Microsoft Entra IDにおけるユーザーロール変更の監視方法
あらゆる規模の組織にとって、強固なセキュリティとシームレスなアクセス制御の確保は最重要課題です。Microsoft Entra ID(旧称 Azure AD)のようなIAMソリューションは、ユーザーIDの管理、権限制御の実施、重要なアプリケーションやリソースへのアクセス保護、環境変化の厳重な監視において極めて重要な役割を果たします。Microsoft Entra IDのロールベースアクセス制御(RBAC)では、組み込みロールを使用してユーザーに特定の権限のみを付与できるため、各ユーザーが業務遂行に必要なアクセス権限のみを持ち、過剰なコントロール権限の付与の防止に役立ちます。
(このナレッジは本社ページHow to monitor user role changes in Microsoft Entra IDを参照して作成しています。)
Microsoft Entra IDでユーザーロールの変更を監視する必要性
ユーザーロールは、Microsoft Entra IDにおけるアプリケーションへのアクセス権と権限を定義するために使用されます。これにより、攻撃者はグループ変更や他のユーザーに気づかれるような大きな行動を取らずに、ユーザーのロール変更を通じて、自身のアカウントまたは標的アカウントの権限を目立たない方法で昇格させることが可能になります。
ユーザーロールの変更を定期的に監視することで、不正または意図しない変更を検知し、潜在的なセキュリティリスクを迅速に特定・対処することができます。また、変更実施者、変更日時、変更内容に関する明確な監査証跡を提供します。これにより、不審なアクティビティの調査や侵害されたアカウントやユーザーの特定が可能となります。
Microsoft Entra IDおよびM365 Manager Plusにおけるユーザーロールの変更追跡
Microsoft Entra IDは、監査ログを使用してロールの変更を追跡するのに役立ちます。このレポートでは、Microsoft 365環境全体におけるユーザーロールの変更をフィルタリングできます。
ManageEngine M365 Manager Plusは、Microsoft 365環境における重要なアクティビティのレポート作成、管理、監視、監査、アラート作成に活用できる包括的なツールであり、Microsoft Entra IDにおけるユーザーロールの変更を追跡するのにも使用できます。
以下の表は、Microsoft Entra管理センターとM365 Manager Plusを使用した際のユーザーロール変更の追跡方法の比較です。
| Microsoft Entra管理センター | M365 Manager Plus |
|---|---|
| レポート読み取りロールが割り当てられているアカウントでMicrosoft Entra 管理センターにサインインします。 | M365 Manager Plus にログインし、[レポート]→[Azure Active Directory]→[その他のAzureレポート] に移動します。以下のレポートから要件に応じていずれかを選択してください。:「最近ロールに追加されたメンバー」「最近ロールから削除されたメンバー」 |
| [ID]→[ユーザー]→[すべてのユーザー]に移動します。 | [フィルター] フィールドで Microsoft 365 テナント、特定のドメインおよびグループを選択し、どの期間に変更されたメンバーの詳細を表示したいのかも指定して、[今すぐ生成する]をクリックします。 |
| 左ペインで[監査ログ]をクリックします。 | |
| [アクティビティ]をクリックすると、特定の操作(メンバーをロールに追加する、メンバーをロールから削除するなど)レコードをフィルタリングできます。 | |
| 注記: Microsoft Entra IDで生成したレポートのフィルター設定は保存できず、CSV および JSON 形式でのみエクスポートできます。 |
Microsoft Entra IDでユーザーロールの変更に関するアラートを設定する方法
ユーザーロールの変更は監査ログで追跡可能ですが、不正な変更を迅速に元に戻すことは潜在的な攻撃を防ぐためには極めて重要です。レポートを毎日生成し、正当な変更をフィルタリングする作業は膨大な労力を要します。Azure Monitorではこれらのアクティビティに対するアラートを生成できますが、実現するにはMicrosoft社にて別途ライセンスを要求されることがあります。
M365 Manager Plusは、Microsoft 365環境全体の監査と監視機能に加え、ユーザーロールの変更などの重要なセキュリティイベントに対するアラート機能を提供します。以下の手順に従い、不適切な時間帯におけるユーザーロールの変更に対するアラートを作成してください。
- M365 Manager Plusにログインし、[設定]タブ→[構成]→[監査構成]→[アラートプロファイル]に移動し、[プロファイルを追加] をクリックします。
- アラート用のプロファイル名と説明を入力します。
- [Microsoft 365サービス]として「Azure Active Directory」を選択し、[カテゴリ]として「Azure AD役割管理」、[アクション]には以下のアクティビティを含めます。:[ロールへのメンバーの追加][ディレクトリ ロールからのユーザーの削除]
- [重大性]を指定し、[警告メッセージ]に任意のメッセージを指定します。メッセージにはマクロが使用できます。
- [詳細設定]セクションの通知タブで、[このプロフィールに対応するすべてのアラートをメールで送信]チェックボックスをオンにすると、メールアラートの送信を設定できます。
- [フィルタ設定]タブの「アラートしきい値」では、特定のイベントが特定の頻度を超えて発生した際に通知するアラートしきい値を設定できます。営業時間外のアラートを監視するには[業務時間のフィルタリング]を使用し、データをフィルタリングする属性ベースの条件を設定するには[列によるフィルタリング]オプションを使用します。設定後、[保存]をクリックしてください。
