Office 365 グローバル管理者アカウントの保護

注:  最新のヘルプ コンテンツをできるだけ早く、お客様がお使いの言語で提供したいと考えております。 このページは、自動翻訳によって翻訳されているため、文章校正のエラーや不正確な情報が含まれている可能性があります。私たちの目的は、このコンテンツがお客様の役に立つようにすることです。お客様にとって役立つ情報であったかどうかを、このページの下部でお知らせください。 簡単に参照できるように、こちらに 英語の記事 があります。

概要:グローバル管理者アカウントの被害に基づく攻撃から、Office 365 サブスクリプションを保護します。

情報収集やフィッシング攻撃など、Office 365 サブスクリプションのセキュリティ違反は通常、Office 365 グローバル管理者アカウントの資格情報の侵害により発生します。クラウドのセキュリティは、お客様と Microsoft 間のパートナーシップに基づくものです。

  • Microsoft クラウド サービスは信頼とセキュリティの基盤の上に構築されます。Microsoft が提供するセキュリティ制御と機能は、お客様のデータとアプリケーションの保護に役立ちます。

  • お客様は自分のデータと ID を所有しており、それらとオンプレミス リソースのセキュリティ、および自分が制御しているクラウド コンポーネントのセキュリティを保護する責任を担っています。

Microsoft には、組織の保護に役立つ機能が用意されていますが、それらを使用する場合にのみ有効です。それらを使わない場合は、攻撃を受ける可能性があります。グローバル管理者アカウントを保護するには、Microsoft には、次のとおり詳細な手順をできます。

  1. 専用の Office 365 グローバル管理者アカウントを作成し、必要な場合にのみ使用します。

  2. 専用の Office 365 グローバル管理者アカウントに対して多要素認証を構成し、最も強力な形式の第 2 認証を使用します。

  3. 不審なグローバル管理者アカウントのアクティビティを監視するために Office 365 Cloud App Security を有効にして構成します。

注: この記事は、グローバル管理者アカウントに重点を置いていますが、サブスクリプションのデータへの広範なアクセス権限を持つ追加のアカウント (電子情報開示管理者アカウント、セキュリティ アカウント、コンプライアンス アカウントなど) も同じように保護する必要があるかどうかを検討する必要があります。

手順 1 します。専用の Office 365 グローバル管理者アカウントを作成して必要な場合にだけを使用します。

グローバル管理者権限が必要なユーザー アカウントにロールを割り当てるなど、少数の管理タスクがあります。このため、グローバル管理者の役割が割り当てられている日常的なユーザー アカウントを使用するには、代わりに次の手順操作を行います。

  1. グローバル管理者の役割が割り当てられているユーザー アカウントの設定を確認します。Microsoft Azure Active Directory モジュールの Windows PowerShell コマンド プロンプトで、このコマンドを使用して、これを行うことができます。

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. グローバル管理者ロールが割り当てられているユーザー アカウントを使用して、Office 365 サブスクリプションにサインインします。

  3. 1 つ以上を作成し、最大 5 つのグローバル管理者のユーザー アカウントを専用します。使用する強力なパスワード少なくとも 12 文字長すぎます詳細については、強力なパスワードを作成するを参照してください。新しいアカウントのパスワードが安全な場所に格納されます。

  4. 新しい専用のグローバル管理者ユーザー アカウントごとにグローバル管理者ロールを割り当てます。

  5. Office 365 からサインアウトします。

  6. 新しい専用のグローバル管理者ユーザー アカウントのいずれかでサインインします。

  7. 手順 1 で判別した、グローバル管理者ロールが割り当てられている既存のユーザー アカウントごとに、次の操作を実行します。

    • グローバル管理者ロールを削除します。

    • そのユーザーの職務と職責に適したアカウントに管理者ロールを割り当てます。Office 365 のさまざまな管理者ロールの詳細については、「Office 365 の管理者ロールについて」を参照してください。

  8. Office 365 からサインアウトします。

結果があります。

  • グローバル管理者ロールを持つサブスクリプション内のみのユーザー アカウントは、専用のグローバル管理者アカウントの新しいセットです。次の PowerShell コマンドを使用して、これを確認します。

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • サブスクリプションを管理する他のすべての一般的なユーザー アカウントに、職責に関連付けられている管理者ロールが割り当てられています。

これ以降は、グローバル管理者特権を必要とするタスクの場合にのみ、専用のグローバル管理者アカウントでサインインすることになります。他のすべての Office 365 の管理は、他の管理ロールをユーザー アカウントに割り当てて行う必要があります。

注: 一般的なユーザー アカウントとしてサインアウトして、専用のグローバル管理者アカウントでサインインする場合は、追加の手順が必要です。ただし、これはグローバル管理者の操作でときどき実行する必要があります。グローバル管理者アカウントが侵害された場合、Office 365 サブスクリプションの復元にさらに多くの手順が必要になることを重視してください。

手順 2 します。Office 365 グローバル管理者アカウントの専用の多要素認証を構成して第 2 の認証の強力なフォームを使用してください

グローバル管理者アカウントの多要素認証 (MFA) では、アカウント名とパスワードだけでなく他の情報が必要です。Office 365 には、これらの確認方法がサポートしています。

  • 電話

  • ランダムに生成されるパス コード

  • スマート カード (仮想または物理)

  • 生体認証デバイス

小規模企業のみ (クラウドの id モデル)、クラウドに保存されているユーザー アカウントを使用している場合は、電話またはスマート フォンに送信されたテキスト メッセージの確認コードを使用して MFA を構成するのには、次の手順を使用します。

  1. MFA を有効にします

  2. Office 365 で 2 段階認証をセットアップし、確認方法である電話またはテキスト メッセージにそれぞれ専用のグローバル管理者アカウントを構成します。

大規模な組織に Office 365 のハイブリッドの id のモデルを使用している場合は、その他の検証オプションがあります。強力な代替の認証方法のセキュリティ インフラストラクチャをまだ所有して場合は、次の手順を使用します。

  1. MFA を有効にします

  2. Office 365 で 2 段階認証をセットアップし、適切な確認方法にそれぞれ専用のグローバル管理者アカウントを構成します。

Office 365 mfa 機能している目的より強力な認証方法のセキュリティ インフラストラクチャがない場合は、強くお勧め MFA には、専用のグローバル管理者アカウントを構成すること電話またはテキスト メッセージを使用します。検証コードが暫定的なセキュリティ対策として、グローバル管理者アカウント用にスマート フォンに送信します。MFA によって提供される追加保護されていない、専用のグローバル管理者アカウントをしないでください。

詳細については、「Office 365 展開用の多要素認証の計画」を参照してください。

MFA と PowerShell を使用して Office 365 サービスに接続する場合は、こちらの記事を参照してください。

手順 3。不審なグローバル管理者アカウント アクティビティを監視

Office 365 Cloud App Security では、サブスクリプションでの不審な動作を通知するポリシーを作成することができます。Cloud App Security は Office 365 E5 に組み込まれていますが、別個のサービスとして使用することもできます。たとえば、Office 365 E5 がない場合は、グローバル管理者アカウント ロール、セキュリティ管理者ロール、およびコンプライアンス管理者ロールが割り当てられているユーザー アカウントに対して個別の Cloud App Security ラインセンスを購入することができます。

クラウド アプリのセキュリティ、Office 365 サブスクリプションである場合は場合、は、次の手順を使用します。

  1. セキュリティ管理者ロールまたはコンプライアンス管理者ロールが割り当てられているアカウントで、Office 365 ポータルにサインインします。

  2. Office 365 Cloud App Security を有効にします

  3. 権限の管理作業の異常なパターンの [電子メールで通知する、異常検出ポリシーを確認します。

セキュリティ管理者の役割には、ユーザー アカウントを追加するには、専用のグローバル管理者アカウントと MFA、 Office 365 PowerShell への接続ををユーザー アカウントのユーザー プリンシパル名を入力し、し、これらのコマンドを実行します。

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

コンプライアンス管理者の役割には、ユーザー アカウントを追加するには、ユーザー アカウントのユーザー プリンシパル名を入力し、し、これらのコマンドを実行します。

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

企業向けの他の保護

手順 1 ~ 3 では、これらの追加方法を使用して、グローバル管理者アカウントと構成を使用して実行することを確認後、は、可能な限り保護します。

特権アクセス ワークステーション (PAW)

高い権限を持つタスクの実行が、可能な限りセキュリティで保護されるようにするには、PAW を使用します。PAW とは、グローバル管理者アカウントが必要とされる Office 365 の構成など、機密性の高い構成タスクでのみ使用される専用のコンピューターです。このコンピューターではインターネットの閲覧やメールを日常行わないので、インターネットの攻撃や脅威から適切に保護されます。

PAW の設定方法の手順については、http://aka.ms/cyberpaw を参照してください。

Azure AD Privileged Identity Management (PIM)

グローバル管理者アカウントにグローバル管理者ロールを永続的に割り当てるのではなく、Azure AD PIM を使用して、必要なときに、オンデマンドのジャストインタイム割り当てを有効にすることができます。

永続的な管理されている、グローバル管理者アカウントではなく管理者を対象となります。他のユーザーが必要とされるまで、グローバル管理者の役割はアクティブなできません。[あらかじめ設定された時間数のグローバル管理者アカウントには、グローバル管理者ロールを追加するをライセンス認証プロセスを実行します。時間が経過すると、PIM は、グローバル管理者アカウントから、グローバル管理者ロールを削除します。

PIM と、このプロセスを使用することにより、グローバル管理者アカウントが、悪意のあるユーザーによる攻撃と使用に対して脆弱になる時間が大幅に短くなります。

詳細については、「Azure AD Privileged Identity Management とは」を参照してください。

注: PIM は、Enterprise Mobility + Security (EMS) E5 に含まれている Azure Active Directory Premium P2 で利用できます。またグローバル管理者アカウントに対して個別のライセンスを購入することもできます。

Office 365 ログ記録用のセキュリティ情報とイベント管理 (SIEM)

サーバー上で実行 SIEM ソフトウェアでは、セキュリティの警告およびアプリケーションおよびネットワーク ハードウェアによって作成されたイベントのリアルタイムの分析を実行します。SIEM サーバーの分析やレポート関数の Office 365 のセキュリティの警告およびイベントを追加するのには、SIEM システムでこれらを統合します。

次のステップ

Office 365 のセキュリティのベスト プラクティス」を参照してください。

Office のスキルを磨く
トレーニングの探索
新機能を最初に入手
Office Insider に参加する

この情報は役に立ちましたか?

ご意見をいただきありがとうございます。

フィードバックをお寄せいただき、ありがとうございます。Office サポートの担当者におつなぎいたします。

×