Privileged Identity Management で Microsoft Entra ロールの割り当てを延長または更新する
Microsoft Entra Privileged Identity Management (PIM) には、Microsoft Entra ID へのアクセスと割り当てのライフサイクルを管理するためのコントロールが用意されています。 管理者は、[開始日時] と [終了日時] プロパティを使用してメンバーシップを割り当てることができます。 割り当ての終了日時が近づくと、Privileged Identity Management は、影響を受けるユーザーまたはグループに電子メール通知を送信します。 適切なアクセスが確実に維持されるように、Microsoft Entra 管理者にもメール通知が送信されます。 アクセスが延長されなかった場合でも、割り当てを更新して、最大 30 日間、期限切れの状態のままで表示できます。
延長と更新を実行できるのは誰か
Microsoft Entra ロールの割り当てを拡張または更新できるのは、全体管理者または特権ロール管理者のみです。 影響を受けるユーザーまたはグループは、まもなく期限切れになるロールの延長と、既に期限切れになっているロールの更新を要求できます。
通知の送信時機
Privileged Identity Management は、14 日以内に期限切れになるロールの管理者と影響を受けるユーザーまたはグループに電子メール通知を送信します。電子メール通知は、有効期限の前日にも送信されます。 電子メールは、割り当てが正式に期限切れになったときにも送信されます。
管理者は、ユーザーまたはグループが期限が迫っているか期限切れになっているロールが期限の延長または更新を要求したときに通知を受信します。 管理者が承認または拒否として要求を解決すると、他のすべての管理者に決定が通知されます。 その後、要求したユーザーまたはグループに決定が通知されます。
ロールの割り当てを延長する
ロールの割り当ての延長または更新の要求、解決、または管理に関連する手順とユーザー インターフェイスの要点を次に示します。
有効期限が切れた割り当ての自動延長
ロールに割り当てられたユーザーは、[自分のロール] ページ ([Microsoft Entra ロール] か、Privileged Identity Management ポータルの最上位レベルの [自分のロール] ページのいずれか) の [資格あり] または [アクティブ] タブから、有効期限が切れるロールの割り当てを直接延長できます。 このポータルでは、ユーザーは 14 日後に期限切れになる有資格ロールと (割り当て済みの) アクティブ ロールの延長を要求できます。
![資格のあるロールと [アクション] 列が一覧表示されている [Microsoft Entra ロール] - [自分のロール] ページ。](media/pim-how-to-renew-extend/pim-extend-link-in-portal.png)
割り当ての終了日時が 14 日以内にある場合は、ユーザー インターフェイスの延長ボタンがアクティブ リンクになります。 次の例では、現在の日付が 3 月 27 日であると想定しています。
注意
ロールに割り当てられたグループの場合は、割り当てを継承している 1 人のユーザーがグループの割り当てを延長できないように、 [延長] リンクが利用できるようになることはありません。
このロールの割り当ての延長を要求するには、延長をクリックして要求フォームを開きます。
![[理由] ボックスがある [ロールの割り当ての延長] ペインを示すスクリーンショット。](media/pim-how-to-renew-extend/extend-role-assignment-request.png)
延長要求の理由を入力し、延長をクリックします。
注意
延長が必要な詳しい理由と希望の延長期間 (わかっている場合) を入力することをお勧めします。
管理者は、延長要求を確認する電子メール通知を受け取ります。 延長の要求が既に送信されている場合は、Azure の通知がポータルに表示されます。
[保留中の要求] ページに移動して、要求の状態を確認します。要求をキャンセルすることもできます。
![保留中の要求とキャンセルのためのリンクが一覧表示されている [Microsoft Entra ロール] - [保留中の要求] ページを示すスクリーンショット。](media/pim-how-to-renew-extend/pending-requests.png)
管理者に承認された延長
ユーザーまたはグループがグループの割り当ての延長を求める要求を送信すると、管理者は、元の割り当ての詳細と要求の理由を含む電子メール通知を受信します。 通知には、管理者が要求を承認または拒否するための直接リンクが含まれています。
電子メール内のリンクに加え、管理者は、Privileged Identity Management の管理ポータルに移動し、左側のペインから [要求の承認] を選択することで、要求を承認または拒否できます。
![要求と承認または拒否するためのリンクが一覧表示されている [Microsoft Entra ロール] - [要求の承認] ページを示すスクリーンショット。](media/pim-how-to-renew-extend/extend-admin-approve-list.png)
管理者が [承認] または [拒否] を選択すると、要求の詳細が、監査ログ用の業務上の正当な理由を入力するフィールドと共に表示されます。
![[要求元の理由]、[割り当ての種類]、[開始時刻]、[終了時刻]、および [理由] がある [ロールの割り当て要求の承認] を示すスクリーンショット。](media/pim-how-to-renew-extend/extend-admin-approve-form.png)
要求を承認してロールの割り当てを延長するとき、管理者は、新しい開始日時、終了日時、および割り当ての種類を選択できます。 管理者が特定のタスク を完了するためのアクセス制限 を指定する (たとえば 1 日だけ延長する) 場合は、割り当ての種類の変更が必要になることがあります。 この例では、管理者は、割り当ての種類を有資格からアクティブに変更できます。 つまり、アクティブ化の必要がないアクセスを要求者に提供できます。
管理者による延長
ロールに割り当てられたユーザーがロールの割り当ての延長を要求しない場合、管理者がユーザーの代わりに割り当てを延長できます。 管理者によるロールの割り当ての延長には承認は必要ありませんが、ロールの延長の完了時に他のすべての管理者に通知が送信されます。
ロールの割り当てを延長するには、Privileged Identity Management のロールまたは割り当てビューを参照します。 延長する必要がある割り当てを探します。 そして、[アクション] 列の延長をクリックします。
![資格のあるロールと延長のためのリンクが一覧表示されている [Microsoft Entra ロール] - [割り当て] ページを示すスクリーンショット。](media/pim-how-to-renew-extend/extend-admin-extend.png)
Microsoft Graph API を使用してロールの割り当てを拡張する
次の要求では、管理者が Microsoft Graph API を使ってアクティブな割り当てを拡張します。
HTTP 要求
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests
{
"action": "adminExtend",
"justification": "TEST",
"roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
"directoryScopeId": "/",
"principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
"scheduleInfo": {
"startDateTime": "2022-04-10T00:00:00Z",
"expiration": {
"type": "afterDuration",
"duration": "PT3H"
}
}
}
HTTP 応答
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
"id": "c3a3aa36-22e2-4240-8e4c-ea2a3af7c30f",
"status": "Provisioned",
"createdDateTime": "2022-05-13T16:18:36.3647674Z",
"completedDateTime": "2022-05-13T16:18:40.0835993Z",
"approvalId": null,
"customData": null,
"action": "adminExtend",
"principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
"roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
"directoryScopeId": "/",
"appScopeId": null,
"isValidationOnly": false,
"targetScheduleId": "c3a3aa36-22e2-4240-8e4c-ea2a3af7c30f",
"justification": "TEST",
"createdBy": {
"application": null,
"device": null,
"user": {
"displayName": null,
"id": "3fbd929d-8c56-4462-851e-0eb9a7b3a2a5"
}
},
"scheduleInfo": {
"startDateTime": "2022-05-13T16:18:40.0835993Z",
"recurrence": null,
"expiration": {
"type": "afterDuration",
"endDateTime": null,
"duration": "PT3H"
}
},
"ticketInfo": {
"ticketNumber": null,
"ticketSystem": null
}
}
ロールの割り当ての更新
概念上は似ていますが、有効期限が切れたロールの割り当てを更新するプロセスは、メンバーにとっても管理者にとっても、延長の要求とは異なっています。 割り当てと管理者は、次の手順を使用して、必要な場合に有効期限が切れたロールへのアクセスを更新できます。
自己更新
リソースにアクセスできなくなったユーザーは、最大 30 日間分の有効期限が切れた割り当て履歴にアクセスできます。 これを行うには、左ペインで [自分のロール] に移動し、[Microsoft Entra ロール] セクションの [期限切れのロール] タブを選びます。
![[自分のロール] ページ - [期限切れのロール] タブを示すスクリーンショット。](media/pim-how-to-renew-extend/renew-from-myroles.png)
ロールの一覧には、有資格の割り当てが既定で表示されます。 [有資格] または [アクティブ] の割り当て済みロールを選択します。
一覧のいずれかのロールの割り当ての更新を要求するには、更新アクションを選択します。 そして、要求の理由を入力します。 詳しい理由または業務上の正当な理由を加えて延長期間を入力すると、管理者が承認するか拒否するかを決定する際に役立ちます。
![[理由] ボックスが表示されている [ロールの割り当ての更新] ペインを示すスクリーンショット。](media/pim-how-to-renew-extend/renew-request-form.png)
要求が送信されると、管理者は、ロールの割り当ての更新を求めている保留中の要求の通知を受信します。
管理者による承認
Microsoft Entra 管理者は、メール通知内のリンクから更新要求にアクセスするか、Microsoft Entra 管理センターから Privileged Identity Management にアクセスし、PIM の [申請の承認] を選んで更新要求にアクセスできます。
管理者が [承認] または [拒否] を選択すると、要求の詳細が、監査ログ用の業務上の正当な理由を入力するフィールドと共に表示されます。
要求を承認してロールの割り当てを更新するとき、管理者は、新しい開始日時、終了日時、および割り当ての種類を入力する必要があります。
管理者による更新
または Microsoft Entra ロールの [期限切れのロール] タブで、有効期限が切れているロールの割り当てを更新できます。 有効期限が切れたすべてのロールの割り当ての一覧を表示するには、 [割り当て] 画面で [期限切れのロール] を選択します。
![有効期限が切れたロールと更新のためのリンクが一覧表示されている [Microsoft Entra ロール] - [割り当て] ページのスクリーンショット。](media/pim-how-to-renew-extend/renew-from-assignments-pane.png)