Azure AD Identity Governance による ID ライフサイクルの管理

Azure AD Identity Governance による ID ライフサイクルの管理

2025/01/01

この技術的および教育的な記事は、セキュリティ アナリスト、IT 管理者、システム エンジニアが Azure AD Identity Governance を使用して ID ライフサイクルを実装および管理できるようにガイドすることを目的としています。内部および外部のユーザーがますます多様なリソースやアプリケーションにアクセスする現代の企業環境では、誰が何に、どのくらいの期間、どのような理由でアクセスできるかを管理することが複雑な課題となっています。 Azure AD Identity Governance は、ID とそのアクセスが組織のポリシーに準拠して効果的かつ安全に管理されることを保証するツールを提供します [1]。

はじめに

ID のライフ サイクルは、その作成から、アクセスと権限の付与、非アクティブ化に至るまで多岐にわたります。堅牢な管理がなければ、組織は過剰または不必要なアクセス (「特権クリープ」として知られる) を蓄積する可能性があり、これにより攻撃対象領域が増大し、データ侵害のリスクが増大します。それぞれに異なるアクセス要件と有効期間を持つ従業員、パートナー、サプライヤー、顧客の ID を管理する必要があるため、複雑さが増します。このライフサイクルを管理するための手動プロセスはエラーが発生しやすく、非効率的であり、監査が困難です [2]。

Azure AD Identity Governance は、組織が ID とアクセスのライフサイクルを自動化されたスケーラブルな方法で管理および統制できるように設計された Microsoft Entra ID (旧称 Azure Active Directory) 機能のセットです。これには、アクセス レビュー、資格管理、ライフサイクル ワークフローなどの機能が含まれており、組織はこれにより、適切な人材が適切なタイミングで適切なリソースに適切にアクセスできるようになります。これは、セキュリティ体制を維持し、規制順守を達成し、IT 運用を最適化するために重要です [3]。

この実践的なガイドでは、アクセス レビューと Rights Management の構成と使用に重点を置き、Azure AD Identity Governance の主要なコンポーネントについて説明します。読者がこれらの機能を実装して検証できるように、段階的な手順、実践的な例、および簡潔な説明が提供されます。さらに、効果的、自律的、専門的かつ信頼性の高い ID およびアクセス管理を確保するための、セキュリティのヒント、コンプライアンス チェック、ベスト プラクティスについても説明します。

Azure AD ID ガバナンスが重要なのはなぜですか?

  • 最小特権の原則: ユーザーが自分の機能に必要なアクセス権のみを持つことを保証し、過剰なアクセスのリスクを軽減します。
  • 規制コンプライアンス: 定期的なアクセスレビューと機密データにアクセスできるユーザーの厳密な制御を必要とする監査およびコンプライアンスの要件 (LGPD、GDPR、HIPAA など) を満たすのに役立ちます。
  • 可視性と監査: アクセスに関する詳細なレポートを提供し、組織がコンプライアンスを監査および実証できるようにします。
  • ライフサイクル自動化: ID のプロビジョニング、アクセス割り当て、非アクティブ化を自動化し、管理負担を軽減し、エラーを最小限に抑えます。
  • ゲスト アクセス管理: 外部ユーザー (パートナー、サプライヤー) の ID およびアクセス管理を簡素化し、タイムリーなアクセスの許可と取り消しを保証します。
  • リスク軽減: 攻撃者によって悪用される可能性のある、孤立したアカウントまたは過剰な権限を持つアカウントのリスクを最小限に抑えます。

前提条件

Azure AD Identity Governance を使用するには、次のものが必要です。

  1. ライセンス: Azure AD Identity Governance には Microsoft Entra ID P2 ライセンス (以前の Azure AD Premium P2) [4] が必要です。
  2. 管理アクセス: Azure portal (https://portal.azure.com) の「グローバル管理者」、「Identity Governance 管理者」、または「ユーザー管理者」のロールを持つアカウント。
  3. 既存のグループとアプリケーション: アクセスを管理する Azure AD グループやエンタープライズ アプリケーション。

ステップバイステップ: Azure AD ID ガバナンスの実装

アクセス レビューと権限管理を構成しましょう。

1. Azure AD ID ガバナンスへのアクセス

  1. ブラウザを開いて、次の場所に移動します。Azure ポータル:「https://portal.azure.com」を参照してください。
  2. 必要な権限を持つアカウントでログインします。
  3. 上部の検索フィールドに「Identity Governance」と入力し、結果からそれを選択します。

2. アクセスレビューの構成

アクセス レビューにより、組織は特権グループ、アプリケーション、または機能へのユーザー アクセスを定期的にレビューし、アクセスが引き続き必要かつ適切であることを確認できます。

  1. Identity Governance の左側のナビゲーション ペインで、アクセス レビュー を選択します。

  2. 「+新しいアクセスレビュー」をクリックします。

  3. 確認する内容を選択してください: 確認するリソースの種類を選択します。

    • チーム + グループ
    • 「アプリケーション」
    • Azure AD ロール (全体管理者などのディレクトリ ロール用)
    • Azure リソース ロール (サブスクリプション所有者などの Azure RBAC ロール用)
    • この例では、「チーム + グループ」を選択します。

  4. レビューの範囲: 「グループの選択」を選択し、特定のグループ (例: 「Finance_Group」) または「すべてのゲスト グループ」を追加します。

  5. レビュー範囲: 「招待されたユーザーのみ」または「すべてのユーザー」を選択します。

  6. レビュー担当者: レビューを実行する人を定義します。

    • グループ オーナー (グループに推奨)
    • 「マネージャー」 (部下のアクセスを確認するため)
    • 選択されたユーザー
    • この例では、「グループ所有者」を選択します。

  7. 頻度: レビューの頻度を定義します (例: 「毎月」、「四半期」、「毎年」、「1 回」)。

  8. 期間: レビューが有効になる日数を定義します。
  9. 開始日: レビューの開始日を設定します。

  10. 「次へ: 設定」をクリックします。

  11. 設定:

    • 結果をリソースに自動適用: 承認されていないユーザーのアクセス権をシステムが自動的に削除するには、「有効」を選択します。
    • 完了時に実行するアクション: 「アクセス権を削除」を選択します。
    • レビュー担当者が応答しない場合: 「アクセス権を削除」を選択します (応答がない場合にアクセス権が確実に削除されるようにするため)。
    • 意思決定支援: レビュー担当者が情報に基づいた意思決定を行えるように、「推奨事項」を有効にし、「X 日間ログインなし」を設定します。
    • 通知: レビュー担当者に電子メールで通知するかどうかを設定します。
    • リマインダー: 「リマインダー」を有効にします。

  12. 「次へ: 確認と作成」をクリックします。

  13. レビュー + 作成: レビューに名前 (例: Revisao_Acesso_Financeiro_Trimestral) と説明を付けます。 [作成] をクリックします。

    • 説明: このアクセス レビューは、「Finance_Group」に対して四半期ごとに実行されます。グループ所有者に通知され、メンバーのアクセスを確認する必要があります。メンバーが承認されない場合、またはレビュー担当者が応答しない場合、グループへのアクセスは自動的に削除されます。

3. 資格管理の構成

Rights Management を使用すると、組織は、「アクセス パッケージ」を通じてアクセスの要求、承認、プロビジョニング、およびプロビジョニング解除のプロセスを自動化することにより、内部および外部ユーザーのリソース アクセス ライフサイクルを管理できます。

  1. Identity Governance の左側のナビゲーション ペインで、Rights Management を選択します。

  2. カタログ: まず、アクセス パッケージを整理するためのカタログを作成します。

    • [カタログ] > [+ 新しいカタログ] を選択します。
    • 表示名: Catalogo_Projetos
    • 説明: プロジェクト固有のリソースにアクセスするためのカタログ。
    • 有効: 「はい」。
    • [作成] をクリックします。

  3. アクセス パッケージ: 次に、アクセス パッケージを作成します。

    • [アクセス パッケージ] > [+ 新しいアクセス パッケージ] を選択します。
    • 基本:
      • 名前: Acesso_Projeto_Alfa
      • 説明: 「プロジェクト アルファ リソースへのアクセス」。
      • カタログ: 「Project_Catalog」を選択します。 ※「次へ」をクリックします。

  4. リソース: このアクセス パッケージが付与するリソースを追加します。

    • 「+ グループとチームの追加」をクリックし、グループを追加します (例: Grupo_Projeto_Alfa)。
    • 「+アプリケーションの追加」をクリックしてアプリケーションを追加します(例:「App_Projeto_Alfa」)。
    • 「+ リソース ロールの追加」をクリックします (例: 特定のリソース グループの「共同作成者」)。 ※「次へ」をクリックします。

  5. 太陽引用: このパッケージと承認プロセスを要求できる人を定義します。

    • アクセスを要求できるユーザー: 「ディレクトリ内のユーザー用」または「ディレクトリ内にないユーザー用」 (ゲスト用) を選択します。
    • 承認が必要: 「はい」を選択します。
    • 最初の承認者: 「マネージャー」または「選択されたユーザー」を選択します (例: Alpha プロジェクト マネージャー)。
    • 正当な理由が必要です: 「はい」。
    • 選択したすべての承認者からの承認が必要: 「いいえ」 (ポリシーによっては「はい」)。
    • 新しいリクエストを有効にする: 「はい」。
    • 2 番目の承認者の承認が必要: 「いいえ」 (2 段階承認の場合は「はい」)。 ※「次へ」をクリックします。

  6. リクエスタ情報: リクエスタが回答する必要があるカスタムの質問を追加します。 「次へ」をクリックします。

  7. ライフサイクル: アクセスを許可する期間と、アクセスを期限切れにするかどうかを定義します。

    • 有効期限: 「日数」 (例: 「30」) または「特定の日付」を選択します。
    • アクセスを延長するにはアクセス レビューが必要: はい (期限が切れる前にアクセスがまだ必要かどうかをレビューするため)。
    • ユーザーにアクセスの拡張を許可します: 「はい」。
    • 延長するには承認が必要です: 「はい」。 ※「次へ」をクリックします。

  8. 確認+作成: 設定を確認し、作成をクリックします。

    • 説明: このアクセス パッケージを使用すると、内部ユーザーは Project Alpha リソースへのアクセスをリクエストできます。リクエストにはプロジェクト マネージャーの承認が必要で、付与されたアクセスは 30 日後に期限切れになりますが、審査により延長される可能性があります。

4. 権利管理のテスト (ユーザー エクスペリエンス)

  1. リンクを共有: アクセス パッケージを作成した後、「マイ アクセス」(マイ アクセス ポータル) からアクセス パッケージにリンクをコピーします。
  2. ユーザー エクスペリエンス: テスト ユーザー (Project Alfa 機能にアクセスできない) に、[マイ アクセス] リンクに移動し、Accesso_Projeto_Alfa パッケージをリクエストするように依頼します。
  3. 承認者のエクスペリエンス: 構成された承認者 (アルファ プロジェクト マネージャー) は電子メール通知を受け取り、「マイ アクセス」ポータルまたは Azure ポータルでリクエストを承認または拒否する必要があります。
  4. 検証: 承認後、テスト ユーザーはアクセス パッケージで指定されたリソースにアクセスできる必要があります。ユーザーが Grupo_Projeto_Alfa および App_Projeto_Alfa にアクセスできるかどうかを確認します。

5. 接続された組織での外部ユーザーの管理

パートナー組織からの外部ユーザーを管理するには、接続された組織を構成できます。

  1. Identity Governance の左側のナビゲーション ペインで、接続されている組織 を選択します。
  2. 「+ 新しい接続組織」をクリックします。

  3. 基本:

    • 名前: Partner_X
    • 説明: 「コラボレーションのためのパートナー組織」。
    • ステータス: 「構成済み」。
    • ID タイプ: Azure AD (パートナーが Azure AD を使用している場合) または 外部ディレクトリ
    • ディレクトリの追加: パートナーのドメインを検索します (例: parceirox.com)。
    • [作成] をクリックします。

  4. アクセス パッケージを作成するときに、「Partner_X」のユーザーがアクセスを要求できるように要求ポリシーを構成できるようになり、外部コラボレーターのオンボーディング プロセスが簡素化されます。

セキュリティのヒントとベスト プラクティス

  • 最小特権の原則: 必要な最小限の特権を付与するように、アクセス パッケージとレビューを常に設計してください。付与された権限を定期的に確認します。
  • 可能な限り自動化: ライフサイクル ワークフローを使用して、特に従業員とゲストに対するユーザーのプロビジョニングとプロビジョニング解除を自動化します。
  • 定期的なアクセス レビュー: すべてのグループ、アプリケーション、特権ロールに対する定期的なアクセス レビューをスケジュールします。これにより、アクセスが継続的に検証されることが保証されます。
  • アクセス有効期限ポリシー: アクセス パッケージとゲスト ユーザーのアクセス有効期限を構成します。これにより、明示的に延長しない限り、設定期間が経過するとアクセスが自動的に取り消されます。
  • 適切な承認者: アクセスのニーズについて情報に基づいた決定を下すのに十分な知識を持つ承認者を選択します (リソース所有者、マネージャーなど)。
  • 明確な文書:カタログ、アクセス パッケージ、アクセス ポリシー、レビューに関する明確な文書。これにより、アクセス モデルの監査と理解が容易になります。
  • 監視とアラート: アクセス パッケージの作成、アクセス要求、承認、削除などの Identity Governance 関連のアクティビティについて Azure AD 監査ログを監視します。不審なアクティビティに対するアラートを設定します。
  • ユーザーと承認者の教育: 「マイ アクセス」ポータル経由でアクセスをリクエストする方法についてユーザーをトレーニングし、リクエストのレビューと承認における責任について承認者にトレーニングします。

一般的なトラブルシューティング

  • ユーザーはアクセス パッケージをリクエストできません:
    • ユーザーがアクセス パッケージ リクエスト ポリシーに含まれているかどうかを確認します (例: 「ディレクトリ内のユーザーの場合」または「ディレクトリにないユーザーの場合」)。
    • 新しいリクエストに対してアクセス パッケージが「有効」になっていることを確認してください。
    • ユーザーが適切な Azure AD P2 ライセンスを持っていることを確認してください。
  • 承認者はリクエスト通知を受け取りません:
    • アクセス パッケージ リクエスト ポリシーの電子メール設定を確認してください。
    • 承認者の電子メールが正しいこと、および通知がスパムによってフィルターされていないことを確認してください。
    • Azure AD 監査ログをチェックして、要求が送信されたかどうか、エラーがあったかどうかを確認します。
  • アクセスレビューが開始されないか、レビュー担当者に通知されません: ※アクセスレビューの「開始日」と「頻度」を確認してください。
    • Access Review で電子メール通知設定が有効になっていることを確認してください。
    • アクセス レビューに関連するイベントについては、Azure AD 監査ログを確認してください。
  • アクセス権はレビュー後に自動的に削除されません:
    • アクセスレビューで「結果をリソースに自動適用」オプションが「オン」になっていることを確認してください。
    • 「完了時に実行するアクション」が「アクセス権の削除」に設定されていることを確認してください。 ※審査完了後、アクセス削除処理までにお時間をいただく場合がございます。
  • 外部/ゲスト ユーザーに関する問題:
    • 接続された組織が正しく構成されていること、および ID タイプがパートナー ディレクトリと一致していることを確認します。
    • Azure AD の外部コラボレーション設定で、外部ユーザーの招待とアクセスが許可されていることを確認します。

結論

Azure AD Identity Governance は、最新の環境における ID とアクセスの複雑なライフサイクルを管理するための強力なソリューションです。アクセス レビュー、権利管理、ライフサイクル ワークフローを実装することで、組織はリソースへのアクセスが常に適切であり、レビューされ、適時に取り消されることを保証できます。これにより、セキュリティ体制が強化されるだけでなく、規制遵守の達成と運用効率の最適化にも役立ちます。この実践的なガイドを使用すると、セキュリティ専門家と IT 管理者は、Azure AD ID ガバナンスを構成、検証、管理するための十分な準備が整い、より安全で制御され、自動化された ID とアクセス環境を組織に構築できます。

参考文献:

[1] Microsoft Learn。 Microsoft Entra ID ガバナンスとは何ですか?。入手可能場所: https://learn.microsoft.com/pt-br/entra/id-governance/identity-governance-overview [2] Microsoft Learn。 Microsoft Entra Identity Governance で従業員のライフサイクルを管理します。入手可能場所: https://learn.microsoft.com/pt-br/entra/id-governance/scenarios/govern-the-employee-lifecycle [3] Microsoft Learn。 Microsoft Entra ID Governance を使用して ID ライフサイクル管理を自動化します。入手可能場所: https://learn.microsoft.com/pt-br/entra/id-governance/scenarios/automate-identity-lifecycle [4] Microsoft Learn。 Microsoft Entra ID Governance のライセンス要件。入手可能場所: https://learn.microsoft.com/pt-br/entra/id-governance/licensing [5] Microsoft Learn。 Microsoft Ent でグループとアプリケーションのアクセス レビューを作成します。ra ID。入手可能場所: https://learn.microsoft.com/pt-br/entra/id-governance/create-access-review [6] Microsoft Learn。 Microsoft Entra 権利管理とは何ですか?。入手可能場所: https://learn.microsoft.com/pt-br/entra/id-governance/entitlement-management-overview [7] Microsoft Learn。 Microsoft Entra Rights Management でアクセス パッケージを作成します。入手可能場所: https://learn.microsoft.com/pt-br/entra/id-governance/entitlement-management-access-package-create [8] Microsoft Learn。 Microsoft Entra 権利管理における接続された組織とは何ですか?。入手可能場所: https://learn.microsoft.com/pt-br/entra/id-governance/entitlement-management-connected-organization