Privileged Identity Management で Azure AD ロールに対する要求を承認または拒否するApprove or deny requests for Azure AD roles in Privileged Identity Management

Azure Active Directory (Azure AD) Privileged Identity Management (PIM) を使用して、アクティブ化の承認を必要とするようにロールを構成できます。また、代理承認者として 1 名以上のユーザーまたはグループを選択できます。With Azure Active Directory (Azure AD) Privileged Identity Management (PIM), you can configure roles to require approval for activation, and choose one or multiple users or groups as delegated approvers. 代理承認者は、要求を承認するまでに 24 時間あります。Delegated approvers have 24 hours to approve requests. 要求が 24 時間以内に承認されない場合、有資格ユーザーは新しい要求を再送信する必要があります。If a request is not approved within 24 hours, then the eligible user must re-submit a new request. 24 時間の承認時間枠は構成できません。The 24 hour approval time window is not configurable.

PIM のバージョンを判断するDetermine your version of PIM

2019 年 11 月以降、Privileged Identity Management の Azure AD ロール部分は、Azure リソース ロールのエクスペリエンスと一致する新しいバージョンに更新されます。Beginning in November 2019, the Azure AD roles portion of Privileged Identity Management is being updated to a new version that matches the experiences for Azure resource roles. これによって機能が追加され、既存の API の変更が行われます。This creates additional features as well as changes to the existing API. 新しいバージョンのロールアウト中、この記事で実行する手順は、現在お使いになっている Privileged Identity Management のバージョンによって異なります。While the new version is being rolled out, which procedures that you follow in this article depend on version of Privileged Identity Management you currently have. このセクションの手順に従って、お使いになっている Privileged Identity Management のバージョンを確認してください。Follow the steps in this section to determine which version of Privileged Identity Management you have. Privileged Identity Management のバージョンを確認したら、この記事に記載されている手順のうち、そのバージョンに一致するものを選択することができます。After you know your version of Privileged Identity Management, you can select the procedures in this article that match that version.

  1. 特権ロール管理者のロールであるユーザーで Azure portal にサインインします。Sign in to the Azure portal with a user who is in the Privileged role administrator role.

  2. [Azure AD Privileged Identity Management] を開きます。Open Azure AD Privileged Identity Management. 概要ページの上部にバナーが表示されている場合は、この記事の [新しいバージョン] タブの指示に従ってください。If you have a banner on the top of the overview page, follow the instructions in the New version tab of this article. それ以外の場合は、 [以前のバージョン] タブの指示に従ってください。Otherwise, follow the instructions in the Previous version tab.

    Azure AD ロールの新しいバージョン

Azure AD ロールに対する要求を承認または拒否するには、この記事の手順に従ってください。Follow the steps in this article to approve or deny requests for Azure AD roles.

保留中の要求を表示するView pending requests

代理承認者は、Azure リソース ロール要求が代理承認者による承認を待っている状態になると、電子メール通知を受け取ります。As a delegated approver, you'll receive an email notification when an Azure resource role request is pending your approval. これらの保留中の要求は、Privileged Identity Management で表示できます。You can view these pending requests in Privileged Identity Management.

  1. Azure portal にサインインします。Sign in to the Azure portal.

  2. [Azure AD Privileged Identity Management] を開きます。Open Azure AD Privileged Identity Management.

  3. [要求の承認] を選択します。Select Approve requests.

    申請の承認 - レビューの要求を示す Azure リソース ページ

    [ロールのアクティブ化に関する要求] セクションに、承認が保留されている要求の一覧が表示されます。In the Requests for role activations section, you'll see a list of requests pending your approval.

要求の承認Approve requests

  1. 承認する要求を見つけて選択します。Find and select the request that you want to approve. 承認または拒否のページが表示されます。An approve or deny page appears.

    申請の承認 - 詳細と [根拠] ボックスを含む承認または拒否のウィンドウ

  2. [理由] ボックスに、業務上の正当な理由を入力します。In the Justification box, enter the business justification.

  3. [承認] を選択します。Select Approve. 承認に関する Azure 通知を受信します。You will receive an Azure notification of your approval.

    要求が承認されたことを示す承認の通知

要求を拒否するDeny requests

  1. 拒否する要求を見つけて選択します。Find and select the request that you want to deny. 承認または拒否のページが表示されます。An approve or deny page appears.

    申請の承認 - 詳細と [根拠] ボックスを含む承認または拒否のウィンドウ

  2. [理由] ボックスに、業務上の正当な理由を入力します。In the Justification box, enter the business justification.

  3. [拒否] を選択します。Select Deny. 拒否すると同時に通知が表示されます。A notification appears with your denial.

ワークフロー通知Workflow notifications

ワークフロー通知に関するいくつかの情報を次に示します。Here's some information about workflow notifications:

  • ロールの要求のレビューが保留中の場合、承認者にメールで通知されます。Approvers are notified by email when a request for a role is pending their review. 電子メール通知には、承認者が承認または拒否できる、要求への直接リンクが含まれています。Email notifications include a direct link to the request, where the approver can approve or deny.
  • 要求は、承認または拒否した最初の承認者によって解決されます。Requests are resolved by the first approver who approves or denies.
  • 承認者が要求に応答すると、すべての承認者にその動作が通知されます。When an approver responds to the request, all approvers are notified of the action.
  • リソース管理者には、承認されたユーザーがそのロール内でアクティブになると通知されます。Resource administrators are notified when an approved user becomes active in their role.

注意

承認されたユーザーをアクティブにしないほうがよいと見なしたリソース管理者は、Privileged Identity Management でアクティブなロールの割り当てを削除できます。A resource administrator who believes that an approved user should not be active can remove the active role assignment in Privileged Identity Management. リソース管理者は、承認者でない限り、保留中の要求の通知を受け取りませんが、Privileged Identity Management で保留中の要求を表示することで、すべてのユーザーの保留中の要求を確認およびキャンセルできます。Although resource administrators are not notified of pending requests unless they are an approver, they can view and cancel pending requests for all users by viewing pending requests in Privileged Identity Management.

次のステップNext steps