特権ロールを持つゲストアカウント

B2B collaboration は、ユーザーがゲストを招待して自分の組織とコラボレーションできるようにする Microsoft Entra ID 機能です。これらのゲストアカウントは「外部 ID」とも呼ばれ、Microsoft が説明しているアクセスをデフォルトで取得します。

ゲストアカウントは各自のプロフィールを管理し、各自のパスワードを変更し、他のユーザー、グループ、アプリケーションに関する特定の情報を取得することができます。ただし、すべてのディレクトリ情報を読み取れるわけではありません。 たとえば、ゲストユーザーは、すべてのユーザーやグループのリスト、他のディレクトリオブジェクトのリストを列挙できません。ゲストを管理者ロールに追加し、完全な読み取りアクセス許可と書き込みアクセス許可を付与することができます。ゲストは他のゲストを招待することもできます。

特権ロールは当然、昇格された権限を持っています。特権ロールが割り当てられているゲストアカウントはセキュリティリスクをもたらし、テナントのアタックサーフェスを大幅に増やします。これは特に懸念すべきものです。ゲストアカウントには、弱いセキュリティポリシーが適用されている可能性があり、侵害の影響をより受けやすいからです。さらに、特権ロールをゲストユーザーに割り当てると、追跡性が低下し、そのアクティビティの監視と監査が難しくなります。最悪のシナリオでは、そのような割り当てが侵害の兆候を示している場合もあります。攻撃者はしばしばゲストアカウントを悪用して不正アクセスを取得し、環境内で水平移動するためです。

これらのゲストアカウントを注意深く監視し、特権ロールを割り当てないようにしてください。

Microsoft も、セキュリティを強化するために Microsoft Entra を構成するで、「ゲストに高い特権ディレクトリロールを割り当てない」ことを推奨しています。

組織外にテナントが露出しないようにするため、ゲストアカウセキュリティを強化するために Microsoft Entra を構成するントから特権ロールを取り消すか、特権ロールの割り当てを解除します。

名前: 特権ロールを持つゲストアカウント

コード名: GUEST-ACCOUNT-WITH-A-PRIVILEGED-ROLE

深刻度: High

タイプ: Microsoft Entra ID Indicator of Exposure