tos-akibaのブログ

主に Microsoft 365 Security について

セキュアなゲストアカウント管理

マイクロソフト主催のワークショップに参加した内容からのご紹介です。(ご了承を得ています)
テーマは「Azure AD で実現するセキュアなゲストアカウント管理」です。

ストアカウントもゼロトラストの3つの原則に則り、常に認証と承認を行うこと、最小限の権限付与とすること、侵害される想定を前提にすること、が重要です。

 

ゲストユーザーのアカウントは、自組織内のアカウントよりも管理が行き届いていないことはありませんか?
実際は必要なくなったのに、削除されずに放置されたままのケースも多いようです。
適切なユーザーに適切なアクセス権を付与し、必要な期間のみ許可するようガバナンスを強化する機能が Azure AD からは提供されています。

 

ここで話題に上げるゲストアカウントとは、左上の External Guest(外部ゲスト)を指します。これは、Azure AD の自テナント外にアカウントを有し一般的な「外部ユーザー」と定義されるものです。

 

外部ユーザーのテナント間のアクセス状況を確認するには、Azure Active Directory の監視の Workbooks で確認できます。こちらは、Log Analytics ワークスペースの連携設定が必要です。
Azure AD 内のテナント間アクセス アクティビティ ブック - Microsoft Entra | Microsoft Learn

 

ストアカウントのライフサイクルは、招待、アクセス制御、棚卸し、削除、のステップになります。それぞれのフェーズにおいて、Azure AD では適切な管理を可能にする各機能が提供されています。詳細についてはまた別途。