データ運用面の考慮事項
この記事では、構成に関するデータ運用面の考慮事項について説明します。 使用状況データやオペレーターのセキュリティなど、Microsoft Entra ID に関連して、ログ ファイルやその他の機能がどのように機能するかについての情報があります。 Microsoft Entra チームがデプロイと変更をどのように定義しているかに関するガイダンスに加え、物理的なセキュリティに関する考慮事項についても説明します。
ログ ファイル
Microsoft Entra ID では、サービス内のアクションとイベントの監査、調査、デバッグのためにログ ファイルが生成されます。 ログ ファイルには、ユーザー、デバイス、Microsoft Entra の構成 (ポリシー、アプリ、グループなど) に関するデータが含まれている場合があります。 ログ ファイルは、Microsoft Entra サービスが実行されているデータセンターの Azure Storage に作成され、保存されます。
ログ ファイルは、ローカル デバッグ、セキュリティ、使用状況の分析、システム稼働状況の監視、サービス全体の分析に使用されます。 これらのログは、トランスポート層セキュリティ (TLS) 接続を介して、北米本土の Microsoft 所有のデータセンターにある Microsoft のレポート機械学習システムへコピーされます。
使用状況データ
使用状況データは、Microsoft Entra サービスによって生成されるメタデータであり、サービスの使用状況を示します。 このメタデータは、管理者向けレポートとユーザー向けレポートを生成するために使用されます。 Microsoft Entra エンジニアリング チームは、このメタデータを使ってシステムの使用状況を評価し、サービスを改善する機会を特定します。 通常、このデータはログ ファイルに書き込まれますが、場合によっては、サービスの監視およびレポート システムによって収集されます。
オペレーターのセキュリティ
Microsoft の担当者、請負業者、ベンダー (システム管理者) による Microsoft Entra ID へのアクセスは、厳しく制限されています。 デプロイ、デバッグ、診断情報の収集、サービスの再起動などの日常的な作業に対するユーザーの介入は、可能な限り、自動化されたツールベースのプロセスに置き換えられます。
管理者アクセスは、資格のある一部のエンジニアに限定され、フィッシングに強い資格情報を使用して認証手続きを完了する必要があります。 システムアクセスや更新機能は、Microsoft Just-In-Time (JIT) 特権アクセス管理システムによって管理されるロールに割り当てられます。 システム管理者は JIT システムを使用して昇格を要求し、JIT システムはその要求を手動承認または自動承認にルーティングします。 承認されると、JIT によってアカウントが昇格されます。 昇格、承認、ロールへの昇格、ロールからの削除の要求は、将来のデバッグや調査のためにログに記録されます。
Microsoft の担当者は、社内用の分離された強力な認証 ID プラットフォームを使用する、セキュリティ保護されたアクセス ワークステーションからのみ操作を実行できます。 他の Microsoft ID システムへのアクセス権では、セキュリティ アクセス ワークステーションへのアクセスは許可されません。 ID プラットフォームは、他の Microsoft ID システムとは別に実行されています。
物理的なセキュリティ
Microsoft Entra サービスを構成するサーバーへの物理的なアクセス、および Microsoft Entra のバックエンド システムへのアクセスは、Azure の施設、敷地、物理的なセキュリティによって制限されています。 Microsoft Entra のお客様は物理的な資産や場所にアクセスできないため、論理的なロールベースのアクセス制御 (RBAC) ポリシー チェックを回避することはできません。 オペレーター アクセス権を持つ担当者には、メンテナンスのために承認されたワークフローを実行する権限があります。
詳細情報: Azure の施設、敷地、および物理上のセキュリティ
変更制御のプロセス
データセンター間でサービスに変更をロールアウトするために、Microsoft Entra チームはデプロイ環境のレイヤーを定義します。 変更レイヤーの適用は、厳密な終了基準によって制限されています。 変更をレイヤー間でロールアウトする時間は、運用チームによって定義されており、起こり得る影響に基づいて決められています。 通常、ロールアウトには 1 から 2 週間かかります。 セキュリティ修正プログラムやホット フィックスなどの重要な変更は、より迅速に展開できます。 デプロイ レイヤーに適用されたときに変更が終了基準を満たさない場合は、以前の安定した状態にロールバックされます。