PIM で Azure AD ロールをアクティブ化する

Azure Active Directory (Azure AD) Privileged Identity Management (PIM) を使用すると、企業における Azure AD や他の Microsoft オンライン サービス (Microsoft 365 や Microsoft Intune など) のリソースへの特権アクセスの管理が簡略化されます。

管理ロールの候補者となっている場合は、特権が必要な操作を実行する必要があるときに、ロールの割り当てをアクティブにできます。 たとえば、Microsoft 365 の機能をときどきしか管理しないユーザーは、組織の特権ロール管理者によって永続的なグローバル管理者には設定されない可能性があります。このロールは他のサービスにも影響を与えるからです。 その代わりに、Exchange Online 管理者などの Azure AD ロールが割り当てられます。 このような権限が必要な場合には、ロールをアクティブ化することを要求できます。それにより、事前に定義された期間だけ管理者権限が付与されます。

この記事は、Privileged Identity Management で自分の Azure AD ロールをアクティブ化する必要のある管理者を対象としています。

ロールのアクティブ化

Azure AD ロールを想定する必要がある場合は、Privileged Identity Management で [自分のロール] を開いてアクティブ化を要求できます。

  1. Azure portal にサインインします。

  2. [Azure AD Privileged Identity Management] を開きます。 ダッシュボードに [Privileged Identity Management] タイルを追加する方法については、「Privileged Identity Management の使用開始」を参照してください。

  3. [自分のロール] を選択し、 [Azure AD ロール] を選択して、資格がある Azure AD ロールの一覧を表示します。

    My roles page showing roles you can activate

  4. [Azure AD ロール] の一覧で、アクティブにするロールを見つけます。

    Azure AD roles - My eligible roles list

  5. [アクティブ化] を選択して、[アクティブ化] ウィンドウを開きます。

    Azure AD roles - activation page contains duration and scope

  6. [追加の検証が必要] を選択し、指示に従ってセキュリティ確認を提供します。 認証が要求されるのは、各セッションにつき 1 回だけです。

    Screen to provide security verification such as a PIN code

  7. 多要素認証の後に、[続行する前にアクティブにする] を選択します。

    Verify my identity with MFA before role activates

  8. より狭いスコープを指定する場合は、 [Scope](スコープ) を選択して [フィルター] ペインを開きます。 [フィルター] ペインでは、アクセス権が必要な Azure AD リソースを指定できます。 必要最低限のリソースに対するアクセスを要求することをお勧めします。

  9. 必要に応じて、カスタムのアクティブ化開始時刻を指定します。 Azure AD ロールは、選択した時刻になるとアクティブになります。

  10. [理由] ボックスに、アクティブ化要求の理由を入力します。

  11. [アクティブ化] を選びます。

    アクティブ化に承認が必要なロールの場合は、ブラウザーの右上隅に通知が表示され、承認待ちになっていることが示されます。

    Activation request is pending approval notification

Microsoft Graph API を使用してロールをアクティブにする

PIM 向けの Microsoft Graph API の詳細については、「特権 ID 管理 (PIM) API を使用したロール管理の概要」を参照してください。

アクティブにできる、資格のあるロールをすべて取得する

ユーザーがグループ メンバーシップを使用して自分のロールの適格性を取得した場合、この Microsoft Graph 要求では適格性は返されません。

HTTP 要求

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests/filterByCurrentUser(on='principal')  

HTTP 応答

領域を節約するために、あるロールの応答のみが表示されていますが、アクティブにできる、資格のあるロールの割り当てすべてが一覧表示されます。

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleEligibilityScheduleRequest)",
    "value": [
        {
            "@odata.type": "#microsoft.graph.unifiedRoleEligibilityScheduleRequest",
            "id": "50d34326-f243-4540-8bb5-2af6692aafd0",
            "status": "Provisioned",
            "createdDateTime": "2022-04-12T18:26:08.843Z",
            "completedDateTime": "2022-04-12T18:26:08.89Z",
            "approvalId": null,
            "customData": null,
            "action": "adminAssign",
            "principalId": "3fbd929d-8c56-4462-851e-0eb9a7b3a2a5",
            "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
            "directoryScopeId": "/",
            "appScopeId": null,
            "isValidationOnly": false,
            "targetScheduleId": "50d34326-f243-4540-8bb5-2af6692aafd0",
            "justification": "Assign Attribute Assignment Admin eligibility to myself",
            "createdBy": {
                "application": null,
                "device": null,
                "user": {
                    "displayName": null,
                    "id": "3fbd929d-8c56-4462-851e-0eb9a7b3a2a5"
                }
            },
            "scheduleInfo": {
                "startDateTime": "2022-04-12T18:26:08.8911834Z",
                "recurrence": null,
                "expiration": {
                    "type": "afterDateTime",
                    "endDateTime": "2024-04-10T00:00:00Z",
                    "duration": null
                }
            },
            "ticketInfo": {
                "ticketNumber": null,
                "ticketSystem": null
            }
        }
    ]
}

正当な理由を指定してロールの適格性を自分でアクティブにする

HTTP 要求

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests 

{
    "action": "selfActivate",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
    "directoryScopeId": "/",
    "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
    "scheduleInfo": {
        "startDateTime": "2022-04-14T00:00:00.000Z",
        "expiration": {
            "type": "AfterDuration",
            "duration": "PT5H"
        }
    },
    "ticketInfo": {
        "ticketNumber": "CONTOSO:Normal-67890",
        "ticketSystem": "MS Project"
    }
}

HTTP 応答

HTTP/1.1 201 Created
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
    "id": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
    "status": "Granted",
    "createdDateTime": "2022-04-13T08:52:32.6485851Z",
    "completedDateTime": "2022-04-14T00:00:00Z",
    "approvalId": null,
    "customData": null,
    "action": "selfActivate",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
    "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "071cc716-8147-4397-a5ba-b2105951cc0b"
        }
    },
    "scheduleInfo": {
        "startDateTime": "2022-04-14T00:00:00Z",
        "recurrence": null,
        "expiration": {
            "type": "afterDuration",
            "endDateTime": null,
            "duration": "PT5H"
        }
    },
    "ticketInfo": {
        "ticketNumber": "CONTOSO:Normal-67890",
        "ticketSystem": "MS Project"
    }
}

アクティブ化要求の状態を表示する

保留中のアクティブ化要求の状態を表示することができます。

  1. Azure AD Privileged Identity Management を開きます。

  2. [My requests](個人の要求) を選択して、Azure AD ロールおよび Azure リソース ロール要求の一覧を表示します。

    My requests - Azure AD page showing your pending requests

  3. 右へスクロールして [Request Status](要求の状態) 列を表示します。

新しいバージョンの保留要求をキャンセルする

承認が要求されるロールのアクティブ化を必要としない場合、保留中の要求をいつでもキャンセルできます。

  1. Azure AD Privileged Identity Management を開きます。

  2. [My requests](個人の要求) を選択します。

  3. 取り消すロールの [キャンセル] リンクを選択します。

    [キャンセル] を選択すると、要求が取り消されます。 ロールを再びアクティブにするには、新しいアクティブ化要求を送信する必要があります。

    My request list with Cancel action highlighted

ロールの割り当てを非アクティブ化する

ロールの割り当てがアクティブになると、PIM ポータルにロールの割り当ての [非アクティブ化] オプションが表示されます。 [非アクティブ化] を選択したときには、ロールが非アクティブ化されるまでに短い時間のずれが発生します。 また、アクティブ化してから 5 分以内にロールの割り当てを非アクティブ化することはできません。

ポータルの遅延のトラブルシューティングを行う

ロールをアクティブにした後、アクセス許可が付与されない

Privileged Identity Management でロールをアクティブ化しても、アクティブ化が、特権ロールを必要とするすべてのポータルに直ちには伝播されない可能性があります。 変更が反映された場合でも、ポータルでの Web キャッシュのために変更が有効になるまでに遅延が発生することがあります。 アクティブ化が遅れている場合は、操作を実行しようとしているポータルからサインアウトしてから、もう一度サインインします。 Azure portal では、PIM により自動的にサインアウトし、もう一度サインインが行われます。

次のステップ