「システム担当の A さんが突然退職してしまった。
しかし、Microsoft 365 の全権限(グローバル管理者)を持っているのは A さんだけ……」
「とりあえず全員にグローバル管理者を付けてしまったが、本当にこれで良いのか不安だ」
中小企業や、IT 担当者が少ない組織では、このような状況に陥ることが珍しくありません。
本記事では、こうした事態を未然に防ぎ、かつセキュリティを高めるための仕組みである 役割ベースのアクセス制御について解説します。
グローバル管理者に依存することのリスク
グローバル管理者とは
Microsoft Entra ID(旧 Azure AD)において、グローバル管理者(全体管理者) は最上位の権限を持つロールです。Microsoft Entra 組織内のほぼすべての管理設定を読み取り・変更でき、Microsoft 365(Exchange、SharePoint、Teams など)の多くの管理機能にもアクセスできます。
「グローバル管理者ひとり」の危険性
グローバル管理者が 1 名しかいない環境で発生するトラブルとして、以下のようなケースが紹介されています。
- テナントを作成したユーザーが退職し、グローバル管理者ロールを持つユーザーが不明になった
- グローバル管理者ロールを持つユーザーがスマートフォンを紛失し、多要素認証(MFA)を突破できなくなった
- 条件付きアクセスの設定ミスにより、グローバル管理者を含む全ユーザーが Azure ポータルからロックアウトされた
このような状況に陥った場合、マイクロソフトのサポートに問い合わせても、本人確認などの手続きに長時間を要し、場合によってはテナントの回復ができないこともあります。
役割ベースのアクセス制御(RBAC)とは
基本的な考え方
RBAC とは、「誰に」「どのロール(権限のセット)を」「どのスコープ(範囲)で」割り当てるかを管理するアクセス制御の仕組みです。
Microsoft Entra ID の RBAC では、この 3 つの要素でロール割り当てが構成されます。
RBAC を使うことで 最小特権の原則(ジョブを実行するために必要な特権だけを管理者に付与すること)を実践できると説明されています。
アクセスの制御戦略を計画するときは、最小特権を管理することをお勧めします。
ロールとスコープを制限することで、セキュリティ プリンシパルが侵害された場合にリスクにさらされるリソースを制限することができます。
なぜ最小特権が重要か
特権ロールを持つアカウントが侵害された場合のリスクについて、次のように説明されています。
万が一、運用管理アカウントに強力なアクセス権が付与されていた状態で資格情報が漏洩し、悪意ある攻撃者によって不正侵入されてしまった場合、攻撃者はアカウントに付与されたアクセス権を悪用して可能な限りの不正行為・資産の奪取を行うことが想定されます。
つまり、「全員にグローバル管理者を付ける」という運用は、万が一アカウントが乗っ取られたときの被害を最大化するリスクがあります。
参考: PIM の活用方法
Microsoft Entra ID の代表的な管理者ロール一覧
Microsoft Entra ID には多数の組み込みロールが用意されています。
以下に、業務でよく使われる代表的なロールとその権限範囲をまとめます。
| ロール名 | 主な権限 | 利用シーン |
|---|---|---|
| グローバル管理者 | すべての管理設定を読み取り・変更 | 緊急時・テナント全体の設定変更のみ |
| ユーザー管理者 | ユーザー・グループの作成・編集・削除、対象範囲内のユーザーのパスワードリセット | 人事異動対応、アカウント管理 |
| ヘルプデスク管理者 | 一般ユーザーのパスワードリセット・サインイン情報の更新 | ヘルプデスク・IT サポート窓口 |
| Exchange 管理者 | Exchange Online のメールボックス・メールフロー管理 | メール環境の運用担当者 |
| Teams 管理者 | Microsoft Teams のポリシー・会議設定・チャンネル管理 | Teams 運用担当者 |
| SharePoint 管理者 | SharePoint サイトの作成・管理・アクセス制御 | ファイル共有・イントラネット担当者 |
| セキュリティ管理者 | Microsoft Defender や一部のセキュリティ設定の管理、条件付きアクセス関連の運用 | セキュリティ担当者 |
| 請求管理者 | サブスクリプション・請求情報の管理 | 調達・経理担当者 |
| レポート閲覧者 | 使用状況レポートの閲覧(設定変更は不可) | 監査・管理職 |
| グローバル閲覧者 | すべての設定の読み取り(変更は不可) | 監査・コンプライアンス担当者 |
ポイント: たとえばパスワードをリセットする業務が目的であれば、グローバル管理者でなく「ヘルプデスク管理者」や「ユーザー管理者」で対応できます。
タスク別の最小特権ロールは、Microsoft の公式ドキュメントで確認できます。
参考: Microsoft 365 管理センターの管理者ロールについて
参考: Microsoft Entra ビルトイン ロール
参考: 監査ログを使用した特権ロール割り当ての管理
ロールの割り当て方法(Microsoft Entra 管理センター)
手順
- Microsoft Entra 管理センター にグローバル管理者でサインインする
- 左メニューから 「ID」→「ロールと管理者」 を選択する
- 割り当てたいロール(例:「ユーザー管理者」)をクリックする
- 「割り当ての追加」 をクリックし、対象ユーザーを選択する
- 「追加」 をクリックして完了
確認方法
「ロールと管理者」画面では、各ロールに現在何人が割り当てられているかを一覧で確認できます。
また、特定のユーザーを選択すると、そのユーザーに割り当てられているロールの逆引き一覧も確認できます。
グローバル管理者の適切な運用ガイドライン
推奨される管理者数
グローバル管理者の数について次のように推奨しています。
- グローバル管理者は全体で 5 人未満を目安とする
- 最低でも 2〜3 名の信頼できるテナント管理者を任命し、それぞれに専用の管理アカウント(通常業務アカウントとは別)を発行する
- アカウントの使いまわしは行わない(監査ログで「誰が何をしたか」を追跡できなくなるため)
- グローバル管理者のロールを持つすべてのアカウントに MFA(多要素認証)を必須化する
参考: グローバル管理者ロールを持つユーザーでサインインできない!
参考: Microsoft Entra ロールのベスト プラクティス
緊急アクセス用アカウント(Break Glass アカウント)の準備
一人情シスなど、グローバル管理者を複数確保できない場合は、緊急アクセス用アカウント(Break Glass アカウント) を必ず作成することが推奨されています。
これは、通常の条件付きアクセスの影響を受けないよう慎重に設計された緊急用アカウントで、テナントのロックアウト時の最後の手段として機能します。
カスタムロールによるさらなる細分化
組み込みロールで要件を満たせない場合は、カスタムロールを作成することができます。
たとえば「特定アプリケーションのユーザー割り当て管理だけを委任したい」「特定のグループのメンバー管理だけを任せたい」といった細かなニーズに対応できます。
カスタムロールを利用するには Microsoft Entra ID P1 ライセンス(Microsoft 365 Business Premium や Microsoft 365 E3/E5 に含まれる)が必要です。
Privileged Identity Management(PIM)による Just-In-Time アクセス
PIM とは
Privileged Identity Management(PIM) は、強力なロールを「常時付与」するのではなく、必要な時だけ・必要な時間だけアクティブ化できる機能です。
通常の「アクティブ割り当て」に加え、PIM では 「対象割り当て(資格のある割り当て)」 という方式を利用できます。
これにより、管理者は普段は一般ユーザーとして操作し、特権作業が必要なときだけロールを一時的にアクティブ化します。
アクティブ化後は一定時間が経過すると自動的に無効化されます。
PIM のメリット
- 特権アカウントが漏洩しても、アクティブでなければ被害が最小化される
- ロールのアクティブ化に承認フローを設けることで、ダブルチェックが可能
- アクティブ化の記録がすべて監査ログに残る
- 定期的なアクセスレビューと組み合わせて、不要な権限を自動的に剥奪できる
PIM を利用するには、Microsoft Entra ID P2 相当のライセンス(Microsoft 365 E5 など)が必要です。
Azure RBAC の条件付きロール割り当てによる委任制御
Azure RBAC では、ロール割り当て自体に条件を付与することで、委任できるロールの範囲を細かく制限できます。
たとえば「特定の管理者には仮想マシン関連ロールだけを他のユーザーに割り当てられるようにしたい(それ以外のロールは割り当て不可)」といった制御が可能です。
これにより、所有者や「ユーザー アクセス管理者」のような過大な権限を与えずに、限定的な権限委任を実現できます。
実践的な権限設計の例
以下に、中規模の企業(IT 担当者 3〜5 名)での権限設計例を示します。
| 担当者 | 割り当てるロール | 理由 |
|---|---|---|
| IT 部門責任者(2 名) | グローバル管理者(MFA 必須・専用アカウント) | テナント全体の管理。PIM で対象割り当て推奨 |
| ヘルプデスク担当(2 名) | ヘルプデスク管理者 | パスワードリセット・MFA 再登録対応 |
| Exchange 運用担当 | Exchange 管理者 | メール環境の管理 |
| Teams 運用担当 | Teams 管理者 | Teams ポリシー・会議設定 |
| セキュリティ担当 | セキュリティ管理者 | 条件付きアクセス・セキュリティポリシー管理 |
| 経理担当 | 請求管理者 | ライセンス・請求確認 |
| 経営層・監査担当 | グローバル閲覧者 | 読み取り専用での状況確認 |
監査とロールの定期見直し
最小特権の原則は「設定して終わり」ではありません。
監査ログを活用して「グローバル管理者が実は不要なタスクに高い権限を使っていないか」を定期的に確認することを推奨しています。
たとえば、Microsoft Entra 管理センターの監査ログや Microsoft Sentinel のクエリを使うと、グローバル管理者が実行した操作のうち、より低い権限のロールでも対応できた操作を洗い出すことができます。
定期的なアクセスレビューには、Microsoft Entra ID Governance(旧 Identity Governance)の アクセスレビュー機能 を活用することも有効です。
まとめ
| やること | 効果 |
|---|---|
| グローバル管理者を必要最小限 (一般的には 2〜4 名程度)に抑える | 侵害リスクの最小化 |
| 業務に応じた専用ロールを割り当てる | 最小特権の原則の実践 |
| グローバル管理者全員に MFA を設定する | アカウント乗っ取りの防止 |
| 緊急アクセスアカウントを作成する | ロックアウト時の保険 |
| PIM で Just-In-Time アクセスを導入する | 特権の常時付与をなくす |
| 定期的に監査ログとロールを見直す | 不要権限の早期発見・削除 |
Microsoft 365 の管理権限は、「運用を簡略化するために全員へグローバル管理者を付与する」に見えて、実は組織全体のセキュリティリスクを最大化する選択です。
RBAC を活用した権限の分散と最小特権の原則を実践することで、「全体管理者が突然辞めた」「アカウントが乗っ取られた」といったリスクを大幅に低減できます。
免責事項:Microsoft 365の機能や仕様は変更される可能性がありますので、実施前には最新の公式ドキュメントをご確認ください。
