SaaS

Azure AD グループ + PIM で特権ロールを管理してみた!

はじめに

こんにちは。 tsuji です!
今回は Azure AD の特権ロールに関する内容を投稿したいと思います。

みなさんは Azure AD の特権ロール (ユーザー管理者やIntune 管理者等のロール) の管理でこんな悩みありませんか?

  • グローバル管理者は Azure AD や Microsoft の管理センターなど管理できる範囲が大きく、奪われた場合のセキュリティリスクが高い
  • たくさんの拠点があって管理する範囲が分かれており、ロール付与する作業を最小限の範囲で各拠点や部署の管理者に委任したい
  • 複数の特権ロールが必要なときに一つ一つアクティブ化するのが大変

今回はこれらの課題をロールを割り当て可能なグループ特権アクセス グループを使用して解決していこうと思います。

2021/12 特権アクセスグループは、現在まだプレビュー中の機能となっており今後廃止や変更等の可能性がありますので利用の際はご注意ください。
2023/10 追記:特権アクセス グループは ‘Privileged Identity Management (PIM) for Groups’ という名称に変更されました。

そもそも特権ロールを付与できるロールとは

Azure AD では、ユーザーに特権ロールを付与するのにグローバル管理者または特権ロール管理者 のロールが必要になります。 これらの特権ロールは次のような特徴があります。

  • グローバル管理者
    Azure AD に関するすべて機能や各 Microsoft ソリューションの各管理センターにおいて様々な管理をすることができる最強権限となります。 また、Azure AD と Azure のロール権限は分かれており、通常 Azure AD のロールが Azure を管理することはできませんが自身の権限で Azure リソースを管理できるロールへ昇格することもできます。 Microsoft のベストプラクティスでは、扱える権限範囲の広さからグローバル管理者を組織で 5 人未満にすることが推奨されています。
  • 特権ロール管理者
    グローバル管理者を含む Azure AD の特権ロール付与や Privileged Identity Management (PIM) 機能を管理することができます。

そのため、社内のシステム管理者などにグローバル管理者を割り当てずに、一時的に特定範囲の特権ロールのみを付与できる権限を委任する方法についてご紹介いたします。

概要編:設定から特権ロールを使用できるまでの流れ

今回ご紹介する範囲は、所有しているライセンスによって使える機能が異なります。
Azure AD Premium P1 を持っている場合は、ロールを割り当て可能なグループの機能を使用することができます。この機能は、Azure AD グループに特権ロールを付与して管理することができます。ただし、この場合は対象者の管理者権限が常に有効になってしまいます。対象者のアカウントが乗っ取られた場合は管理者権限も奪われてしまうため、Azure AD テナントのセキュリティリスクが高まります。
Azure AD Premium P2 を持っている場合は、特権アクセス グループの機能を使用することができます。この機能は、Azure AD グループに対して PIM の機能を利用することができます。 この特権アクセス グループに属しているメンバーは管理者権限を有しているものの通常時は無効になっており、管理者権限を有効にする際に別の管理者の承認を得てから有効にすることができます。そのため、仮に対象者のアカウントが乗っ取られても別の管理者が申請を拒否することで管理者権限の利用を阻止できます。
ゼロトラストでは最小権限の原則というものがあり、必要最低限の権限で運用することが推奨されます。
ゼロトラストや最小権限の原則などについては弊社代表ブログの2021年IPA10大脅威とゼロトラストを参照くださいませ!!

今回はロールを割り当て可能なグループと特権アクセスグループの機能を使用して特定の特権ロール付与権限を委任する手順についてご説明します。作業内容は、以下の 3 つで構成されています。

  • 特権ロール付与グループ作成作業
  • グループのメンバー追加作業
  • メンバーの特権ロール有効化作業

ただし、Azure AD Premium P1 のみを利用している場合は PIM の機能を使用することができないできないため、メンバーの特権ロール有効化作業はありません。

特権ロール付与グループ作成作業

この作業はグローバル管理者または特権ロール管理者がグループを作成する際に実施します。

本作業ではグループ作成時に特権ロールを付与し、あわせてグループの所有者を指定します。これによりグローバル管理者や特権ロール管理者の権限を利用せずにグループの所有者がロール付与されたグループの管理 (所有者 / メンバー割り当てなど) をすることができるようになります。 さらにグループに対して複数の特権ロールを付与することが可能で、PIM を使用している場合に一度の申請で複数のロールを同時に有効化することができます。

この手順は以下の 3 つで構成されています。

  1. ロールを割り当て可能なグループの作成および特権ロールを付与する
  2. 特権アクセス グループを構成する
  3. グループの所有者を追加する

グループのメンバー追加作業

この作業は上記で作成したグループの所有者がメンバーを追加する際に実施します。 また、グローバル管理者や特権ロール管理者も実施することができます。

本作業はグループの所有者がユーザーをグループに追加することで特権ロールを付与するができます。これによりグループに追加されたユーザーはグループに付与された特権ロールを利用できるようになります。

メンバーの特権ロール有効化作業

この作業はグループに割り当てられたメンバーが特権ロールを有効化する際に実施します。

本作業は特権ロールを有効化するための申請作業を行います。これによりグループに付与されている特権ロールを利用することができるようなります。

実践編:Azure AD グループで特権ロールを管理する

特権ロール付与グループ作成作業

ロールを割り当て可能なグループの作成および特権ロールを付与する

本作業はグローバル管理者または特権ロール管理者で実施します。

  1. Azure ポータルより [Azure Active Directory] > [グループ] > [すべてのグループ] より [新しいグループ] ボタンをクリックします
    ※ ロールを割り当て可能なグループでは既存や動的グループを使用したり、通常グループへ戻すことはできません
  2. [グループ名] 欄に任意のグループ名を入力し、「グループに Azure AD ロールを割り当てることができる」を [はい] に選択して [作成] ボタンをクリックします
    ※ ここでグループの所有者や特権ロールを割り当てることも可能です
  3. [はい] ボタンをクリックします
  4. 「ロールを割り当て可能なグループ」が作成できていることを確認し、作成したグループをクリックします
  5. 左メニューから [割り当てられたロール] を選択し、[割り当ての追加] ボタンをクリックします
    ※ 公式ドキュメントでは [Azure Active Directory] > [ロールと管理者] から割り当てていますが、どちらから行っても構いません
  6. [ロールの選択] 欄よりグループに付与したい特権ロールを選択し、[次へ] ボタンをクリックします ※ Azure AD Premium P1 しか持っていない場合、本画面はロールの選択画面のみが表示されます
  7. [割り当ての種類] で「アクティブ」を選択し、理由を入力して [割り当て] ボタンをクリックします
    ※ グループメンバーとして昇格する時に特権ロールをアクティブで割り当てるため、割り当て期間は永続で割り当てます
  8. [アクティブな割り当て] タブで設定した特権ロールが表示されていることを確認します
    ※ 特権ロールを複数割り当てたい場合は同手順を繰り返してロール付与します
特権アクセス グループを設定する

本作業はグローバル管理者または特権ロール管理者で実施します。一部の作業はグループ所有者も実施できます。

  1. 引き続きグループの設定で左メニューより [特権アクセス] を選択し、[特権アクセスの有効化] ボタンをクリックします
  2. 上部にある [設定] をクリックします
    ※ ここでは所有者やメンバーに対する PIM (アクティブ化の最大期間や承認者、通知等) の設定をすることができ、グループの所有者も設定を変更することが可能です
  3. [所有者] や [メンバー] の設定する方を選択します
  4. グループに対する各種 PIM の設定を行います
グループの所有者を追加する

初回はグローバル管理者または特権ロール管理者で実施します。 所有者が追加されればその所有者も本作業を実施できます。

  1. 引き続き対象グループの [特権アクセス] より [割り当ての追加] ボタンをクリックします
    ※ Azure AD Premium P2 を持っていない場合は左メニューの [所有者] から直接設定します
  2. [ロールの選択] で「所有者」を選択し、所有者としたいユーザーを指定して [次へ] ボタンをクリックします
  3. 所有者の有資格期間を設定して [割り当て] ボタンをクリックします
  4. [資格のある割り当て] タブを選択して所有者が割り当てられていることを確認します

    ※ この時点では所有者としての資格があるだけなので所有者としては割り当てられていません

グループのメンバー追加作業

グループのメンバーを追加する

本作業はグループの所有者で実施します。 グローバル管理者や特権ロール管理者も本作業を実施することは可能です。

  1. Azure ポータルへサインインして PIM へアクセスします
  2. [自分のロール] > [特権アクセス グループ] > [資格のある割り当て] タブより割り当てれられたグループの所有者をアクティブ化します
  3. 理由を記載して [アクティブ化] ボタンをクリックします
  4. [アクティブな割り当て] タブで所有者としてアクティブ化されていることを確認します
    ※ 今回はアクティブ化するのに承認フローを省略しています
  5. Azure ポータルの [Azure Active Directory] > [グループ] より作成したグループをクリックします
  6. [所有者] を選択して自分が所有者として割り当てられていることが確認できます
  7. [特権アクセス] を選択して [割り当ての追加] ボタンをクリックします
    ※ Azure AD Premium P2 を持っていない場合は左メニューの [メンバー] から直接設定します
  8. [ロールの選択] で「メンバー」を選択し、メンバーとしたいユーザを指定して [次へ] ボタンをクリックします
  9. メンバーの有資格期間を設定して [割り当て] ボタンをクリックします
  10. [資格のある割り当て] タブを選択してメンバーが割り当てられていることを確認します

    ※ この時点では所有者としての資格があるだけなのでメンバーとしては割り当てられていません

メンバーの特権ロール有効化作業

グループのメンバーとして昇格する

本作業はグループのメンバーとして資格のある割り当てで指定されたユーザーが実施します。

  1. Azure ポータルへサインインして PIM へアクセスします
  2. [自分のロール] > [特権アクセス グループ] > [資格のある割り当て] タブより割り当てれられたグループのメンバーをアクティブ化します
  3. 理由を記載して [アクティブ化] ボタンをクリックします
  4. [アクティブな割り当て] タブでメンバーとしてアクティブ化されていることを確認します
    ※ 今回はアクティブ化するのに承認フローを省略しています
  5. 左メニューより [Azure AD ロール] を選択し、[アクティブな割り当て] タブでグループに付与されている特権ロールがアクティブ化されていることを確認します

    ※ グループのメンバーとしても割り当てられていることが確認できます

最後に

Azure AD グループと PIM で特権ロールの管理する方法をご紹介させていただきましたがいかがだったでしょうか。 本内容は会社の管理する範囲が大きいほどこれらの機能が役に立つのではないかと思います。 また、特権アクセス グループの機能はAzure ロールの管理にも使用することができ、グループに Azure ロールを割り当てることでさらに恩恵を得ることができます。 まだプレビュー機能ではありますがぜひお試しください!!

参考 URL

Azure AD グループを使用してロールの割り当てを管理する

Privileged Identity Management を使用してグループにロールを割り当てる

Azure のすべてのサブスクリプションと管理グループを管理する目的でアクセス権限を昇格させる

tsuji

前職では Windows、Linux、クラウド周りのシステムエンジニアをやっていました。
趣味は アニメ鑑賞や料理、スキー、スノボー、サッカーが好きです!