「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -[[戻る>Azure]] --[[Azure Subscriptionの管理@エンプラ]]~ '> [[Azure Virtual Data Center]] ---[[Azureによる基盤開発法]] ---[[Azureの高可用性設計]] ---[[Azureの監視と管理]] ---Azureのアクセス制御と権限 * 目次 [#m399e9e3] #contents *概要 [#r260e2a2] Azureのアクセス制御(の機構)と権限(ロールと管理者)についてまとめる。 *詳細 [#i47865f3] **アクセス制御 [#a4c92266] ***[[Network Security Group (NSG)]] [#nb574608] ***[[Role Based Access Control (RBAC)]] [#efff0671] ***[[Azure Policy]] ([[RBAC>#efff0671]]と異なるAzの[[GPO>グループ・ポリシー]]) [#v6f6c330] ***[[Azure Active Directory 条件付きアクセス]] [#e5f3ab1e] ***[[Azure Active Directory Identity Protection]] [#p083cc99] ***[[Azure AD Privileged Identity Management (PIM)]] [#t6c526fa] **アクセス権限 [#ybe8bcbd] ***[[Azure Active Directory管理者>Microsoft Azure Active Directory#y1da803f]] [#ib7e8b22] ***[[RBACアクセス権限>Role Based Access Control (RBAC)#ea4f95c8]] [#s7a75709] ***[[サブスクリプション管理者>Azure Subscriptionの管理@エンプラ#s0e4e291]] [#nd67bcdd] **ベストプラクティス [#u7225c59] ***JITロール割り当て [#p2148b0a] Just-in-Time (JIT) |>||[[Azure Active Directory管理者>#ib7e8b22]]ロール|[[RBACアクセス権限>#s7a75709]]ロール|運用|h |>|特権管理者|Global Administrator&br;(全体管理者)|Owner&br;(所有者)|非常事態用 IDのみに割り当て| |>|管理者・責任者|>|>|| |・|読み取りロール|(特にロールを必要としない)|Reader&br;(閲覧者)|各管理者に静的割当| |・|ロール変更ロール(★ 重要)|Priviledged Role Adminstrator&br;(特権ロール管理者)|User Access Administrator&br;(ユーザアクセス管理者)|~| |・|責任者ロール|Guest Invitor(ゲストユーザの招待)&br;User Account Administrator(ユーザの追加・削除)|-|作業責任者の場合に静的 or JIT割当| |>|作業者|>|>|| |・|読み取りロール|(特にロールを必要としない)|Reader&br;(閲覧者)|各作業者に静的割当| |・|作業者ロール|(各種の管理者ロール)|Contributor / XX Contributor&br;(共同所有者)|各作業者にJIT割当| >※ JIT割り当ての対象となるContributor(変更)権限を持っているロール --共同作業者(Contributor) --リソース固有ロール(XX Contributor) >はグループには付与しない。 > はグループには付与しない。 >※ 作業に必要なロールを全て与えるのではなく、 --初回構築時は共同作業者(Contributor)で作業を行い、 --設定変更時はリソース固有ロール(XX Contributor)で作業を行う >と良い。 > と良い。 >※ ポータルからスイッチを有効化すると、AzADテナントの全体管理者に対して、~ 当該テナントを信頼する全サブスクリプションの特権管理者権限を与える緊急事態用機能がある。 ***認証強度を高めるための仕組み [#o2e6e97f] [[条件付きアクセス、多要素認証(MFA)>#e5f3ab1e]] ***権限割り当てを厳格化するための仕組み [#d21abcee] [[Azure AD Privileged Identity Management (PIM)>#t6c526fa]] ***[[Azure Policy>#v6f6c330]]によるリソース設定値チェック [#x08c6223] [[RBAC>#efff0671]]とは、位置付けが異なるため、混同しないように注意する。 ***更に、[[ARMテンプレート>Azure Resource Manager テンプレート]]の併用 [#j7706b50] -ステージング環境で作業、レビュー -本番環境で、 --[[権限のJIT割当(&解除)>#d21abcee]]を適用し、 --[[Azure Policyによるリソース設定値チェック>#x08c6223]]を行う。 ***リソース・ロック機能 [#e0631c42] ***[[ハードニング(堅牢化)>FgCF (Financial-grade Cloud Fundamentals)#jb09d729]] [#c0273f8c] -PAW(Privileged Access Workstation) -Azure JIT VM Access 機能 -EDR & TVM(Endpoint Protection --Endpoint Detection & Response --Threat Vulnerability Management ***参考 [#kdbfe2af] [[Azure Well-Architected Framework - Security > 運用管理作業(Administration)>Azure Well-Architected Framework - Security#m42786be]] *参考 [#y12aec1a] **Microsoft Docs [#b32916a4] -Microsoft Azure の各種アカウント権限について~ https://docs.microsoft.com/ja-jp/archive/blogs/dsazurejp/303 -従来のサブスクリプション管理者ロール、Azure ロール、および Azure AD ロール~ https://docs.microsoft.com/ja-jp/azure/role-based-access-control/rbac-and-directory-admin-roles **nakama [#wfe1692b] ※ [[Azure AD 基礎>Microsoft Azure Active Directory#t714bd82]]中にも同様のトピックが含まれる。 ---- Tags: [[:セキュリティ]], [[:アカウント]], [[:クラウド]], [[:認証基盤]], [[:Azure]], [[:Active Directory]]