同期された管理者アカウントと、それらのアカウントがもたらすリスクを軽減する方法について学びましょう。
特権管理者アカウントがMicrosoft Entra IDとActive Directoryの管理者アカウントまたは通常のアカウントと同期されると、潜在的なセキュリティの抜け穴が生じます。攻撃者が1つの同期されたアカウントに不正アクセスすると、他のアカウントにも容易にアクセスできるようになり、重要なシステムにアクセスして悪意のある活動を行うことが可能になります。管理者アカウントを個人のMicrosoftアカウントと同期することは特にリスクの高い構成です。
ベストプラクティス:
-
高権限のMicrosoft Entra IDまたはActive Directory管理者アカウントを、管理者アカウントや非管理者アカウントと同期しないでください。オンプレミスの管理タスクを実行する必要があるMicrosoft Entra ID管理者は、同期されていない別のActive Directoryアカウントを使用する必要があります。詳細については、MicrosoftのオンプレミスActive Directoryアカウントのセキュリティ保護に関するガイダンスを参照してください。
-
ユーザアカウントとは別の管理機能用に別のアカウントを設定します。
-
ユーザ間でのアカウントの共有を許可しないでください。
-
Microsoft Entra IDロールにはクラウドネイティブアカウントのみを使用してください。Microsoft Entra IDロールの割り当てにはオンプレミス同期アカウントの使用を避けてください。
-
Microsoft Entra ID Connect Syncを使用して、Microsoft Entra IDと同期されているオンプレミスアカウントを制御し、同期された管理者アカウントの数を減らします。詳細については、MicrosoftのConnect Syncの構成に関するガイドを参照してください。