PIM で Azure AD ロールを割り当てるAssign Azure AD roles in PIM

全体管理者は、Azure Active Directory (Azure AD) を使用して、永続的な Azure AD 管理者ロールの割り当てを行うことができます。With Azure Active Directory (Azure AD), a Global administrator can make permanent Azure AD admin role assignments. こうしたロールの割り当ては、Azure portal または PowerShell のコマンド を使用して作成できます。These role assignments can be created using the Azure portal or using PowerShell commands.

永続的な管理ロールの割り当ては、特権ロール管理者が Azure AD Privileged Identity Management (PIM) サービスを使用して行うこともできます。The Azure AD Privileged Identity Management (PIM) service also allows Privileged Role Administrators to make permanent admin role assignments. さらに、特権ロール管理者は、ユーザーを Azure AD 管理者ロールの候補にすることもできます。Additionally, Privileged Role Administrators can make users eligible for Azure AD admin roles. 管理者候補は必要なときにロールをアクティブ化できます。作業が完了すると、そのアクセス許可は期限切れになります。An eligible administrator can activate the role when they need it, and then their permissions expire once they're done.

ユーザーをロールの候補にするMake a user eligible for a role

ユーザーを Azure AD 管理者ロールの候補にするには、次の手順を実行します。Follow these steps to make a user eligible for an Azure AD admin role.

  1. 特権ロール管理者ロールのメンバー ユーザーで Azure portal にサインインします。Sign in to Azure portal with a user that is a member of the Privileged Role Administrator role.

    PIM を管理するためのアクセス権を別の管理者に付与する方法については、「PIM を管理する他の管理者にアクセス権を付与する」をご覧ください。For information about how to grant another administrator access to manage PIM, see Grant access to other administrators to manage PIM.

  2. [Azure AD Privileged Identity Management] を開きます。Open Azure AD Privileged Identity Management.

    Azure portal で PIM をまだ開始していない場合は、「PIM の使用を開始する」をご覧ください。If you haven't started PIM in the Azure portal yet, go to Start using PIM.

  3. [Azure AD roles](Azure AD ロール) をクリックします。Click Azure AD roles.

  4. [ロール] または [メンバー] をクリックします。Click Roles or Members.

    Azure AD ロール

  5. [メンバーの追加] をクリックして [管理されるメンバーの追加] を開きます。Click Add member to open Add managed members.

  6. [Select a role](ロールを選択する) をクリックして、管理するロールをクリックし、 [選択] をクリックします。Click Select a role, click a role you want to manage, and then click Select.

    ロールを選択する

  7. [メンバーの選択] をクリックしてロールに割り当てるユーザーを選択し、 [選択] をクリックします。Click Select members, select the users you want to assign to the role, and then click Select.

    ロールを選択する

  8. [管理されるメンバーの追加] で [OK] をクリックし、ロールにユーザーを追加します。In Add managed members, click OK to add the user to the role.

  9. ロールの一覧で、割り当てたロールをクリックしてメンバーの一覧を表示します。In the list of roles, click the role you just assigned to see the list of members.

    ロールが割り当てられると、選択したユーザーが、ロールの候補としてメンバー リストに表示されます。When the role is assigned, the user you selected will appear in the members list as Eligible for the role.

    ロールの候補となるユーザー

  10. これで、ユーザーがロールの候補者になりました。「PIM で自分の Azure AD ロールをアクティブにする」の指示に従って、ロールをアクティブ化できることをユーザーに通知します。Now that the user is eligible for the role, let them know that they can activate it according to the instructions in Activate my Azure AD roles in PIM.

    管理者候補は、アクティブ化時に Azure Multi-Factor Authentication (MFA) への登録が求められます。Eligible administrators are asked to register for Azure Multi-Factor Authentication (MFA) during activation. ユーザーが MFA に登録できない場合、または Microsoft アカウント (通常は @outlook.com) を使用している場合は、すべてのロールでこのユーザーを永続化する必要があります。If a user cannot register for MFA, or is using a Microsoft account (usually @outlook.com), you need to make them permanent in all their roles.

ロールの割り当てを永続化するMake a role assignment permanent

既定では、新しいユーザーは、あくまで Azure AD 管理者ロールの候補でしかありません。By default, new users are only Eligible for an Azure AD admin role. ロールの割り当てを永続化する場合は、次の手順に従ってください。Follow these steps if you want to make a role assignment permanent.

  1. [Azure AD Privileged Identity Management] を開きます。Open Azure AD Privileged Identity Management.

  2. [Azure AD roles](Azure AD ロール) をクリックします。Click Azure AD roles.

  3. [メンバー] をクリックします。Click Members.

    メンバーの一覧

  4. 永続化する候補ロールをクリックします。Click an Eligible role that you want to make permanent.

  5. [More](その他) をクリックして [永続化] をクリックします。Click More and then click Make perm.

    ロールの割り当てを永続化する

    ロールが永続として表示されています。The role is now listed as permanent.

    永続化されたメンバーの一覧が変化

ユーザーをロールから削除するRemove a user from a role

ロールの割り当てからユーザーを削除することはできますが、必ず、永続的な全体管理者が少なくとも 1 人は常に存在するようにしてください。You can remove users from role assignments, but make sure there is always at least one user who is a permanent Global Administrator. どのユーザーに引き続きロールの割り当てが必要であるかわからない場合は、ロールのアクセス レビューを開始してください。If you're not sure which users still need their role assignments, you can start an access review for the role.

特定のユーザーを Azure AD 管理者ロールから削除するには、次の手順に従います。Follow these steps to remove a specific user from an Azure AD admin role.

  1. [Azure AD Privileged Identity Management] を開きます。Open Azure AD Privileged Identity Management.

  2. [Azure AD roles](Azure AD ロール) をクリックします。Click Azure AD roles.

  3. [メンバー] をクリックします。Click Members.

    メンバーの一覧

  4. 削除するロールの割り当てをクリックします。Click a role assignment you want to remove.

  5. [More](その他) をクリックして [削除] をクリックします。Click More and then click Remove.

    ロールの削除

  6. 確認を求めるメッセージで [はい] をクリックします。In the message that asks you to confirm, click Yes.

    ロールの削除

    ロールの割り当てが削除されました。The role assignment is removed.

ロールの割り当て時の承認エラーAuthorization error when assigning roles

サブスクリプション用に PIM を最近有効化し、ユーザーを Azure AD 管理者ロールの対象にしようとして承認エラーが発生した場合、MS PIM サービス プリンシパルにまだ適切なアクセス許可がないためである可能性があります。If you recently enabled PIM for a subscription and you get an authorization error when you try to make a user eligible for an Azure AD admin role, it might be because the MS-PIM service principle does not yet have the appropriate permissions. MS PIM サービス プリンシパルには、他のユーザーにロールを割り当てるためのユーザー アクセス管理者ロールが必要です。The MS-PIM service principle must have the User Access Administrator role to assign roles to others. MS PIM にユーザー アクセス管理者ロールが割り当てられるまで待つ代わりに、それを手動で割り当てることができます。Instead of waiting until MS-PIM is assigned the User Access Administrator role, you can assign it manually.

以下の手順に従って、MS PIM サービス プリンシパルにサブスクリプション用のユーザー アクセス管理者ロールを割り当てます。Follow these steps to assign the User Access Administrator role to the MS-PIM service principal for a subscription.

  1. Azure Portal にグローバル管理者としてサインインします。Sign into the Azure portal as a Global Administrator.

  2. [すべてのサービス][サブスクリプション] の順に選択します。Choose All services and then Subscriptions.

  3. サブスクリプションを選択します。Choose your subscription.

  4. [アクセス制御 (IAM)] を選択します。Choose Access control (IAM).

  5. [ロールの割り当て] を選択すると、サブスクリプションをスコープとするロールの割り当ての現在の一覧が表示されます。Choose Role assignments to see the current list of role assignments at the subscription scope.

    サブスクリプションの [アクセス制御 (IAM)] ブレード

  6. MS PIMサービス プリンシパルにユーザー アクセス管理者ロールが割り当てられているかどうかを確認します。Check whether the MS-PIM service principal is assigned the User Access Administrator role.

  7. そうなっていない場合、 [ロールの割り当ての追加] を選択して、 [ロールの割り当ての追加] ウィンドウを開きます。If not, choose Add role assignment to open the Add role assignment pane.

  8. [ロール] ドロップダウン リストで、 [ユーザー アクセス管理者] ロールを選択します。In the Role drop-down list, select the User Access Administrator role.

  9. [選択] リストで、 [MS PIM] サービス プリンシパルを見つけて選択します。In the Select list, find and select the MS-PIM service principal.

    MS PIM のアクセス許可を追加する

  10. [保存] を選択して、ロールを割り当てます。Choose Save to assign the role.

    しばらくすると、MS PIM サービス プリンシパルに、サブスクリプション スコープでユーザー アクセス管理者ロールが割り当てられます。After a few moments, the MS-PIM service principal is assigned the User Access Administrator role at the subscription scope.

    MS-PIM のユーザー アクセス管理者ロール

次の手順Next steps