Microsoft 365やMicrosoft Entra ID(旧Azure AD)を利用している組織で、「グローバル管理者」の権限を多くの担当者に付与していませんか?
実は「何でもできる権限」を複数の担当者が使い回していることが、誤操作やセキュリティ事故の大きな原因になっているのです。
グローバル管理者を適切に絞り、役割に応じた権限を割り振ることで、安全かつ効率的な管理体制を構築します。
グローバル管理者とは?その強力すぎる権限
グローバル管理者(Global Administrator)は、Microsoft Entra ID(旧Azure AD)において最も強力な管理者ロールです。
このロールを持つユーザーは、テナント内のすべてのリソース、設定、ユーザー、サービスに対して無制限のアクセス権を持ちます。
グローバル管理者ができること
- すべてのユーザーアカウントの作成・削除・変更
- 他の管理者ロールの割り当て・削除
- 条件付きアクセスポリシーの設定・変更
- 課金設定やライセンスの管理
- セキュリティ設定の変更
- Microsoft 365の全サービス(Exchange、Teams、SharePointなど)への管理アクセス
この「何でもできる」という強力な権限が、セキュリティリスクの源泉となります。
なぜグローバル管理者を増やしすぎると危険なのか
1. 誤操作のリスク増大
グローバル管理者の権限を持つアカウントが増えれば増えるほど、重大な誤操作が発生するリスクも高まります。
たとえば
- 誤って全ユーザーのライセンスを削除してしまった
- 条件付きアクセスポリシーの設定ミスで、全社員がログインできなくなった
- 重要なセキュリティ設定を無効化してしまった
2. セキュリティ侵害の影響範囲拡大
グローバル管理者アカウントが侵害されると、攻撃者はテナント全体を掌握できます。
アカウント数が多いほど、攻撃の標的となる可能性も高まります。
3. 監査とアカウンタビリティの欠如
複数の担当者で同じグローバル管理者アカウントを使い回すと、「誰がいつ何を実行したか」の監査が困難になります。
これは、コンプライアンスやインシデント調査の観点から重大な問題となります。
グローバル管理者は「2~4人」に絞るべき理由
グローバル管理者を5人未満に制限することが推奨されています。
理想的には、2~4人程度が適切です。
Microsoftの推奨事項
Japan Azure Identity Support Blogの「グローバル管理者ロールを持つユーザーでサインインできない!」という記事では、以下のように明記されています:
「グローバル管理者のロールを持つユーザーの数は、テナント全体で5人未満がおすすめです。」
2~4人が適切な理由
- 冗長性の確保:最低2人は必要です。
1人だけだと、その担当者が不在や退職した際にテナントにアクセスできなくなる危険性があります。
この状況はとってもよくあります。
複数名は作成しましょうー! - リスク管理:あまりに多くの担当者に付与すると、前述のようなリスクが高まります。
- 監査の実効性:少数に絞ることで、誰が何を実行したかの監査がしやすくなります。
重要な注意点:アカウントの使い回しは厳禁
一つの管理者アカウント(Azure AD ユーザー)を複数名で使いまわすことはやめましょう。
これは、アカウントが使いまわされることで、どの管理者がいつサインインし、どのような操作を行ったかの監査が困難となるためです。
グローバル管理者は、個人ごとに別々のアカウントを発行し、それぞれ異なるUPNとパスワードで管理する必要があります。
役割に応じた権限の割り振り方
すべての管理タスクにグローバル管理者権限は必要ありません。
Microsoftは、最小権限の原則に基づいて、各担当者の業務に必要な最小限の権限のみを付与することを推奨しています。
主要な管理者ロールの例
Microsoft Entra IDには、グローバル管理者以外にも、特定の業務に必要な権限だけを持つ様々な組み込みロールが用意されています:
- ユーザー管理者(User Administrator):ユーザーアカウントの作成、削除、パスワードリセットなどを行えますが、他の管理者ロールには影響を与えられません。
- Teams管理者(Teams Administrator):Microsoft Teamsの設定やポリシー管理に特化したロールです。
- Exchange管理者(Exchange Administrator):メールボックスやメール設定の管理を行えます。
- SharePoint管理者(SharePoint Administrator):SharePointサイトやOneDriveの管理に必要な権限を持ちます。
- ヘルプデスク管理者(Helpdesk Administrator):一般ユーザーのパスワードリセットやサインイン問題のトラブルシューティングを行えます。
- セキュリティ管理者(Security Administrator):セキュリティポリシーや条件付きアクセスの管理を行えます。
- コンプライアンス管理者(Compliance Administrator):コンプライアンス設定やデータガバナンスに関する権限を持ちます。
権限割り当ての実践例
たとえば、以下のような権限分散が考えられます:
- IT部門長:グローバル管理者(緊急時の最終判断者として)
- 人事担当者:ユーザー管理者(入退社対応のため)
- ヘルプデスク担当者:ヘルプデスク管理者(日常的なユーザーサポート)
- セキュリティ担当者:セキュリティ管理者(セキュリティポリシー管理)
このように役割分担することで、各担当者は自分の業務に必要な権限だけを持ち、誤操作やセキュリティリスクを最小化できます。
実際に起きたトラブル事例
Japan Azure Identity Support Blogでは、実際によく起きるトラブル事例が紹介されています
- テナントを作成したユーザーが退職し、グローバル管理者が誰か分からなくなった。
- グローバル管理者が1人だけで、そのユーザーがスマホを紛失してMFAを突破できなくなった。
- 条件付きアクセスの設定ミスで、グローバル管理者を含む全員がブロックされ、Azureポータルに入れなくなった。
- 1人しかいないグローバル管理者のアカウントにリスクが検出され、サインインできなくなった。
一度発生すると回復に非常に長い時間がかかり、場合によってはMicrosoftサポートでも回復できないこともあります。
つまり、そのテナントにはもう誰もアクセスできず、あきらめるしかないのです。
まとめ
グローバル管理者の適切な設定は、Microsoft 365やMicrosoft Entra IDを安全に運用するための基本中の基本です。
しかし、組織の規模や要件によって、最適な設定は異なります。
この記事のポイント
- グローバル管理者は2~4人に絞る(最大でも5人未満)
- アカウントの使い回しは厳禁:個人ごとに別々のアカウントを発行
- 役割に応じた権限割り当て:ユーザー管理者、Teams管理者など、必要最小限の権限を付与
- 定期的な検証と監視:緊急用アカウントが使用可能か定期確認し、異常なアクティビティを監視
「今の設定は安全か?」と不安を感じたら、それはセキュリティを見直す良い機会です。
必要に応じて、Microsoft認定パートナーやセキュリティ専門家のアドバイスを受けることも検討しましょう。
免責事項:Microsoft 365の機能や仕様は変更される可能性がありますので、実施前には最新の公式ドキュメントをご確認ください。
