Microsoft 365の管理者権限を新しい担当者に引き継ぐ際には、セキュリティと運用効率のバランスが重要になります。最小権限の原則を無視して過剰な権限を付与すると、情報漏洩や誤操作のリスクが高まります。また、Privileged Identity Management(PIM)を適切に設定しないと、不要な永続権限が残る原因となります。この記事では、新しい管理者へ権限を渡す際の最小権限の考え方とPIMの確認手順を、実務に即して解説します。
【要点】この記事で確認すること
- 最初に見る場所: Microsoft 365 管理センターの「ロールと管理者」、Azure ADの「特権ID管理(PIM)」画面、および監査ログです。
- 切り分けの軸: 異動元の権限が永続か一時的か、異動先のアカウントに既存の権限がないか、PIMのアクティブ化条件(承認や多要素認証)が適切かどうかです。
- 注意点: 会社のセキュリティポリシーに従い、変更前に現在の管理者に確認を依頼してください。また、永続的なグローバル管理者の付与は避け、PIMのJust-In-Timeアクセスを推奨します。
ADVERTISEMENT
目次
1. 管理者権限を渡す前に確認したい基本原則
管理者権限の移行は、単なるアカウント変更ではなく、組織全体のセキュリティ基盤に影響します。まず、最小権限の原則とPIMの役割を理解してください。
最小権限の原則とは
最小権限の原則(Principle of Least Privilege)は、ユーザーが業務を遂行するために必要な最小限の権限だけを付与する考え方です。Microsoft 365には多くの管理者ロールが用意されており、たとえば「ユーザー管理者」はユーザー作成やパスワードリセットが可能ですが、「グローバル管理者」はすべての設定を変更できます。新しい管理者が行う業務に合わせて、適切なロールを選択することが重要です。
PIM(Privileged Identity Management)の役割
PIMは、特権ロールへのアクセスを時間制限付きで管理する機能です。Azure AD Premium P2ライセンスが必要ですが、権限をJust-In-Timeで付与できるため、永続的な権限を減らせます。PIMを使うと、権限のアクティブ化に多要素認証や承認ワークフローを必須にできるため、セキュリティが向上します。新しい管理者に権限を渡す際は、PIMを有効にして一時的な割り当てにすることを検討してください。
2. PIMの設定確認と最小権限の判断基準
権限移行を進める前に、現在のPIM設定を確認し、新しい管理者にどのロールが適切かを判断する必要があります。以下の表で、PIM有効時と無効時の違いを比較します。
| 項目 | PIM有効(一時的割り当て) | PIM無効(永続的割り当て) |
|---|---|---|
| 権限の有効期間 | アクティブ化時に指定した時間のみ | 管理者が割り当てを解除するまで継続 |
| アクティブ化の要件 | 多要素認証、承認、理由入力などが必要 | なし(サインイン直後に権限が有効) |
| 監査ログの詳細 | アクティブ化の記録が自動で保存される | 権限使用の追跡が難しく、監査に手間がかかる |
| 推奨シナリオ | 一時的な権限付与、緊急対応、承認プロセスが必要な場合 | サービスアカウントなど、常時権限が必要な場合に限る |
この表からわかるように、新しい管理者にはPIMを有効にした一時的な割り当てが推奨されます。ただし、業務内容によっては永続的な権限が必要な場合もあるため、管理者と相談して判断してください。
正しいロールを選ぶための確認項目
ロール選択に迷ったときは、次の点を確認します。新しい管理者が担当する業務は「ユーザー管理」「パスワードリセット」「グループ管理」「デバイス管理」「セキュリティ読み取り」などのどれに該当するかです。たとえば、パスワードリセットのみであれば「パスワード管理者」ロールで十分です。グローバル管理者は本当に必要な場合以外は避けてください。
3. 新しい管理者へ権限を付与する手順
ここでは、PIMを使って新しい管理者に最小権限を付与する具体的な手順を説明します。以下の操作は、既存のグローバル管理者または特権ロール管理者が行ってください。
- Azure AD管理センターにサインインします。 https://portal.azure.com にアクセスし、管理者アカウントでサインインします。続いて、Azure Active Directory サービスを開きます。
- 「ロールと管理者」を開きます。 左側のメニューから「ロールと管理者」を選択し、利用可能なロールの一覧を表示します。
- 新しい管理者に割り当てるロールを選びます。 たとえば「ユーザー管理者」をクリックし、「割り当ての追加」を選択します。ここでロールの説明を読み、必要十分か確認します。
- 割り当ての種類を「アクティブ」または「資格」に設定します。 「アクティブ」は即時に権限が有効になります。「資格」は、ユーザーがPIMでアクティブ化する必要があります。最小権限を徹底するなら「資格」を推奨します。
- メンバーを追加します。 新しい管理者のユーザーアカウントを検索して選択します。必要であれば、割り当ての開始日時と終了日時を指定します。
- アクティブ化の設定を構成します。 PIMの設定画面で、多要素認証の強制、承認者の指定、チケット番号の入力を要求するかどうかを設定します。承認者は、権限を監視できる別の管理者にしてください。
- 設定を確認して保存します。 すべての設定をレビューし、問題がなければ「追加」ボタンをクリックします。割り当てが完了すると、新しい管理者に通知が送られます。
この手順により、新しい管理者はPIMを通じて一時的に権限をアクティブ化できるようになります。なお、ライセンスがない環境ではPIMが使用できないため、その場合は永続的な割り当てになりますが、最小権限のロールを選ぶように注意してください。
4. 失敗しやすいパターンと対策
権限移行でよくある失敗を事前に把握し、対策を講じてください。
全権限を付与してしまうケース
「とりあえずグローバル管理者にしておけば何とかなる」という安易な判断は危険です。たとえば、新しい管理者が誤って全ユーザーのメールデータを削除する事故が発生した事例があります。対策として、権限を付与する前にロールの説明を読み、最小限のロールを選ぶ習慣をつけてください。また、PIMの「資格」割り当てにすることで、権限が必要なときだけアクティブ化する仕組みにできます。
PIMの設定を忘れて永続権限が残るケース
割り当て時にPIMの設定を確認せずに「アクティブ」を選ぶと、ユーザーが永続的に権限を持ち続けます。前の管理者が退職した後も権限が残り、セキュリティホールになる可能性があります。対策として、割り当ての種類をデフォルトで「資格」にするルールを設けるか、定期的に監査ログを確認して不要な割り当てを削除してください。
適切な承認者を設定しないケース
PIMの承認プロセスで承認者を自分自身や無関係なユーザーに設定すると、アクティブ化のチェックが機能しません。たとえば、承認者が常に承認してしまうと、監査の意味がなくなります。対策として、承認者は権限移行の責任者や上司など、独立した立場のユーザーを指定し、承認時に理由を確認する運用を徹底します。
5. 管理者に確認すべきポイント
権限移行を実施する前に、現在の管理者またはセキュリティ担当者に以下の点を確認してください。これにより、トラブルを未然に防げます。
- 現在の権限状態: 異動元の管理者が保持しているロールを一覧化します。特に、複数のロールを保有している場合は、すべてを洗い出してください。
- PIMの有効化状況: 組織でPIMが利用可能かどうか、どのロールに対してPIMが有効になっているかを確認します。ライセンスの有無も重要です。
- セキュリティポリシーの制約: 会社のルールで、特定のロールの付与に承認や監査が必須とされている場合があります。ポリシーに従って手続きを進めてください。
- 異動元の権限削除タイミング: 新しい管理者に権限を付与したら、古い管理者の権限は速やかに削除します。削除前にバックアップや引き継ぎが完了していることを確認します。
6. よくある質問(FAQ)
権限移行に関してよく寄せられる質問をまとめました。
Q: 最小権限を設定するにはどのロールを選べばいいですか?
A: 業務内容に応じてロールを選択してください。ユーザー作成・編集なら「ユーザー管理者」、パスワードリセットのみなら「パスワード管理者」、グループ管理なら「グループ管理者」が適切です。Microsoft 365には50以上の管理者ロールがあるので、Microsoftの公式ドキュメントで各ロールの権限を確認することをお勧めします。
Q: PIMを使うと権限が自動で失効されますか?
A: はい、アクティブ化時に設定した最大期間(通常1~8時間)が経過すると、権限は自動的に失効します。また、管理者が手動で非アクティブ化することも可能です。この仕組みにより、権限の使いすぎや不正利用を防止できます。
Q: 旧管理者の権限を削除する手順は?
A: Azure AD管理センターの「ロールと管理者」で該当ロールを開き、割り当て一覧から旧管理者を選択して「割り当ての削除」を実行します。PIMで資格割り当ての場合も同様に削除可能です。権限が完全に消えたかどうかは、監査ログで確認できます。
7. まとめ
新しい管理者へ権限を渡す際は、最小権限の原則を厳守し、PIMを活用して一時的な権限付与を基本としてください。具体的な手順としては、Azure AD管理センターで適切なロールを選択し、割り当ての種類を「資格」に設定して承認ワークフローを構成します。また、権限移行後は監査ログを定期的に確認し、不要な権限が残っていないかチェックすることが重要です。組織のセキュリティポリシーに沿った運用を心がけ、必要に応じて管理者に相談しながら進めてください。
ADVERTISEMENT
超解決 リモートワーク研究班
Microsoft 365の導入・保守を専門とするエンジニアグループ。通信障害やサインイン不具合など、ビジネスインフラのトラブル対応に精通しています。
Office・仕事術の人気記事ランキング
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
- 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
- 【PDF】PDFのサムネイルプレビューが表示されない!エクスプローラーの設定とAcrobat環境設定
- 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
- 【Excel】文字がセルの枠からはみ出す・隠れる!「折り返して表示」と「縮小して全体を表示」の使い分け
- 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
- 【神技】保存せずに閉じたExcel・Wordファイルを復元する!消えたデータを復活させる4つの救出法
- 【Teams】会議の「参加者リスト」を出席後にダウンロードする!誰が参加したか確認する手順