Azure AD Privileged Identity Management とはWhat is Azure AD Privileged Identity Management?

Azure Active Directory (Azure AD) Privileged Identity Management (PIM) は、お客様の組織内の重要なリソースへのアクセスを管理、制御、監視することができるサービスです。Azure Active Directory (Azure AD) Privileged Identity Management (PIM) is a service that enables you to manage, control, and monitor access to important resources in your organization. その対象には、Azure AD や Azure リソースをはじめとする各種 Microsoft Online Services (Office 365、Microsoft Intune など) 内のリソースへのアクセスが含まれます。This includes access to resources in Azure AD, Azure resources, and other Microsoft Online Services like Office 365 or Microsoft Intune.

PIM を使用すべき理由Why should I use PIM?

組織では、セキュリティで保護された情報またはリソースへのアクセス権を持つユーザーの数を最小限に抑える必要があります。そうすることで、悪意のあるアクターがこのようなアクセス権を手にしたり、許可されているユーザーの不注意で機密性の高いリソースに影響が及んだりする可能性が抑えられるためです。Organizations want to minimize the number of people who have access to secure information or resources, because that reduces the chance of a malicious actor getting that access, or an authorized user inadvertently impacting a sensitive resource. しかし一方で、ユーザーは Azure AD、Azure、Office 365、または SaaS アプリケーションで特権操作を実行する必要があります。However, users still need to carry out privileged operations in Azure AD, Azure, Office 365, or SaaS apps. 組織は、Azure リソースおよび Azure AD への Just-In-Time (JIT) の特権アクセスをユーザーに付与できます。Organizations can give users just-in-time (JIT) privileged access to Azure resources and Azure AD. そこで、そうしたユーザーが管理者特権で何をしているかについて監視することが必要となります。There is a need for oversight for what those users are doing with their administrator privileges. PIM は、アクセス権の過剰、無駄、乱用に伴うリスクを軽減するのに役立ちます。PIM helps to mitigate the risk of excessive, unnecessary, or misused access rights.

PIM でできることWhat can I do with PIM?

PIM の基本的な機能は、重要なリソースについて、"だれが、何を、いつ、どこで、なぜ" を管理することです。PIM essentially helps you manage the who, what, when, where, and why for resources that you care about. 以下に、PIM の主な機能をいくつか示します。Here are some of the key features of PIM:

  • Azure AD と Azure のリソースに対する Just-In-Time の特権アクセスを提供するProvide just-in-time privileged access to Azure AD and Azure resources
  • 開始日と終了日を使用した期限付きアクセス権をリソースに割り当てるAssign time-bound access to resources using start and end dates
  • 特権ロールをアクティブ化するために承認を要求するRequire approval to activate privileged roles
  • ロールをアクティブ化するために多要素認証を強制するEnforce multi-factor authentication to activate any role
  • なぜユーザーをアクティブ化するのかを把握するために理由を使用するUse justification to understand why users activate
  • 特権ロールがアクティブ化されたときに通知を受けるGet notifications when privileged roles are activated
  • 継続してユーザーにロールが必要であることを確認するためにアクセス レビューを実施するConduct access reviews to ensure users still need roles
  • 社内監査または外部監査に使用する監査履歴をダウンロードするDownload audit history for internal or external audit

前提条件Prerequisites

PIM を使用するには、次のいずれかの有料ライセンスまたは試用版ライセンスが必要です。To use PIM, you must have one of the following paid or trial licenses. 詳細については、「Azure Active Directory とは」を参照してください。For more information, see What is Azure Active Directory?.

  • Azure AD Premium P2Azure AD Premium P2
  • Enterprise Mobility + Security (EMS) E5Enterprise Mobility + Security (EMS) E5

ユーザーのライセンスについては、「PIM を使用するためのライセンスの要件」を参照してください。For information about licenses for users, see License requirements to use PIM.

用語集Terminology

PIM とそのドキュメントについてより深く理解するためには、次の用語をご確認いただく必要があります。To better understand PIM and its documentation, you should review the following terms.

用語または概念Term or concept ロールの割り当てのカテゴリRole assignment category 説明Description
有資格eligible TypeType ロールを使用するためにユーザーが少なくとも 1 つのアクションを実行する必要があるロールの割り当て。A role assignment that requires a user to perform one or more actions to use the role. あるロールに対して資格があるとは、特権タスクを実行する必要が生じたときに、ユーザーがそのロールをアクティブ化できることを意味します。If a user has been made eligible for a role, that means they can activate the role when they need to perform privileged tasks. ロールへの永続的な割り当てと、ロールの候補としての割り当てに、アクセスの違いはありません。There's no difference in the access given to someone with a permanent versus an eligible role assignment. 常時のアクセスを必要としないユーザーがいる、というのが唯一の違いです。The only difference is that some people don't need that access all the time.
activeactive TypeType ロールを使用するためにユーザーが何のアクションも実行する必要がないロールの割り当て。A role assignment that doesn't require a user to perform any action to use the role. アクティブとして割り当てられたユーザーは、そのロールに割り当てられた特権を持ちます。Users assigned as active have the privileges assigned to the role.
アクティブ化activate ユーザーに資格のあるロールを使用するために、1 つまたは複数のアクションを実行するプロセス。The process of performing one or more actions to use a role that a user is eligible for. 要求されるアクションには、多要素認証 (MFA) チェックの実行、業務上の妥当性の指定、指定された承認者に対する承認要求などがあります。Actions might include performing a multi-factor authentication (MFA) check, providing a business justification, or requesting approval from designated approvers.
割り当て済みassigned 状態State アクティブなロールの割り当てを持つユーザー。A user that has an active role assignment.
アクティブ化済みactivated 状態State ロールの割り当ての資格を持ち、ロールをアクティブ化するためのアクションを実行して、アクティブになったユーザー。A user that has an eligible role assignment, performed the actions to activate the role, and is now active. アクティブになったユーザーは、事前構成済みの期間、そのロールを使用することができ、その期間の経過後は再度アクティブ化する必要があります。Once activated, the user can use the role for a preconfigured period-of-time before they need to activate again.
永続的に有資格permanent eligible DurationDuration ロールをアクティブ化する資格が常にユーザーにあるロールの割り当て。A role assignment where a user is always eligible to activate the role.
永続的にアクティブpermanent active DurationDuration 何もアクションを実行しなくても、ユーザーがロールを常に使用できるロールの割り当て。A role assignment where a user can always use the role without performing any actions.
有効期限付きの有資格expire eligible DurationDuration ユーザーに、指定された開始日と終了日の範囲内でロールをアクティブ化する資格があるロールの割り当て。A role assignment where a user is eligible to activate the role within a specified start and end date.
有効期限付きアクティブexpire active DurationDuration 指定された開始日と終了日の範囲内であれば、何もアクションを実行しなくてもユーザーがロールを使用できるロールの割り当て。A role assignment where a user can use the role without performing any actions within a specified start and end date.
Just-In-Time (JIT) アクセスjust-in-time (JIT) access 悪意のあるユーザーまたは未承認ユーザーがアクセス許可の期限が切れた後にアクセスできないように、ユーザーに特権タスクを実行する一時的なアクセス許可を与えるモデル。A model in which users receive temporary permissions to perform privileged tasks, which prevents malicious or unauthorized users from gaining access after the permissions have expired. ユーザーが必要な場合にのみ、アクセスが許可されます。Access is granted only when users need it.
最小特権アクセスの原則principle of least privilege access すべてのユーザーに、実行権限があるタスクを実行するのに必要な最小特権のみを与える、推奨されるセキュリティ プラクティス。A recommended security practice in which every user is provided with only the minimum privileges needed to accomplish the tasks they are authorized to perform. このプラクティスではグローバル管理者の数を最小限にし、代わりに、特定のシナリオで特定の管理者ロールが使用されます。This practice minimizes the number of Global Administrators and instead uses specific administrator roles for certain scenarios.

実際の PIM の画面What does PIM look like?

PIM を設定すると、左側のナビゲーション メニューに [タスク][管理][アクティビティ] の各オプションが表示されます。Once you set up PIM, you'll see Tasks, Manage, and Activity options in the left navigation menu. お客様は管理者として、Azure AD ロールAzure リソース ロールのどちらかを選択することになります。As an administrator, you'll choose between managing Azure AD roles and Azure resource roles. 管理するロールの種類を選択すると、そのロールの種類に関して同様のオプション一式が表示されます。When you choose the type of roles to manage, you see a similar set of options for that role type.

Azure portal における PIM のスクリーンショット

PIM でだれが何をできるかWho can do what in PIM?

PIM を使用する最初のユーザーには、そのディレクトリのセキュリティ管理者ロールと特権ロール管理者ロールが自動的に割り当てられます。If you're the first person to use PIM, you are automatically assigned the Security Administrator and Privileged Role Administrator roles in the directory.

Azure AD ロールについては、PIM で他の管理者の割り当てを管理できるのは、特権ロール管理者ロールに属しているユーザーだけです。For Azure AD roles, only a user who is in the Privileged Role Administrator role can manage assignments for other administrators in PIM. PIM を管理する他の管理者にアクセス権を付与することができます。You can grant access to other administrators to manage PIM. グローバル管理者、セキュリティ管理者、セキュリティ閲覧者は、PIM における Azure AD ロールへの割り当てを閲覧することができます。Global Administrators, Security Administrators, and Security Readers can view assignments to Azure AD roles in PIM.

Azure リソースのロールについては、サブスクリプション管理者、リソース所有者、リソース ユーザー アクセス管理者だけが、他の管理者の割り当てを PIM で管理することができます。For Azure resource roles, only a subscription administrator, a resource Owner, or a resource User Access Administrator can manage assignments for other administrators in PIM. 既定では、特権ロール管理者、セキュリティ管理者、セキュリティ閲覧者であるユーザーが、Azure リソースのロールへの割り当てを PIM で閲覧することはできません。Users who are Privileged Role Administrators, Security Administrators, or Security Readers do not by default have access to view assignments to Azure resource roles in PIM.

シナリオScenarios

PIM は、次のシナリオをサポートしています。PIM supports the following scenarios:

特権ロール管理者として、次の操作を実行できます。As a Privileged Role Administrator you can:

  • 特定のロールの承認を有効化するEnable approval for specific roles
  • 要求を承認するユーザーまたはグループ (あるいは両方) を指定するSpecify approver users and/or groups to approve requests
  • すべての特権ロールの要求と承認の履歴を表示するView request and approval history for all privileged roles

承認者として、次の操作を実行できます。As an approver, you can:

  • 保留中の承認 (要求) を表示するView pending approvals (requests)
  • ロールの昇格の要求を承認または拒否する (単独および一括)Approve or reject requests for role elevation (single and/or bulk)
  • 自分の承認/却下の理由を説明するProvide justification for my approval/rejection 

有資格のロール ユーザーとして、次の操作を実行できます。As an eligible role user, you can:

  • 承認が必要なロールのアクティブ化を要求するRequest activation of a role that requires approval
  • アクティブ化要求の状態を表示するView the status of your request to activate
  • アクティブ化が承認された場合に Azure AD でタスクを完了するComplete your task in Azure AD if activation was approved

次の手順Next steps