【Teams】Privileged Access Management(PAM)で管理者操作を承認制にする手順

Microsoft Teamsで管理者権限を持つアカウントの操作は、情報漏洩や誤操作のリスクを伴います。特に重要な設定変更やユーザー管理といった操作は、承認プロセスを経ることでセキュリティを強化したいと考える管理者は多いでしょう。Privileged Access Management(PAM)は、こうした要求に応えるためのソリューションです。この記事では、Teams環境において管理者操作を承認制にするためのPrivileged Access Management(PAM)の設定手順を詳しく解説します。これにより、Teamsの管理者権限の悪用や不正利用を防ぎ、より安全な運用を実現できます。

Privileged Access Management(PAM)を導入することで、特権アカウントの利用を一時的なものに限定し、実行する操作内容と目的を明確にすることができます。さらに、操作実行前の承認フローを設けることで、意図しない変更や悪意のある操作を未然に防ぐことが可能です。Teamsの管理者は、このPAMの仕組みを理解し、適切に設定することで、組織全体のセキュリティレベルを向上させることができます。

Privileged Identity Management (PIM) の概要とTeamsにおける必要性

Privileged Identity Management (PIM) は、Microsoft Azure Active Directory (Azure AD) Premium P2ライセンスに含まれる機能です。特権ロールの割り当てをジャストインタイム (JIT) で管理し、操作実行前の承認プロセスを組み込むことで、セキュリティを大幅に向上させます。Teams環境において、Teams AdministratorやGlobal Administratorといった特権ロールは、チャネルの作成・削除、ユーザーの追加・削除、ポリシー設定など、多岐にわたる重要な操作を実行できます。これらの権限が悪用された場合、組織のコミュニケーション基盤に甚大な影響を与えかねません。PIMを導入することで、これらの特権ロールの利用を一時的なものにし、操作内容の承認を必須とすることで、不正アクセスや誤操作のリスクを最小限に抑えることができます。つまり、PIMはTeamsの管理者権限をより安全に、かつ責任ある形で管理するための鍵となります。

Teams管理者ロールへのPIM適用手順

Teamsの管理者ロールにPIMを適用するには、まずAzure AD Premium P2ライセンスが組織に割り当てられている必要があります。また、これらの設定はAzure ADのグローバル管理者権限を持つアカウントで実行する必要があります。

1. Azure AD ポータルへのアクセス
   WebブラウザでAzure ADポータル (https://portal.azure.com/) にアクセスし、グローバル管理者アカウントでサインインします。
2. Privileged Identity Management への移動
   左側のメニューから「Azure Active Directory」を選択し、さらに「Privileged Identity Management」をクリックします。
3. ロールの管理
   PIMのダッシュボードが表示されたら、「Azure AD ロールとグループ」から「ロール」を選択します。
4. Teams関連ロールの検索と選択
   検索ボックスに「Teams Administrator」や「Global Administrator」といったTeamsに関連する管理者ロール名を入力し、該当するロールを選択します。
5. ロールの割り当て設定
   選択したロールのページで、「割り当て」を選択します。ここで、既存の割り当てを確認したり、新しい割り当てを追加したりできます。
6. 「Privileged Identity Management」での管理有効化
   ロールの割り当て設定画面で、「Privileged Identity Management で管理」という項目を探します。ここが「はい」になっていることを確認します。もし「いいえ」になっている場合は、「はい」に変更し、設定を保存します。これにより、このロールへの割り当てがPIMによって管理されるようになります。
7. ロールの割り当ての種類設定
   「Privileged Identity Management で管理」を「はい」にした後、「割り当ての種類」を設定します。ここでは「Privileged Role Administrator」または「Global Administrator」の権限を持つユーザーが、このロールを「Eligible」(資格あり)または「Active」(アクティブ)として割り当てられるようになります。「Eligible」を選択することで、ユーザーはロールを使用するためにアクティブ化を申請する必要があります。
8. アクティブ化の設定
   「Eligible」として割り当てる場合、「アクティブ化の設定」で、ロールをアクティブ化する際の条件を設定します。ここで、ロールをアクティブ化するために「承認が必要」という設定を追加します。

承認ワークフローの設定手順

PIMで「承認が必要」なロールを設定することで、管理者ロールをアクティブ化する際に、指定された承認者による承認プロセスが必須となります。このワークフローを設定する手順は以下の通りです。

1. PIMダッシュボードへのアクセス
   Azure ADポータルからPrivileged Identity Managementにアクセスします。
2. 「承認」メニューの選択
   左側のメニューから「承認」を選択します。
3. 「承認要求」の確認
   「承認要求」のセクションで、現在保留中の承認要求を確認できます。
4. 「承認ポリシー」の設定
   「承認」メニューのさらに下にある「承認ポリシー」を選択します。
5. 対象ロールの選択
   「承認ポリシー」画面で、「ロール」を選択し、先ほどPIMで管理するように設定したTeams関連の管理者ロール(例: Teams Administrator)を選択します。
6. 承認者の指定
   「承認者」の項目で、「追加」をクリックします。ここで、このロールをアクティブ化する際に承認を行うユーザーまたはグループを選択します。通常は、セキュリティ管理担当者や他の上位管理者などを指定します。
7. 承認フローの有効化
   「承認が必要」という設定が有効になっていることを確認します。必要に応じて、「承認期限」や「最小承認者数」などの詳細設定も行います。
8. 設定の保存
   設定が完了したら、「保存」ボタンをクリックして変更を適用します。

この設定により、例えばTeams Administratorロールをアクティブ化しようとするユーザーが申請を行うと、指定された承認者に通知が届き、承認者の判断によってロールのアクティブ化が許可または拒否されるようになります。これにより、管理者権限の利用がより厳格に管理されます。

アクセスレビューの実施手順

特権ロールの割り当ては、定期的に見直し、不要になったアクセス権を削除することが重要です。PIMでは、このプロセスを自動化・効率化するためにアクセスレビュー機能を提供しています。

1. PIMダッシュボードへのアクセス
   Azure ADポータルからPrivileged Identity Managementにアクセスします。
2. 「アクセスレビュー」メニューの選択
   左側のメニューから「アクセスレビュー」を選択します。
3. 「新規」アクセスレビューの作成
   「新規」ボタンをクリックし、新しいアクセスレビューを作成します。
4. アクセスレビューの基本設定
   アクセスレビューの名前、説明を入力します。
5. レビュー対象の選択
   「レビュー対象」として、「ロール」を選択し、Teams関連の管理者ロール(例: Teams Administrator)を選択します。
6. レビュー担当者の設定
   「レビュー担当者」として、誰がレビューを実施するかを指定します。
7. レビューの頻度と期間の設定
   「繰り返し」の項目で、アクセスレビューをどのくらいの頻度(例: 月次、四半期ごと)で実行するかを設定します。「レビュー期間」で、レビューが完了するまでの期間を設定します。
8. レビュー完了時のアクション設定
   「レビュー完了時のアクション」では、レビューの結果に基づいて自動的に実行されるアクションを設定します。例えば、レビュー担当者がアクセスを拒否した場合に、ロールの割り当てを削除する設定などが可能です。
9. アクセスレビューの作成
   すべての設定が完了したら、「作成」ボタンをクリックしてアクセスレビューを開始します。

アクセスレビューが開始されると、指定されたレビュー担当者に通知が届き、レビュー期間内にアクセス権の継続が必要かどうかを判断します。この定期的なレビューにより、不要になった特権アカウントのアクセス権を速やかに削除し、セキュリティリスクを低減できます。

新しいTeams (v2) と従来TeamsのPIM設定における違い

新しいMicrosoft Teams (v2) と従来Teamsの間で、Privileged Access Management (PAM) の基本的な機能や設定方法に大きな違いはありません。PIMはAzure ADの機能として提供されており、Teamsの管理ロール(Teams Administrator、Global Administratorなど)はAzure ADロールとして管理されるため、Teamsのクライアントインターフェースの更新がPIMの設定に直接影響を与えることはありません。したがって、上記で説明したPIMの適用手順、承認ワークフローの設定、アクセスレビューの実施手順は、新しいTeams環境でもそのまま適用可能です。Teamsの管理者は、Azure ADポータルを通じてPIMの設定を行うことになります。

新しいOutlook と従来OutlookのPIM設定における違い

Microsoft OutlookもTeamsと同様に、その管理機能の多くはExchange OnlineやMicrosoft 365の管理センターを通じて提供されています。Outlook自体のクライアントインターフェースの変更は、PIMの設定に直接的な影響を与えません。Outlookの管理者権限(例: Exchange Administrator、Global Administrator)もAzure ADロールとして管理されるため、PIMによる特権アクセス管理のプロセスは、従来Outlookでも新しいOutlookでも同じです。したがって、PIMを用いてOutlook関連の管理者操作を承認制にする場合も、Azure ADポータルでの設定手順は変わりません。

Mac版・モバイル版・Web版での違い

Privileged Access Management (PIM) の設定は、Azure ADポータルというWebベースの管理インターフェースを通じて行われます。そのため、管理者自身がどのデバイス(Windows PC、Mac、スマートフォンなど)からアクセスするか、あるいはどのバージョンのTeamsやOutlookクライアントを使用するかは、PIMの設定自体には影響しません。PIMの設定は、管理者権限を持つユーザーがWebブラウザを通じてAzure ADポータルにアクセスし、そこで行われるため、プラットフォームやクライアントアプリケーションの違いによる差異は発生しません。ただし、ロールをアクティブ化しようとする一般ユーザーにとっては、TeamsやOutlookのクライアント側で「ロールのアクティブ化」のプロセスが発生する場合がありますが、その操作も基本的にはWebブラウザ経由で行われます。

管理者権限が必要な手順について

この記事で解説したPrivileged Access Management (PIM) の設定手順は、すべてAzure ADの「グローバル管理者」または「Privileged Role Administrator」の権限を持つアカウントで実行する必要があります。これらの権限は、Azure ADテナント全体の管理者設定を変更できる非常に強力な権限です。組織内のIT管理者やセキュリティ担当者は、これらの権限の管理を厳格に行い、PIMの設定作業は必要最低限の担当者のみが行うようにしてください。

組織ポリシー・テナント設定による動作の違い

Privileged Access Management (PIM) の動作は、Azure ADテナントのライセンスエディションによって異なります。PIMの高度な機能(ジャストインタイムアクセス、承認ワークフロー、アクセスレビューなど)を利用するには、Azure AD Premium P2ライセンスが必要です。組織がAzure AD Premium P1ライセンスしか持っていない場合、PIMのすべての機能を利用できない可能性があります。また、組織によっては、セキュリティポリシーとして特定のロールの割り当てに詳細な条件(例: 多要素認証の必須化、特定のIPアドレスからのアクセスのみ許可)を設定している場合があります。これらのポリシーはPIMの設定と競合したり、追加の制約となったりする可能性があります。設定を行う前に、組織のAzure ADライセンスと既存のセキュリティポリシーを確認することが重要です。

Teams Privileged Access Management (PAM) でよくある誤解と注意点

PIM設定で「ロールがアクティブ化できない」という問題

ユーザーが管理ロールをアクティブ化しようとした際に「アクティブ化できません」というエラーが表示される場合、いくつかの原因が考えられます。

1. 承認プロセスが完了していない: ロールのアクティブ化に承認が必要な設定になっている場合、承認者がまだ申請を承認していない可能性があります。承認者に連絡を取り、承認状況を確認してください。
2. 多要素認証 (MFA) の問題: ロールのアクティブ化にMFAが必須となっている場合、ユーザーがMFAの認証に失敗している可能性があります。MFAの設定やデバイスを確認してください。
3. ライセンスの問題: ユーザーに適切なAzure AD Premium P2ライセンスが割り当てられていない場合、PIMの機能が利用できません。ライセンス割り当てを確認してください。
4. PIM設定自体の誤り: PIMのロール割り当てや承認ポリシーの設定に誤りがある可能性があります。Azure ADポータルでPIMの設定内容を再確認してください。

アクセスレビューで「レビュー担当者が承認できない」という状況

アクセスレビューの担当者が、レビュー対象のアクセス権を承認または拒否できない場合、以下の点を確認してください。

1. レビュー担当者の権限不足: アクセスレビューの管理には、特定の権限が必要です。レビュー担当者に、アクセスレビューの完了に必要な権限が付与されているか確認してください。通常は、Privileged Role AdministratorやGlobal Administrator権限が必要です。
2. レビュー対象のロールの変更: レビュー対象となっているロールが、レビュー期間中に削除されたり、PIM管理外に変更されたりした場合、レビュー担当者が操作できなくなることがあります。
3. PIMのバグや一時的な不具合: まれに、PIMのシステム側で一時的な不具合が発生している可能性も考えられます。しばらく待ってから再度試すか、Microsoftサポートに問い合わせてください。

「グローバル管理者」ロールへのPIM適用時の注意点

Global Administratorロールは、Azure ADテナント全体に対する最も強力な権限です。このロールにPIMを適用することはセキュリティ上非常に推奨されますが、設定ミスは重大な影響を及ぼす可能性があります。Global AdministratorロールをPIMで管理する場合、必ず以下の点に注意してください。

1. 最低1つの「Active」なGlobal Administratorロールの維持: PIMでGlobal Administratorロールを管理する場合でも、必ず最低1つのアカウントには「Active」なGlobal Administratorロールを割り当てておくことを強く推奨します。これにより、PIMシステムに問題が発生した場合でも、テナント全体を管理できるアカウントが残ります。
2. 承認者の慎重な選定: Global Administratorロールのアクティブ化申請に対する承認者は、信頼できる上位管理者の中から慎重に選定してください。承認者が不在の場合、ロールのアクティブ化ができなくなり、緊急時の対応が困難になる可能性があります。
3. アクセスレビューの徹底: Global Administratorロールの割り当ては、アクセスレビューを通じて定期的に見直し、不要な割り当ては速やかに削除してください。

PIMの設定は、組織のセキュリティ体制を強化するための強力なツールですが、その設定と運用には十分な理解と注意が必要です。不明な点がある場合は、Microsoftの公式ドキュメントを参照するか、Microsoftサポートに相談することを推奨します。

👥

Teams/Outlookトラブル完全解決データベース サインイン、接続エラー、メール送受信の不具合など、特有のトラブル解決策を網羅。困った時の逆引きに活用してください。