Microsoft 365

Microsoft Entra Privileged Identity Management(PIM)とは? 特権アクセス管理の仕組みと中小企業での活用

#Entra ID#PIM#特権アクセス管理#ゼロトラスト#セキュリティ

「グローバル管理者のアカウントが乗っ取られたら、テナント全体が制御される」——これはMicrosoft 365のセキュリティにおける最大のリスクの一つです。

多くの中小企業では、IT担当者のアカウントにグローバル管理者ロールが常時付与されています。日常業務のメール送受信やWeb閲覧も、管理者権限を持ったまま行っている状態です。このアカウントがフィッシングメールやマルウェアによって侵害されれば、攻撃者はテナント全体のユーザー、データ、セキュリティ設定を自由に操作できてしまいます。

**Microsoft Entra Privileged Identity Management(PIM)**は、この「常時付与」のリスクを根本的に解消する仕組みです。

特権ロールの「常時付与」が危険な理由

攻撃面の拡大

グローバル管理者ロールが常時有効なアカウントは、攻撃者にとって最も価値の高いターゲットです。そのアカウントが侵害されれば、全ユーザーのパスワードリセット、セキュリティポリシーの無効化、データの窃取・削除、バックドアアカウントの作成など、あらゆる操作が可能になります。

操作ミスのリスク

管理者権限を持ったまま日常業務を行っていると、意図せず管理者レベルの操作を実行してしまうリスクがあります。たとえば、テスト目的で変更した条件付きアクセスポリシーが本番環境に適用され、全社員がサインインできなくなる、といった事故です。

コンプライアンス上の問題

監査やセキュリティ評価において、「誰がいつ管理者権限を使ったか」を説明できない状態は問題です。常時付与では、管理者権限の使用タイミングと目的が記録されないため、監査証跡が不十分になります。

PIMとは何か

Microsoft Entra Privileged Identity Management(PIM)は、特権ロール(管理者権限)を**「必要な時に、必要な期間だけ」有効化**する仕組みです。

PIMの基本的な考え方は、管理者ロールを「永続的な割り当て(常時有効)」ではなく「対象の割り当て(資格付与)」として設定し、実際に管理作業を行う時だけ「アクティブ化(有効化)」するというものです。

JIT(Just-In-Time)アクセス

PIMの中核概念がJIT(Just-In-Time)アクセスです。管理者はPIMポータルからロールのアクティブ化を申請し、承認されると一定時間(たとえば1時間、最大8時間)だけ管理者権限が有効になります。時間が経過すると自動的に権限が無効化されます。

これにより、管理者権限が有効な時間を最小限に抑え、攻撃者がアカウントを侵害しても管理者権限が無効な状態である確率を高めます。

承認ワークフロー

ロールのアクティブ化に承認を要求する設定が可能です。たとえば「グローバル管理者のアクティブ化には、別の管理者の承認が必要」という設定にすれば、1人の管理者が単独で最高権限を行使することを防げます。

承認なしの自己アクティブ化も設定可能です。中小企業でIT担当者が1〜2名の場合、承認フローを設けると運用が回らないため、自己アクティブ化(ただしMFA必須+理由の入力必須)で運用するのが現実的です。

アクティブ化時のMFA要求

ロールのアクティブ化時に多要素認証(MFA)を強制できます。すでにサインイン済みの状態でも、ロールのアクティブ化のタイミングで再度MFAが要求されるため、セッションハイジャックに対する追加の保護層になります。

理由の記録

アクティブ化の際に「なぜ管理者権限が必要なのか」の理由を入力させることができます。「新入社員のアカウント作成のため」「条件付きアクセスポリシーの変更のため」など、管理作業の目的が記録として残ります。

監査ログ

誰がいつどのロールをアクティブ化し、いつ期限切れになったかの完全な監査ログが記録されます。「2月15日 14:00にIT担当者AがExchange管理者をアクティブ化、15:00に自動無効化」といった記録が残るため、コンプライアンス監査にも対応できます。

参考: Microsoft Entra Privileged Identity Management とは - Microsoft Learn

PIMで管理できるロール

PIMは以下のロールに対して適用できます。

Entra IDロール: グローバル管理者、ユーザー管理者、Exchange管理者、SharePoint管理者、セキュリティ管理者など、Entra IDに定義されているすべての管理者ロール。

Azureリソースロール: Azureサブスクリプションの所有者、共同作成者、ストレージアカウント管理者など、Azure RBACのロール。

Microsoft 365グループの所有者: 特定のMicrosoft 365グループやTeamsチームの所有者権限。

中小企業で最も重要なのは、グローバル管理者セキュリティ管理者のPIM化です。この2つのロールを常時付与から対象割り当てに変更するだけで、テナントのセキュリティレベルは大幅に向上します。

必要なライセンス

PIMの利用にはMicrosoft Entra ID P2(旧Azure AD Premium P2)のライセンスが必要です。

PIMで管理されるロールにアクティブ化の対象として登録されるユーザーにP2ライセンスが必要であり、承認者にもP2ライセンスが必要です。

P2ライセンスが含まれるプランは以下のとおりです。

  • Microsoft 365 E5
  • Microsoft Entra ID P2(スタンドアロン)
  • Microsoft Entra ID Governance(アドオン)
  • EMS E5(Enterprise Mobility + Security E5)

Microsoft 365 Business PremiumにはEntra ID P1が含まれますが、P2は含まれません。 Business PremiumでPIMを使うには、対象ユーザーにEntra ID P2のアドオンライセンス(月額約900円/ユーザー)を追加購入する必要があります。

ただし、PIMの対象となるのは管理者ロールを持つユーザーだけなので、全社員にP2ライセンスを割り当てる必要はありません。管理者2〜3名分のP2ライセンスを追加するだけで、PIMを導入できます。

中小企業での現実的な導入方法

ステップ1:管理者ロールの棚卸し

まず、テナント内でどのユーザーにどの管理者ロールが割り当てられているかを棚卸しします。Entra管理センター→「ロールと管理者」で確認できます。

多くの中小企業で見られるのは、IT担当者だけでなく経営者や総務担当者にもグローバル管理者が割り当てられているケースです。不要な管理者ロールを削除し、必要最小限のロールに整理するところから始めます。

ステップ2:グローバル管理者のPIM化

最も重要なロールであるグローバル管理者を、永続的な割り当てから対象の割り当て(PIM管理下)に変更します。

設定のポイントは以下のとおりです。

  • アクティブ化の最大期間:1〜2時間(作業に必要な時間で設定)
  • アクティブ化時のMFA:必須
  • アクティブ化時の理由入力:必須
  • 承認:IT担当者が1名のみの場合は自己アクティブ化を許可、2名以上いる場合は相互承認を推奨

ステップ3:緊急アクセス用アカウントの確保

PIMを導入すると、通常の管理者アカウントでは即座に管理作業ができなくなります。緊急時(PIMのアクティブ化ができない障害発生時など)に備えて、PIMの対象外とした緊急アクセス用アカウント(Break Glass Account)を1〜2個用意しておくことが必須です。

このアカウントは非常に長いパスワードを設定し、物理的に安全な場所(金庫など)に保管します。使用時には必ず監査ログで検知されるようアラートを設定しておきます。

ステップ4:段階的な拡大

グローバル管理者のPIM化が安定したら、Exchange管理者、SharePoint管理者、セキュリティ管理者など、他の管理者ロールにもPIMを拡大していきます。

PIMを導入しない場合の代替策

P2ライセンスのコストが許容できない場合でも、以下の対策で特権アクセスのリスクを軽減できます。

管理者専用アカウントの分離: 日常業務用アカウント(yamada@contoso.co.jp)と管理者用アカウント(admin-yamada@contoso.co.jp)を分離し、管理者アカウントでは日常業務を行わない運用にします。

管理者アカウントへのMFA必須化: Entra IDのセキュリティ既定値群または条件付きアクセスポリシーで、管理者ロールを持つアカウントにMFAを必須にします。

グローバル管理者の最小化: グローバル管理者は2〜4名に限定し、日常的な管理作業にはユーザー管理者やExchange管理者など、必要最小限のロールを使用します。

これらはPIMほどの保護力はありませんが、「常時付与+日常業務と管理作業を同じアカウントで実行」という最もリスクの高い状態からは脱却できます。

まとめ

Microsoft Entra PIMは、「管理者権限は必要な時だけ有効にする」というゼロトラストの原則を実現する機能です。JITアクセス、MFA要求、理由の記録、監査ログによって、特権アクセスのリスクを根本的に低減します。

中小企業では、まずグローバル管理者2〜3名分のEntra ID P2ライセンスを追加し、グローバル管理者ロールのPIM化から始めるのが最もコスト効率の良いアプローチです。P2ライセンスが許容できない場合でも、管理者アカウントの分離とMFA必須化は最低限実施してください。

情シス365では、Microsoft Entra IDの特権アクセス管理(PIM導入、管理者ロールの最適化、緊急アクセスアカウントの設計)を支援しています。「管理者権限の管理が甘いと自覚している」「ゼロトラストを段階的に導入したい」という方は、お気軽にご相談ください。

☁️Support365 — 運用代行・ヘルプデスク

Microsoft 365の運用管理・トラブル対応・アカウント管理まで、日々のIT業務をまるごとサポート。

サービス詳細を見る → 60分無料相談

情シスのお悩み、ご相談ください

専門スタッフが貴社の課題に合わせたご提案をいたします。

60分無料相談はこちら 資料ダウンロード
メールでのお問い合わせはこちら →
60分無料相談