Microsoft 365 Lighthouse で詳細な代理管理者特権を設定

※ 本ブログは、米国時間 2023/5/1 に公開された “Set up GDAP (microsoft.com)” の抄訳です。

マネージド サービス プロバイダー向けの推奨事項に基づき、顧客管理のためのアクセス権を保護

マネージド サービス プロバイダー (MSP) は、複数の顧客の管理を一手に担う、大きな責任を負っています。適切な権限を適切なタイミングで付与することで、MSP はセキュリティ リスクや露出を最小限に抑えることができます。代理アクセス権の範囲を適切なものにするために、GDAP (詳細代理管理特権) を使用して、ジャストインタイム (JIT) アクセスなどのセキュリティ対策を加えることを推奨します。

また、マネージド カスタマーに IT サービスを提供する権限の設定にも困難があります。代理管理者特権 (DAP) は、顧客のテナントに対する広範なアクセス権を付与するため、ガバナンスを確立するのが難しくなります。顧客のテナントにローカル アカウントがあると、どのような変更が加えられたか監査によって追跡することも困難になり、それが新たなセキュリティ リスクになります。Microsoft の GDAP によって、MSP は、顧客単位に期限付きの狭い権限を付与する、最小特権アクセスを運用できるようになりました。しかし GDAP は権限が細かいため、設定が複雑です。MSP 向けに設計された機能を備えた Lighthouse により、代理アクセスの設定が簡素化し、MSP は GDAP をエンドツーエンドで展開できるようになります。

GDAP テンプレートを使用した代理アクセスの設定
Microsoft は MSP との共同作業を通じて、既定の推奨事項における 5 つのサポート ロールを策定しました。それが、アカウント マネージャー、サービス デスク エージェント、スペシャリスト、エスカレーション エンジニア、JIT エージェントです。たとえばアカウント マネージャーは、ライセンスや使用状況に関する情報を取得するために、カスタマー アクセス権を必要とすることがあります。これに対してエスカレーション エンジニアは、Microsoft のワークロード全体に実際的なサービスを提供するために、通常時からカスタマー アクセス権を必要とすることが考えられます。MSP は推奨されるロールを導入するか、自社のニーズに応じてロールをカスタマイズすることができます。推奨事項は MSP の規模や運用モデルの違いに応じて調整されているため、確かな根拠をもって権限の割り当てが可能です。

Microsoft 365 Lighthouse のロールおよび権限のページのスクリーンショット

Lighthouse には、新規に顧客がオンボーディングされた際に MSP が効率的に GDAP 設定を適用できるように、GDAP テンプレートが用意されています。複数の顧客に権限を分割できるように、複数の GDAP テンプレートを設定することも可能です。MSP は GDAP テンプレートを使用すれば、GDAP をすばやく確立して、顧客ごとに権限を手作業で割り当てる管理コストを削減できます。

Microsoft 365 Lighthouse の GDAP テンプレート作成ページのスクリーンショット

ロールにユーザーを割り当て、ジャストインタイム アクセスを可能にする

GDAP を設定することで、顧客やユーザーにとっても有益です。このプロセスを正しく進められるように、セキュリティ グループの作成とユーザーの割り当ても容易になっています。これらのセキュリティ グループには、GDAP テンプレートが割り当てられる顧客向けに定義されたロールが付与されます。Microsoft 365 Lighthouse では、異なる管理ポータル間を移動して業務に必要なロールをユーザーに割り当てる必要がありません。新しいエスカレーション エンジニアがチームに加わった場合には、Lighthouse で、GDAP テンプレートでの適切なセキュリティ グループを設定します。

Microsoft 365 Lighthouse でのセキュリティ グループ作成ページのスクリーンショット

さらに、中小企業の IT をサポートする場合には、ユーザーに高度な特権を持つアクセス権が必要になることがあります。たとえばスモール ビジネスの CEO のアカウントをロック解除する場合や、Microsoft Defender for Business によって検出されたアクティブなインシデントの詳細を調査する場合など、緊急のタスクでは、直ちに高度な特権を持つアクセス権が必要になる可能性があります。そのような場合に備えてジャストインタイム (JIT) アクセスを設定することは、Microsoft のゼロ トラスト サイバーセキュリティ プロトコルに準拠するうえで不可欠です。必要な場合のみ、JIT アクセス権を持つ GDAP テンプレートによって、Global Admin など、高度な特権を持つロールにアクセスするユーザー用のポリシーが作成されます。承認者に指定されたユーザーは、これらのロールに対するアクセス要求を審査できます。それによって、高度な特権を持つカスタマー アクセス権の付与について、トレーサビリティ、アカウンタビリティ、透明性が確立されます。

重要なマイルストーンに先立つ Lighthouse の推奨事項に基づいて GDAP に移行
Microsoft は 2023 年 5 月末から、限定されたロールについて、DAP リレーションシップから GDAP リレーションシップへの移行を自動的に開始します。そして 7 月からは DAP リレーションシップを非推奨にします。最新の重要なマイルストーンのスケジュールについてはこちらをご覧ください。これらのマイルストーンに先立って、MSP は Lighthouse の GDAP セットアップ ウィザードを使用して顧客を GDAP に移行し、推奨事項を適用して顧客のアクセス権が中断しないようにすることをおすすめします。

MSP は Lighthouse で GDAP セットアップ ウィザードを使用して、DAP、GDAP、またはリセラー リレーションシップを持つ顧客テナントを移行させることができます。ただし Lighthouse では一定期間、DAP を持つ顧客テナントについて、GDAP リレーションシップを自動的に設定することを可能にしています。DAP が非推奨になってからは、MSP は新しい GDAP リレーションシップについて顧客の承認を得る必要があります。移行プロセスを簡略にするために、MSP は DAP から GDAP への顧客の移行を直ちに開始してください。

まず Lighthouse に登録し、必要なロールでログインして、GDAP を使用して代理アクセス権を設定してください。

Microsoft 365 Lighthouse と GDAP に関する詳細はこちら:
Secure Microsoft 365 Lighthouse (安全な Microsoft 365 Lighthouse ) (cloudguides.com)
Microsoft 365 Lighthouseにサインアップする – Microsoft 365 Lighthouse | Microsoft Learn
Microsoft 365 Lighthouseの概要 – Microsoft 365 Lighthouse | Microsoft Learn
Microsoft 365 Lighthouseで顧客の GDAP を設定する | Microsoft Learn
GDAP に関してよく寄せられる質問 – Partner Center| Microsoft Learn