Microsoft Identity and Access Managementを理解する:知っておくべきことすべて
公開: 2019-11-142018年だけで4億4500万ドルがサイバー犯罪者に失われたことをご存知ですか?
2019年のベライゾンデータ侵害調査レポートによると、ハッキングスタイルの攻撃の80%は、侵害された、または弱い資格情報に関係していました。 全体として、すべての侵害の29%は、盗まれた資格情報によるものでした。
IDおよびアクセス管理ソリューションは、企業にとってかつてないほど重要になっています。 しかし、ほとんどの企業はどこから始めればよいのかわかりません。 この記事は、出発点を提供し、MicrosoftIdentityおよびAccessManagementソリューションについて詳しく説明するために作成されました。
IAMサービスは何をしますか?
あなたの従業員はあなたの最大のセキュリティリスクです。 パスワードを安全に保つことに不注意な場合、または弱いパスワードを使用している場合は、「ハックして」という通知を送信することをお勧めします。 数人の従業員で中小企業を経営している場合、アクセスの管理は簡単です。 従業員が多いほど、管理が難しくなります。 そこでIAMサービスが登場します。
従業員のアクセスを管理する
これにより、システムへの従業員のアクセスをより効率的に管理できます。 これらは、代替のより安全なアクセスオプションを提供します。 たとえば、MicrosoftのAzure Active Directoryは、多要素認証システムと組み合わせたシングルサインインポイントを提供します。
したがって、ユーザー名とパスワードを入力するだけでなく、いくつかの異なる認証手順があります。 たとえば、電話に送信された認証コードを入力する必要がある場合があります。 または、さらにセキュリティが必要な場合は、生体認証が有効になる可能性があります。
IAMシステムを使用すると、従業員がアクセスできるシステムを一目で確認できます。 あなたは彼らの機能に不可欠なシステムだけへの彼らのアクセスを調整することができます。 また、設定された間隔の後にパスワードを自動的にリセットするようにシステムをプログラムすることもできます。
カスタマージャーニーを改善する
これらのシステムは、サインインプロセスをより簡単かつ安全にすることで、クライアントジャーニーを改善することができます。
外部請負業者のアクセスを管理する
フリーランサーと協力する必要がある場合、これらのシステムを使用すると、ユーザープロファイルをすばやく簡単に設定できます。 アクセスする必要のあるシステムにのみ、制限付きのユーザー特権を割り当てることができます。
たとえば、1つの会社の電子メールアドレスへのアクセスやデータベースへの基本的なアクセスを許可することができます。 契約の終了日にプログラムして、アクセスが自動的にキャンセルされるようにすることもできます。
生産性の向上
また、従業員がさまざまなデバイスから安全に作業できるため、生産性の向上にも役立ちます。 これらのサービスの多くはクラウドベースであるため、デバイスに依存しません。 つまり、デバイス自体にダウンロードする必要はありません。
システムへの従業員のアクセスを制限することにより、それらのシステム内の輻輳をより適切に管理できるようになります。 これにより、生産性が向上します。
コンプライアンスのサポート
プライバシー法が厳しくなるにつれ、企業は顧客情報を保護するためのより大きな負担にさらされています。 IAMシステムはこれを支援できます。
IT担当者がより重要なタスクに集中できるようにする
最後に、これらのシステムにより、重要なセキュリティタスクの自動化が可能になります。 これにより、IT担当者はより重要なことに取り組むことができます。 また、人的エラーの可能性を減らします。
マイクロソフトはどのように適合しますか?
MicrosoftのAzureシリーズは、必要なレベルのセキュリティを提供する一連の堅牢なツールを提供します。 また、保護をさらに強化するために、いくつかのサードパーティプロバイダーと提携しています。 したがって、たとえばマイクロソフトが顔認識ソフトウェアを提供する技術を持っていない場合、彼らは提供している会社と提携します。
Azureの特権ID管理
この製品は、承認ベースおよび時間ベースのアクティベーションを提供して、リソースの乱用や不正アクセスを防止します。
機能は次のとおりです。
- ジャストインタイムの特権アクセス:この機能を使用すると、Azure仮想マシンへの着信トラフィックをブロックできます。 これにより、露出を減らして攻撃から効果的に保護します。 システムが使用されていないときは、ロックアウトされています。
- 期限付きのアクセス権限:たとえば、一時的に誰かを雇用しているとします。 契約の開始日と終了日を入力します。 システムは、終了日にアクセスを自動的に遮断します。
- 誰が管理しているかを管理する:システムでは、ユーザープロファイルを作成してからアクティブ化する必要があります。 特別な特権のアクティブ化は、システム管理者の承認がなければ達成できません。 あなたがここでメーカー/チェッカーモデルに従うことを好むならば、あなたはそうすることができます。 ITプロ1はプロファイルを作成し、アクティベーション承認のためにこれらを起動します。
- ユーザーのアクティブ化に多要素認証を使用する:保護は従業員だけにとどまりません。 サイトにサインアップするユーザーに対しても2要素認証を有効にすることができます。 たとえば、プロファイルを作成する場合は、アクティブ化するために電子メールアドレスを確認する必要があります。
- 特権ロールがアクティブになったときの通知:これは別の形式の認証です。 誰かがシステムにサインオンするか、そうする許可を要求すると、通知が送信されます。
- アクセスのレビュー:従業員は役割を変更しましたか? 彼らはまだ以前と同じくらい多くのアクセスを必要としていますか? Microsoft Identity Access Managementを使用すると、役割を簡単に確認し、必要に応じてアクセスを変更できます。
- 完全な監査履歴:これは、監査されている場合に役立ちます。 これにより、アクティベーション日、データ変更日などの証明が提供されます。 あなたの会社がプライバシー法の観点から料金に直面している場合、これは重要になる可能性があります。 また、内部監査の実施が非常に簡単になります。
誰が何をすることができますか?
システムは、管理を担当する人にさまざまな特権を割り当てます。 これがどのように機能するかです。
- セキュリティ管理者
ここで登録された最初のユーザーには、特権管理者とセキュリティ管理者の役割が割り当てられます。
- 特権管理者
これらは、他の管理者に役割を割り当てることができる唯一の管理者です。 他の管理者にAzureADへのアクセスを許可することもできます。 次の役割の人は、割り当てを表示できますが、変更することはできません。 これらの人々には、セキュリティ管理者、グローバル管理者、セキュリティリーダー、およびグローバルリーダーが含まれます。
- サブスクリプション管理者
これらの役割の人々は、他の管理者の割り当てを管理できます。 割り当てを変更および終了できます。 これを行うことが許可されている他の役割は、ユーザーアクセス管理者とリソース所有者です。
次の役割のユーザーには、割り当てを表示するためのアクセス許可を割り当てる必要があることに注意してください:セキュリティ管理者、特権役割管理者、およびセキュリティリーダー。
知っておくべき用語
Microsoft Privileged Identity Managementで使用されている用語は、初心者にとって混乱を招く可能性があります。 基本的な用語の内訳は次のとおりです。
- 対象
この割り当てでは、ユーザーは自分の役割をアクティブ化するために特定のアクションを実行する必要があります。 この役割と永続的な役割の違いは、すべての人が常にアクセスできるわけではないということです。 ユーザーは、アクセスが必要なときにロールをアクティブ化できます。
- アクティブ
これらは、システムによってデフォルトで割り当てられる役割の割り当てです。 アクティベートする必要はありません。 たとえば、システム管理者は他の管理者の割り当てを作成できます。
- 活性化
これは、システムの使用が許可されていることを証明するために人々が取らなければならない1つまたは複数のアクションです。 ユーザー名とパスワードの入力はその一例です。 ここでは、さまざまな認証方法を使用できます。
- 割り当てられた
これは、ユーザーにシステム内の特定の特権が付与されていることを意味します。
- アクティベート
これは、システムを使用し、自分の役割をアクティブ化でき、現在それを使用しているユーザーです。 システムは、設定された非アクティブ期間の後に、ユーザーに資格情報を再入力するように促します。 例として、インターネットバンキングがあります。この場合、10分間操作がないとサインアウトします。
- 恒久的に適格
これは、ユーザーが好きなときに自分の役割をアクティブ化できるようにする割り当てです。 ロールにアクセスするには、特定のアクションを実行する必要があります。 たとえば、従業員が支払われるべき支払いを取得したとします。 トランザクションを確認するために、ランダムに割り当てられたコードを入力する必要がある場合があります。
- パーマネントアクティブ
この割り当てにより、ユーザーはアクティブ化せずにロールを使用できます。 これらは、ユーザーがそれ以上のアクションなしで実行できる役割です。
- 有効期限が切れます
これは時間ベースの役割です。 ここで、開始日と終了日を割り当てる必要があります。 これはフリーランサーのために行うことができます。 また、従業員にパスワードを定期的に更新するように強制するためにも使用できます。
特に中規模から大規模の組織では、アクセス管理は困難な作業になる可能性があります。 ただし、MicrosoftのAzureスイートの機能を使用すると、実現がはるかに簡単になります。 IAMサービスは、内部アクセスや侵害に起因する侵害から保護するために、セキュリティの層を追加します。
***
Chris Usatenkoは、コンピューターオタク、ライター、コンテンツクリエーターです。 彼はIT業界のあらゆる側面に興味を持っています。 本質的にフリーランサーである彼は、世界中から経験と知識を獲得し、彼の人生にそれらを実装することをいとわない。