「業務上、管理者権限が必要だから」と依頼をもらって管理者権限を付与することがあります。ただ、いろいろ悩みがあって。自分なりの対応をまとめてみました。
- 権限の種類
- 権限付与
- 特定の管理センターでしか付与できない権限
- 権限外す依頼はまずもらえない/権限の棚卸
- 管理者アカウントのセキュリティ
権限の種類
多い。とりあえず多い。Microsoft 365 管理センター - 役割 - 役割の割り当てから確認できる権限の種類は、おすすめの権限だと8種類だけど、展開すると65種類!それぞれで、何ができるなんて、覚えるのも大変ですね。
Azure AD 管理センター - ロールと管理者からだと、もっとあります。
権限の付与
どちらの画面からも、ユーザーやを割り当てできます。少人数だったら、GUIで割り当てるのも一つの方法です。
グループの割り当てはメニューに表示されているものの、この記事を書いている2022年2月4日時点では、グループの割当は表示されているのに実施できませんでした。
ただ、人数が多くなるとちょっと面倒。CSVなどから一括で割り当てはできません。
PowerShellで割り当てるのでもよいのですが、「AAD管理センターでグループをを作成し、作成時にロールを割り当てる」という方法が使えます。一定以上のライセンスが必要ですが、この方法だと一括インポートもできますし、Power Automateでグループにユーザーを追加・削除することを通じて、権限を追加削除することも可能です。
特定の管理センターでしか付与できない権限
すべての管理者権限が、M365管理センターやAzure AD 管理センターで割り当てできるわけではありません。この2つの管理センターには表示もされないのです。
一部の管理者権限は、それぞれの管理センターでないと割り当てができません。
例えば、Stream(クラシック)管理者は、Streamの管理者の設定から割り当てる必要があります。セキュリティグループ、メールが可能なセキュリティグループであれば割り当てができるようです。セキュリティグループであれば、AzureAD管理センターから一括追加・一括削除できます。
権限外す依頼はまずもらえない/権限の棚卸
業務上必要だから付与してほしい、ってのは依頼があります。ですが、不要になったから外してほしいという依頼は、よほどリテラシーが高い方ぐらいでしょう。このあたりは一般的なほかの申請でも同じかな…と思ってます。
なので、「外す依頼なんてもらえない」という前提で、外しやすい運用を考えておくべき、です。また付与依頼も本当に必要でないと依頼しにくいようにしておくのがよいかな、と思います。
最新の管理者一覧は、Microsoft 365 管理センター - 役割 - 役割の割り当てからエクスポートできます。
- 既存の権限は、どんな業務があるから、どの権限が必要なのか、定期的に棚卸
- 返事がなければバッサリ削除
- 返事もれたからつけてよ!という依頼は、追加として対応
- 追加依頼は、上司からの依頼のみ
というような対応が適切かな…と思います。このあたりは手間と権限は最小にするメリットと天秤ですね。
管理者アカウントを保護する
管理者アカウントはパスワードだけでは安全ではないでしょう。MFAを強制すべき、です。
管理者アカウントは常にMFAを必須とすることが大事。
条件付きアクセスで強制しましょう。アカウント単位でも、グループ設定できますが、特定のロールが割り当たっている場合はMFAを強制することもできます。こちらで構成するのが確実ですね。
一時的な権限付与を効率化するPIM
権限を能動的につけて、外して、ってのは手間です。次に明示的に外すまで、権限が残ったままになるというリスクもあります。
Azure AD P2ライセンスがあれば、期限付きで権限申請をもらって、終わったら自動で権限削除、という管理ができるようになります。より安全性が増しますね。
まとめ
権限管理、面倒です。確実な管理のために
- 外すことを前提にした運用設計
- 手作業よりもなるべく自動化
としたいところです。
参考
管理者ロールに管理者ロールを割り当Microsoft 365 管理センター - Microsoft 365 admin | Microsoft Docs
条件付きアクセス - 管理者に対して MFA を必須にする - Azure Active Directory | Microsoft Docs
Privileged Identity Management とは? - Azure AD | Microsoft Docs
0 件のコメント:
コメントを投稿