🚨 5. 万が一への備え:追加コスト0円で「最強の緊急用アカウント」を構築する
M365 Premiumへの一本化により、実務環境のセキュリティは劇的に向上しました。しかし、ここで絶対に忘れてはならないのが「管理者自身の締め出しリスク」です。
- 管理者のスマホが壊れて2段階認証(MFA)が通らない
- M365システム全体で大規模な認証障害が発生した
- アカウントが乗っ取られて設定を書き換えられた
こうした「まさかの大災害」の際、組織を全滅から救い出す最後の砦が「ブレイクグラスアカウント(緊急アクセス用アカウント)」です。
今回は、追加のライセンス費用を一切かけず、かつデジタルハックを完全に無効化する「物理バックアップ」を組み合わせた、実戦向けの構築手順(最短ルート)を備忘録としてまとめます。
はじめにお断りしておきますが、私はセキュリティの専門家やM365のコンサルタントではありません。限られたリソース(いわゆる1人情シス環境)の中、二重投資のコストを削り、ネットワーク環境の安全を守るために泥臭く調べ、試行錯誤した結果をまとめた『一運用担当者のリアルな検証・実践記録』です。
実践記録は以下の3編で構成しています。
M365 Business Premium移行とクライアント端末のEntra ID参加ガイド(前編)
最強の緊急用アカウント(ブレイクグラス)構築最短ルート(後編)(この記事)
MacをMicrosoft 365の管理に参加させる手順とWindowsとの違い(番外編)
⚠️ 構築にあたっての注意点
本章で紹介する緊急用アカウント(ブレイクグラスアカウント)の設定手順は、Microsoft 365の仕様変更や各組織のセキュリティポリシーによって画面遷移や挙動が異なる場合があります。
組織の最高権限を扱うデリケートな設定となりますので、手順を十分に確認し、管理者の同意のもとで慎重に作業を行ってください。万が一の設定ミスによる締め出し等のトラブルについて、当サイトでは責任を負いかねます。
🛠️ 6. 緊急用アカウント作成と秘密鍵(シークレットキー)の抽出
まずは、既存の有料ライセンス(Business Premiumなど)を消費しないよう、M365の初期ドメイン( xxxx.onmicrosoft.com )を利用して、完全に独立したグローバル管理者アカウントを作成します。
【ステップ1】アカウントの新規作成
- M365管理センター ➔ 「アクティブなユーザー」 ➔ 「ユーザーの追加」 をクリックします。
- 以下のように設定します。
・ユーザー名:breakglass(アドレスはbreakglass@xxxx.onmicrosoft.comとなります)
・ライセンス: 「製品ライセンスなしでユーザーを作成する」を選択(※ここが0円運用のポイントです)
・役割: 「グローバル管理者」 にチェックを入れます。 - 非常に強力で複雑なパスワードを生成し、設定します。
【ステップ2】お節介機能を回避して「秘密鍵」を取り出す
ここが最大の難所です。普通に進めるとマイクロソフトの規定のAuthenticator強制ルートに誘導されてしまうため、一度別の方法でサインインを突破してから、アカウント管理画面で「秘密鍵」を抜き出します。
- 作成した
breakglassアカウントで、プライベートブラウザ(シークレットウィンドウ)から Entra管理センター(https://entra.microsoft.com)にサインインします。 - 初回サインイン時に「詳細情報が必要」と出るので 「次へ」 を進みます。
- アプリの誘導画面になりますが、ここではいったん画面の指示に従い、「携帯電話番号(SMS認証)」などを一時的な認証方法として登録し、最初のサインインを無事に完了させます。
- ログイン後、画面右上のユーザーアイコンから 「アカウントの表示」(またはマイサインイン画面
https://mysignin.microsoft.com)へ移動します。 - メニューの 「セキュリティ情報」 を選び、「方法の追加」 をクリックします。
- 追加する種類で 「認証アプリ」 を選択します。
- 「Microsoft Authenticatorアプリを入手してください」という画面が出たら、画面下部にある 「別の認証アプリを使用します」 というリンク文字をクリックします。
- 画面にQRコードが表示されます。ここで、そのすぐ下にある 「QRコードをスキャンできない場合」 というリンク文字を冷静にクリックします。
(私の場合はこの「QRコード…」が英語表記でした。) - 画面が切り替わり、ようやく長い英数字の羅列(秘密鍵 / シークレットキー)が画面に表示されます!これをメモ帳などに一時的にコピーします。
🔗 7. 認証アプリの複数同期と「URLエンコード」の回避術
手に入れた秘密鍵を使って、緊急時に一瞬でログインできるよう認証アプリに事前登録します。今回は、手入力を避けるために「自作QRコード」を使って複数のデバイスに一斉登録するスマートな技を使います。
【技術的Tips】自作QRコードのフォーマット
認証アプリ(Google Authenticator / Microsoft Authenticator)が読み込める共通規格(URIスキーム)の文字列を作成します。日本語を入れると文字化けを起こすため、識別名は以下のようにあえて英数字のみで構成するのがスマートな回避策です。
自作するURI文字列の例:
otpauth://totp/M365-Breakglass?secret=[ここに先ほどの秘密鍵の英数字]
(※空白スペースはすべて詰めて入力してください)
otpauth://totp/M365-Breakglass?secret=[ここに先ほどの秘密鍵の英数字]※秘密鍵を入力する際、前後のカッコ( [ や ] )は入力不要です。英数字のみをそのまま当てはめてください。
この文字列を、パソコン上の安全なQRコード生成ツールなどでQRコードに変換します。
📱 3層のマルチデバイスへ一斉登録
生成した1つのQRコードを、以下のデバイスの認証アプリでそれぞれ「カシャッ」とスキャンして登録します。
- メイン管理者のスマホ: Google Authenticator ➔ 「QRコードをスキャン」
- 副管理者のスマホ: Microsoft Authenticator ➔ 「+ボタン」 ➔ 「その他のアカウント」 ➔ 「QRコードをスキャン」
- オフィス常設のiPad(Wi-Fiモデル): Microsoft Authenticator ➔ 「+ボタン」 ➔ 「その他のアカウント」 ➔ 「QRコードをスキャン」
💡 数学的なシンクロの不思議
登録が完了すると、iPhone、iPad、別々のアプリであるにもかかわらず、すべてに全く同じ6桁の数字が1秒の狂いもなくシンクロして表示されます。この6桁の数値は「アカウント名」とは一切関係なく、「同じ秘密鍵」と「正確な現在時刻(日本標準時)」の2つだけをベースに計算されているためです。
(※Wi-FiモデルのiPadは、時刻がズレると認証エラーになるため、設定で時刻の自動同期を必ずオンにし、定期的にWi-Fiに接続させておきましょう)
アプリに M365-Breakglass が無事に登録されたら、パソコン上のQRコード画面や一時メモは形跡が残らないよう完全に削除(ゴミ箱からも消去)してください。
🏦 8. 【絶対の鉄則】オンラインから隔離した「物理金庫」での保管
これで「10秒で緊急ログインできる環境」は整いましたが、最後にセキュリティを完璧にするための仕上げを行います。
⚠️ Googleパスワードマネージャー等には絶対に保存しない!
便利だからといって、ブラウザやクラウドのパスワード管理ツールにこの緊急アカウントの情報を入れてはいけません。メインの通常環境(PCやGoogleアカウント)がマルウェア感染やハッキングで全滅した際、この最後の切り札まで「共倒れ」でハッカーに奪われてしまうためです。
金庫に保管すべき「紙のセット」
デジタルハッカーは、物理的な金庫の中にある紙をハッキングすることは絶対にできません。以下の内容を普通のコピー用紙に印刷(またはボールペンで清書)し、会社の物理金庫へ厳重に保管してください。
- 緊急アカウントのID:
breakglass@xxxx.onmicrosoft.com - 強力なパスワード
- 秘密鍵の英数字文字列
- 自作した登録用QRコード(印刷したもの)
(※万が一、全員のスマホが同時に全滅・紛失しても、この紙のQRコードを新しいスマホでスキャンすれば、一瞬で6桁のコードが復活します)
🏁 まとめ:作って、テストして、金庫にしまって、あとは忘れる
実際の緊急時にログインする際の手順は以下の通り、非常にシンプルです。
- ブラウザのシークレットウィンドウを開く(キャッシュの競合を防ぐため)。
- 金庫の紙から
breakglassのIDとパスワードを入力。 - スマホ、またはオフィス常設iPadのアプリを開き、表示されている6桁の数字を入力。
これで、どんな大災害が起きても、組織のITインフラを確実に救い出すことができます。
「利便性」からあえて隔離し、「物理的な金庫の中だけ」に絶対的な孤独な状態で眠らせておくこと。これこそが、中小企業のM365環境を守る究極の守護神となります。
→ 前編 「M365 Business Premium移行とクライアント端末のEntra ID参加ガイド」はこちら
→ 番外編「MacをMicrosoft 365の管理に参加させる手順とWindowsとの違い」 はこちら
コメント