにより、アクセス許可の定期的なレビューが必要である。アクセス レビューは、Azure AD アクセス レビューまたは Azure AD Privileged Identity Management を使用して作成できます。
モジュール「Azure AD の ID の保護およびガバナンスの機能について説明する」より
アクセス レビューは Azure AD Premium P2 の機能
Azure AD の使用条件を使用すると、データまたはアプリケーションにアクセスする前に、ユーザーに情報を提示することができます。 使用条件により、法的要件やコンプライアンス要件の関連する免責事項をユーザーに必ず読んでもらうことができます。
次の状況で、従業員またはゲストに、使用条件に同意することを要求できます。
・機密のデータまたはアプリケーションにアクセスする前。
モジュール「Azure AD の ID の保護およびガバナンスの機能について説明する」より
・反復されるスケジュール (規制を忘れないようにするため)。
・異なる言語による使用条件が必要な場合。
・特定のロールに適用される条件など、ユーザー属性に基づく。
・組織内のすべてのユーザーに使用条件を提示する。
これ、重要な機能ですね。思惟用条件に同意したユーザーと拒否したユーザーも把握できるし、同意したユーザーにだけアクセスできるようにしておけば、管理の不可も減るでしょう。
ユニット:Privileged Identity Management の機能を説明する
Privileged Identity Management (PIM) は、お客様の組織内の重要なリソースへのアクセスを管理、制御、監視することができる、Azure Active Directory (Azure AD) のサービスです
モジュール「Azure AD の ID の保護およびガバナンスの機能について説明する」より
Privilegedとは、特権的なという意味。特権が乱用されないように監視制御する仕組み。特徴としては、
・正確なタイミング。必要な時期になるまでは特権アクセスが提供されません。
モジュール「Azure AD の ID の保護およびガバナンスの機能について説明する」より
・期限付き。ユーザーがリソースにアクセスできる日時を示す、開始日と終了日が割り当てられます。
・承認ベース。権限のアクティブ化に特定の承認が必要です。
・可視化。特権ロールがアクティブ化されると、通知が送信されます。
・監査可能。完全なアクセス履歴がダウンロード可能です。
正しく使用すれば、内部不正も防止できそうな感じがします。
Privileged Identity Management は Azure AD Premium P2 の機能
ユニット:Azure Identity Protection について説明する
Identity Protection は、組織が次の 3 つの主要なタスクを実行できるツールです。
・ID ベースのリスクの検出と修復を自動化します。
・ポータルのデータを使用してリスクを調査します。
・詳細な分析のために、サードパーティ製ユーティリティにリスク検出データをエクスポートします。Identity Protection を使用すると、環境のリスクを調査するために使用できる 3 種類のレポートが組織に提供されます。 これらのレポートは、危険なユーザー、危険なサインイン、および リスク検出 です。 イベントの調査は、セキュリティ戦略の弱点を理解し、特定するために重要です。
モジュール「Azure AD の ID の保護およびガバナンスの機能について説明する」より
Identity Protection は、Azure AD Premium P2 の機能
今回学習した機能は、ほとんどが、Azure AD Premium P2 の機能なので、ここまでガッツリ仕込んで運用しているところは、まだまだ少ないんじゃないでしょうか?最高峰のプランですし、お値段もアレですから。 (^^;
でも、Microsoft365 E5には含まれていたような。少々お値段アレでも、これらと同等レベルの仕組みを別で用意するのは難しいんじゃないでしょうかね。マイクロソフトの他のクラウドサービスとの親和性も考えるとコレ一択のような気もします。
自分にとっては、初めて知る機能がたくさんあり、ほとんど備忘録のようになってしまいました。ざっくりとID管理とアクセス権管理の仕組みと覚えておきます (^^;
Microsoft Learn
ラーニングパス:
SC-900 パート 2: Microsoft Identity およびアクセス管理ソリューションの機能について説明します
モジュール:
Azure AD の ID の保護およびガバナンスの機能について説明する
コメント