グループのメンバーと所有者のアクティブ化要求を承認する

  • [アーティクル]

Privileged Identity Management (PIM) と Microsoft Entra ID を使うと、グループのメンバーシップと所有権のアクティブ化には承認を必須とするように構成できます。 Microsoft Entra 組織のユーザーまたはグループを、代理承認者として選ぶこともできます。

各グループに 2 人以上の承認者を選ぶことをお勧めします。 代理承認者は、要求を承認するまでに 24 時間あります。 要求が 24 時間以内に承認されない場合、有資格ユーザーは新しい要求を再送信する必要があります。 24 時間の承認時間枠は構成できません。

この記事の手順に従って、グループのメンバーシップまたは所有権の申請を承認または拒否してください。

保留中の要求を表示する

ヒント

この記事の手順は、開始するポータルに応じて若干異なる場合があります。

Azure リソース ロール要求が、代理承認者であるあなたの承認を待っている状態になると、あなたに電子メール通知が届きます。 保留中の要求は、Privileged Identity Management で表示できます。

  1. Microsoft Entra 管理センター特権ロール管理者以上としてサインインします。

  2. Identity governance] (ID ガバナンス)>Privileged Identity Management>申請の承認>グループ の順に移動します。

  3. [ロールのアクティブ化に関する要求] セクションに、承認が保留中の要求の一覧が表示されます。

    Screenshot that shows requests for role activations.

要求の承認

  1. 承認する要求を見つけて選択し、 [承認] を選択します。

  2. [理由] ボックスに、業務上の正当な理由を入力します。

  3. [確認] を選択します。 この承認によって、Azure 通知が生成されます。

    Screenshot that shows what an Azure notification generated by your approval looks like.

要求を拒否する

  1. 拒否する要求を見つけて選択し、 [拒否] を選択します。

  2. [理由] ボックスに、業務上の正当な理由を入力します。

  3. [確認] を選択します。 この拒否によって、Azure 通知が生成されます。

ワークフロー通知

ワークフロー通知に関するいくつかの情報を次に示します。

  • 承認者は、グループ割り当ての要求のレビューが保留中とき、メールで通知を受け取ります。 電子メール通知には、承認者が承認または拒否できる、要求への直接リンクが含まれています。
  • 要求は、承認または拒否した最初の承認者によって解決されます。
  • 承認者が要求に応答すると、すべての承認者にその動作が通知されます。

注意

管理者は、承認されたユーザーをアクティブにしないほうがよいと考えた場合、Privileged Identity Management でアクティブなグループ割り当てを削除できます。 リソース管理者は、承認者でない限り、保留中の要求の通知を受け取りません。 ただし、Privileged Identity Management で保留中の要求を表示することにより、すべてのユーザーの保留中の要求を表示およびキャンセルできます。

トラブルシューティング

トラブルシューティングのヒントをこちらに示します。

ロールをアクティブにした後、アクセス許可が付与されない

Privileged Identity Management でロールをアクティブ化しても、アクティブ化が、特権ロールを必要とするすべてのポータルに直ちには伝播されない可能性があります。 場合によっては、変更が伝達されても、ポータルにおける Web キャッシュが原因で、変更がすぐに有効にならないことがあります。

アクティブ化が遅れている場合:

  1. Microsoft Entra 管理センターからサインアウトし、再度サインインします。
  2. Privileged Identity Management で、自分がそのロールのメンバーとして一覧表示されていることを確認します。

次のステップ

グループ用 PIM の設定を構成する