Privileged Identity Management で Azure AD ロールを割り当てるAssign Azure AD roles in Privileged Identity Management

全体管理者は、Azure Active Directory (Azure AD) を使用して、永続的な Azure AD 管理者ロールの割り当てを行うことができます。With Azure Active Directory (Azure AD), a Global administrator can make permanent Azure AD admin role assignments. こうしたロールの割り当ては、Azure portal または PowerShell のコマンド を使用して作成できます。These role assignments can be created using the Azure portal or using PowerShell commands.

永続的な管理ロールの割り当ては、特権ロール管理者が Azure AD Privileged Identity Management (PIM) サービスを使用して行うこともできます。The Azure AD Privileged Identity Management (PIM) service also allows Privileged Role Administrators to make permanent admin role assignments. さらに、特権ロール管理者は、ユーザーを Azure AD 管理者ロールの候補にすることもできます。Additionally, Privileged Role Administrators can make users eligible for Azure AD admin roles. 管理者候補は必要なときにロールをアクティブ化できます。作業が完了すると、そのアクセス許可は期限切れになります。An eligible administrator can activate the role when they need it, and then their permissions expire once they're done.

PIM のバージョンを判断するDetermine your version of PIM

2019 年 11 月以降、Privileged Identity Management の Azure AD ロール部分は、Azure リソース ロールのエクスペリエンスに一致する新しいバージョンに更新されます。Beginning in November 2019, the Azure AD roles portion of Privileged Identity Management is being updated to a new version that matches the experiences for Azure resource roles. これによって機能が追加され、既存の API の変更があります。This creates additional features as well as changes to the existing API. 新しいバージョンのロールアウト中、この記事で実行する手順は、現在お使いになっている Privileged Identity Management のバージョンによって異なります。While the new version is being rolled out, which procedures that you follow in this article depend on version of Privileged Identity Management you currently have. このセクションの手順に従って、お使いになっている Privileged Identity Management のバージョンを確認してください。Follow the steps in this section to determine which version of Privileged Identity Management you have. Privileged Identity Management のバージョンを確認したら、この記事に記載されている手順のうち、そのバージョンに一致するものを選択することができます。After you know your version of Privileged Identity Management, you can select the procedures in this article that match that version.

  1. 特権ロール管理者のロールであるユーザーで Azure portal にサインインします。Sign in to the Azure portal with a user who is in the Privileged role administrator role.

  2. [Azure AD Privileged Identity Management] を開きます。Open Azure AD Privileged Identity Management. 概要ページの上部にバナーが表示されている場合は、この記事の [新しいバージョン] タブの指示に従ってください。If you have a banner on the top of the overview page, follow the instructions in the New version tab of this article. それ以外の場合は、 [以前のバージョン] タブの指示に従ってください。Otherwise, follow the instructions in the Previous version tab.

    Azure AD ロールの新しいバージョン

ユーザーをロールの候補にするMake a user eligible for a role

ユーザーを Azure AD 管理者ロールの候補にするには、次の手順を実行します。Follow these steps to make a user eligible for an Azure AD admin role.

  1. [ロール] または [メンバー] をクリックします。Select Roles or Members.

    Azure AD ロール

  2. [メンバーの追加] を選択して [管理されるメンバーの追加] を開きます。Select Add member to open Add managed members.

  3. [Select a role](ロールを選択する) をクリックして、管理するロールをクリックし、 [選択] をクリックします。Select Select a role, select a role you want to manage, and then select Select.

    ロールを選択する

  4. [メンバーの選択] を選択してロールに割り当てるユーザーを選択し、 [選択] を選択します。Select Select members, select the users you want to assign to the role, and then select Select.

    ロールを選択する

  5. [管理されるメンバーの追加][OK] を選択し、ロールにユーザーを追加します。In Add managed members, select OK to add the user to the role.

  6. ロールの一覧で、割り当てたロールを選択してメンバーの一覧を表示します。In the list of roles, select the role you just assigned to see the list of members.

    ロールが割り当てられると、選択したユーザーが、ロールの候補としてメンバー リストに表示されます。When the role is assigned, the user you selected will appear in the members list as Eligible for the role.

    ロールの候補となるユーザー

  7. これで、そのユーザーがロールの対象となりました。ユーザーに、Privileged Identity Management での自分の Azure AD ロールのアクティブ化に関するページの手順に従ってロールをアクティブ化できることを知らせてください。Now that the user is eligible for the role, let them know that they can activate it according to the instructions in Activate my Azure AD roles in Privileged Identity Management.

    管理者候補は、アクティブ化時に Azure Multi-Factor Authentication (MFA) への登録が求められます。Eligible administrators are asked to register for Azure Multi-Factor Authentication (MFA) during activation. ユーザーが MFA に登録できない場合、または Microsoft アカウント (@outlook.com など) を使用している場合は、すべてのロールでこのユーザーを永続化する必要があります。If a user cannot register for MFA, or is using a Microsoft account (such as @outlook.com), you need to make them permanent in all their roles.

ロールの割り当てを永続化するMake a role assignment permanent

既定では、新しいユーザーは、あくまで Azure AD 管理者ロールの候補でしかありません。By default, new users are only eligible for an Azure AD admin role. ロールの割り当てを永続化する場合は、次の手順に従ってください。Follow these steps if you want to make a role assignment permanent.

  1. [Azure AD Privileged Identity Management] を開きます。Open Azure AD Privileged Identity Management.

  2. [Azure AD ロール] を選択します。Select Azure AD roles.

  3. [メンバー] を選択します。Select Members.

    メンバーの一覧

  4. 永続化する候補ロールを選択します。Select an Eligible role that you want to make permanent.

  5. [その他] を選択し、 [永続化] を選択します。Select More and then select Make perm.

    ロールの割り当てを永続化する

    ロールが永続として表示されています。The role is now listed as permanent.

    永続化されたメンバーの一覧が変化

ユーザーをロールから削除するRemove a user from a role

ロールの割り当てからユーザーを削除することはできますが、必ず、永続的な全体管理者が少なくとも 1 人は常に存在するようにしてください。You can remove users from role assignments, but make sure there is always at least one user who is a permanent Global administrator. どのユーザーに引き続きロールの割り当てが必要であるかわからない場合は、ロールのアクセス レビューを開始してください。If you're not sure which users still need their role assignments, you can start an access review for the role.

特定のユーザーを Azure AD 管理者ロールから削除するには、次の手順に従います。Follow these steps to remove a specific user from an Azure AD admin role.

  1. [Azure AD Privileged Identity Management] を開きます。Open Azure AD Privileged Identity Management.

  2. [Azure AD ロール] を選択します。Select Azure AD roles.

  3. [メンバー] を選択します。Select Members.

    メンバーの一覧

  4. 削除するロールの割り当てを選択します。Select a role assignment you want to remove.

  5. [その他] を選択し、 [削除] を選択します。Select More and then select Remove.

    ロールの削除

  6. 確認を求めるメッセージで [はい] を選択します。In the message that asks you to confirm, select Yes.

    ロールの削除

    ロールの割り当てが削除されました。The role assignment is removed.

ロールの割り当て時の承認エラーAuthorization error when assigning roles

サブスクリプション用に Privileged Identity Management を最近有効にしており、ユーザーを Azure AD 管理者ロールの対象にしようとすると承認エラーが表示される場合は、MS-PIM サービス プリンシパルがまだ適切なアクセス許可を持っていないためである可能性があります。If you recently enabled Privileged Identity Management for a subscription and you get an authorization error when you try to make a user eligible for an Azure AD admin role, it might be because the MS-PIM service principal does not yet have the appropriate permissions. MS PIM サービス プリンシパルには、他のユーザーにロールを割り当てるためのユーザー アクセス管理者ロールが必要です。The MS-PIM service principal must have the User Access Administrator role to assign roles to others. MS PIM にユーザー アクセス管理者ロールが割り当てられるまで待つ代わりに、それを手動で割り当てることができます。Instead of waiting until MS-PIM is assigned the User Access Administrator role, you can assign it manually.

以下の手順に従って、MS PIM サービス プリンシパルにサブスクリプション用のユーザー アクセス管理者ロールを割り当てます。Follow these steps to assign the User Access Administrator role to the MS-PIM service principal for a subscription.

  1. Azure Portal にグローバル管理者としてサインインします。Sign into the Azure portal as a Global Administrator.

  2. [すべてのサービス][サブスクリプション] の順に選択します。Choose All services and then Subscriptions.

  3. サブスクリプションを選択します。Choose your subscription.

  4. [アクセス制御 (IAM)] を選択します。Choose Access control (IAM).

  5. [ロールの割り当て] を選択すると、サブスクリプションをスコープとするロールの割り当ての現在の一覧が表示されます。Choose Role assignments to see the current list of role assignments at the subscription scope.

    サブスクリプションの [アクセス制御 (IAM)] ブレード

  6. MS PIMサービス プリンシパルにユーザー アクセス管理者ロールが割り当てられているかどうかを確認します。Check whether the MS-PIM service principal is assigned the User Access Administrator role.

  7. そうなっていない場合、 [ロールの割り当ての追加] を選択して、 [ロールの割り当ての追加] ウィンドウを開きます。If not, choose Add role assignment to open the Add role assignment pane.

  8. [ロール] ドロップダウン リストで、 [ユーザー アクセス管理者] ロールを選択します。In the Role drop-down list, select the User Access Administrator role.

  9. [選択] リストで、 [MS PIM] サービス プリンシパルを見つけて選択します。In the Select list, find and select the MS-PIM service principal.

    [ロールの割り当ての追加] ウィンドウ - MS-PIM サービス プリンシパルにアクセス許可を追加する

  10. [保存] を選択して、ロールを割り当てます。Choose Save to assign the role.

    しばらくすると、MS PIM サービス プリンシパルに、サブスクリプション スコープでユーザー アクセス管理者ロールが割り当てられます。After a few moments, the MS-PIM service principal is assigned the User Access Administrator role at the subscription scope.

    MS-PIM サービス プリンシパルに対するユーザー アクセス管理者ロールの割り当てを示すアクセス制御ページ

次のステップNext steps