Azureのアクセス制御と権限のバックアップ(No.4)

目次 †

Azureのアクセス制御（の機構）と権限（ロールと管理者）についてまとめる。

Just-in-Time （JIT）

		Azure Active Directory管理者ロール	RBACアクセス権限ロール	運用
特権管理者		Global Administrator （全体管理者）	Owner （所有者）	非常事態用 IDのみに割り当て
管理者・責任者
・	読み取りロール	（特にロールを必要としない）	Reader （閲覧者）	各管理者に静的割当
・	ロール変更ロール（★ 重要）	Priviledged Role Adminstrator （特権ロール管理者）	User Access Administrator （ユーザアクセス管理者）	各管理者に静的割当
・	責任者ロール	Guest Invitor（ゲストユーザの招待） User Account Administrator（ユーザの追加・削除）	－	作業責任者の場合に静的 or JIT割当
作業者
・	読み取りロール	（特にロールを必要としない）	Reader （閲覧者）	各作業者に静的割当
・	作業者ロール	（各種の管理者ロール）	Contributor / XX Contributor （共同所有者）	各作業者にJIT割当

※ JIT割り当ての対象となるContributor（変更）権限を持っているロール

はグループには付与しない。

※ 作業に必要なロールを全て与えるのではなく、

と良い。

※ ポータルからスイッチを有効化すると、AADテナントの全体管理者に対して、
　当該テナントを信頼する全サブスクリプションの特権管理者権限を与える緊急事態用機能がある。

Privileged Identity Management （PIM, 特権 ID 管理）（AADP2）

以下 2 つのことができるようになる
- リソース作成・変更を行う際、指定されている設定が適切か否かを確認する
- 既存のリソースについて、設定内容が適切か否かを評価する

RBACとは、位置付けが異なるため、混同しないように注意する
- RBAC
  リソースに対する操作そのものを制限。基本は禁止、明示的に許可。
- Azure Policy
  リソースのプロパティに対する制限。基本は許可、明示的に禁止。

PAW（Privileged Access Workstation）
Azure JIT VM Access 機能
EDR & TVM(Endpoint Protection
- Endpoint Detection & Response
- Threat Vulnerability Management