Azureの運用時のメンバー権限はどうする?PIMとは
目次
Microsoft Entra Privileged Identity Management(PIM)とは?特権アクセス管理ができる機能や特徴について解説
システム管理者は、定常運用時に運用管理アカウントのアクセス権限管理に悩むこともあるでしょう。Microsoft Entra Privileged Identity Management(PIM)は、必要な権限を必要な人に必要な期間だけ付与することができる特権アクセス管理機能です。
本記事では、特権アクセス管理の重要性をはじめとし、PIMの機能や特徴などについて解説します。
はじめに: 特権アクセス管理の重要性
特権アクセス管理は、サーバーやネットワーク機器、設定などのITリソースを対象に、多くの操作が可能になる特権アカウントの管理をすることです。
特権アカウントを利用しITリソースへアクセスすると、非常に多くの操作が可能になってしまうため、組織では、セキュリティで保護された情報やリソースのアクセス権を持つユーザーの数を最小限に抑える必要があります。
特権アクセスを管理することにより、悪意のある攻撃者によるサーバーダウンや、ネットワーク機器の設定変更が起きる可能性を軽減できます。
もし、特権アクセスを利用したサーバーへのアクセスがあれば、社内の経理情報や個人情報などのデータが漏洩するなどのセキュリティインシデントに繋がります。
不正に利用されないことと、不正利用があった場合迅速に検知や、社内の管理時でも予期せぬ設定の変更などを防止するためには特権アクセス管理が必要です。
Microsoft Entra Privileged Identity Management (PIM) とは
Microsoft Entra Privileged Identity Management (PIM)とは、Microsoft Entra IDにおける特権アクセスを管理する機能です。PIMでは、時間ベースおよび承認ベースロールのアクティブ化を提供して、対象リソースへのアクセス権限を適切に管理します。
PIMを使用すれば、特権アクセスの割り当てや、一時的に特権アクセスの付与や剥奪、監査ログを残せます。
PIMの主な機能は以下の通りです。
- Microsoft Entra ID と Azure のリソースに対する Just-In-Time の特権アクセスの提供
- 開始日と終了日を使用した期限付きアクセス権をリソースに割り当て
- 特権ロールをアクティブ化するために承認を要求
- ロールをアクティブ化するために多要素認証を強制
- 特権ロールがアクティブ化されたとの通知
- ユーザーにロールがまだ必要であることを確認するためにアクセス レビューを実施
- 社内監査または外部監査に使用する監査履歴をダウンロード
ロールの種類
割り当てられるロールの種類は2種類あります。
| ロール | 説明 |
|---|---|
| Microsoft Entra ロール | ディレクトリロールとも呼ばれる。Microsoft Entra IDおよびその他のMicrosoft 365オンラインサービスを管理するための組み込みとカスタムロールが含まれる。 |
| Azure ロール | 管理グループ、サブスクリプション、リソースグループ、リソースに対するアクセスを許可する。Azure内のロールベースのアクセス制御のロール。 |
また、Microsoft Entraセキュリティグループのメンバーと所有者ロールに対してJust-In-Timeアクセスを設定できるグループのPIMがあります。グループのPIMを使用すると上記2種のロール用にPIMを設定する別の手段が得られ、Microsoftオンラインサービス全体で、他のアクセス許可用にPIMが設定できます。
割り当ての種類
割り当てには資格とアクティブの2種類があります。
アクティブ状態では、PIMを使用しない場合と同様に特定のロールを割り当てた時点で有効状態として割り当てます。
資格状態では、運用管理アカウントはそのままでは割り当てられたロールの権限を保有できません。割り当てられたロールのアクセス権を保有したい場合は、ロールのアクティブ化が必要です。
また、それぞれの割り当てに開始と終了時間を設定可能です。この設定により、以下の4種類が割り当て可能になります。
- 永続的に有資格
- 永続的にアクティブ
- 指定期間で有資格(割り当て開始と終了が指定されている)
- 指定期間でアクティブ(割り当て開始と終了が指定されている)
もし、ロールの期間が切れてしまった場合、延長または更新が可能です。
利用可能なライセンス
PIMが利用できるライセンスは以下の通りです。4つのうち、Microsoft Entra ID P2とMicrosoft Entra ID Governanceが利用可能です。
| ライセンス | 利用可否 |
|---|---|
| 無料ライセンス | 利用不可 |
| Microsoft Entra ID P1 | 利用不可 |
| Microsoft Entra ID P2 | 利用可能 |
| Microsoft Entra ID Governance | 利用可能 |
PIMの特徴
PIMの特徴を解説します。
Just-In-Time (JIT) アクセス: 必要な時に必要な権限を
PIMには、Just-In-Time(JIT)のアクセス制御機能があります。JITにより、必要な時に必要な期間だけ特権アクセス権を使用できます。
JITは、悪意のあるユーザーや、未承認のユーザーがアクセス許可の期限が切れた後にアクセスできないように、ユーザーに一時的に特権アカウントを許可します。
JITによって、利用するユーザーが不正アクセスされても管理者に申請し、管理者が承認しなければアクセスできないことや、あらかじめ特権アクセスの期間を決定しているため、情報漏洩の可能性を減らすことができます。
承認ワークフローと多要素認証
資格状態からアクティブ状態にする際には、申請と承認のフローが設けられています。このプロセスをアクティブ化といいます。
承認によって、アクティブ状態になったロールは既定で8時間有効です。有効時間が過ぎた場合は、アクティブ化されたロールは自動的に無効となり、作業前の状態に戻ります。
また、アクティブ化の際、多要素認証チェックの実行や業務上の妥当性の指定、指定された承認者に対する承認要求などのアクションが選択可能です。
監査とモニタリング
PIMは監査ログが残ります。Microsoft Entraロールであれば、全ての特権ロールでの過去30日間における全てのロール割り当てとアクティブ化を確認できます。
Azureロールであれば、組織内のAzureロールのアクティビティやアクティブ化のログを確認できます。これらの対象には、サブスクリプションやリソースグループ、仮想マシンが含まれます。
取得した監査ログは、ISMSやPMSなどの各種ISO監査やPCI DSS監査などの証拠として利用可能です。
まとめ: セキュリティと利便性の両立
本記事では、Microsoft Entra Privileged Identity Management (PIM)について解説しました。
PIMの特権アクセスは、権限レベルが高い操作を必要な時に必要なだけ使用可能にするJITが大きな特徴です。
PIMはセキュリティと利便性の両立ができる機能です。
Microsoft Entra ID P2以上の追加ライセンスが必要になりますが、その分システム管理者の多くが、PIMのメリットを享受できるでしょう。
以上、最後までご愛読いただき
ありがとうございました。
お問い合わせは、
以下のフォームへご連絡ください。
この著者の保持資格