HONDA LABO

本田研究室

Azure ADの緊急アクセス用管理者アカウントを作成してみる

条件付きアクセスのような認証設定を強くするケースにおいて、管理者ユーザーも締め出されてしまうなどの事故の対策として、緊急アクセス用管理者アカウントを作成することがあります。Azure ADの場合は、こちらのDocsにガイドラインと手順があります。

緊急アクセス用管理者アカウントを管理する - Azure AD - Microsoft Entra | Microsoft Docs

今回はこちらを試してみました。

 

設定手順

手順は、先程のリンクの中のこちらに沿って実施していきます。

https://docs.microsoft.com/ja-jp/azure/active-directory/roles/security-emergency-access#how-to-create-an-emergency-access-account

緊急アカウント用ユーザーの作成

まずは緊急用アカウントのユーザー作成です。こちらはMSさんのキャプチャの感じで作成します。fractureは骨折とかそういう意味みたいです。

https://docs.microsoft.com/ja-jp/azure/active-directory/roles/security-emergency-access#how-to-create-an-emergency-access-account

さて、緊急用アカウントは人に紐付けず(みんなで共有)、ID/パスワードでの認証とするのが基本路線になると思います。ということで、次に緊急アクセス用ユーザーをMFAの対象外にします。

Azureポータル>条件付きアクセス>テンプレートからの新しいポリシー(プレビュー)を選択します。

IDを選択して次に進みます。

すべてのユーザーに多要素認証を要求するを選択します。

ルールはできました。

続いて、緊急アクセス用ユーザーをこのポリシーから除外して、MFAを求めないようにしましょう。先程作成したポリシーをクリックして、ユーザーの対象外に緊急アクセス用ポリシーを追加します。

今回はポリシーをここで有効化してしまっていますが、有効化の際は十分に注意しましょう。

 

アラートルールの作成

次に、Azureポータル>Log Analyticsワークスペースで、Log Analyticsワークスペースを作成します。こんな感じでしょうか。

その後、Azure ADの診断設定で、Azure ADのサインインログをAzureモニターに送信する設定を実施します。

Azure Active Directory のログを Azure Monitor ログにストリーミングする - Microsoft Entra | Microsoft Docs

サインインログの送信には、Azure AD Premium P1 または P2 ライセンスが必要な点が注意点です(Business Premiumであれば、Azure AD Premium P1が利用できます)

手順としては、Azureポータルで、Azure Active Directory>診断設定>診断設定を追加するをクリックして、サインインログをLog Analyticsワークスペースへ送信するように設定します。

次に、Azure Monitorの設定をしていきましょう。Azureポータルで、モニター>アラート>作成>アラートルールをクリックします。



先程作成したLog Analyticsワークスペースを選択します。

条件はカスタムログ検索をクリックします。

次にクエリを貼り付けます。貼り付けるクエリは、こちらから。

https://docs.microsoft.com/ja-jp/azure/active-directory/roles/security-emergency-access#create-an-alert-rule

私は、// Search for a single UserPrincipalName のサンプルクエリを貼り付けました。

さらにアラートロジックを入力します。

アクショングループを作成します。

アクショングループで、通知方法を設定します。今回はメールにしました。

アラートルールの名前や重大度を設定します。

手順としては以上です。実際に緊急用アカウントでログインすると、アラートメールが飛んでくることが確認できました。
 

こんな運用が良いかもと思った

緊急用アカウントを利用することは普段はないと思うのですが、もし利用する場合の運用について考えてみました。
アラートは今回はメールにしましたが、Slackなどチャットツールが分かりやすいと思います。その上で、全員向けに「これから緊急アカウントでログインします」と伝えてからログインします。そうすれば、ログインした後、アラート通知がきても混乱しないかなと思いました。逆に、なんの事前連絡もなしにスッコココ、とログイン通知が来た際はヤバイということになります。強制ログアウト+パスワードの再設定を行いましょう。
 

次回以降やりたいこと

緊急用アカウントの作成は、Azure ADだけでなく、利用しているSaaSなどでも必要になります。さらに各SaaSの緊急用アカウントの利用時にもアラート通知を行いたいところです。各SaaS側でログイン時のアラート通知機能があれば良いのですが、ない場合にはSIEMでログを収集して、SIEM側でアラートルールを作成する必要があると思います。
このあたりは次回以降でやってみたいと思います。