【2024/8/26(月)開催】Entra(SC-300)勉強会
問題
Entra テナントがあります。Entra テナントは、オンプレミスの Active Directory ドメインと同期しており、Entra Connect ではパススルー認証が設定されています。
Emergency1という名前のユーザアカウントをEntraテナントで作成しようとしています。Emergency1 は、オンプレミスのActive Directoryに障害が発生した場合に使用する予定です。Emergency1 には、Entra のグローバル管理者ロールを割り当てる予定です。
オンプレミスのActive Directoryに障害が発生した発生した時に、 Emergency1 がEntra テナントにサインインできなくなる可能性を減らす必要があります。何をすべきでしょうか。
- A. Emergency1 がグローバル管理者ロールを使う際に、別の管理者に承認依頼が送られるように、 Privileged Identity Management (PIM) を構成します。
- B. Entra テナントで、Emergency1 を作成し、永続的にグローバル管理者権限を付与します
- C. 条件付きアクセス ポリシーを構成して、Emergency1 のサインイン場所を企業ネットワークのみに制限します。
正解
B. Entra テナントで、Emergency1 を作成し、永続的にグローバル管理者権限を付与します
解説
- 「オンプレAD → Entra ID」の方向でユーザ情報(ID)が同期される
- Entra Connect で、パススルー認証の設定がされているため、パスワード情報は同期されない
- オンプレADに障害が発生した場合、Entraにログインできなくなる(パスワード検証ができないため)
オンプレADに障害が発生した場合でも、重要なユーザ(グローバル管理者ロールが付与されているユーザなど)が継続的にEntraにログインできるようにするには?
重要なユーザアカウント(グローバル管理者ロールが付与されているユーザなど)は、オンプレADからの同期によって、Entra 上にユーザアカウントを作成するのではなく、Entra 上で直接ユーザアカウントを作成するべき(→オンプレAD側の状態の影響を受けなくなる)
今回の問題のように特定の緊急シナリオのみで使われるアカウントを「緊急アクセス用管理者アカウント」という。
「緊急アクセス管理者アカウント」の要件
- オンプレADドメインから同期されていない、Entra専用のユーザアカウントであること
- 常に使用できる「グローバル管理者」として作成する
- 組織内の特定のユーザと関連付けない(★多要素認証の設定は要注意。個人のスマホを2要素目にしてはいけない。共用のスマホ/FIDO2キーなどを使う)
- サインインログと監査ログを監視する
- アカウントを定期的に検証する
緊急アクセス用管理者アカウントを管理する – Microsoft Entra ID | Microsoft Learn
その他の選択肢
選択肢A、選択肢Cは、どちらも緊急事態発生時に、 Emergency1 がEntraにログインするための条件を増やしています。