誰もが Azure を使用する前に、セキュリティで保護された適切に管理された ID が必要です。 Microsoft Entra ID は、Azure での ID とアクセス管理のバックボーンです。 この記事では、強力な ID 基盤を確立するための基本的な手順について説明します。 新しいテナントを設定する場合でも、既存のテナントでセキュリティを強化する場合でも、これらのベスト プラクティスは、1 日目からクラウド リソースへのアクセスを保護するのに役立ちます。
前提条件:Azure アカウントを作成します。 スタートアップは、Azure クレジットの対象かどうかを確認します。
個々のユーザー アカウントを作成する
Azure にアクセスする必要があるすべてのユーザーは、Microsoft Entra で独自のユーザー アカウントを持っている必要があります。 このセットアップにより、アカウンタビリティが確保され、変更の追跡とセキュリティ ポリシーの適用が容易になります。
カスタム ドメインを追加します。 Microsoft Entra テナントを作成すると、既定のドメイン (yourtenant.onmicrosoft.com) が付属します。 カスタム ドメイン ( contoso.com など) を追加すると、ユーザーは alex@contoso.comなどの使い慣れた名前でサインインできます。 カスタム ドメインを追加する前にアカウントを作成する場合は、後でアカウントを更新する必要があります。 詳細な手順については、「 Microsoft Entra でテナントにカスタム ドメイン名を追加する」を参照してください。
すべてのユーザーに対して一意のアカウントを作成します。 共有アカウントを許可しないでください。 共有アカウントを使用すると、変更の追跡と責任の割り当てが困難になります。 手順については、「 Microsoft Entra でユーザーを作成、招待、削除する方法」を参照してください。
緊急アクセスアカウントを作成します。 通常のサインイン方法が失敗した場合にテナントにアクセスできるように、2 つの 緊急アクセス アカウント を作成します。
ID 管理ロールを割り当てる
Microsoft Entra では、ロールベースのアクセス制御 (RBAC) を使用して、ユーザー、ロール割り当て可能なグループ、またはサービス プリンシパルにロールを割り当てます。 これらのロールは、Microsoft Entra、Microsoft 365 管理センター、Microsoft Defender、Microsoft Purview などの内部で実行できるアクションを定義します。 アカウントの作成、グループの管理、セキュリティ ポリシーの構成が含まれます。
組み込みのロールを使用します。 Microsoft では、一般的なタスクに対して定義済みのロールを提供しています。 各ロールには、特定のアクセス許可セットがあります。 たとえば、ユーザー管理者ロールは、ユーザー アカウントを作成および管理できます。 Microsoft Entra 組み込みロールの一覧を確認し、必要なものだけを割り当てます。
最小限の特権に基づいてロールを割り当てます。 ユーザーに自分の仕事に必要なアクセス許可のみを付与します。 Microsoft Entra、Microsoft 365 管理センター、Microsoft Defender、または Microsoft Purview を管理する必要がない場合は、ロールの割り当てを持たない通常のユーザーのままにします。
Just-In-Time アクセスを使用します。 組織に Microsoft Entra Privileged Identity Management (PIM) のライセンスがある場合は、ユーザーが必要な場合にのみ、限られた期間、昇格されたアクセス許可をアクティブ化できます。 この設定により、永続的な高レベルのアクセス権を持つユーザーが多すぎるリスクが軽減されます。
グローバル管理者ロールのアクセスを制限します。 グローバル管理者ロールは、Microsoft Entra テナントを完全に制御できます。 日常のタスクにはこのロールを使用しないでください。
ロールの割り当てを定期的に確認します。 ロールが割り当てられているユーザーを確認し、不要になったロールを削除します。 組み込みのレポートとアラートを使用して、変更を監視できます。
詳細については、「Microsoft Entra のロールのベスト プラクティス」を参照してください。
多要素認証を構成する
多要素認証 (MFA) は、侵害された資格情報や未承認のアクセスから組織を保護するのに役立ちます。
セキュリティの既定値について理解します。 新しい Microsoft Entra テナントでは、 セキュリティの既定値 が自動的に有効になっています。 これらの設定では、すべてのユーザーが MFA に登録し、管理者がサインインするたびに MFA を実行する必要があり、必要に応じてエンド ユーザーに MFA を実行するよう要求します。
高度なシナリオでは、条件付きアクセスを使用します。 組織で柔軟性を高める必要がある場合は、ユーザーが未知の場所からサインインするときなど、特定の状況でのみ MFA を適用する条件付きアクセス ポリシーを作成できます。 セキュリティの既定値と条件付きアクセスを同時に使用することはできません。 条件付きアクセスを有効にするには、まずセキュリティの既定値を無効にし、Premium ライセンスを取得する必要があります。 Microsoft Entra 多要素認証を使用したユーザー サインインのセキュリティ保護に関する説明を参照してください。