ベストプラクティスの背景

2026年3月14日、MicrosoftのIntune Customer Successチームは「Best practices for securing Microsoft Intune」を公開しました。Intune管理者のセキュリティを強化するための3つの実践的アプローチを提示しており、Stryker社へのサイバー攻撃(3月11日)を受けて策定されたガイダンスです。

Microsoftはこのガイダンスで、「信頼できる管理者に依存する」モデルから「設計によって保護された管理(protected administration by design)」へのシフトを推奨しています。

柱①:最小権限のRBAC設計

Microsoftの推奨は「Intune管理を職務に基づく個別ロールとして設計する」ことです。

やるべきこと

  • 広範な権限ロールの棚卸し:グローバル管理者、Intune管理者を持つユーザーを洗い出し、実際の業務に必要かを検証。日常の管理業務にこれらの権限は不要
  • 組み込みロールの活用:Intuneには「ヘルプデスクオペレーター」「アプリケーションマネージャー」「エンドポイントセキュリティマネージャー」「読み取り専用オペレーター」等の組み込みロールがある。これらを標準として使用
  • カスタムロールの作成:組み込みロールで不十分な場合は、必要な権限のみを含むカスタムロールを作成し究極の最小権限を実現
  • スコープタグの実装:リージョン、事業部、プラットフォームチーム等でスコープタグを設定し、管理者が操作できるデバイス・ユーザーの範囲を物理的に制限
  • Entra ID PIMの導入:管理者権限を常時有効にせず、必要な時だけ時間制限付きで昇格(Just-In-Time)。昇格時には再認証を要求

Microsoftの表現

「最小権限は、管理者が実行できるアクションと、そのアクションが適用されるユーザー/デバイスの両方を制限することです」——つまりRBACの「ロール」と「スコープ」の両方を設計する必要があります。

柱②:フィッシング耐性MFAと特権アクセス管理

Microsoftの推奨は「特権アクセスは取得が困難で、再利用が困難な状態にする」ことです。

やるべきこと

  • 管理者ポータル専用の条件付きアクセスポリシー:Intune、Entra ID等の管理エンドポイントへのアクセスに対して、フィッシング耐性認証のみ許可、準拠デバイス必須、高リスクサインインのブロック、ネットワーク/場所の制限を設定
  • フィッシング耐性認証への移行:管理者アカウントのパスワード+SMS認証を廃止し、パスキー(FIDO2)またはWindows Hello for Businessに移行
  • Privileged Access Workstation(PAW):管理者はセキュリティ基準が強化された専用デバイスからのみ管理操作を行う
  • トークン窃取への対応:セッショントークンが窃取された場合の調査・対応計画を策定。Defender XDRのシグナルを活用して不審な管理者アクティビティを検知

柱③:Multi Admin Approval(複数管理者承認)

IntuneのMulti Admin Approval機能は、高影響操作に2人目の管理者の承認を必須にする制御です。管理コンソールとAPI経由の操作の両方に適用されます。

やるべきこと

  • 承認対象の決定:まずはデバイスワイプ、スクリプト展開、RBACロール管理を承認対象に設定。次にセキュリティベースライン、コンプライアンスポリシー、認証設定の変更を追加
  • 承認者の定義:誰が承認できるか、SLA(承認までの最大待ち時間)、インシデント時の対応を定義
  • Break Glassパスの文書化:緊急時に承認プロセスをバイパスする手順を明示し、事後レビューを必須にする

3つの柱の組み合わせ効果

Microsoftはこの3つの柱を組み合わせることで、以下のセキュリティ特性が実現すると述べています。

特性実現手段
影響範囲の封じ込め最小権限+スコープタグで、1アカウントの侵害がテナント全体に波及しない
本人確認の厳格化フィッシング耐性MFA+条件付きアクセスで、管理者が本人であることを確認
変更のガバナンスMulti Admin Approvalで、高影響操作に人的チェックポイントを追加
監査対応の向上全操作のログ記録+承認記録で、「誰が何をなぜ承認したか」を追跡可能

クイックスタート手順

Microsoftが推奨する「すぐにできること」は以下の3つです。

  • Quick Win 1:グローバル管理者・Intune管理者の広範なロール割り当てを棚卸しし、最小権限のRBACロールに置き換える
  • Quick Win 2:すべての管理者シナリオで条件付きアクセスを適用し、フィッシング耐性MFAを強制する
  • Quick Win 3:RBACロール管理、デバイスワイプ、スクリプト展開にMulti Admin Approvalを有効化する

まとめ

MicrosoftのIntuneセキュリティベストプラクティスは、最小権限のRBAC設計、フィッシング耐性MFA、Multi Admin Approvalの3つの柱で「管理プレーンの保護」を実現するガイダンスです。Stryker社の事例が示したように、管理ツール自体が攻撃の武器になりうる時代において、管理者アカウントの保護はエンドポイント保護と同等以上に重要です。

参考リンク
Microsoft Tech Community (原文) ↗Microsoft Learn - Intune RBAC ↗
E

BTNコンサルティング 編集部

株式会社BTNコンサルティング|情シス365 運営

Microsoft 365・Google Workspace導入支援、IT-PMI(M&A後のIT統合)、セキュリティ対策を専門とするITコンサルティング企業。中小企業の「ひとり情シス」を支援し、ITの力で経営課題を解決します。