ITサポート担当者向けに「カスタム管理者ロール」を使い「デフォルトでセキュア」にする
要点:「カスタム管理者ロール」で ITサポート担当者の権限を制限する
Oktaの「カスタム管理者ロール」で、必要最小限の権限でカスタマイズされた管理者ロールを作成することができます。管理者が実行できるタスクや、管理者がそれらのタスクを実行できるリソース(ユーザー、グループ、アプリ、ワークフローなど)を制限することが可能となります。
「カスタム管理者ロール」は、より限定的なアプローチもサポートします。カスタム管理者ロールのみが割り当てられた管理者(他の管理者ロールが割り当てられていない)は、スーパー管理者が割り当てられたユーザーを管理することはできません。
以前、Oktaのディフェンシブサイバーオペレーションチームは、ITサポート担当者、つまり一般的なヘルプデスク業務を担当するチームが、組織内で最高の特権を持つユーザーの認証情報をリセットするよう騙されるソーシャルエンジニアリングキャンペーンについて説明しました。
これらの防止策の1つは、ITサポート担当者が高度な特権を持つユーザーに対して操作を実行できないように、ITサポート担当者の権限を制限することです。これを行う最善の方法は、すべてのITサポート担当者に「カスタム管理者ロール」を作成して割り当てることです。
このアプローチにすることで、スーパー管理者の資格情報は、高度な特権ロール(スーパー管理者、組織管理者、グループ管理者)を持つアカウントによってのみリセットすることができます。
2つ目のオプションのステップは、ITサポート担当者をカスタム管理者ロールに割り当てるときに、リソースセットからその他のすべての管理者を取り除くことです。
リスクの許容度に応じて、これらのステップのどれが最も適切かを決定する必要があります。
詳細な手順は、ナレッジベースの記事でご覧いただけます。