Privileged Identity Management で Azure リソース ロールを割り当てるAssign Azure resource roles in Privileged Identity Management

Azure Active Directory (Azure AD) Privileged Identity Management (PIM) では、組み込みの Azure リソース ロールと、以下を含むカスタム ロール (ただしこれらに限定されません) を管理できます。Azure Active Directory (Azure AD) Privileged Identity Management (PIM) can manage the built-in Azure resource roles, as well as custom roles, including (but not limited to):

  • OwnerOwner
  • User Access AdministratorUser Access Administrator
  • ContributorContributor
  • セキュリティ管理者Security Admin
  • Security ManagerSecurity Manager

注意

Azure AD でサブスクリプション管理を有効にする、所有者またはユーザー アクセス管理者サブスクリプション ロールに割り当てられたグループのユーザーまたはメンバー、および Azure AD 全体管理者には、既定でリソース管理者のアクセス許可が与えられます。Users or members of a group assigned to the Owner or User Access Administrator subscription roles, and Azure AD Global administrators that enable subscription management in Azure AD have Resource administrator permissions by default. これらの管理者は、ロールの割り当て、ロール設定の構成、Azure リソース用 Privileged Identity Management を使用したアクセスの確認ができます。These administrators can assign roles, configure role settings, and review access using Privileged Identity Management for Azure resources. リソース管理者のアクセス許可がないユーザーは、リソース用 Privileged Identity Management を管理できません。A user can't manage Privileged Identity Management for Resources without Resource administrator permissions. Azure リソースの組み込みロールの一覧をご確認ください。View the list of built-in roles for Azure resources.

ロールの割り当てAssign a role

ユーザーを Azure リソース ロールの候補にするには、次の手順を実行します。Follow these steps to make a user eligible for an Azure resource role.

  1. 特権ロール管理者ロールのメンバー ユーザーで Azure portal にサインインします。Sign in to Azure portal with a user that is a member of the Privileged role administrator role.

    Privileged Identity Management を管理するためのアクセス権を別の管理者に付与する方法については、「Privileged Identity Management を管理する他の管理者にアクセス権を付与する」を参照してください。For information about how to grant another administrator access to manage Privileged Identity Management, see Grant access to other administrators to manage Privileged Identity Management.

  2. [Azure AD Privileged Identity Management] を開きます。Open Azure AD Privileged Identity Management.

  3. [Azure リソース] を選択します。Select Azure resources.

  4. [リソース フィルター] を使用して、管理対象リソースの一覧をフィルター処理します。Use the Resource filter to filter the list of managed resources.

    管理する Azure リソースの一覧

  5. サブスクリプションや管理グループなど、管理するリソースを選択します。Select the resource you want to manage, such as a subscription or management group.

  6. [管理] の [ロール] を選択して、Azure リソースのロール一覧を表示します。Under Manage, select Roles to see the list of roles for Azure resources.

    Azure リソース ロール

  7. [メンバーの追加] を選択して [新しい割り当て] ペインを開きます。Select Add member to open the New assignment pane.

  8. [ロールを選択] を選択して [ロールを選択] ペインを開きます。Select Select a role to open the Select a role pane.

    [新しい割り当て] ウィンドウ

  9. 割り当てるロールを選択し、 [選択] をクリックします。Select a role you want to assign and then click Select.

    [メンバーまたはグループの選択] ウィンドウが開きます。The Select a member or group pane opens.

  10. ロールに割り当てるメンバーまたはグループを選択し、 [選択] をクリックします。Select a member or group you want to assign to the role and then click Select.

    [メンバーまたはグループの選択] ウィンドウ

    [メンバーシップ設定] ウィンドウが開きます。The Membership settings pane opens.

  11. [割り当ての種類] リストで [対象] または [アクティブ] を選択します。In the Assignment type list, select Eligible or Active.

    [メンバーシップ設定] ウィンドウ

    Azure リソース向けの Privileged Identity Management には、2 つの明確な割り当ての種類があります。Privileged Identity Management for Azure resources provides two distinct assignment types:

    • [対象] 割り当ての場合、このロールのメンバーは、ロールを使用するにはアクションを実行する必要があります。Eligible assignments require the member of the role to perform an action to use the role. 要求されるアクションには、多要素認証 (MFA) チェックの実行、業務上の妥当性の指定、指定された承認者に対する承認要求などがあります。Actions might include performing a multi-factor authentication (MFA) check, providing a business justification, or requesting approval from designated approvers.

    • [アクティブ] 割り当ての場合、ロールを使用するために何らかのアクションを実行することをメンバーに要求しません。Active assignments don't require the member to perform any action to use the role. アクティブ割り当てされたメンバーは、ロールによって提供される特権を常に所有します。Members assigned as active have the privileges assigned to the role at all times.

  12. 割り当てを永続的 (永続的に対象または永続的に割り当て済み) にする必要がある場合は、 [Permanently](永続的) チェック ボックスをオンにします。If the assignment should be permanent (permanently eligible or permanently assigned), select the Permanently checkbox.

    ロールの設定によっては、チェック ボックスが表示されない場合や、変更できない場合があります。Depending on the role settings, the check box might not appear or might be unmodifiable.

  13. 特定の割り当て期間を指定するには、チェック ボックスの選択を解除して、開始または終了日時フィールドを変更します。To specify a specific assignment duration, clear the check box and modify the start and/or end date and time boxes.

    メンバー シップ設定 - 日付と時刻

  14. 終わったら、 [Done](完了) を選択します。When finished, select Done.

    新しい割り当て - 追加

  15. 新しいロールの割り当てを作成するには、 [追加] を選択します。To create the new role assignment, select Add. 状態の通知が表示されます。A notification of the status is displayed.

    新しい割り当て - 通知

既存のロールの割り当てを更新または削除するUpdate or remove an existing role assignment

既存のロールの割り当てを更新または削除するには、次の手順を実行します。Follow these steps to update or remove an existing role assignment.

  1. [Azure AD Privileged Identity Management] を開きます。Open Azure AD Privileged Identity Management.

  2. [Azure リソース] を選択します。Select Azure resources.

  3. サブスクリプションや管理グループなど、管理するリソースを選択します。Select the resource you want to manage, such as a subscription or management group.

  4. [管理] の [ロール] を選択して、Azure リソースのロール一覧を表示します。Under Manage, select Roles to see the list of roles for Azure resources.

    Azure リソース ロール - ロールの選択

  5. 更新または削除するロールを選択します。Select the role that you want to update or remove.

  6. [資格のあるロール] タブまたは [アクティブなロール] タブでロールの割り当てを見つけます。Find the role assignment on the Eligible roles or Active roles tabs.

    ロールの割り当ての更新または削除

  7. [更新] または [削除] を選択して、ロールの割り当てを更新または削除します。Select Update or Remove to update or remove the role assignment.

    ロールの割り当てを延長する方法については、Privileged Identity Management で Azure リソース ロールを延長または更新する方法に関するページを参照してください。For information about extending a role assignment, see Extend or renew Azure resource roles in Privileged Identity Management.

次の手順Next steps