PIM で Azure AD ロールをアクティブ化するActivate my Azure AD roles in PIM

Azure Active Directory (Azure AD) Privileged Identity Management (PIM) を使用すると、企業における Azure AD や他の Microsoft オンライン サービス (Office 365 や Microsoft Intune など) のリソースへの特権アクセスの管理が簡略化されます。Azure Active Directory (Azure AD) Privileged Identity Management (PIM) simplifies how enterprises manage privileged access to resources in Azure AD and other Microsoft online services like Office 365 or Microsoft Intune.

管理ロールの候補者となっている場合は、特権の必要な操作を実行する必要のあるときにロールをアクティブにできます。If you have been made eligible for an administrative role, that means you can activate that role when you need to perform privileged actions. たとえば、Office 365 の機能をときどきしか管理しないユーザーは、組織の特権ロール管理者によって永続的なグローバル管理者には設定されない可能性があります。このロールは他のサービスにも影響を与えるからです。For example, if you occasionally manage Office 365 features, your organization's privileged role administrators may not make you a permanent Global Administrator, since that role impacts other services, too. その代わりに、Exchange Online 管理者などの Azure AD ロールが割り当てられます。Instead, they make you eligible for Azure AD roles such as Exchange Online Administrator. このような権限が必要な場合には、ロールをアクティブ化することを要求できます。それにより、事前に定義された期間だけ管理者権限が付与されます。You can request to activate that role when you need its privileges, and then you'll have administrator control for a predetermined time period.

この記事は、PIM で Azure AD ロールをアクティブにする必要がある管理者向けです。This article is for administrators who need to activate their Azure AD role in PIM.

ロールのアクティブ化Activate a role

Azure AD ロールを有効にする必要がある場合は、PIM の [自分のロール] ナビゲーション オプションを使用してアクティブ化を要求できます。When you need to take on an Azure AD role, you can request activation by using the My roles navigation option in PIM.

  1. Azure Portal にサインインします。Sign in to the Azure portal.

  2. [Azure AD Privileged Identity Management] を開きます。Open Azure AD Privileged Identity Management. ダッシュボードに PIM タイルを追加する方法については、「PIM の使用を開始する」をご覧ください。For information about how to add the PIM tile to your dashboard, see Start using PIM.

  3. [Azure AD roles](Azure AD ロール) をクリックします。Click Azure AD roles.

  4. [自分のロール] をクリックして、対象の Azure AD ロールの一覧を表示します。Click My roles to see a list of your eligible Azure AD roles.

    資格のあるロールまたはアクティブなロールの一覧を表示した [Azure AD ロール - 自分のロール]

  5. アクティブにするロールを探します。Find a role that you want to activate.

    アクティブ化リンクを示す [Azure AD ロール - 自分のロール] 一覧

  6. [アクティブ化] をクリックして、[ロールのアクティブ化の詳細] ウィンドウを開きます。Click Activate to open the Role activation details pane.

  7. お使いのロールで多要素認証 (MFA) が必要な場合は、 [続行する前に ID を確認してください] をクリックします。If your role requires multi-factor authentication (MFA), click Verify your identity before proceeding. 認証は、セッションごとに 1 回だけ行う必要があります。You only have to authenticate once per session.

    ロールをアクティブ化する前に MFA で自分の ID ウィンドウを確認する

  8. [ID を確認] をクリックし、指示に従って追加のセキュリティ確認を提供します。Click Verify my identity and follow the instructions to provide additional security verification.

    連絡方法を質問する追加のセキュリティ確認ページ

  9. [アクティブ化] をクリックして、[アクティブ化] ウィンドウを開きます。Click Activate to open the Activation pane.

    開始時刻、期間、チケット、理由を指定する [アクティブ化] ウィンドウ

  10. 必要に応じて、カスタムのアクティブ化開始時刻を指定します。If necessary, specify a custom activation start time.

  11. アクティブ化の期間を指定します。Specify the activation duration.

  12. [アクティブ化の理由] ボックスに、アクティブ化要求の理由を入力します。In the Activation reason box, enter the reason for the activation request. 一部のロールでは、トラブル チケット番号を入力するように求められます。Some roles require you to supply a trouble ticket number.

    カスタムの開始時刻、期間、チケット、理由を入力した [アクティブ化] ウィンドウ

  13. [アクティブ化] をクリックします。Click Activate.

    ロールに承認が必要ない場合、 [アクティブ化の状態] ウィンドウが表示され、アクティブ化の状態が示されます。If the role does not require approval, an Activation status pane appears that displays the status of the activation.

    アクティブ化の 3 つのステージを表示した [アクティブ化の状態] ページ

    すべてのステージが完了したら、 [サインアウト] リンクをクリックして、Azure portal からサインアウトします。Once all the stages are complete, click the Sign out link to sign out of the Azure portal. ポータルにもう一度サインインすると、ロールを使用できるようになります。When you sign back in to the portal, you can now use the role.

    アクティブ化に承認が必要なロールの場合は、ブラウザーの右上隅に通知が表示され、承認待ちになっていることが示されます。If the role requires approval to activate, a notification will appear in the upper right corner of your browser informing you the request is pending approval.

    アクティブ化要求は承認通知待ち中

要求の状態を表示するView the status of your requests

保留中のアクティブ化要求の状態を表示することができます。You can view the status of your pending requests to activate.

  1. Azure AD Privileged Identity Management を開きます。Open Azure AD Privileged Identity Management.

  2. [Azure AD roles](Azure AD ロール) をクリックします。Click Azure AD roles.

  3. [個人の要求] をクリックして、要求の一覧を表示します。Click My requests to see a list of your requests.

    [Azure AD ロール - 個人の要求]

ロールの非アクティブ化Deactivate a role

ロールは、アクティブになった後、期限 (資格のある期間) に達すると自動的に非アクティブになります。Once a role has been activated, it automatically deactivates when its time limit (eligible duration) is reached.

管理者タスクを早期に終了した場合は、Azure AD Privileged Identity Management でロールを手動で非アクティブにすることもできます。If you complete your administrator tasks early, you can also deactivate a role manually in Azure AD Privileged Identity Management.

  1. Azure AD Privileged Identity Management を開きます。Open Azure AD Privileged Identity Management.

  2. [Azure AD roles](Azure AD ロール) をクリックします。Click Azure AD roles.

  3. [自分のロール] をクリックします。Click My roles.

  4. [アクティブなロール] をクリックして、アクティブなロールの一覧を表示します。Click Active roles to see your list of active roles.

  5. 使用が終了したロールを探し、 [非アクティブ化] をクリックします。Find the role you're done using and then click Deactivate.

保留中の要求をキャンセルするCancel a pending request

承認が要求されるロールのアクティブ化を必要としない場合、保留中の要求をいつでもキャンセルできます。If you do not require activation of a role that requires approval, you can cancel a pending request at any time.

  1. Azure AD Privileged Identity Management を開きます。Open Azure AD Privileged Identity Management.

  2. [Azure AD roles](Azure AD ロール) をクリックします。Click Azure AD roles.

  3. [個人の要求] をクリックします。Click My requests.

  4. キャンセルするロールの [キャンセル] ボタンをクリックします。For the role that you want to cancel, click the Cancel button.

    [キャンセル] をクリックすると、要求が取り消されます。When you click Cancel, the request will be canceled. ロールを再びアクティブにするには、新しいアクティブ化要求を送信する必要があります。To activate the role again, you will have to submit a new request for activation.

    [キャンセル] ボタンが強調表示された個人の要求の一覧

トラブルシューティングTroubleshoot

ロールをアクティブにした後、アクセス許可が付与されないPermissions are not granted after activating a role

PIM でロールをアクティブにしても、アクティブ化は特権ロールを必要とするすべてのポータルにすぐに反映されない場合があります。When you activate a role in PIM, the activation may not instantly propagate to all portals that require the privileged role. 場合によっては、変更が反映されても、ポータルにおける Web キャッシュが原因で、変更がすぐに有効にならないことがあります。Sometimes, even if the change is propagated, web caching in a portal may result in the change not taking effect immediately. アクティブ化が遅延している場合は、次の手順を行ってください。If your activation is delayed, here is what you should do.

  1. Azure portal からサインアウトした後に、もう一度サインインします。Sign out of the Azure portal and then sign back in.

    Azure AD ロールをアクティブにすると、アクティブ化の各ステージが順次表示されます。When you activate an Azure AD role, you will see the stages of your activation. すべてのステージが完了すると、 [サインアウト] リンクが表示されます。Once all the stages are complete, you will see a Sign out link. このリンクを使用してサインアウトできます。これにより、ほとんどの場合、アクティブ化の遅延は解決します。You can use this link to sign out. This will solve most cases for activation delay.

  2. PIM で自分がロールのメンバーとして表示されていることを確認します。In PIM, verify that you are listed as the member of the role.

次の手順Next steps