次の方法で共有

特権アクセス管理の使用を開始する

この記事では、organizationで特権アクセス管理を有効にして構成する方法について説明します。 Microsoft 365 管理センターまたは Exchange Management PowerShell を使用して、特権アクセスを管理および使用できます。

開始する前に

特権アクセス管理を開始する前に、 Microsoft 365 サブスクリプション とアドオンを確認してください。

特権アクセス管理にアクセスして使用するには、organizationにサポートサブスクリプションまたはアドオンが必要です。 詳細については、特権アクセス管理の サブスクリプション要件 に関するページを参照してください。

既存の Office 365 Enterprise E5 プランがなく、特権アクセス管理を試したい場合は、既存のOffice 365 サブスクリプションに Microsoft 365 を追加するか、E5 Microsoft 365 Enterprise試用版にサインアップします。

特権アクセス管理を有効にして構成する

次の手順に従って、organizationで特権アクセスを設定して使用します。

  • 手順 1: 承認者のグループを作成する

    特権アクセスの使用を開始する前に、管理者特権タスクと特権タスクへのアクセスに対する受信要求に対して承認機関が必要なユーザーを特定します。 承認者のグループに属するすべてのユーザーは、アクセス要求を承認できます。 Office 365でメールが有効なセキュリティ グループを作成して、このグループを有効にします。

  • 手順 2: 特権アクセスを有効にする

    特権アクセス管理アクセス制御から除外する一連のシステム アカウントなど、既定の承認者グループを使用してOffice 365で特権アクセスを明示的に有効にします。

  • 手順 3: アクセス ポリシーを作成する

    承認ポリシーを作成して、個々のタスクでスコープを設定する特定の承認要件を定義します。 承認の種類のオプションは自動または手動です。

  • 手順 4: 特権アクセス要求を送信/承認する

    有効にすると、特権アクセスは関連付けられた承認ポリシーが定義されているすべてのタスクにて承認が必要になります。 承認ポリシーに含まれるタスクの場合、タスクを実行するために必要なアクセス権限を持つには、ユーザーはアクセスを要求し、アクセスが許可されている必要があります。

承認が付与されると、要求元のユーザーは目的のタスクを実行できます。 特権アクセスは、ユーザーに代わってタスクを承認して実行します。 承認は、要求された期間 (既定の期間は 4 時間) にわたって有効で、その間依頼者は目的のタスクを複数回実行できます。 これらのすべての実行はログに記録され、セキュリティとコンプライアンスの監査で利用されます。

注:

Exchange Management PowerShell を使用して特権アクセスを有効にして構成するには、「Connect to Exchange Online PowerShell using Multi-Factor authentication to connect to connect to Exchange Online PowerShell with your Office 365 credentials」の手順に従います。 PowerShell への接続中に特権アクセスを有効にする手順を使用するには、organizationの多要素認証 Exchange Onlineを有効にする必要はありません。 多要素認証を使用して接続すると、特権アクセスが要求の署名に使用する認証トークンが作成されます。

手順 1: 承認者のグループを作成する

  1. organizationの管理者アカウントの資格情報を使用してMicrosoft 365 管理センターにサインインします。

  2. 管理センターで、[グループ] >[グループの追加] に移動します。

  3. メールが有効なセキュリティ グループを選択し、新しいグループの名前グループのメール アドレス説明を入力します。

  4. グループを保存します。 グループが完全に構成され、Microsoft 365 管理センターに表示されるまでに数分かかる場合があります。

  5. 新しい承認者グループを選択し、[ 編集 ] を選択してユーザーをグループに追加します。

  6. グループを保存します。

手順 2: 特権アクセスを有効にする

Microsoft 365 管理 センター

  1. organizationの管理者アカウントの資格情報を使用して、Microsoft 365 管理 センターにサインインします。

  2. 管理センターで、[設定>Org Settings>Security & Privacy>Privileged access] に移動します。

  3. [ 特権タスクの承認が必要] をオンにします。

  4. 手順 1 で作成した承認者グループを 既定の承認者グループとして割り当てます。

  5. 保存 して 閉じます

Exchange Management PowerShell で

特権アクセスを有効にして承認者グループを割り当てるには、PowerShell で次のコマンドExchange Online実行します。

Enable-ElevatedAccessControl -AdminGroup '<default approver group>' -SystemAccounts @('<systemAccountUPN1>','<systemAccountUPN2>')

例:

Enable-ElevatedAccessControl -AdminGroup 'pamapprovers@fabrikam.onmicrosoft.com' -SystemAccounts @('sys1@fabrikamorg.onmicrosoft.com', 'sys2@fabrikamorg.onmicrosoft.com')

注:

システム アカウント機能を使用すると、組織内の特定の自動化が特権アクセスに依存せずに動作します。 ただし、このような除外を例外的に行い、許可された除外を定期的に承認および監査することをお勧めします。

手順 3: アクセス ポリシーを作成する

organizationに対して最大 30 個の特権アクセス ポリシーを作成および構成できます。

Microsoft 365 管理 センター

  1. organizationの管理者アカウントの資格情報を使用して、Microsoft 365 管理 センターにサインインします。

  2. 管理 センターで、[設定>Org の設定>セキュリティ & Privacy** >Privileged access] に移動します。

  3. [ アクセス ポリシーと要求の管理] を選択します

  4. [ ポリシーの構成] を選択し、[ ポリシーの追加] を選択します。

  5. ドロップダウン フィールドから、organizationに適した値を選択します。

    • ポリシーの種類: タスク、役割、役割グループ

    • ポリシースコープ: 交換

    • ポリシー名: 利用可能なポリシーから選択します。

    • 承認の種類: 手動または自動

    • 承認グループ: 手順 1で作成した承認者グループを選択します。

  6. [ 作成 ] を選択し、[ 閉じる] を選択します。 ポリシーが完全に構成されて有効になるまでに数分かかる場合があります。

Exchange Management PowerShell で

承認ポリシーを作成して定義するには、Exchange Online PowerShell で次のコマンドを実行します。

New-ElevatedAccessApprovalPolicy -Task 'Exchange\<exchange management cmdlet name>' -ApprovalType <Manual, Auto> -ApproverGroup '<default/custom approver group>'

例:

New-ElevatedAccessApprovalPolicy -Task 'Exchange\New-MoveRequest' -ApprovalType Manual -ApproverGroup 'mbmanagers@fabrikamorg.onmicrosoft.com'

手順 4: 特権アクセス要求を送信/承認する

特権タスクを実行するための昇格認証の要求

特権アクセスの要求は、申請後最大 24 時間有効です。 承認者が 24 時間以内に要求を承認または拒否しなかった場合、要求の有効期限が切れ、アクセス権は付与されません。

Microsoft 365 管理 センター

  1. 資格情報を使用してMicrosoft 365 管理 センターにサインインします。

  2. 管理 センターで、[設定>Org の設定>セキュリティ & Privacy** >Privileged access] に移動します。

  3. [ アクセス ポリシーと要求の管理] を選択します

  4. [ 新しい要求] を選択します。 ドロップダウン フィールドから、organizationに適した値を選択します。

    • 要求の種類: タスク、役割、役割グループ

    • 要求スコープ: 交換

    • 要求名: 利用可能なポリシーから選択します。

    • 期間 (時間): アクセスを希望する時間数。 任意の時間数を要求できます。

    • コメント: アクセス要求に関連するコメントのテキスト フィールド

  5. [ 保存] を選択 し、[ 閉じる] を選択します。 承認者グループに電子メールで要求が送信されます。

Exchange Management PowerShell で

Exchange Online PowerShell で次のコマンドを実行して、承認者グループに承認要求を作成して送信します。

New-ElevatedAccessRequest -Task 'Exchange\<exchange management cmdlet name>' -Reason '<appropriate reason>' -DurationHours <duration in hours>

例:

New-ElevatedAccessRequest -Task 'Exchange\New-MoveRequest' -Reason 'Attempting to fix the user mailbox error' -DurationHours 4

昇格要求の状態を表示する

承認要求を作成した後、関連付けられている要求 ID を使用して、管理センターまたは Exchange Management PowerShell で昇格要求の状態をチェックできます。

Microsoft 365 管理センター

  1. 資格情報を使用してMicrosoft 365 管理センターにサインインします。

  2. 管理センターで、[設定>Org Settings>Security & Privacy>Privileged access] に移動します。

  3. [ アクセス ポリシーと要求の管理] を選択します

  4. [ 表示 ] を選択して、送信された要求を 保留中承認済み、 拒否、または 顧客ロックボックス の状態でフィルター処理します。

Exchange Management PowerShell で

Exchange Online PowerShell で次のコマンドを実行して、特定の要求 ID の承認要求の状態を表示します。

Get-ElevatedAccessRequest -Identity <request ID> | select RequestStatus

例:

Get-ElevatedAccessRequest -Identity 28560ed0-419d-4cc3-8f5b-603911cbd450 | select RequestStatus

昇格承認要求の承認

承認要求を作成すると、関連する承認者グループのメンバーに電子メール通知が送信されます。 要求 ID を使用して要求を承認できます。 要求が承認または拒否されると、要求者は電子メール通知を受け取ります。

Microsoft 365 管理センター

  1. 資格情報を使用してMicrosoft 365 管理センターにサインインします。

  2. 管理センターで、[設定>Org Settings>Security & Privacy>Privileged access] に移動します。

  3. [ アクセス ポリシーと要求の管理] を選択します

  4. 一覧表示された要求を選択して詳細を表示し、要求に対してアクションを実行します。

  5. [ 承認] を 選択して要求を承認するか、[ 拒否 ] を選択して要求を拒否します。 [取り消し] を選択すると、以前に承認された要求のアクセス権を 取り消すことができます。

Exchange Management PowerShell で

昇格承認要求を承認するには、Exchange Online PowerShell で次のコマンドを実行します。

Approve-ElevatedAccessRequest -RequestId <request id> -Comment '<approval comment>'

例:

Approve-ElevatedAccessRequest -RequestId a4bc1bdf-00a1-42b4-be65-b6c63d6be279 -Comment '<approval comment>'

昇格承認要求を拒否するには、Exchange Online PowerShell で次のコマンドを実行します。

Deny-ElevatedAccessRequest -RequestId <request id> -Comment '<denial comment>'

例:

Deny-ElevatedAccessRequest -RequestId a4bc1bdf-00a1-42b4-be65-b6c63d6be279 -Comment '<denial comment>'

Office 365で特権アクセス ポリシーを削除する

organizationに特権アクセス ポリシーが不要になった場合は、削除できます。

Microsoft 365 管理センター

  1. organizationの管理者アカウントの資格情報を使用してMicrosoft 365 管理センターにサインインします。

  2. 管理センターで、[設定>Org Settings>Security & Privacy>Privileged access] に移動します。

  3. [ アクセス ポリシーと要求の管理] を選択します

  4. [ ポリシーの構成] を選択します

  5. 削除するポリシーを選択し、[ ポリシーの削除] を選択します。

  6. [閉じる] を選択します。

Exchange Management PowerShell で

特権アクセス ポリシーを削除するには、Exchange Online PowerShell で次のコマンドを実行します。

Remove-ElevatedAccessApprovalPolicy -Identity <identity GUID of the policy you want to delete>

Office 365で特権アクセスを無効にする

必要に応じて、organizationの特権アクセス管理を無効にすることができます。 特権アクセスを無効にしても、関連付けられている承認ポリシーや承認者グループは削除されません。

Microsoft 365 管理センター

  1. organizationの管理者アカウントの資格情報を使用してMicrosoft 365 管理センターにサインインします。

  2. 管理 センターで、[設定>Org の設定>セキュリティ & Privacy** >Privileged access] に移動します。

  3. [ 特権アクセスの承認が必要] をオンにします。

Exchange Management PowerShell で

特権アクセスを無効にするには、Exchange Online PowerShell で次のコマンドを実行します。

Disable-ElevatedAccessControl