Privileged Identity Management で Azure リソース ロールの設定を構成するConfigure Azure resource role settings in Privileged Identity Management

Azure リソース ロールの設定を構成するときに、Azure Active Directory (Azure AD) Privileged Identity Management (PIM) で Azure リソース ロールの割り当てに適用される既定の設定を定義します。When you configure Azure resource role settings, you define the default settings that are applied to Azure resource role assignments in Azure Active Directory (Azure AD) Privileged Identity Management (PIM). 次の手順を実行して、承認ワークフローを構成し、誰が要求を承認または拒否できるかを指定します。Use the following procedures to configure the approval workflow and specify who can approve or deny requests.

ロールの設定を開くOpen role settings

次の手順を実行して、Azure リソース ロールの設定を開きます。Follow these steps to open the settings for an Azure resource role.

  1. 特権ロール管理者ロールのユーザーで Azure portal にサインインします。Sign in to Azure portal with a user in the Privileged Role Administrator role.

  2. [Azure AD Privileged Identity Management] を開きます。Open Azure AD Privileged Identity Management.

  3. [Azure リソース] を選択します。Select Azure resources.

  4. サブスクリプションや管理グループなど、管理するリソースを選択します。Select the resource you want to manage, such as a subscription or management group.

    管理できるリソースを一覧表示する [Azure リソース] ページ

  5. ロール設定を選択します。Select Role settings.

    Azure リソース ロールを一覧表示する [ロールの設定] ページ

  6. 設定を構成するロールを選択します。Select the role whose settings you want to configure.

    複数の割り当てとアクティブ化の設定を一覧表示する [ロールの設定の詳細] ページ

  7. [編集] を選択して [ロールの設定] ペインを開きます。Select Edit to open the Role settings pane. 最初のタブでは、Privileged Identity Management でロールのアクティブ化の構成を更新できます。The first tab allows you to update the configuration for role activation in Privileged Identity Management.

    [アクティブ化] タブが開かれている [Edit role settings](ロールの設定の編集) ページ

  8. [割り当て] タブまたはページ下部の [Next: Assignment](次へ: 割り当て) ボタンを選択し、割り当ての設定タブを開きます。これらの設定は、Privileged Identity Management インターフェイス内で行われたロールの割り当てを制御します。Select the Assignment tab or the Next: Assignment button at the bottom of the page to open the assignment setting tab. These settings control role assignments made inside the Privileged Identity Management interface.

    [ロールの設定] ページの [ロールの割り当て] タブ

  9. 通知 タブまたはページの下部にある Next:Activation(次へ: アクティブ化 ボタンから、このロールの通知設定タブを表示します。Use the Notification tab or the Next: Activation button at the bottom of the page to get to the notification setting tab for this role. これらの設定は、このロールに関連するすべてのメール通知を制御します。These settings control all the email notifications related to this role.

    [ロールの設定] ページの [ロールの通知] タブ

    [ロールの設定] ページの [通知] タブで、Privileged Identity Management によって、通知を受信するユーザーとユーザーが受信する通知をきめ細かく制御できます。In the Notifications tab on the role settings page, Privileged Identity Management enables granular control over who receives notifications and which notifications they receive.

    • メールをオフにするTurning off an email
      特定のメールをオフにするには、既定の受信者のチェック ボックスをオフにし、追加の受信者をすべて削除します。You can turn off specific emails by clearing the default recipient check box and deleting any additional recipients.

    • 指定したメール アドレスへのメールを制限するLimit emails to specified email addresses
      既定の受信者に送信されるメールをオフにするには、既定の受信者のチェック ボックスをオフにします。You can turn off emails sent to default recipients by clearing the default recipient checkbox. その後に、追加の受信者として追加のメール アドレスを追加できます。You can then add additional email addresses as additional recipients. 複数のメール アドレスを追加する場合は、セミコロン (;) で区切ります。If you want to add more than one email address, separate them using a semicolon (;).

    • 既定の受信者と追加の受信者の両方にメールを送信するSend emails to both default recipients and additional recipients
      既定の受信者と追加の受信者の両方にメールを送信するには、既定の受信者のチェック ボックスをオンにし、追加の受信者のメール アドレスを追加します。You can send emails to both default recipient and additional recipient by selecting the default recipient checkbox and adding email addresses for additional recipients.

    • 重要なメールのみCritical emails only
      メールの種類ごとに、重要なメールのみを受信するためのチェック ボックスをオンにすることができます。For each type of email, you can select the checkbox to receive critical emails only. つまり、Privileged Identity Management では、メールに即時の操作が必要な場合にのみ、構成された受信者に引き続きメールが送信されます。What this means is that Privileged Identity Management will continue to send emails to the configured recipients only when the email requires an immediate action. たとえば、ユーザーにロールの割り当てを拡張するように求めるメールはトリガーされませんが、管理者に拡張の要求を承認するように求めるメールはトリガーされます。For example, emails asking users to extend their role assignment will not be triggered while an emails requiring admins to approve an extension request will be triggered.

  10. いつでも [更新] ボタンを選択して、ロールの設定を更新します。Select the Update button at any time to update the role settings.

割り当て期間Assignment duration

ロールの設定を構成するときに、各割り当ての種類 (対象とアクティブ) に 2 つの割り当て期間オプションから選択できます。You can choose from two assignment duration options for each assignment type (eligible and active) when you configure settings for a role. これらのオプションは、Privileged Identity Management でユーザーがロールに割り当てられるときの既定の最大期間になります。These options become the default maximum duration when a user is assigned to the role in Privileged Identity Management.

このような資格のある割り当て期間のオプションからいずれかを選択することができます。You can choose one of these eligible assignment duration options:

永続的に資格のある割り当てを許可するAllow permanent eligible assignment リソース管理者は、永続的に資格のある割り当てを行うことができます。Resource administrators can assign permanent eligible assignment.
次の後に、資格のある割り当ての有効期限が切れるExpire eligible assignment after リソース管理者は、すべての資格のある割り当てに、開始日と終了日の指定を必須にすることができます。Resource administrators can require that all eligible assignments have a specified start and end date.

また、このようなアクティブな割り当て期間のオプションからいずれかを選択することができます。And, you can choose one of these active assignment duration options:

永続するアクティブな割り当てを許可するAllow permanent active assignment リソース管理者は、永続的にアクティブな割り当てを行うことができます。Resource administrators can assign permanent active assignment.
アクティブ割り当ては次の期間後に期限切れになるExpire active assignment after リソース管理者は、すべてのアクティブな割り当てに、開始日と終了日の指定を必須にすることができます。Resource administrators can require that all active assignments have a specified start and end date.


リソース管理者は、終了日時が指定されている割り当てのどれでも更新することができます。All assignments that have a specified end date can be renewed by resource administrators. これに対し、ユーザーはロールの割り当てを延長または更新するセルフサービス要求を開始することができます。Also, users can initiate self-service requests to extend or renew role assignments.

多要素認証が必要ですRequire multi-factor authentication

Privileged Identity Management では、2 つの異なるシナリオで、必要に応じて Azure Multi-factor Authentication を強制できます。Privileged Identity Management provides optional enforcement of Azure Multi-Factor Authentication for two distinct scenarios.

アクティブな割り当てに多要素認証が必要Require Multi-Factor Authentication on active assignment

場合によっては、ユーザーまたはグループをロールに短期間 (たとえば 1 日) 割り当てる必要があります。In some cases, you might want to assign a user or group to a role for a short duration (one day, for example). この場合、割り当てられたユーザーがアクティブ化を要求する必要はありません。In this case, the assigned users don't need to request activation. このシナリオでは、ユーザーは割り当てられた時点からそのロールでアクティブになるため、各自がそのロールの割り当てを使用するときに、Privileged Identity Management で Multi-Factor Authentication を強制することができません。In this scenario, Privileged Identity Management can't enforce multi-factor authentication when the user uses their role assignment because they are already active in the role from the time that it is assigned.

割り当てを実行するリソース管理者が、確かに本人が言うような人物であることを保証するために、 [アクティブな割り当てに多要素認証が必要] チェックボックスをオンにして、アクティブな割り当てに Multi-Factor Authentication を強制することができます。To ensure that the resource administrator fulfilling the assignment is who they say they are, you can enforce multi-factor authentication on active assignment by checking the Require Multi-Factor Authentication on active assignment box.

アクティブ化に Multi-Factor Authentication を要求するRequire Multi-Factor Authentication on activation

ロールの資格を持つユーザーに対して、アクティブ化する前に Azure Multi-Factor Authentication を使用していることを証明するように要求することができます。You can require users who are eligible for a role to prove who they are using Azure Multi-Factor Authentication before they can activate. Multi-Factor Authentication により、ユーザーが、確かに本人が言うような人物であることが合理的かつ確実に保証されます。Multi-factor authentication ensures that the user is who they say they are with reasonable certainty. このオプションを強制すると、ユーザー アカウントが侵害された可能性がある状況で、重要なリソースが保護されます。Enforcing this option protects critical resources in situations when the user account might have been compromised.

アクティブ化には多要素認証の実行を必須にするには、 [アクティブ化には Multi-Factor Authentication が必要です] チェックボックスをオンにします。To require multi-factor authentication before activation, check the Require Multi-Factor Authentication on activation box.

詳細については、Multi-Factor Authentication と Privileged Identity Management に関するページを参照してください。For more information, see Multi-factor authentication and Privileged Identity Management.

アクティブ化の最大期間Activation maximum duration

[アクティブ化の最大期間] スライダーを使用して、ロールの有効期限が切れるまでの最大時間 (時間単位) を設定します。Use the Activation maximum duration slider to set the maximum time, in hours, that a role stays active before it expires. 1 から 24 時間の範囲の値を指定できます。This value can be from one to 24 hours.

理由を必須にするRequire justification

ユーザーがアクティブ化するときに、業務上の正当な理由を入力するように要求できます。You can require that users enter a business justification when they activate. 理由を必須にするには、 [アクティブな割り当てに理由が必要] チェックボックスまたは [アクティブ化に理由が必要] チェックボックスをオンにします。To require justification, check the Require justification on active assignment box or the Require justification on activation box.

アクティブ化の承認を必須にするRequire approval to activate

ロールをアクティブ化するには承認を必須にする場合は、次の手順を実行します。If you want to require approval to activate a role, follow these steps.

  1. [アクティブにするには承認が必要です] チェックボックスをオンにします。Check the Require approval to activate check box.

  2. [承認者の選択] を選択して [メンバーまたはグループの選択] ページを開きます。Select Select approvers to open the Select a member or group page.

    承認者を選択するための [ユーザーまたはグループの選択] ペイン

  3. 少なくとも 1 つのユーザーまたはグループを選択し、 [選択] をクリックします。Select at least one user or group and then click Select. 任意の組み合わせのユーザーとグループを追加できます。You can add any combination of users and groups. 少なくとも 1 人の承認者を選択する必要があります。You must select at least one approver. 既定の承認者はいません。There are no default approvers.

    選択した承認者の一覧に選択内容が表示されます。Your selections will appear in the list of selected approvers.

  4. すべてのロール設定を指定したら、 [更新] を選択して変更を保存します。Once you have specified your all your role settings, select Update to save your changes.

次のステップNext steps