PIM の使用を開始するStart using PIM

組織内のアクセス権は、Azure Active Directory (Azure AD) Privileged Identity Management (PIM) を使用して管理、制御、監視することができます。With Azure Active Directory (Azure AD) Privileged Identity Management (PIM), you can manage, control, and monitor access within your organization. その対象には、Azure リソース、Azure AD、Microsoft の各種オンライン サービス (Office 365、Microsoft Intune など) へのアクセスが含まれます。This scope includes access to Azure resources, Azure AD and other Microsoft online services like Office 365 or Microsoft Intune.

この記事では、PIM を有効にして使用を開始する方法について説明します。This article describes how to enable and get started using PIM.

前提条件Prerequisites

PIM を使用するには、次のいずれかのライセンスが必要です。To use PIM, you must have one of the following licenses:

  • Azure AD Premium P2Azure AD Premium P2
  • Enterprise Mobility + Security (EMS) E5Enterprise Mobility + Security (EMS) E5

詳細については、「License requirements to use PIM (PIM を使用するためのライセンスの要件)」を参照してください。For more information, see License requirements to use PIM.

PIM を使用する最初のユーザーFirst person to use PIM

ディレクトリ内で PIM を使用する最初のユーザーには、そのディレクトリのセキュリティ管理者ロールと特権ロール管理者ロールが自動的に割り当てられます。If you're the first person to use PIM in your directory, you are automatically assigned the Security Administrator and Privileged Role Administrator roles in the directory. ユーザーの Azure AD ロールの割り当てを管理できるのは特権ロール管理者だけです。Only privileged role administrators can manage Azure AD role assignments of users. さらに、初回の検出と割り当てを体験できるセキュリティ ウィザードの実行を選択することもできます。In addition, you may choose to run the security wizard that walks you through the initial discovery and assignment experience.

PIM を有効にするEnable PIM

ディレクトリで PIM の使用を開始するには、まず PIM を有効にする必要があります。To start using PIM in your directory, you must first enable PIM.

  1. ディレクトリのグローバル管理者として Azure portal にサインインします。Sign in to the Azure portal as a Global Administrator of your directory.

    ディレクトリで PIM を有効にする操作は、Microsoft アカウント (例: @outlook.com) ではなく組織アカウント (例: @yourdomain.com) を持つグローバル管理者が行う必要があります。You must be a Global Administrator with an organizational account (for example, @yourdomain.com), not a Microsoft account (for example, @outlook.com), to enable PIM for a directory.

  2. [すべてのサービス] をクリックし、Azure AD Privileged Identity Management サービスを探します。Click All services and find the Azure AD Privileged Identity Management service.

    [すべてのサービス] でのAzure AD Privileged Identity Management

  3. PIM クイック スタートをクリックして開きます。Click to open the PIM Quickstart.

  4. 一覧で、 [PIM を承認する] をクリックします。In the list, click Consent to PIM.

    PIM に同意して PIM を有効にする

  5. [ID を確認] をクリックし、Azure MFA で ID を確認します。Click Verify my identity to verify your identity with Azure MFA. アカウントの選択が求められます。You'll be asked to pick an account.

    本人確認のためにアカウント ウィンドウを選択する

  6. 確認のためにさらに情報が必要な場合は、そのプロセスが示されます。If more information is required for verification, you'll be guided through the process. 詳細については、「2 段階認証のサポートを受ける」を参照してください。For more information, see Get help with two-step verification.

    組織が詳細情報を必要とする場合の [詳細情報が必要] ウィンドウ

    たとえば、電話確認の提供を求められる場合があります。For example, you might be asked to provide phone verification.

    連絡方法を確認する追加のセキュリティ確認ページ

  7. 確認プロセスを完了したら、 [同意] ボタンをクリックします。Once you have completed the verification process, click the Consent button.

  8. 表示されたメッセージ内で、 [はい] をクリックして、PIM サービスに同意します。In the message that appears, click Yes to consent to the PIM service.

    PIM メッセージに同意して同意プロセスを完了する

Azure AD ロールを取得するために PIM にサインアップするSign up PIM for Azure AD roles

ディレクトリに対して PIM を有効にしたら、Azure AD ロールを管理するために PIM をサインアップする必要があります。Once you have enabled PIM for your directory, you'll need to sign up PIM to manage Azure AD roles.

  1. [Azure AD Privileged Identity Management] を開きます。Open Azure AD Privileged Identity Management.

  2. [Azure AD roles](Azure AD ロール) をクリックします。Click Azure AD roles.

    Azure AD ロールを取得するために PIM にサインアップする

  3. [サインアップ] をクリックします。Click Sign up.

  4. 表示されたメッセージ内で、 [はい] をクリックして PIM にサインアップして、Azure AD ロールを管理します。In the message that appears, click Yes to sign up PIM to manage Azure AD roles.

    Azure AD ロール メッセージを取得するために PIM にサインアップする

    サインアップを完了すると、Azure AD オプションが有効になります。When sign up completes, the Azure AD options will be enabled. 場合によっては、ポータルを更新する必要があります。You might need to refresh the portal.

    PIM で保護する Azure リソースを検出して選択する方法については、「PIM で管理する Azure リソースを検出する」を参照してください。For information about how to discover and select the Azure resources to protect with PIM, see Discover Azure resources to manage in PIM.

PIM を設定すると、ID 管理タスクを実行できるようになります。Once PIM is set up, you can perform your identity management tasks.

タスクと管理のオプションが表示されている PIM のナビゲーション ウィンドウ

タスク + 管理Task + Manage 説明Description
自分のロールMy roles 自分に割り当てられている適格でアクティブなロールの一覧が表示されます。Displays a list of eligible and active roles assigned to you. ここでは、割り当てられている適格なロールをアクティブにできます。This is where you can activate any assigned eligible roles.
個人の要求My requests 適格なロール割り当てのアクティブ化の保留中要求が表示されます。Displays your pending requests to activate eligible role assignments.
申請の承認Approve requests ディレクトリ内のユーザーによる適格なロールのアクティブ化要求のうち、自分が承認するものの一覧が表示されます。Displays a list of requests to activate eligible roles by users in your directory that you are designated to approve.
アクセスのレビューReview access 自分に完了が割り当てられているアクティブなアクセス レビューが一覧表示されます (自分自身のアクセスをレビューするものと、他のユーザーのアクセスをレビューするものの両方)。Lists active access reviews you are assigned to complete, whether you're reviewing access for yourself or someone else.
Azure AD ロールAzure AD roles Azure AD ロールの割り当てを管理するための、特権ロール管理者向けのダッシュボードと設定が表示されます。Displays a dashboard and settings for privileged role administrators to manage Azure AD role assignments. このダッシュボードは、特権ロール管理者以外に対しては無効になっています。This dashboard is disabled for anyone who isn't a privileged role administrator. これらのユーザーは、[自分のビュー] という特殊なダッシュボードにアクセスできます。These users have access to a special dashboard titled My view. [自分のビュー] ダッシュボードには、テナント全体ではなく、ダッシュボードにアクセスしているユーザーに関する情報のみが表示されます。The My view dashboard only displays information about the user accessing the dashboard, not the entire tenant.
Azure リソースAzure resources Azure リソース ロールの割り当てを管理するための、特権ロール管理者向けのダッシュボードと設定が表示されます。Displays a dashboard and settings for privileged role administrators to manage Azure resource role assignments. このダッシュボードは、特権ロール管理者以外に対しては無効になっています。This dashboard is disabled for anyone who isn't a privileged role administrator. これらのユーザーは、[自分のビュー] という特殊なダッシュボードにアクセスできます。These users have access to a special dashboard titled My view. [自分のビュー] ダッシュボードには、テナント全体ではなく、ダッシュボードにアクセスしているユーザーに関する情報のみが表示されます。The My view dashboard only displays information about the user accessing the dashboard, not the entire tenant.

ダッシュボードに PIM タイルを追加するAdd a PIM tile to the dashboard

PIM を開きやすくするには、Azure portal のダッシュボードに PIM タイルを追加する必要があります。To make it easier to open PIM, you should add a PIM tile to your Azure portal dashboard.

  1. Azure Portal にサインインします。Sign in to the Azure portal.

  2. [すべてのサービス] をクリックし、Azure AD Privileged Identity Management サービスを探します。Click All services and find the Azure AD Privileged Identity Management service.

    [すべてのサービス] でのAzure AD Privileged Identity Management

  3. PIM クイック スタートをクリックして開きます。Click to open the PIM Quickstart.

  4. PIM クイック スタート ブレードをダッシュボードにピン留めするには、 [ダッシュボードにブレードをピン留め] をオンにします。Check Pin blade to dashboard to pin the PIM Quickstart blade to the dashboard.

    ダッシュボードに PIM ブレードをピン留めするための押しピン アイコン

    Azure ダッシュボードでは、タイルが次のように表示されます。On the Azure dashboard, you'll see a tile like this:

    ダッシュボードの PIM クイック スタート タイル

次の手順Next steps