Privileged Identity Management を使用するためのライセンスの要件License requirements to use Privileged Identity Management

Azure Active Directory (Azure AD) Privileged Identity Management (PIM) を使用するには、有効なライセンスがディレクトリになければいけません。To use Azure Active Directory (Azure AD) Privileged Identity Management (PIM), a directory must have a valid license. さらに、管理者と関連ユーザーにライセンスが割り当てられている必要があります。Furthermore, licenses must be assigned to the administrators and relevant users. この記事では、Privileged Identity Management を使用するためのライセンス要件について説明します。This article describes the license requirements to use Privileged Identity Management.

有効なライセンスValid licenses

この機能を使用するには、Azure AD Premium P2 ライセンスが必要です。Using this feature requires an Azure AD Premium P2 license. 要件に対する適切なライセンスを確認するには、「 Free、Basic、および Premium エディションの一般公開されている機能の比較」をご覧ください。To find the right license for your requirements, see Comparing generally available features of the Free, Basic, and Premium editions.

ライセンスはいくつ必要ですか?How many licenses must you have?

少なくとも、次のタスクを実行する従業員と同じ数の Azure AD Premium P2 ライセンスがディレクトリにあることを確認します。Ensure that your directory has at least as many Azure AD Premium P2 licenses as you have employees that will be performing the following tasks:

  • PIM を使用して管理された Azure AD ロールに対象として割り当てられたユーザーUsers assigned as eligible to Azure AD roles managed using PIM
  • PIM でアクティブ化要求を承認または却下できるユーザーUsers able to approve or reject activation requests in PIM
  • Just-In-Time 割り当てまたは直接割り当て (時間ベース) を使用して Azure リソース ロールに割り当てられたユーザーUsers assigned to an Azure resource role with just-in-time or direct (time-based) assignments
  • アクセス レビューに割り当てられたユーザーUsers assigned to an access review
  • アクセス レビューを実行するユーザーUsers who perform access reviews

Azure AD Premium P2 ライセンスは、次のタスクでは必要ありませんAzure AD Premium P2 licenses are not required for the following tasks:

  • PIM のセットアップ、ポリシーの構成、アラートの受信、アクセス レビューの設定を行うグローバル管理者ロールまたは特権ロール管理者ロールを持つユーザーには、ライセンスは必要ありません。No licenses are required for users with the Global Administrator or Privileged Role Administrator roles that set up PIM, configure policies, receive alerts, and set up access reviews.

ライセンスの詳細については、Azure Active Directory ポータルを使用したライセンスの割り当てと削除に関するページを参照してください。For more information about licenses, see Assign or remove licenses using the Azure Active Directory portal.

ライセンスのシナリオ例Example license scenarios

必要なライセンス数の決定に役立つライセンスのシナリオ例をいくつか以下に示します。Here are some example license scenarios to help you determine the number of licenses you must have.

シナリオScenario 計算Calculation ライセンス数Number of licenses
Woodgrove Bank には、各部門に 10 人の管理者がいて、PIM を構成および管理するグローバル管理者が 2 人います。Woodgrove Bank has 10 administrators for different departments and 2 Global Administrators that configure and manage PIM. 5 人の管理者を対象とします。They make five administrators eligible. 資格のある管理者用の 5 ライセンスFive licenses for the administrators who are eligible 55
Graphic Design Institute には 25 人の管理者がいて、そのうちの 14 人は PIM で管理されています。Graphic Design Institute has 25 administrators of which 14 are managed through PIM. ロールのアクティブ化には承認が必要であり、組織にはアクティブ化を承認できるユーザーが 3 人います。Role activation requires approval and there are three different users in the organization who can approve activations. 資格のあるロール用の 14 ライセンス + 3 承認者14 licenses for the eligible roles + three approvers 1717
Contoso には 50 人の管理者がいて、そのうちの 42 人は PIM で管理されています。Contoso has 50 administrators of which 42 are managed through PIM. ロールのアクティブ化には承認が必要であり、組織にはアクティブ化を承認できるユーザーが 5 人います。Role activation requires approval and there are five different users in the organization who can approve activations. また、Contoso では、管理者ロールに割り当てられているユーザーのレビューが毎月行われており、レビュー担当者はユーザーのマネージャーで、そのうちの 6 人は PIM によって管理される管理者ロールにはなっていません。Contoso also does monthly reviews of users assigned to administrator roles and reviewers are the users’ managers of which six are not in administrator roles managed by PIM. 資格のあるロール用の 42 ライセンス + 5 承認者 + 6 レビュー担当者42 licenses for the eligible roles + five approvers + six reviewers 5353

ライセンスの有効期限が切れた場合に発生することWhat happens when a license expires?

Azure AD Premium P2、EMS E5、または試用版ライセンスの有効期限が切れた場合、Privileged Identity Management の機能はお使いのディレクトリで利用できなくなります。If an Azure AD Premium P2, EMS E5, or trial license expires, Privileged Identity Management features will no longer be available in your directory:

  • Azure AD ロールへの永続的なロールの割り当てには影響しません。Permanent role assignments to Azure AD roles will be unaffected.
  • 特権ロールのアクティブ化、特権アクセスの管理、または特権ロールのアクセス レビューの実行のために、Azure portal の Privileged Identity Management サービスと、Privileged Identity Management の Graph API コマンドレットおよび PowerShell インターフェイスを利用することはできなくなります。The Privileged Identity Management service in the Azure portal, as well as the Graph API cmdlets and PowerShell interfaces of Privileged Identity Management, will no longer be available for users to activate privileged roles, manage privileged access, or perform access reviews of privileged roles.
  • ユーザーが今後特権ロールをアクティブ化できなくなるため、Azure AD ロールの候補ロールの割り当ては削除されます。Eligible role assignments of Azure AD roles will be removed, as users will no longer be able to activate privileged roles.
  • Azure AD ロールのすべての実行中のアクセス レビューが終了し、Privileged Identity Management の構成設定が削除されます。Any ongoing access reviews of Azure AD roles will end, and Privileged Identity Management configuration settings will be removed.
  • ロールの割り当てを変更しても、Privileged Identity Management から電子メールが送信されなくなります。Privileged Identity Management will no longer send emails on role assignment changes.

次のステップNext steps