Privileged Identity Management の使用開始
この記事では、Privileged Identity Management (PIM) を有効にしてその使用を開始する方法について説明します。
Privileged Identity Management (PIM) を使用すると、Azure Microsoft Entra 組織内のアクセス権を管理、制御、および監視できます。 PIM を使用すると、Azure リソースや Microsoft Entra リソースのほか、Microsoft 365 や Microsoft Intune などのその他の Microsoft オンライン サービスへのアクセスを、必要に応じて適切なタイミングで提供できます。
前提条件
Privileged Identity Management を使用するには、次のライセンスのいずれかが必要です。
- Privileged Identity Management を使用するにはライセンスが必要です。 ライセンスの詳細については、「Microsoft Entra ID ガバナンス ライセンスの基礎」を参照してください。
詳細については、「Privileged Identity Management を使用するためのライセンスの要件」を参照してください。
Note
Premium P2 ライセンスの Microsoft Entra 組織で特権ロールを持っているアクティブなユーザーが、Microsoft Entra の [ロールと管理者] にアクセスしてロールを選択する (または単に Privileged Identity Management にアクセスする) と、次のようになります。
- 組織に対して PIM が自動的に有効になります
- "通常の" ロールの割り当てと資格のあるロールの割り当てのどちらも行えるようになります
PIM が有効になっても、その他の面では、心配しなければならないような影響は組織にはありません。 アクティブなのか資格があるのか、開始と終了時刻など、追加の割り当てオプションが提供されます。 また、PIM では、管理単位とカスタム ロールを使用してロール割り当ての範囲を定義することもできます。 全体管理者または特権ロール管理者には、PIM の週刊ダイジェストなど、いくつかの追加メールが届き始める可能性があります。 さらに、ロールの割り当てに関連する監査ログに MS-PIM サービス プリンシパルが表示される場合もあります。 これは予期された変更であり、ワークフローに対する影響はありません。
Microsoft Entra ロール用に PIM を準備する
Microsoft Entra ロールを管理できるように Privileged Identity Management を準備する場合に推奨されるタスクを次に示します。
- Microsoft Entra ロールの設定を構成します。
- 資格に応じて割り当てる。
- 資格のあるユーザーが Microsoft Entra ロールを Just-In-Time でアクティブ化できるようにします。
Azure ロール用に PIM を準備する
サブスクリプション用の Azure ロールを管理できるように Privileged Identity Management を準備する場合に推奨されるタスクを次に示します。
タスクへの移動
Privileged Identity Management の設定が済んだら、使用してみることができます。
タスク + 管理 | 説明 |
---|---|
自分のロール | 自分に割り当てられている適格でアクティブなロールの一覧が表示されます。 ここでは、割り当てられている適格なロールをアクティブにできます。 |
保留中の要求 | 適格なロール割り当てのアクティブ化の保留中要求が表示されます。 |
申請の承認 | ディレクトリ内のユーザーによる適格なロールのアクティブ化要求のうち、自分が承認するものの一覧が表示されます。 |
アクセスのレビュー | 自分に完了が割り当てられているアクティブなアクセス レビューが一覧表示されます (自分自身のアクセスをレビューするものと、他のユーザーのアクセスをレビューするものの両方)。 |
Microsoft Entra ロール | Microsoft Entra ロールの割り当てを管理するための、特権ロール管理者向けのダッシュボードと設定が表示されます。 このダッシュボードは、特権ロール管理者以外に対しては無効になっています。 これらのユーザーは、[自分のビュー] という特殊なダッシュボードにアクセスできます。 [自分のビュー] ダッシュボードには、組織全体ではなく、ダッシュボードにアクセスしているユーザーに関する情報のみが表示されます。 |
Azure リソース | Azure リソース ロールの割り当てを管理するための、特権ロール管理者向けのダッシュボードと設定が表示されます。 このダッシュボードは、特権ロール管理者以外に対しては無効になっています。 これらのユーザーは、[自分のビュー] という特殊なダッシュボードにアクセスできます。 [自分のビュー] ダッシュボードには、組織全体ではなく、ダッシュボードにアクセスしているユーザーに関する情報のみが表示されます。 |