【2024/7/22(月)開催】Entra(SC-300)勉強会
問題
会社では最近、Microsoft Entra Privileged Identity Management (PIM) を実装しました。ロールの割り当て状況を確認したところ、会社の IT 部門の 15 人のユーザー全員が永続的なセキュリティ管理者ロールを持っていることがわかりました。
IT部門のユーザーには、セキュリティ管理者ロールが必要な場合のみ付与される必要があります。ソリューションでは、管理作業を最小限に抑える必要があります。
セキュリティ管理者ロールの割り当てには何を構成する必要がありますか?
- A. ロール設定の詳細から、「対象」割り当てを期限切れにする
- B. ロール設定の詳細から、「アクティブ」割り当てを期限切れにする
- C. 割り当ての種類を「アクティブ」にする
- D. 割り当ての種類を「対象」とする
正解
D. 割り当ての種類を「対象」とする
解説
問題の趣旨
- セキュリティ的には、ロールが常に付与されている状態は望ましくない(24時間365日そのロールを使っている訳ではない)
- 必要な時だけ、ロールを付与するべきだというセキュリティの考え方がある
- ↑ はPIMで実現できる
2つ割り当ての種類「アクティブ」「対象」の違い
Aさんにロールを割り当てる想定で説明します。
■アクティブ(通常のロール割り当て)
「アクティブ」でAさんにロールを割り当てると、Aさんには、すぐにそのロールが付与される(ロールがアクティブになる)
■対象
「対象」でAさんにロールを割り当てると、Aさんには、ロールをアクティブ化する権限が付与される
デモ
・testuserAに、「対象」でセキュリティ管理者ロールを割り当てる
・testuserAの「割り当てられたロール」を確認
・testuserAが、セキュリティ管理者ロールをアクティブにする
デモ補足
- アクティブ化は管理者の承認制にすることも可能
- 「対象」でロールを割り当てると、testuserAの「割り当てられたロール画面」において、割り当てられたロールは「資格のある割り当て」タブに表示される
- 管理者は、Aさんから即時、ロールをはく奪することも可能
- PIMの利用には、Entra ID P2 ライセンスが必要