ITサポート担当者向けに「カスタム管理者ロール」を使い「デフォルトでセキュア」にする

要点：「カスタム管理者ロール」で ITサポート担当者の権限を制限する

Oktaの「カスタム管理者ロール」で、必要最小限の権限でカスタマイズされた管理者ロールを作成することができます。管理者が実行できるタスクや、管理者がそれらのタスクを実行できるリソース（ユーザー、グループ、アプリ、ワークフローなど）を制限することが可能となります。

「カスタム管理者ロール」は、より限定的なアプローチもサポートします。カスタム管理者ロールのみが割り当てられた管理者（他の管理者ロールが割り当てられていない）は、スーパー管理者が割り当てられたユーザーを管理することはできません。

以前、Oktaのディフェンシブサイバーオペレーションチームは、ITサポート担当者、つまり一般的なヘルプデスク業務を担当するチームが、組織内で最高の特権を持つユーザーの認証情報をリセットするよう騙されるソーシャルエンジニアリングキャンペーンについて説明しました。

これらの防止策の1つは、ITサポート担当者が高度な特権を持つユーザーに対して操作を実行できないように、ITサポート担当者の権限を制限することです。これを行う最善の方法は、すべてのITサポート担当者に「カスタム管理者ロール」を作成して割り当てることです。

このアプローチにすることで、スーパー管理者の資格情報は、高度な特権ロール（スーパー管理者、組織管理者、グループ管理者）を持つアカウントによってのみリセットすることができます。

2つ目のオプションのステップは、ITサポート担当者をカスタム管理者ロールに割り当てるときに、リソースセットからその他のすべての管理者を取り除くことです。

リスクの許容度に応じて、これらのステップのどれが最も適切かを決定する必要があります。

詳細な手順は、ナレッジベースの記事でご覧いただけます。