LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@kaiinaba(快 稲葉)

EntraIDから締め出されて復旧した件

Last updated at Posted at 2025-01-01

はじめに

先日、Microsoft 365 developer Programで作成したテナントから
締め出されてしまいまして、何が起きたのかとどのようにしたのかを
メモしておこうと思います。

何が起きたか

5月はじめ、上記テナントにてグローバル管理者だったユーザーで
ログインし管理ボタンを押そうとしたところ・・・管理ボタンがありません。
[管理者がログインしているときの画面] 普段は赤枠の通り管理ボタンがあります。
image.png

[その時の画面] 管理ボタンが…ない…
image.png

Entra管理センターにはアクセスできたため、グローバル管理者だったユーザーに
割り当てられているロールを見ると、グローバル管理者がない。
そもそもグローバル管理者がいない。
[グローバル管理者の数を確認する画面例]
この画面ではもう復活していますが、当時はグローバル管理者、
というかそもそも何かしらのロール所持者が軒並み0となってしまいました。
image.png

こうなると、誰かしらをグローバル管理者に戻すこともできず、詰みとなります。

ではどうしたか

こうなってしまった場合、Microsoftのサポートに頼るほかありません。
自分の行った問い合わせ方法を残しておきます。
[自分の時の問い合わせ方]
通常ならばM365管理センターからより問い合わせますが、
今回は締め出されてしまっているので、AzurePortalよりサポートリクエスト作成を行いました。
image.png
image.png
問い合わせ内容ですが自分の時のものを参考用に張り付けておきます。
今の問い合わせ画面とは違うかも…
image.png
※サポートリクエスト番号は問い合わせると発行されます。
 連絡はEmail以外も選べますので、適切なものを選択します。
 名前等はもちろん利用者に合わせ入力しましょう。

問い合わせ文サンプル
[お問い合わせ番号 / タイトル]
xxxx / グローバル管理者が不在となった

[お問い合わせ内容]
質問: サブスクリプション ID
答: [問題が起きたテナントIDを入れました]※Entra管理センターの概要から確認できます

質問: ブラウザー情報
答: Google Chrome※つかってるブラウザーを入れましょう。
締め出しの件と関係はないですが正確なものを入れておきましょう。

質問: エラー メッセージ (ある場合)
答: [なし] ※エラーメッセージ自体はないため

質問: ブラウザー ネットワーク トレースまたは他のエラー メッセージ (該当する場合)
答: 元々グローバル管理者であったユーザーから割り当てが解除されてしまっており割り当てが0となってしまったため復旧したい。元々グローバル管理者であったユーザーに再度グローバル管理者を割り当てたい。

※参考までに本来の問い合わせはこちらからできます。
今回は締め出されているのでM365管理センターへいけませんでしたが・・・
image.png

このように問い合わせを行ったところ電話にて連絡が来て、
本人確認の後、改めてメールにて
 --------------
 昇格対象のユーザー アカウントの UPN :
 --------------
を求めるメールが来ました。
これに対し回答した後、Microsoftがテナントを操作するので大丈夫か、と
許可を求める連絡が来るのでOKと回答したり、本人確認の依頼に対応することで
最終的に 昇格対象のユーザー アカウントの UPN に再度グローバル管理者を付与してもらえました!

原因

ずばりアクセスレビューの設定が悪さしていました。
アクセスレビューという機能は、不要な権限を自動で棚卸してくれるものです。
https://learn.microsoft.com/ja-jp/entra/id-governance/access-reviews-overview
"Microsoft Entra ID のアクセス レビューは Microsoft Entra の一部であり、
組織はこれを使用することで、グループ メンバーシップ、エンタープライズ アプリケーションへのアクセス、
ロールの割り当てを効率的に管理できます。"

しかし、この機能を不用意に導入し、グローバル管理者の自動棚卸を安易に設定してしまったため、
自動で全グローバル管理者のクリーンナップが行われてしまい、テナントから締め出されてしまいました。

image.png
image.png
image.png

上記のように無慈悲にglobal adminがはく奪されました。
安易に設定したことが敗因ですがさらに細かく考えれば以下が原因でした。
・全ユーザーをスコープにしたこと(ブレイクグラスアカウント作ってあるのに除外していない)
・設定完了時の設定でわざわざ自動適用、応答なしの場合アクセス権削除としてしまったこと。
 これではほおっておけば当然すべて消えます。

反省点

セキュリティを強化することは大事ですが、その影響はしっかり考えましょう!
コンテンジェンシープラン大事です!(ブレイクグラスアカウントはちゃんと除外しておく等)
いきなり設定適用もだめですね。条件付きポリシーもレポート専用とかありますし、
アクセスレビューも類似の設定で様子見が必要ということがわかりました。

最後に、対応してくださったMicrosoftサポートの方、ありがとうございました!

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?