管理者数が多い

管理者は当然、高い権限を持っています。管理者が多数いると、アタックサーフェスが拡大する​ため、セキュリティリスクをもたらす可能性があります。つまりそのうちの 1 人が侵害される確率が高まるからです。特権を最小限に抑えるという原則が尊重されていない兆候でもあります。

管理者ロールが割り当てられたユーザーについては、詳細に調査し、トレーニングを施し、慎重に正当性を確認する必要があります。

リスクを制限するため、管理者ロールを割り当てる際に最小特権の原則を使用します​:

• 報告されたロールに割り当てられているアカウントの数を減らします​。
• これらのアカウントに権限が必要な場合、必要なアクセス許可のみが付与されている、特定のロール​を割り当てることを検討してください。Microsoft Entra ID には、「グローバル管理者」以外にもいくつかの管理者ロールが用意されています。これにより、必要なアクセス許可だけを付与することができます。例えば、サポート技術者アカウントがユーザーパスワードをリセットするのに必要なのは、「グローバル管理者」ではなく、「ヘルプデスク管理者」ロールのみです。
• 割り当ての範囲を狭めます​。Microsoft Entra ID を使えば、特定の範囲にロールを割り当てることができます。割り当て範囲は最小限にすることを心がけましょう。例えば、同じサポート技術者が EMEA 地域のみを担当する場合、「EMEA」管理ユニットのみにロールを割り当てる必要があります。

所属企業の IT 部門が大規模でこの方法が適用できない場合は、許可されるアカウントの最大数を露出インジケーター (IoE) オプションで増やすことを検討してください。

特に、Microsoft はグローバル管理者の数を 5 人未満に制限することを推奨しています。

名前: 管理者数が多い

コード名: HIGH-NUMBER-OF-ADMINISTRATORS

深刻度: High