【要約】Defender & Purview 管理センターと My Sign-ins のみを許可する条件付きアクセス [Qiita_Trend] | Summary by TechDistill
> Source: Qiita_Trend
Execute Primary Source
// Problem
SOC(セキュリティ運用センター)を外部委託する際、運用担当者にDefenderやPurviewの権限のみを与え、他の管理ポータルへのアクセスを制限したいというニーズがある。しかし、標準的な「全アプリをブロックし、管理ポータルのみを除外する」設定では、運用に必要な認証情報の更新が不可能になる。具体的には以下の問題が発生する。
- ・「全ブロック+管理ポータル除外」の構成では、My Sign-ins(セキュリティ情報)へのアクセスが遮断される。
- ・My Sign-insがCAのターゲットリソースとして表示されないテナントが存在する。
- ・認証器(Authenticator)やパスキーの変更ができず、運用の継続性が失われる。
// Approach
ターゲットリソースとしてMy Sign-insを明示的に認識させ、CAポリシーを二段構えで構成する手法を採用する。これにより、管理ポータルの制限と自己管理機能の確保を両立させる。具体的な手順は以下の通りである。
- ・PowerShellを用いてMy Sign-insのサービスプリンシパル(AppId: 19db86c3-b2b9-44cc-b339-36da233a3be2)をEntra IDに追加する。
- ・CAポリシー①を作成し、Microsoft管理ポータルとMy Sign-insを「除外」設定として構成し、アクセスを確保する。
- ・CAポリシー②を作成し、Azure Resource Managerを対象としてAzure/Entra/Intuneへのアクセスを明示的にブロックする。
// Result
適切な権限分離により、SOC担当者に対し、業務に必要なリソースのみを安全に公開できる構成を実現した。これにより以下の成果が得られる。
- ・Defender/PurviewとMy Sign-insへのアクセスを両立できる。
- ・AzureやEntraなどの不要な管理ポータルへのアクセスを確実に遮断できる。
- ・認証器の変更など、運用に必要な自己管理機能が維持される。
Senior Engineer Insight
> 外部委託時の最小権限原則を徹底する上で、極めて実践的な知見である。単なる「除外設定」の罠を見抜いている点が評価できる。ただし、サービスプリンシパルの追加は一度行うと削除不能である点や、反映に最大1時間の遅延がある点に注意が必要だ。また、InPrivateモードでの動作不安定性も考慮し、運用手順書への記載を推奨する。