管理者ロールとは
Microsoft 365の管理者ロールは、テナント内の管理操作を行うための権限セットです。Entra IDのRBAC(ロールベースアクセス制御)に基づいており、管理者ごとに必要最小限の権限を付与する「最小権限の原則」が推奨されています。
「全員をグローバル管理者にする」のは最も危険な設定です。グローバル管理者アカウントが侵害されると、テナント全体が乗っ取られます。
主要な管理者ロール
| ロール | 権限の範囲 | 割り当て対象 |
|---|---|---|
| グローバル管理者 | テナント全体のすべての設定を管理。最強の権限 | 最大2〜3名に限定 |
| ユーザー管理者 | ユーザーの作成・削除・パスワードリセット、グループ管理 | 人事部門のIT担当、ヘルプデスク |
| Exchange管理者 | メールボックス、配布リスト、メールフロールールの管理 | メールシステムの管理者 |
| SharePoint管理者 | SharePointサイト、OneDrive、外部共有設定の管理 | ファイル共有・サイト管理者 |
| Teams管理者 | Teamsの設定、チームの管理、会議ポリシーの設定 | Teams運用担当者 |
| セキュリティ管理者 | セキュリティポリシー、Defender設定、条件付きアクセスの管理 | セキュリティ担当者 |
| コンプライアンス管理者 | Purview(DLP、保持ポリシー、感度ラベル)の管理 | コンプライアンス担当者 |
| ヘルプデスク管理者 | 非管理者ユーザーのパスワードリセット、サービスリクエスト管理 | ヘルプデスク担当者 |
| グローバル閲覧者 | すべての管理センターの設定を閲覧(変更不可) | 監査担当者、経営層 |
ロール設計のベストプラクティス
- グローバル管理者は最大2〜3名:日常業務には使用せず、緊急時のみ使用
- 日常業務は専用ロールで:ユーザー管理→ユーザー管理者、メール管理→Exchange管理者
- 管理者アカウントにはMFA必須:条件付きアクセスで管理者アカウントに強制適用
- 管理者アカウントと通常アカウントを分離:管理者は専用の管理者アカウント(admin@〜)を使用
- PIM(Privileged Identity Management)の活用:Entra ID P2で、管理者権限を「必要な時だけ」有効化するJust-In-Timeアクセス
緊急アクセスアカウント(Break Glass Account)
条件付きアクセスの設定ミスやMFAの障害で全管理者がロックアウトされる事態に備えて、緊急アクセスアカウントを1つ用意しておきます。
- グローバル管理者ロールを付与
- 条件付きアクセスから除外
- 長く複雑なパスワードを設定し、金庫に保管
- 使用時はアラートが発火するよう監査ログを監視
まとめ
M365管理者ロールは「最小権限の原則」で設計し、グローバル管理者は最大2〜3名に限定しましょう。日常業務は専用ロール(ユーザー管理者、Exchange管理者等)で対応し、緊急アクセスアカウントを必ず用意してください。