グループを Privileged Identity Management に取り込む

  • [アーティクル]

Microsoft Entra ID では、Privileged Identity Management (PIM) を使って、グループ内の Just-In-Time メンバーシップまたはグループの Just-In-Time 所有権を管理できます。 グループでは、Microsoft Entra ロール、Azure ロール、およびその他のさまざまなシナリオにアクセスできます。 PIM で Microsoft Entra グループを管理するには、そのグループを PIM の管理下に置く必要があります。

管理するグループを識別する

ヒント

この記事の手順は、開始するポータルに応じて若干異なる場合があります。

開始する前に、Microsoft Entra セキュリティ グループまたは Microsoft 365 グループが必要です。 Microsoft Entra ID でのグループ管理の詳細については、「Microsoft Entra グループとグループ メンバーシップを管理する」を参照してください。

動的グループとオンプレミス環境から同期されたグループは、グループの PIM では管理できません。

Microsoft Entra PIM にグループを取り込むには、適切なアクセス許可が必要です。 ロール割り当て可能なグループの場合は、グローバル管理者または特権ロール管理者ロールを持っているか、グループの所有者である必要があります。 ロール割り当てできないグループの場合は、グローバル管理者、ディレクトリ ライター、グループ管理者、ID ガバナンス管理者、ユーザー管理者ロール、またはグループの所有者がこれを行う必要があります。 管理者のロールの割り当ては、(管理単位レベルではなく) ディレクトリ レベルでスコープを設定する必要があります。

Note

グループを管理するためのアクセス許可を持つ他のロール (ロール割り当てできない M365 グループの Exchange 管理者など) と、管理単位レベルで範囲指定された割り当てを持つ管理者は、グループ API/UX を使用してグループを管理し、Microsoft Entra PIM で行われた変更をオーバーライドできます。

  1. Microsoft Entra 管理センター特権ロール管理者以上としてサインインします。

  2. [Identity governance] (ID ガバナンス)>[Privileged Identity Management]>[グループ] の順に移動します。

  3. ここでは、グループの PIM で既に有効になっているグループを表示できます。

    Screenshot of where to view groups that are already enabled for PIM for Groups.

  4. [グループを検出する] を選択し、PIM で管理下に置くグループを選択します。

    Screenshot of where to select a group that you want to bring under management with PIM.

  5. [グループの管理] を選択し、[OK] を選択します。

  6. [グループ] を選択して、グループの PIM で有効になっているグループの一覧に戻ります。

Note

または、[グループ] ペインを使用して、グループを Privileged Identity Management の下に置くこともできます。

Note

グループは、いったん管理されると、管理から除外することはできません。 これにより、別のリソース管理者が PIM 設定を削除することを防ぎます。

重要

グループが Microsoft Entra ID から削除された場合、グループの PIM ブレードからグループが削除されるまでに最長 24 時間かかる場合があります。

次のステップ