Microsoft Entra ID の組織内で疑わしいアクティビティや危険なアクティビティが行われると、Privileged Identity Management (PIM) によりアラートが生成されます。 アラートは、トリガーされると Privileged Identity Management ダッシュボードに表示されます。 アラートを選択して、アラートをトリガーしたユーザーまたはロールが一覧表示されたレポートを表示します。
注
Privileged Identity Management の 1 つのイベントで、複数の受信者 (担当者、承認者、管理者) 宛の電子メール通知を生成できます。 1 つのイベントごとに送信できる通知の最大数は 1000 です。 受信者の数が 1000 を超える場合は、最初の 1000 人の受信者のみが電子メール通知を受け取ります。 これにより、他の担当者、管理者、または承認者が Microsoft Entra ID および Privileged Identity Management のアクセス許可を使用できなくなることはありません。
![アラートの一覧とその重大度を示す [アラート] ページを示すスクリーンショット。](media/pim-how-to-configure-security-alerts/view-alerts.png)
ライセンス要件
Privileged Identity Management を使用するにはライセンスが必要です。 ライセンスの詳細については、「 Microsoft Entra ID Governance licensing fundamentals 」を 参照してください。
セキュリティのアラート
このセクションでは、Microsoft Entra ロールのすべてのセキュリティ アラートの一覧を、修正方法および回避方法と共に示します。 重大度には、次のような意味があります。
- 高: ポリシー違反が原因で直ちに対処する必要があります。
- 中: 即時のアクションは必要ありませんが、ポリシー違反の可能性を示します。
- 低: 即時のアクションは必要ありませんが、望ましいポリシー変更を提案します。
注
Microsoft Entra ロールの PIM セキュリティ アラートを読み取ることができるのは、 グローバル管理者、 特権ロール管理者、 グローバル閲覧者、 セキュリティ管理者、 セキュリティ閲覧者のみです。
管理者が特権ロールを使用してません
重大度: 低
| 説明 | |
|---|---|
| このアラートを受け取る理由 | 必要のない特権ロールを割り当てたユーザーは、攻撃の可能性を高めます。 アクティブに使用されていないアカウントでは、攻撃者が気付かれずに居続けることも簡単です。 |
| 修正方法 | リスト内のユーザーを確認し、必要のない特権ロールから、これらのユーザーを削除します。 |
| 予防 | 業務上の正当な理由があるユーザーにのみ、特権ロールを割り当てます。
定期的な アクセス レビューを スケジュールして、ユーザーが引き続きアクセス権を必要としていることを確認します。 |
| ポータル内の軽減アクション | 対象の特権ロールからアカウントを削除します。 |
| トリガー | ユーザーがロールをアクティブ化しないで一定の日数が経過するとトリガーされます。 |
| 日数 | この設定では、ユーザーがロールをアクティブ化しないままでいられる最大日数を 0 から 100 で指定します。 |
ロールのアクティブ化に多要素認証は必要ありません
重大度: 低
| 説明 | |
|---|---|
| このアラートを受け取る理由 | 多要素認証を使用しないと、侵害されたユーザーが特権ロールをアクティブ化できます。 |
| 修正方法 | ロールの一覧を確認し、すべてのロールに 多要素認証を要求 します。 |
| 予防 | すべてのロールに MFA を要求します。 |
| ポータル内の軽減アクション | 特権ロールのアクティブ化には、多要素認証が必須になるようにしてください。 |
組織に Microsoft Entra ID P2 または Microsoft Entra ID ガバナンスがない
重大度: 低
| 説明 | |
|---|---|
| このアラートを受け取る理由 | 現在の Microsoft Entra 組織には、Microsoft Entra ID P2 または Microsoft Entra ID ガバナンスがありません。 |
| 修正方法 | Microsoft Entra エディションに関する情報を確認します。 Microsoft Entra ID P2 または Microsoft Entra ID ガバナンスにアップグレードします。 |
Potential stale accounts in a privileged role (特権ロール内のアカウントが古い可能性があります)
重大度: 中
| 説明 | |
|---|---|
| このアラートを受け取る理由 | このアラートは、アカウントの最後のパスワード変更日に基づいてトリガーされなくなりました。 このアラートは、過去 n 日間サインインしていない特権ロールのアカウントを対象としています。 n は 1 日から 365 日の間に構成可能な日数です。 このようなアカウントは、保守されておらず、攻撃者に対して脆弱なサービス アカウントまたは共有アカウントの可能性があります。 |
| 修正方法 | リスト内のアカウントを確認します。 もうアクセスが不要になっているアカウントは、特権ロールから削除します。 |
| 予防 | パスワードを知っているユーザーの変更がある場合、共有されているアカウントで強力なパスワードがローテーションされていることを確認します。
アクセス レビューを使用して特権ロールを持つアカウントを定期的に 確認 し、不要になったロールの割り当てを削除します。 |
| ポータル内の軽減アクション | 対象の特権ロールからアカウントを削除します。 |
| ベスト プラクティス | パスワードを使って認証を行い、全体管理者やセキュリティ管理者などの高い特権を持つ管理者ロールに割り当てられる共有、サービス、および緊急アクセス用のアカウントでは、次の場合にパスワードをローテーションする必要があります。
|
ロールが Privileged Identity Management の外部に割り当てられている
重大度: 高
| 説明 | |
|---|---|
| このアラートを受け取る理由 | Privileged Identity Management の外部で行われた特権ロールの割り当てが正しく監視されておらず、アクティブな攻撃を示している可能性があります。 |
| 修正方法 | リスト内のユーザーを確認し、Privileged Identity Management の外部で割り当てられた特権ロールから、これらのユーザーを削除します。 アラート設定で、アラートとそれに付随する電子メール通知の両方を有効または無効にすることもできます。 |
| 予防 | ユーザーが特権ロールを割り当てられた Privileged Identity Management の外部の場所を調査し、そこからの今後の割り当てを禁止します。 |
| ポータル内の軽減アクション | 対象の特権ロールからユーザーを削除します。 |
注
PIM で Microsoft Entra ロールのアラート設定からアラートが有効になっている場合、PIM アラートの外部に割り当てられたロールの電子メール通知が送信されます。電子メールは、Privileged Identity Management を有効にした特権ロール管理者、セキュリティ管理者、グローバル管理者に送信されます。 PIM の Azure リソースの場合、電子メールは 所有者 と ユーザー アクセス管理者に送信されます。
グローバル管理者が多すぎます
重大度: 低
| 説明 | |
|---|---|
| このアラートを受け取る理由 | グローバル管理者は、最上位の特権ロールです。 全体管理者が侵害された場合、攻撃者はこの管理者のすべてのアクセス許可を使用できるようになり、システム全体が危険にさらされます。 |
| 修正方法 | リストのユーザーを確認し、グローバル管理者ロールがどうしても必要ではないユーザーをすべて削除します。
代わりに、下位の特権ロールをこれらのユーザーに割り当てます。 |
| 予防 | ユーザーには最低限必要な特権ロールを割り当てます。 |
| ポータル内の軽減アクション | 対象の特権ロールからアカウントを削除します。 |
| トリガー | 2 つの異なる条件が満たされるとトリガーされます。これらの両方の条件を構成できます。 1 つ目として、グローバル管理者ロールの割り当て数が特定のしきい値に達する必要があります。 2 つ目として、総ロール割り当て数のうち一定の割合がグローバル管理者である必要があります。 これらの測定値の一方のみが満たされている場合は、アラートは表示されません。 |
| グローバル管理者の最小数 | この設定では、全体管理者のロールの割り当て数を、Microsoft Entra 組織には少なすぎると考えられる 2 から 100 の数で指定します。 |
| 全体管理者の割合 | この設定では、Microsoft Entra 組織の管理者のうちグローバル管理者の割合について、それより低下すると望ましくない最低限の値 (0% から 100% の範囲) を指定します。 |
ロールをアクティブ化する頻度が高すぎます
重大度: 低
| 説明 | |
|---|---|
| このアラートを受け取る理由 | 同じユーザーが同じ特権ロールに対してアクティブ化を複数行っているのは、攻撃の兆候です。 |
| 修正方法 | 一覧のユーザーを確認し、特権ロールの アクティブ化期間 が、タスクを実行するのに十分な長さに設定されていることを確認します。 |
| 予防 | ユーザーが自分のタスクを実行するのに十分な時間、特権ロールのアクティブ化期間が設定されていることを確認します。 複数の管理者によって共有されるアカウントを持つ特権ロールに対して多要素認証が必要です。 |
| ポータル内の軽減アクション | 該当なし |
| トリガー | ユーザーが指定期間内に同じ特権ロールを複数回アクティブ化するとトリガーされます。 期間とアクティブ化の回数の両方を構成できます。 |
| アクティブ化の更新期間 | この設定では、不審な更新の追跡に使用する期間を日、時間、分、および秒で指定します。 |
| アクティブ化の更新の数 | この設定では、選択した期間内に通知を受け取るアクティブ化の回数を 2 から 100 で指定します。 スライダーを動かすか、テキスト ボックスに数字を入力して設定を変更できます。 |
セキュリティ アラート設定のカスタマイズ
次の手順に従って、Privileged Identity Management で Microsoft Entra ロールに対するセキュリティ アラートを構成します。
Microsoft Entra 管理センターに、少なくとも特権ロール管理者としてサインインします。
ID ガバナンス>特権 ID 管理>Microsoft Entra ロール>アラート>設定 に移動します。 ダッシュボードに Privileged Identity Management タイルを追加する方法については、「 Privileged Identity Management の使用を開始する」を参照してください。
環境で機能し、セキュリティの目標に合うようにさまざまなアラートの設定をカスタマイズします。
