Office 365 グローバル管理者アカウントの保護

概要:以下の手順を使用してグローバル管理者アカウントを保護します。

グローバル管理者アカウントの侵害に基づいて攻撃から Office 365 サブスクリプションを適切に保護するには、今すぐ次のことを行う必要があります。

  1. 専用の Office 365 グローバル管理者アカウントを作成し、必要な場合にのみ使用します。

  2. 専用の Office 365 グローバル管理者アカウントに対して多要素認証を構成し、最も強力な形式の第 2 認証を使用します。

  3. 不審なグローバル管理者アカウントのアクティビティを監視するために Office 365 Cloud App Security を有効にして構成します。

情報収集やフィッシング攻撃など、Office 365 サブスクリプションのセキュリティ違反は通常、Office 365 グローバル管理者アカウントの資格情報の侵害により発生します。クラウドのセキュリティは、お客様と Microsoft 間のパートナーシップに基づくものです。

  • Microsoft クラウド サービスは信頼とセキュリティの基盤の上に構築されます。Microsoft が提供するセキュリティ制御と機能は、お客様のデータとアプリケーションの保護に役立ちます。

  • お客様は自分のデータと ID を所有しており、それらとオンプレミス リソースのセキュリティ、および自分が制御しているクラウド コンポーネントのセキュリティを保護する責任を担っています。

自分で自分の身を守るには、Microsoft が提供する制御と機能を導入する必要があります。

注: この記事は、グローバル管理者アカウントに重点を置いていますが、サブスクリプションのデータへの広範なアクセス権限を持つ追加のアカウント (電子情報開示管理者アカウント、セキュリティ アカウント、コンプライアンス アカウントなど) も同じように保護する必要があるかどうかを検討する必要があります。

フェーズ 1.専用の Office 365 グローバル管理者アカウントを作成し、必要な場合にのみ使用する

グローバル管理者特権を必要とする、ユーザー アカウントへのロールの割り当てなどの管理タスクは比較的少数です。そのため、グローバル管理者ロールが割り当てられている一般的なユーザー アカウントを使用するのではなく、直ちに次の操作を実行してください

  1. グローバル管理者ロールが割り当てられているユーザー アカウント セットを判別します。これは、Office 365 PowerShell で次のコマンドを使用して実行できます。

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. グローバル管理者ロールが割り当てられているユーザー アカウントを使用して、Office 365 サブスクリプションにサインインします。

  3. 専用のグローバル管理者ユーザー アカウントを 1 つ以上 (最大 5 つ) 作成します。長さが 12 文字以上の強力なパスワードを使用します。新しいアカウントのパスワードを安全な場所に保存します。

  4. 新しい専用のグローバル管理者ユーザー アカウントごとにグローバル管理者ロールを割り当てます。

  5. Office 365 からサインアウトします。

  6. 新しい専用のグローバル管理者ユーザー アカウントのいずれかでサインインします。

  7. 手順 1 で判別した、グローバル管理者ロールが割り当てられている既存のユーザー アカウントごとに、次の操作を実行します。

    • グローバル管理者ロールを削除します。

    • そのユーザーの職務と職責に適したアカウントに管理者ロールを割り当てます。Office 365 のさまざまな管理者ロールの詳細については、「Office 365 の管理者ロールについて」を参照してください。

  8. Office 365 からサインアウトします。

結果は次のようになります。

  • グローバル管理者ロールを持つ、サブスクリプションのユーザー アカウントのみが、新しい専用のグローバル管理者アカウント セットとなります。これは、Windows PowerShell 用 Microsoft Azure Active Directory モジュールのコマンド プロンプトで次の PowerShell コマンドを使用して確認します。

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • サブスクリプションを管理する他のすべての一般的なユーザー アカウントに、職責に関連付けられている管理者ロールが割り当てられています。

これ以降は、グローバル管理者特権を必要とするタスクの場合にのみ、専用のグローバル管理者アカウントでサインインすることになります。他のすべての Office 365 の管理は、他の管理ロールをユーザー アカウントに割り当てて行う必要があります。

注: 一般的なユーザー アカウントとしてサインアウトして、専用のグローバル管理者アカウントでサインインする場合は、追加の手順が必要です。ただし、これはグローバル管理者の操作でときどき実行する必要があります。グローバル管理者アカウントが侵害された場合、Office 365 サブスクリプションの復元にさらに多くの手順が必要になることを重視してください。

フェーズ 2.専用の Office 365 グローバル管理者アカウントに対して多要素認証を構成し、最も強力な形式の第 2 認証を使用する

グローバル管理者アカウントの多要素認証 (MFA) では、アカウント名とパスワードのほかに、追加情報が必要になります。Office 365 では、次の確認方法がサポートされています。

  • 電話

  • ランダムに生成されるパス コード

  • スマート カード (仮想または物理)

  • 生体認証デバイス

クラウド (クラウド ID モデル) でのみ保存されているユーザー アカウントを使用している小規模企業の場合は、直ちに次の操作を実行し、電話、またはスマート フォンに送信されるテキスト メッセージ確認コードを使用する MFA を構成してください。

  1. MFA を有効にします

  2. Office 365 で 2 段階認証をセットアップし、確認方法である電話またはテキスト メッセージにそれぞれ専用のグローバル管理者アカウントを構成します。

同期またはフェデレーション Office 365 ID モデルを使用している大規模な組織の場合は、他の確認オプションがあります。より強力な第 2 認証方法について、既にセキュリティ インフラストラクチャが導入されている場合は、直ちに次の操作を実行してください

  1. MFA を有効にします

  2. Office 365 で 2 段階認証をセットアップし、適切な確認方法にそれぞれ専用のグローバル管理者アカウントを構成します。

より強力な確認方法について、セキュリティ インフラストラクチャが導入されておらず、Office 365 MFA で機能していない場合は、暫定的なセキュリティ対策として、グローバル管理者アカウントについて、スマート フォンに送信されるテキスト メッセージ確認コードまたは電話を使用する MFA で専用のグローバル管理者アカウントを直ちに構成することを強くお勧めします。MFA で保護が強化されていない専用のグローバル管理者アカウントをそのまま使用しないでください。

詳細については、「Office 365 展開用の多要素認証の計画」を参照してください。

MFA と PowerShell を使用して Office 365 サービスに接続する場合は、こちらの記事を参照してください。

フェーズ 3. 不審なグローバル管理者アカウントのアクティビティを監視するために Office 365 Cloud App Security を有効にして構成する

Office 365 Cloud App Security では、サブスクリプションでの不審な動作を通知するポリシーを作成することができます。Cloud App Security は Office 365 E5 に組み込まれていますが、別個のサービスとして使用することもできます。たとえば、Office 365 E5 がない場合は、グローバル管理者アカウント ロール、セキュリティ管理者ロール、およびコンプライアンス管理者ロールが割り当てられているユーザー アカウントに対して個別の Cloud App Security ラインセンスを購入することができます。

Office 365 サブスクリプションで Cloud App Security を利用する場合は、直ちに次の操作を実行してください

  1. セキュリティ管理者ロールまたはコンプライアンス管理者ロールが割り当てられているアカウントで、Office 365 ポータルにサインインします。

  2. Office 365 Cloud App Security を有効にします

  3. 特権管理アクティビティの異常なパターンをメールで通知するための異常検出ポリシーを作成します。

セキュリティ管理者ロールにユーザー アカウントを追加するには、専用のグローバル管理者アカウントと MFA を使用して Office 365 PowerShell に接続し、ユーザー アカウントのユーザー プリンシパル名を入力してから次のコマンドを実行します。

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

コンプライアンス管理者ロールにユーザー アカウントを追加するには、ユーザー アカウントのユーザー プリンシパル名を入力してから次のコマンドを実行します。

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

グローバル管理者アカウントに対する追加の保護

フェーズ 1 から 3 が終了したら、以下の追加の方法を使用して、グローバル管理者のアカウントと、このアカウントを使用して実行する構成とが可能な限りセキュリティで保護されるようにします。

特権アクセス ワークステーション (PAW)

高い権限を持つタスクの実行が、可能な限りセキュリティで保護されるようにするには、PAW を使用します。PAW とは、グローバル管理者アカウントが必要とされる Office 365 の構成など、機密性の高い構成タスクでのみ使用される専用のコンピューターです。このコンピューターではインターネットの閲覧やメールを日常行わないので、インターネットの攻撃や脅威から適切に保護されます。

PAW の設定方法の手順については、http://aka.ms/cyberpaw を参照してください。

Azure AD Privileged Identity Management (PIM)

グローバル管理者アカウントにグローバル管理者ロールを永続的に割り当てるのではなく、Azure AD PIM を使用して、必要なときに、オンデマンドのジャストインタイム割り当てを有効にすることができます。

すなわち、グローバル管理者アカウントは永続的な管理者ではなく、対象管理者となります。グローバル管理者ロールは、誰かが必要とするまで非アクティブとなります。ライセンス認証プロセスを実行すると、事前に設定された期間、グローバル管理者ロールがグローバル管理者アカウントに追加されます。期限を過ぎると、PIM によってグローバル管理者アカウントからグローバル管理者ロールが削除されます。

PIM と、このプロセスを使用することにより、グローバル管理者アカウントが、悪意のあるユーザーによる攻撃と使用に対して脆弱になる時間が大幅に短くなります。

詳細については、「Azure AD Privileged Identity Management とは」を参照してください。

注: PIM は、Enterprise Mobility + Security (EMS) E5 に含まれている Azure Active Directory Premium P2 で利用できます。またグローバル管理者アカウントに対して個別のライセンスを購入することもできます。

Office 365 ログ記録用のセキュリティ情報とイベント管理 (SIEM)

SIEM ソフトウェアと、このソフトウェアを実行するサーバーは、アプリケーションとネットワーク ハードウェアによって作成されたセキュリティの警告とイベントをリアルタイムで分析します。SIEM サーバーの分析機能とレポート機能に Office 365 セキュリティの警告とイベントを追加できるようにするには、SIEM システムに以下のサービスを統合します。

次のステップ

Office 365 のセキュリティのベスト プラクティス」を参照してください。

スキルを磨く
トレーニングの探索
新機能を最初に入手
Office Insider に参加する

この情報は役に立ちましたか?

ご意見をいただきありがとうございます。

フィードバックをお寄せいただき、ありがとうございます。Office サポートの担当者におつなぎいたします。

×