Microsoft 365やAzureを導入したばかりの企業では、「とりあえずグローバル管理者を複数人で使い回す」という運用をしていることが少なくありません。
確かに、全ての機能にアクセスでき、何でもできる便利な権限ですが、組織が拡大し、セキュリティガバナンスを強化する必要が出てきた成長企業にとって、この運用は大きなリスクを抱えています。
本記事では、グローバル管理者に関するリスクを解説した上で、役割に応じた適切な権限の割り振り方(RBAC: Role-Based Access Control)の基本について解説します。
グローバル管理者のリスク
「何でもできる」強力な権限
グローバル管理者は、Microsoft Entra ID(旧Azure AD)組織内のほとんどすべての管理設定を読み取り、変更できます。
具体的には以下のような操作が可能です。
- ユーザーやグループの作成・削除
- パスワードのリセット
- サービスプリンシパルの作成
- Microsoft 365サービス(Exchange、SharePoint、Teamsなど)の設定変更
- セキュリティ設定の変更
- ライセンスの割り当て
- アクセス権の昇格
Microsoftの公式ドキュメントでも、グローバル管理者は「基本的に無制限のアクセス権を持っている」と明記されています。
アカウント使い回しによる監査の困難さ
Japan Azure Identity Support Blog「グローバル管理者ロールを持つユーザーでサインインできない!」の記事では、グローバル管理者の運用における重要な指摘があります:
一つの管理者アカウント(Azure AD ユーザー)を複数名で使いまわすことはお勧めしません。これは、アカウントが使いまわされることで、どの管理者がいつサインインし、どのような操作を行ったかの監査が困難となるためです。
Japan Azure Identity Support Blog:グローバル管理者ロールを持つユーザーでサインインできない!
複数人でグローバル管理者アカウントを共有すると、以下のような問題が発生します:
- 誰がいつ何を変更したのか追跡できない
- セキュリティインシデント発生時の原因特定が困難
- 退職者の権限剥奪が適切に行われない
- コンプライアンス要件を満たせない
Microsoftが推奨する数値
Microsoftは、組織内の5人未満にグローバル管理者ロールを割り当てることをベストプラクティスとして推奨しています。
5つ以上のグローバル管理者ロールの割り当てがある場合は、Microsoft Entraの概要ページにアラートカードが表示されます。
最小権限の原則とは
必要な権限だけを付与する
最小権限(Least Privilege)とは、ジョブを実行するために必要な権限を管理者に正確に付与することを意味します。
管理者にロールを割り当てる際に考慮すべき3つのアスペクトがあります
- 特定の権限セット: その業務に必要な機能へのアクセスのみ
- 特定のスコープ: 必要な範囲(テナント全体、特定のサービス、特定のリソースなど)
- 特定の期間: 必要な期間のみ(恒久的ではなく、必要に応じた一時的な権限付与)
Japan Azure Identity Support Blog「監査ログを使用した特権ロール割り当ての管理」では、実際の運用例として以下のようなケースが紹介されています:
パスワードをリセットする業務にグローバル管理者ロールの権限は強すぎます。より低い権限を持つロールが利用できるにもかかわらず、このようにユーザーは無意識のうちに特定のタスクを実行するために高い権限が必要だと考えてしまうのです。
Japan Azure Identity Support Blog:監査ログを使用した特権ロール割り当ての管理
この場合、「ユーザー管理者」や「ヘルプデスク管理者」などより小さい権限を持つロールに置き換えることができます。
役割に応じた権限の割り振り方
よく使われる管理者ロール
Microsoft 365/Entra IDには65を超える組み込みロールが用意されています。
ここでは、実務でよく使用されるロールを紹介します。
1. ヘルプデスク管理者
できること:
- 管理者ではないユーザーと一部の管理者のパスワードリセット
- ユーザーの強制サインアウト
- サービスリクエストの管理
- サービス正常性の監視
適用場面: 社内ヘルプデスク担当者に付与。日常的なパスワードリセット対応などに最適です。
設定の変更はできないため、誤操作のリスクが低減されます。
2. Teams管理者
できること:
- Teams管理センターへのアクセス
- Teams会議の管理
- 組織全体に関わる設定の変更
- Teamsアプリの制御
適用場面: Teams運用担当者に付与。
ExchangeやSharePointへのアクセス権は持たないため、メールやファイル共有の設定を意図せず変更するリスクがありません。
3. Exchange管理者
できること:
- Exchange Onlineへのフルアクセス
- メールボックスの管理
- 削除済みアイテムの復元
- メールボックスのアーカイブと削除ポリシーの設定
- メールフローの制御
適用場面: メールシステム管理者に付与。メール関連の業務に特化した権限です。
4. SharePoint管理者
できること:
- SharePoint Onlineへのフルアクセス
- サイトコレクションの管理
- Microsoft 365グループの管理
- OneDrive for Businessの管理
適用場面: ファイル共有とコラボレーション基盤の管理者に付与。
5. ユーザー管理者
できること:
- ユーザーとグループの作成と管理
- ライセンスの割り当て
- ユーザーのパスワードリセット
- サービスリクエストの管理
適用場面: 人事部門や総務部門の担当者に付与。新入社員のアカウント作成や退職者の削除などを行います。
6. グローバル閲覧者
できること:
- グローバル管理者が表示できる内容の閲覧
- 変更はできない
適用場面: 監査担当者や経営層への報告用に設定状態を確認する必要がある担当者に付与。読み取り専用のため安全です。
タスク別の最小権限ロール
Microsoft 365 は「タスク別の最小特権ロール」というドキュメントを公開しており、特定のタスクを実行するために必要な最も権限の低いロールが記載されています。以下は代表的な例です:
| タスク | 必要な最小権限ロール |
|---|---|
| ユーザーのパスワードリセット | ヘルプデスク管理者 |
| ユーザーとグループの作成 | ユーザー管理者 |
| サービスプリンシパルの作成 | アプリケーション管理者 |
| 条件付きアクセスの管理 | 条件付きアクセス管理者 |
| セキュリティレポートの閲覧 | セキュリティ閲覧者 |
| Exchange設定の変更 | Exchange管理者 |
参考:Microsoft 365 管理センターの管理者ロールについて
参考:Microsoft Entra ビルトイン ロール
実践的な権限設計のステップ
ステップ1: 現状の棚卸し
まず、現在のグローバル管理者の数と、それぞれがどのような業務を行っているかを把握します。
- Microsoft Entra管理センターで「ロールと管理者」ブレードを選択
- グローバル管理者ロールを選択
- 割り当てられているユーザーをすべてエクスポート
- 各ユーザーがどのような操作を実際に行っているか監査ログで確認
ステップ2: 業務に応じたロールのマッピング
各担当者の実際の業務内容を分析し、必要最小限のロールを特定します。
悪い例:
- ヘルプデスク担当者全員にグローバル管理者を付与
- 「念のため」でグローバル管理者を付与
良い例:
- パスワードリセット業務 → ヘルプデスク管理者
- Teams運用担当 → Teams管理者
- メール管理担当 → Exchange管理者
- 新入社員のアカウント作成担当 → ユーザー管理者
ステップ3: 段階的な移行
いきなり全てのグローバル管理者を削除するのではなく、以下の順序で段階的に移行します。
- 緊急用アカウントの確保: 最低2-3名の緊急用グローバル管理者アカウントを残す
- 個別ロールの付与: 各担当者に適切なロールを付与
- 動作確認: 付与したロールで業務が問題なく遂行できるか確認
- グローバル管理者の削除: 確認後、不要なグローバル管理者権限を削除
ステップ4: 継続的な監視と見直し
Japan Azure Identity Support Blog「監査ログを使用した特権ロール割り当ての管理」で紹介されているように、Microsoft Entra IDの監査ログをLog Analyticsワークスペースに取り込むことで、不要で過剰なロールを持つユーザーを特定できます。
定期的に以下を確認します:
- ロールを持つユーザーが実際にそのロールの権限を使用しているか
- より低い権限で実現できる業務を高い権限で行っていないか
- 退職者や異動者の権限が適切に削除されているか
セキュリティのベストプラクティス
1. グローバル管理者は5人未満に
Microsoftの推奨に従い、グローバル管理者の数を組織全体で5人未満に制限します。
2. 複数の管理者アカウントを用意
Japan Azure Identity Support Blogでは以下が推奨されています。
必ず2-3名の信頼できるテナント管理者を任命し、それぞれの管理者ごとにAzure AD のユーザーを発行することをお勧めします。必ず異なるUPNと異なるパスワードで、管理者の数だけ、管理専用のAzure ADユーザーを発行ください。
Japan Azure Identity Support Blog:グローバル管理者ロールを持つユーザーでサインインできない!
3. 多要素認証(MFA)の必須化
全てのグローバル管理者、および特権ロールを持つユーザーには必ずMFAを構成します。
これはセキュリティの基本です。
4. 条件付きアクセスの活用
グローバル管理者については、条件付きアクセスポリシーで以下のような制限を設定することを検討します。
- 特定のIPアドレス範囲からのみアクセス可能
- 準拠デバイスからのみアクセス可能
- MFA必須
ただし、
Japan Azure Identity Support Blog (グローバル管理者ロールを持つユーザーでサインインできない!) では以下の注意喚起があります:
条件付きアクセス ポリシーを構成するときは、緊急アクセス用のアカウントや最低一名のグローバル管理者ロールを持つユーザーを除外することをお勧めします。
これは、設定ミスにより全ての管理者がロックアウトされる事態を防ぐためです。
まとめ
グローバル管理者の使い回しは、小規模な組織では一見効率的に見えますが、組織の成長とともに以下のような問題を引き起こします:
- セキュリティリスクの増大
- 監査証跡の欠如
- コンプライアンス違反
- インシデント発生時の原因特定困難
Microsoft Entra IDが提供する豊富なロールを活用し、最小権限の原則に基づいた適切な権限設計を行うことで、これらのリスクを大幅に低減できます。
組織が拡大する前に、適切な権限管理の仕組みを構築することが、将来的なセキュリティとガバナンスの強化につながります。
「とりあえずグローバル管理者で!」はリスクが大きいのです。
免責事項:Microsoft 365の機能や仕様は変更される可能性がありますので、実施前には最新の公式ドキュメントをご確認ください。
