編集

PIM で Microsoft Entra ロールをアクティブ化する

  • 操作方法

Microsoft Entra Privileged Identity Management (PIM) を使用すると、企業が Microsoft Entra ID や他の Microsoft Online Services (Microsoft 365 や Microsoft Intune など) 内のリソースへの特権アクセスを管理する方法が簡略化されます。

管理ロールの候補者となっている場合は、特権が必要な操作を実行する必要があるときに、ロールの割り当てをアクティブにできます。 たとえば、Microsoft 365 の機能をときどきしか管理しないユーザーは、組織の特権ロール管理者によって永続的なグローバル管理者には設定されない可能性があります。このロールは他のサービスにも影響を与えるからです。 その代わりに、Exchange Online 管理者などの Microsoft Entra ロールが割り当てられます。 その特権が必要になった時点で、そのロールのアクティブ化を要求でき、その後、事前に定義された時間だけ管理者として制御できます。

この記事は、Privileged Identity Management で自分の Microsoft Entra ロールをアクティブ化する必要のある管理者を対象としています。

重要

ロールがアクティブ化されると、そのロールのアクティブな割り当てが Microsoft Entra PIM によって一時的に追加されます。 アクティブな割り当てが Microsoft Entra PIM によって数秒以内に作成されます (ユーザーがロールに割り当てられます)。 非アクティブ化が (手動またはアクティブ化の有効期限により) 発生する場合も、アクティブな割り当てが Microsoft Entra PIM によって数秒以内に削除されます。

アプリケーションへのアクセスは、ユーザーが持っているロールに基づいて許可される場合があります。 状況によっては、ロールがユーザーに割り当てられたり削除されたりしたことがアプリケーション アクセスにすぐに反映されない場合があります。 ユーザーがロールを持っていないということがアプリケーションによって以前にキャッシュされている場合、ユーザーがアプリケーションにもう一度アクセスしようとしても、アクセスできない可能性があります。 同様に、ユーザーがロールを持っているということがアプリケーションによって以前にキャッシュされている場合、ロールが非アクティブ化されていても、ユーザーは引き続きアクセスできる可能性があります。 特定の状況は、アプリケーションのアーキテクチャによって異なります。 一部のアプリケーションでは、サインアウトしてから再びサインインすると、アクセスの追加または削除を反映するのに役立つ場合があります。

前提条件

なし

ロールのアクティブ化

Microsoft Entra ロールを想定する必要がある場合は、Privileged Identity Management で [自分のロール] を開いてアクティブ化を要求できます。

Note

Azure mobile app (iOS と Android) で、Microsoft Entra ID と Azure リソースのロール用に、PIM を利用できるようになりました。 対象となる割り当てを簡単にアクティブにしたり、有効期限が切れたものの更新を要求したり、保留されている要求の状態を確認したりできます。 詳しくは後の説明をご覧ください

  1. Microsoft Entra 管理センター特権ロール管理者以上としてサインインします。

  2. [Identity governance] (ID ガバナンス)>[Privileged Identity Management]>[My roles] (自分のロール) の順に移動します。 ダッシュボードに [Privileged Identity Management] タイルを追加する方法については、「Privileged Identity Management の使用開始」を参照してください。

  3. [Microsoft Entra ロール] を選択して、対象となる Microsoft Entra ロールのリストを表示します。

    アクティブ化できるロールを表示した [自分のロール] ページ

  4. [Microsoft Entra ロール] のリストで、アクティブにするロールを見つけます。

    Microsoft Entra ロール - 資格があるロールのリスト

  5. [アクティブ化] を選択して、[アクティブ化] ウィンドウを開きます。

    Microsoft Entra ロール - 期間とスコープを含むアクティブ化ページ

  6. [追加の検証が必要] を選択し、指示に従ってセキュリティ確認を提供します。 認証が要求されるのは、各セッションにつき 1 回だけです。

    PIN コードなどのセキュリティ確認を提供するための画面

  7. 多要素認証の後に、[続行する前にアクティブにする] を選択します。

    ロールをアクティブ化する前に MFA で自分の ID を確認する

  8. より狭いスコープを指定する場合は、 [Scope](スコープ) を選択して [フィルター] ペインを開きます。 [フィルター] ペインでは、アクセス権が必要な Microsoft Entra リソースを指定できます。 必要最低限のリソースに対するアクセスを要求することをお勧めします。

  9. 必要に応じて、カスタムのアクティブ化開始時刻を指定します。 Microsoft Entra ロールは、選択した時刻になるとアクティブになります。

  10. [理由] ボックスに、アクティブ化要求の理由を入力します。

  11. [アクティブ化] を選びます。

    アクティブにするために承認が必要なロールの場合は、ブラウザーの右上隅に Azure の通知が表示され、要求が承認待ちになっていることが示されます。

    アクティブ化要求は承認通知待ち中

    Microsoft Graph API を使用してロールをアクティブにする

    PIM 向けの Microsoft Graph API の詳細については、「特権 ID 管理 (PIM) API を使用したロール管理の概要」を参照してください。

    アクティブにできる、資格のあるロールをすべて取得する

    ユーザーがグループ メンバーシップを使用して自分のロールの適格性を取得した場合、この Microsoft Graph 要求では適格性は返されません。

    HTTP 要求

    GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests/filterByCurrentUser(on='principal')

    HTTP 応答

    領域を節約するために、あるロールの応答のみが表示されていますが、アクティブにできる、資格のあるロールの割り当てすべてが一覧表示されます。

    {
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleEligibilityScheduleRequest)",
    "value": [
        {
            "@odata.type": "#microsoft.graph.unifiedRoleEligibilityScheduleRequest",
            "id": "50d34326-f243-4540-8bb5-2af6692aafd0",
            "status": "Provisioned",
            "createdDateTime": "2022-04-12T18:26:08.843Z",
            "completedDateTime": "2022-04-12T18:26:08.89Z",
            "approvalId": null,
            "customData": null,
            "action": "adminAssign",
            "principalId": "3fbd929d-8c56-4462-851e-0eb9a7b3a2a5",
            "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
            "directoryScopeId": "/",
            "appScopeId": null,
            "isValidationOnly": false,
            "targetScheduleId": "50d34326-f243-4540-8bb5-2af6692aafd0",
            "justification": "Assign Attribute Assignment Admin eligibility to myself",
            "createdBy": {
                "application": null,
                "device": null,
                "user": {
                    "displayName": null,
                    "id": "3fbd929d-8c56-4462-851e-0eb9a7b3a2a5"
                }
            },
            "scheduleInfo": {
                "startDateTime": "2022-04-12T18:26:08.8911834Z",
                "recurrence": null,
                "expiration": {
                    "type": "afterDateTime",
                    "endDateTime": "2024-04-10T00:00:00Z",
                    "duration": null
                }
            },
            "ticketInfo": {
                "ticketNumber": null,
                "ticketSystem": null
            }
        }
    ]
}

    正当な理由を指定してロールの適格性を自分でアクティブにする

    HTTP 要求

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests 

{
    "action": "selfActivate",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
    "directoryScopeId": "/",
    "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
    "scheduleInfo": {
        "startDateTime": "2022-04-14T00:00:00.000Z",
        "expiration": {
            "type": "AfterDuration",
            "duration": "PT5H"
        }
    },
    "ticketInfo": {
        "ticketNumber": "CONTOSO:Normal-67890",
        "ticketSystem": "MS Project"
    }
}

    HTTP 応答

    HTTP/1.1 201 Created
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
    "id": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
    "status": "Granted",
    "createdDateTime": "2022-04-13T08:52:32.6485851Z",
    "completedDateTime": "2022-04-14T00:00:00Z",
    "approvalId": null,
    "customData": null,
    "action": "selfActivate",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
    "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "071cc716-8147-4397-a5ba-b2105951cc0b"
        }
    },
    "scheduleInfo": {
        "startDateTime": "2022-04-14T00:00:00Z",
        "recurrence": null,
        "expiration": {
            "type": "afterDuration",
            "endDateTime": null,
            "duration": "PT5H"
        }
    },
    "ticketInfo": {
        "ticketNumber": "CONTOSO:Normal-67890",
        "ticketSystem": "MS Project"
    }
}

アクティブ化要求の状態を表示する

保留中のアクティブ化要求の状態を表示することができます。

  1. Microsoft Entra 管理センター特権ロール管理者以上としてサインインします。

  2. [ID ガバナンス]>[Privileged Identity Management]>[自分のロール] の順に移動します。

  3. [個人の要求] を選択すると、Microsoft Entra ロールおよび Azure リソース ロール要求のリストが表示されます。

    承認待ち中の要求を表示した [個人の要求] - Microsoft Entra ID ページのスクリーンショット

  4. 右へスクロールして [Request Status](要求の状態) 列を表示します。

新しいバージョンの保留要求をキャンセルする

承認が要求されるロールのアクティブ化を必要としない場合、保留中の要求をいつでもキャンセルできます。

  1. Microsoft Entra 管理センター特権ロール管理者以上としてサインインします。

  2. [ID ガバナンス]>[Privileged Identity Management]>[自分のロール] の順に移動します。

  3. 取り消すロールの [キャンセル] リンクを選択します。

    [キャンセル] を選択すると、要求が取り消されます。 ロールをもう一度アクティブにするには、新しいアクティブ化要求を送信する必要があります。

    [キャンセル] アクションが強調表示された個人の要求の一覧

ロールの割り当てを非アクティブ化する

ロールの割り当てがアクティブになると、PIM ポータルでロールの割り当てに [非アクティブ化] オプションが表示されます。 また、アクティブ化してから 5 分以内にロールの割り当てを非アクティブ化することはできません。

Azure mobile app を使用して PIM のロールをアクティブにする

Microsoft Entra ID と Azure リソース ロール モバイル アプリ (iOS と Android の両方) で、PIM を利用できるようになりました。

  1. 対象となる Microsoft Entra ロールの割り当てをアクティブにするには、最初に Azure mobile app (iOS | Android) をダウンロードします。 [Privileged Identity Management] > [マイ ロール] > [Microsoft Entra ロール] から [モバイルで開く] を選んで、アプリをダウンロードすることもできます。

    モバイル アプリをダウンロードする方法を示すスクリーンショット。

  2. Azure mobile app を開いてサインインします。 [Privileged Identity Management] カードを選び、[自分の Microsoft Entra ロール] を選んで、対象となるロールの割り当てとアクティブなロールの割り当てを表示します。

    ユーザーが使用可能なロールを表示する方法を示すモバイル アプリのスクリーンショット。

  3. ロールの割り当てを選び、ロールの割り当ての詳細の下にある [アクション] > [アクティブ化] をクリックします。 アクティブにして必要な詳細を入力する手順を完了した後、下部にある [アクティブ化] をクリックします。

    必要な情報を入力する方法をユーザーに示すモバイル アプリのスクリーンショット。

  4. [自分の Microsoft Entra ロール] の下で、アクティブ化要求の状態とロールの割り当てを確認します。

    ユーザーのロールの状態を示すモバイル アプリのスクリーンショット。

関連するコンテンツ