Azure AD Privileged Identity Management とはWhat is Azure AD Privileged Identity Management?

Azure Active Directory (Azure AD) Privileged Identity Management (PIM) は、お客様の組織内の重要なリソースへのアクセスを管理、制御、監視することができるサービスです。Azure Active Directory (Azure AD) Privileged Identity Management (PIM) is a service that enables you to manage, control, and monitor access to important resources in your organization. これらのリソースには、Azure AD、Azure、およびその他の Microsoft Online Services (Office 365、Microsoft Intune など) 内のリソースが含まれます。These resources include resources in Azure AD, Azure, and other Microsoft Online Services like Office 365 or Microsoft Intune.

使用する理由Reasons to use

組織では、セキュリティで保護された情報またはリソースへのアクセス権を持つユーザーの数を最小限に抑える必要があります。そうすることで、悪意のあるアクターがこのようなアクセス権を手にしたり、許可されているユーザーの不注意で機密性の高いリソースに影響が及んだりする可能性が抑えられるためです。Organizations want to minimize the number of people who have access to secure information or resources, because that reduces the chance of a malicious actor getting that access, or an authorized user inadvertently impacting a sensitive resource. しかし一方で、ユーザーは Azure AD、Azure、Office 365、または SaaS アプリケーションで特権操作を実行する必要があります。However, users still need to carry out privileged operations in Azure AD, Azure, Office 365, or SaaS apps. 組織は、Azure リソースおよび Azure AD への Just-In-Time (JIT) の特権アクセスをユーザーに付与できます。Organizations can give users just-in-time (JIT) privileged access to Azure resources and Azure AD. そこで、そうしたユーザーが管理者特権で何をしているかについて監視することが必要となります。There is a need for oversight for what those users are doing with their administrator privileges.

内容What does it do?

Privileged Identity Management では、時間ベースおよび承認ベースのロールのアクティブ化を提供して、対象リソースに対する過剰、不要、または誤用であるアクセス許可のリスクを軽減します。Privileged Identity Management provides time-based and approval-based role activation to mitigate the risks of excessive, unnecessary, or misused access permissions on resources that you care about. 以下に、Privileged Identity Management の主な機能をいくつか示します。Here are some of the key features of Privileged Identity Management:

  • Azure AD と Azure のリソースに対する Just-In-Time の特権アクセスを提供するProvide just-in-time privileged access to Azure AD and Azure resources
  • 開始日と終了日を使用した期限付きアクセス権をリソースに割り当てるAssign time-bound access to resources using start and end dates
  • 特権ロールをアクティブ化するために承認を要求するRequire approval to activate privileged roles
  • ロールをアクティブ化するために多要素認証を強制するEnforce multi-factor authentication to activate any role
  • なぜユーザーをアクティブ化するのかを把握するために理由を使用するUse justification to understand why users activate
  • 特権ロールがアクティブ化されたときに通知を受けるGet notifications when privileged roles are activated
  • 継続してユーザーにロールが必要であることを確認するためにアクセス レビューを実施するConduct access reviews to ensure users still need roles
  • 社内監査または外部監査に使用する監査履歴をダウンロードするDownload audit history for internal or external audit

これによってできることWhat can I do with it?

Privileged Identity Management を設定すると、左側のナビゲーション メニューに [タスク][管理][アクティビティ] の各オプションが表示されます。Once you set up Privileged Identity Management, you'll see Tasks, Manage, and Activity options in the left navigation menu. お客様は管理者として、Azure AD ロールAzure リソース ロールのどちらかを選択することになります。As an administrator, you'll choose between managing Azure AD roles and Azure resource roles. 管理するロールの種類を選択すると、そのロールの種類に関して同様のオプション一式が表示されます。When you choose the type of roles to manage, you see a similar set of options for that role type.

Azure portal での Privileged Identity Management のスクリーンショット

だれが何をできるかWho can do what?

Privileged Identity Management を使用する最初のユーザーには、ディレクトリのセキュリティ管理者ロールと特権ロール管理者ロールが自動的に割り当てられます。If you're the first person to use Privileged Identity Management, you are automatically assigned the Security Administrator and Privileged Role Administrator roles in the directory.

Privileged Identity Management での Azure AD ロールの場合、他の管理者の割り当てを管理できるのは、特権ロール管理者ロールに属しているユーザーだけです。For Azure AD roles in Privileged Identity Management, only a user who is in the Privileged Role Administrator role can manage assignments for other administrators. Privileged Identity Management を管理するために、他の管理者にアクセス権を付与することができます。You can grant access to other administrators to manage Privileged Identity Management. グローバル管理者、セキュリティ管理者、グローバル閲覧者、およびセキュリティ閲覧者も、Privileged Identity Management における Azure AD ロールへの割り当てを表示することができます。Global Administrators, Security Administrators, Global readers, and Security Readers can also view assignments to Azure AD roles in Privileged Identity Management.

Privileged Identity Management での Azure リソースのロールの場合、サブスクリプション管理者、リソース所有者、またはリソース ユーザー アクセス管理者だけが、他の管理者の割り当てを管理できます。For Azure resource roles in Privileged Identity Management, only a subscription administrator, a resource Owner, or a resource User Access administrator can manage assignments for other administrators. 既定では、特権ロール管理者、セキュリティ管理者、またはセキュリティ閲覧者であるユーザーは、Privileged Identity Management での Azure リソースのロールへの割り当てを表示することはできません。Users who are Privileged Role Administrators, Security Administrators, or Security Readers do not by default have access to view assignments to Azure resource roles in Privileged Identity Management.

シナリオScenarios

Privileged Identity Management では、次のシナリオがサポートされています。Privileged Identity Management supports the following scenarios:

特権ロール管理者のアクセス許可Privileged Role administrator permissions

  • 特定のロールの承認を有効化するEnable approval for specific roles
  • 要求を承認するユーザーまたはグループを指定するSpecify approver users or groups to approve requests
  • すべての特権ロールの要求と承認の履歴を表示するView request and approval history for all privileged roles

承認者のアクセス許可Approver permissions

  • 保留中の承認 (要求) を表示するView pending approvals (requests)
  • ロールの昇格の要求を承認または拒否する (単独および一括)Approve or reject requests for role elevation (single and bulk)
  • 自分の承認または却下の理由を説明するProvide justification for my approval or rejection

有資格のロール ユーザーのアクセス許可Eligible role user permissions

  • 承認が必要なロールのアクティブ化を要求するRequest activation of a role that requires approval
  • アクティブ化要求の状態を表示するView the status of your request to activate
  • アクティブ化が承認された場合に Azure AD でタスクを完了するComplete your task in Azure AD if activation was approved

用語集Terminology

Privileged Identity Management とそのドキュメントについてより深く理解するために、次の用語を確認してください。To better understand Privileged Identity Management and its documentation, you should review the following terms.

用語または概念Term or concept ロールの割り当てのカテゴリRole assignment category 説明Description
有資格eligible 種類Type ロールを使用するためにユーザーが少なくとも 1 つのアクションを実行する必要があるロールの割り当て。A role assignment that requires a user to perform one or more actions to use the role. あるロールに対して資格があるとは、特権タスクを実行する必要が生じたときに、ユーザーがそのロールをアクティブ化できることを意味します。If a user has been made eligible for a role, that means they can activate the role when they need to perform privileged tasks. ロールへの永続的な割り当てと、ロールの候補としての割り当てに、アクセスの違いはありません。There's no difference in the access given to someone with a permanent versus an eligible role assignment. 常時のアクセスを必要としないユーザーがいる、というのが唯一の違いです。The only difference is that some people don't need that access all the time.
activeactive 種類Type ロールを使用するためにユーザーが何のアクションも実行する必要がないロールの割り当て。A role assignment that doesn't require a user to perform any action to use the role. アクティブとして割り当てられたユーザーは、そのロールに割り当てられた特権を持ちます。Users assigned as active have the privileges assigned to the role.
アクティブ化activate ユーザーに資格のあるロールを使用するために、1 つまたは複数のアクションを実行するプロセス。The process of performing one or more actions to use a role that a user is eligible for. 要求されるアクションには、多要素認証 (MFA) チェックの実行、業務上の妥当性の指定、指定された承認者に対する承認要求などがあります。Actions might include performing a multi-factor authentication (MFA) check, providing a business justification, or requesting approval from designated approvers.
割り当て済みassigned StateState アクティブなロールの割り当てを持つユーザー。A user that has an active role assignment.
アクティブ化済みactivated StateState ロールの割り当ての資格を持ち、ロールをアクティブ化するためのアクションを実行して、アクティブになったユーザー。A user that has an eligible role assignment, performed the actions to activate the role, and is now active. アクティブになったユーザーは、事前構成済みの期間、そのロールを使用することができ、その期間の経過後は再度アクティブ化する必要があります。Once activated, the user can use the role for a preconfigured period-of-time before they need to activate again.
永続的に有資格permanent eligible DurationDuration ロールをアクティブ化する資格が常にユーザーにあるロールの割り当て。A role assignment where a user is always eligible to activate the role.
永続的にアクティブpermanent active DurationDuration 何もアクションを実行しなくても、ユーザーがロールを常に使用できるロールの割り当て。A role assignment where a user can always use the role without performing any actions.
有効期限付きの有資格expire eligible DurationDuration ユーザーに、指定された開始日と終了日の範囲内でロールをアクティブ化する資格があるロールの割り当て。A role assignment where a user is eligible to activate the role within a specified start and end date.
有効期限付きアクティブexpire active DurationDuration 指定された開始日と終了日の範囲内であれば、何もアクションを実行しなくてもユーザーがロールを使用できるロールの割り当て。A role assignment where a user can use the role without performing any actions within a specified start and end date.
Just-In-Time (JIT) アクセスjust-in-time (JIT) access 悪意のあるユーザーまたは未承認ユーザーがアクセス許可の期限が切れた後にアクセスできないように、ユーザーに特権タスクを実行する一時的なアクセス許可を与えるモデル。A model in which users receive temporary permissions to perform privileged tasks, which prevents malicious or unauthorized users from gaining access after the permissions have expired. ユーザーが必要な場合にのみ、アクセスが許可されます。Access is granted only when users need it.
最小特権アクセスの原則principle of least privilege access すべてのユーザーに、実行権限があるタスクを実行するのに必要な最小特権のみを与える、推奨されるセキュリティ プラクティス。A recommended security practice in which every user is provided with only the minimum privileges needed to accomplish the tasks they are authorized to perform. このプラクティスではグローバル管理者の数を最小限にし、代わりに特定のシナリオで特定の管理者ロールが使用されます。This practice minimizes the number of Global Administrators and instead uses specific administrator roles for certain scenarios.

ライセンスの要件License requirements

この機能を使用するには、Azure AD Premium P2 ライセンスが必要です。Using this feature requires an Azure AD Premium P2 license. 要件に対する適切なライセンスを確認するには、「 Free、Basic、および Premium エディションの一般公開されている機能の比較」をご覧ください。To find the right license for your requirements, see Comparing generally available features of the Free, Basic, and Premium editions.

ユーザーのライセンスについては、「Privileged Identity Management を使用するためのライセンスの要件」を参照してください。For information about licenses for users, see License requirements to use Privileged Identity Management.

次の手順Next steps