Microsoft 365を利用する上で重要なのが、ユーザー権限の制御です。なかでもシステムの重要な設定変更が可能な「グローバル管理者」権限については、適切に管理することが求められます。本記事では、グローバル管理者の概要や、運用ポイントについて詳しく解説していきます。
Microsoft 365 管理センターのグローバル管理者とは
Microsoft 365は組織で運用することを前提に、さまざまなユーザーロールが設定されています。一例を挙げると、ユーザーが削除したメールボックスのアイテムを復元できる役割などがある「Exchange管理者」、Microsoft 365 グループの作成や編集、削除と復元も実施できる「グループ管理者」、Teamsにおいて会議の管理に加え、アップデートなど組織全体に関わる設定をする「Teamsのサービス管理者」などがあります。
ほかには、「ヘルプデスク管理者」、「Officeアプリ管理者」、「サービスサポート管理者」などが頻繁に使用されるロールです。
上記の管理者はそれぞれの役割に応じて機密データや設定内容の変更などができます。もしこの管理者がサイバー犯罪の被害に遭えば、甚大な悪影響を受けかねないため、セキュリティを徹底する必要があります。
中でも、「グローバル管理者」についてのセキュリティは可能な限り強固にしなくてはなりません。グローバル管理者とは、組織で利用するMicrosoft オンラインサービス全体のほとんどの管理機能や、それらが有するデータへ、ほぼ自由にアクセス可能なロールのことを指します。以降では、グローバル管理者について詳しくまとめていきます。
なお、「グローバル閲覧者」と呼ばれるロールもあります。これは、グローバル管理者が行う管理機能や設定を表示して確認できる役割です。あくまで閲覧可能なだけで、グローバル管理者のように編集や変更を加えることはできません。グローバル管理者が適切な管理を行っているか二重チェックする体制などを敷いている際に役立ちます。
グローバル管理者でできる操作
具体的に、グローバル管理者のみが行える操作についてまとめましょう。
まず、Microsoft 365で作業しているすべての社員のパスワードを、リセットすることができます。例えば社内でパスワードを忘れてしまった社員がいれば、グローバル管理者宛てにパスワードリセットを依頼します。その依頼に基づき、パスワードの初期化が行える仕組みです。
次に、ドメインの追加及び管理が可能です。ドメインは運用全体に関わることであるため、ほかのユーザーでは動かすことができないように設定されているのです。
なお、こうしたグローバル管理者権限は、最初にMicrosoft オンラインサービスにサインアップしたユーザーに付与される仕組みになっています。組織のシステム開発やIT部門の担当者と、運用の管理者が異なる場合には、誰を管理者とするのかあらかじめ決めておき、個別に設定する必要があります。
Microsoft 365のグローバル管理者の運用ポイント
グローバル管理者は、いわば全体を管理する「統括管理者」の役割を持ちます。そのため、運用する際には気をつけておかなければならない点がいくつか存在します。ここでは、Microsoft 365のグローバル管理者を配置する際の注意点や、運用のポイントについて解説していきましょう。
グローバル管理者は少なくとも2人配置する
前述のように、グローバル管理者を配置する際には、2人の配置が推奨されています。万が一、グローバル管理者のアカウントに不具合が起き、ロックアウトされてしまった際などに、もう片方のグローバル管理者権限で対処可能にしておくためです。もしグローバル管理者を1人しか配置していなければ、こうしたとき、全ユーザーのパスワードリセットなどを含め、ほとんどの対応が行えなくなる恐れがあります。すべてのユーザーが組織のMicrosoft 365の管理機能にアクセスできなくなってしまうかもしれません。こうした事態を避けるためにも、グローバル管理者は2人分用意しておいた方がよいでしょう。
グローバル管理者は全データにアクセスできることを留意
しかしグローバル管理者が増えることは、それだけ情報漏えいなどセキュリティに関するリスクが高まることを意味します。組織におけるセキュリティを担保するためにも、適切な人材を、必要最低限の人数で、グローバル管理者として配置することが望ましいのです。誤った設定・管理などを防ぎつつ、セキュリティ対策を講じるためのグローバル管理者数として、2人以上4人以下が推奨されています。
また、管理機能の設定やデータへのアクセスに関しても、社内のガバナンスや規定に基づいたプロセスを経て操作するように設定しておくと、さらなるリスク軽減になります。
「どの管理者がいつ、どのような目的で操作したのか」を明確にしておくことで、不測の事態において、管理の履歴をさかのぼれます。それによって、原因究明・再発防止に向けた取り組みを迅速に実行へ移せるでしょう。
管理者に多要素認証(MFA)を要求する
セキュリティを保持するために、パスワード入力のみでは限界があると言われています。そのため、知識情報(パスワード・PINコード・秘密の質問など)・所持情報(交通系ICカード・キャッシュカード・携帯電話など)・生体情報(指紋・顔・虹彩・声紋・位置情報など)などの認証方法を組み合わせた多要素認証(MFA)の導入が、現在は推奨されています。
本来であれば、すべてのユーザーについて上記MFAを設定しておくのが望ましいです。しかし最低限、グローバル管理者には必ず、サインインの際にMFAを要求し、セキュリティを強化しておいてください。
なお、MFAを有効にしたユーザーは、次回サインインする際に、アカウントを回復するための代替メールアドレスと電話番号を提供する必要があります。管理者権限を持つ社員を含め、MFAを設定するときには、これらが必要になることをあらかじめ対象者にアナウンスしておくことも大切です。
まとめ
Microsoft 365におけるグローバル管理者は、全ユーザーのパスワードのリセットが行えるなどセキュリティに関わる重要な役割があります。グローバル管理者がロックアウトされるといった不足の事態に備え、2人から4人の管理者を配置しておきましょう。
またグローバル管理者以外にも管理者権限の付与については慎重に判断しましょう。社員の特性や能力に応じて、適任者を選びつつ、その権限は厳密に管理して、適切な運用行ってください。自社の情報ガバナンスに基づいた運用で、Microsoft 356の利便性を発揮させつつ、セキュリティ向上を徹底しましょう。