はじめに
AzureではPrivileged Identity Management (以下 PIM)を利用することでより安全にAzure上の各リソースに対する権限管理を実施することが可能になります。PIM機能の一つとして、開始日時と終了日時を指定して、一定期間だけ特定のリソースに対する権限を付与するといったことが可能になります。
本ブログでは、PIMの一時的に権限を付与する機能と条件付きアクセスを組み合わせることで、ユーザが特定の端末から操作している場合のみ一時的に権限を付与させる方法について整理したいと思います。
PIMの詳細についてこちらを参照ください。
※ 本ブログに記載した内容は個人の見解であり、所属する会社、組織とは全く関係ありません。
目次
- 利用する機能の整理
- 構成図
- PIMによる申請の流れ
- 設定手順
- 検証
- 終わりに
1. 利用する機能の整理
今回紹介する方法を実施する中で、設定が必要な各種機能について以下に整理します。
・PIM(Privileged Identity Management)
Microsoft Entra ID のサービスの一つで、各種リソースへのアクセスを管理、制御、監視することができます。機能の一つとして、一時的にアクセス権限を付与したり、権限が付与されたセキュリティ グループに一時的に所属させるなどができます。
・条件付きアクセス
各リソースへのアクセス時に条件を設定することで、組織のポリシーに違反するアクセスをブロックすることが可能になります。今回はPIMの申請ができる端末を制限するために利用します。
・認証コンテキスト
PIMによる申請と条件付きアクセスによる制限を紐付けるために利用します。
・Microsoft Entra デバイス登録
端末をデバイス登録することで条件付きアクセスのルールに追加することが可能になります。
「Microsoft Entra 参加」または「Microsoft Entra ハイブリッド参加」を実施することでも条件付きアクセスのルールに追加可能ですが、本ブログでは「Microsoft Entra デバイス登録」で検証を実施します。
・Microsoft Entra ID ユーザ
Microsoft Entra IDで管理されるユーザアカウントです。
・Microsoft Entra ID グループ
Microsoft Entra IDで管理されるセキュリティグループです。
2. 構成図
今回の方法を実装する上での構成図を以下に整理しました。
<前提条件>
・ブラウザは「Edge」を利用してAzure Portalにログインし、PIMの申請を実施します。
・端末のOSはWindows11を利用します。
・Microsoft Entra ID ユーザに Microsoft Entra ID P2ライセンスを割り当てます。
PIM を利用するために Microsoft Entra ID P2 ライセンスが必要です。
・あらかじめグループに各リソースの権限付与を実施します。
・グループへのメンバーシップの追加をPIMで管理します。
PIMへの申請により一時的にグループのメンバーとなる(メンバーシップの取得)ことで、グループに付与された権限を得ることができます。
■PIM申請前の構成
■PIM申請後の構成
3. PIMによる申請の流れ
PIMによる申請のフローを以下に整理しました。
Azure Portal上からPIMの申請を実施することを前提としています。
4. 設定手順
以下の3つの手順について整理します。
本検証ではグループAに対して条件付きアクセスを適用する手順は割愛します。
・Microsoft Entra IDに端末を登録する手順
・認証コンテキストに紐付いた条件付きアクセスの設定手順
・PIMに対する設定手順
・Microsoft Entra IDに端末を登録する手順
Windows11の端末にログイン後、「スタート」⇒「設定」をクリックします。
「アカウント」⇒「職場又は学校へのアクセス」をクリックします。
画面右上の「接続」をクリックします。
PIM申請者のEntra ID ユーザを入力して「次へ」を入力します。
認証画面が起動するので、認証を実施します。
以下画面が表示されれば登録完了です。「完了」をクリックします。
Edgeを起動し、左上のアイコンをクリック後、デバイス登録を実施したEntra ID ユーザを選択後、「サインインしてデータを同期」をクリックします。
「同期を有効にする」をクリックします。
再度、左上のアイコンをクリック後、デバイス登録を実施したEntra ID ユーザでサインインがされ、「同期は有効になっています」と表示がされていれば問題ありません。
Azure Portal から「Microsoft Entra ID」⇒「デバイス」⇒「すべてのデバイス」を開き、デバイスが登録されていることを確認します。
・認証コンテキストに紐付いた条件付きアクセスの設定手順
Azure Portalから「Microsoft Entra 条件付きアクセス」にアクセスします。
「管理」⇒「認証コンテキスト」⇒「+ 新しい認証コンテキスト」をクリックします。
名前を入力後、「保存」をクリックします。
「管理」⇒「認証コンテキスト」をクリックし、作成した認証コンテキストが作成されていることを確認します。
「ポリシー」⇒「+ 新しいポリシー」をクリックします。
ポリシーの各項目を以下の通り設定します。
<名前>
任意の名前を設定します
<ユーザ>
「すべてのユーザ」を選択します。
<ターゲットリソース>
「このポリシーが適用される対象を選択する」で「認証コンテキスト」を選択し、先ほど作成した認証コンテキストを選択します。
<条件>
デバイスのフィルターを以下の通り構成します。
構成: はい
ルールに一致するデバイス: 「フィルター処理されたデバイスをポリシーから除外する」にチェック
プロパティ: DeviceName ※DeviceNameにはOSのホスト名を指定。DeviceId等も選択可能なため、要件に合わせて設定可能
演算子: 次の値に等しい ※含む、前方一致等も選択可能なため、要件に合わせて設定可能
値: 制御対象のOSのホスト名
<許可>
「アクセスのブロック」を選択
<ポリシーの有効化>
「オン」を選択
上記の通り設定したら「作成」をクリックします。
条件付きアクセスのポリシーに作成したポリシーが追加されていることを確認します。
・PIMに対する設定手順
Azure Portalから「Privileged Identity Management」にアクセスします。
「管理」⇒「グループ」⇒「グループの検出」をクリックします。
管理対象のグループを選択し、「グループの管理」をクリックします。
以下ポップアップが出るので「OK」をクリックします。
グループが一覧に追加されたことを確認し、クリックします。
「管理」⇒「設定」をクリックします。
ロールの一覧から「Member」をクリックします。
画面左上の「編集」をクリックします。
「アクティブ化で必要」の項目で、「Microsoft Entra 条件付きアクセス認証コンテキスト」にチェックを入れ、作成した認証コンテキストを選択します。
「アクティブにするには承認が必要です」にチェックを入れ、承認者のグループを選択します。
「更新」をクリックします。
「管理」⇒「割り当て」⇒「+ 割り当ての追加」をクリックします。
「ロールの選択」で「Member」を選択します。
「メンバーの選択」でPIMの申請を許可するユーザを選択します。※グループを指定することも可能
「次へ」をクリックします。
割り当ての種類と期間についての設定についてはデフォルトのままで「割り当て」をクリックします。
「資格のある割り当て」に対象のEntra ID ユーザが追加されていることを確認します。
5. 検証
以下2つの検証を実施します。
①PIM申請が許可されたデバイス上で、Azure PortalからPIM申請ができること
②PIM申請が許可されていないデバイス上で、Azure PortalからPIM申請ができないこと
検証①
PIM申請が許可されたデバイスからPIM申請を実施します。
許可されているホスト名であることを確認します。
Azure Portalから「Privileged Identity Management」にアクセスします。
「管理」⇒「グループ」からPIM申請対象のグループを選択します。
「タスク」⇒「自分のロール」⇒「資格のある割り当て」に表示されるロール「Member」について「アクティブ化」をクリックします。
「理由」を記載後、「アクティブ化」をクリックします。
以下のポップアップが表示されれば無事に申請が完了です。
PIM申請が許可されたデバイス上で、Azure PortalからPIM申請ができることが確認できました。
検証②
許可されていないホスト名であることを確認します。
検証①と同様の手順でPIM申請を実施します。
「アクティブ化」のタイミングで以下の警告が出力されることを確認後、クリックします。
以下の画面が出力され、アクセスがブロックされることを確認します。
PIM申請が許可されていないデバイス上で、Azure PortalからPIM申請ができないことが確認できました。
6. 終わりに
PIM申請時のデバイス制御について実施することができました。要件に合わせてカスタマイズしていただければと思います。また、デバイス制御を実施する上でより高度なセキュリティ要件が求められる場合は、Microsoftから展開されているデバイス管理ソリューションである Microsoft Intuneが便利なのでそちらについてもご確認いただければと思います。