Microsoft 365 Defenderの監査ログ閲覧権限
Microsoft 365 DefenderはかつてセキュリティコンプライアンスセンターとかMicrosoft Purviewと表記されていたMicrosoft 365のセキュリティ関係を管理するコンソールです。
その機能の中に監査ログというものがあり、この監査ログを活用すると「どのユーザーがいつどんなファイルをダウンロードしたのか」とか「いつ外部からどんなメールを受信したのか」を検索することができます。
いろいろな調査に活用できそうな機能ですが、一方でTeamsチャットの内容やメールの内容まで踏み込んでしまうことがあり、プライバシーの観点からもすべての管理者がこの機能を利用できることが問題になることがあります。
そこで今回は、この監査ログ機能にアクセスできる管理者を制限する方法を解説します。
Azure AD管理センターのロールと管理者
まずはAzure AD管理センターのロールと管理者画面で監査ログに関わるロールから、監査機能を使わせたくない管理者のロール割り当てを解除します。
とはいえ、初期で準備されているロールだけでもかなりの数があります。今回は事前に監査に関するロールを調査しました(2022年12月現在の設定、カッコ内は英語版表記)。
- グローバル/全体管理者(Global Administrator)
- グローバル/全体閲覧者(Global Reader)
- 課金管理者(Billing Administrator)
- アプリケーション管理者(Application Adminsitrator)
- セキュリティ閲覧者(Security Reader)
- セキュリティオペレーター(Security Operator)
- セキュリティ管理者(Security Administrator)
- クラウドアプリケーション管理者(Cloud Application Administrator)
- レポート閲覧者(Reports Reader)
- クラウドデバイス管理者(Cloud Device Administrator)
- ハイブリッドIDの管理者(Hybrid Identity Administrator)
上記のロールが一つでも割り当てられていると、その管理者は監査機能を利用できてしまいますので注意しましょう。
そして監査ログに対して直接の権限は持ちませんが、特権ロール管理者の割り当ても外すことを忘れないようにしてください(監査ログの使えない管理者自身が、自分で自分の特権ロール割り当て変更を防ぐため)。
Exchange管理センターの管理者の役割
さて、無事Azure AD管理センターのロールと管理者で設定変更しても監査が使えてしまうことがあります。
実は監査機能の権限はExchange管理センターにも関わってきます。
ですので、続いてExchange管理センターにアクセスして役割⇒管理者の役割を開きます。
いろいろな役割が出てきますが、基本的にはどれか1つでも割り当てが残っていると、その管理者は監査機能を利用できてしまいます。
特に、もともと全体管理者だったりExchange管理者だったりした管理者をAzure AD管理センターのロールから外しても、こちらのExchange管理センター側の役割が残っていることがあるので要注意です。
カスタムロールで除外する
既定のロールと管理者では柔軟な権限管理ができないので、カスタムロールの作成も検討してください(要Azure AD Premium)。
カスタムロールを作成する場合は、下記のauditLogs権限を外しておきます。
まとめ
- 管理者権限を適切に割り当てることで監査ログを利用できる管理者の制限が可能
- Azure AD Premiumが必要にはなりますが、カスタムロールもご検討ください