PIM API を使用してMicrosoft Entraロールの割り当てを管理する

Privileged Identity Management (PIM) は、organization内の重要なリソースへのアクセスを管理、制御、監視できるMicrosoft Entra ID ガバナンスの機能です。 ユーザー、グループ、サービス プリンシパル (アプリケーション) などのプリンシパルに重要なリソースへのアクセスを許可する方法の 1 つは、Microsoft Entra ロールの割り当てです。

Microsoft Entra ロールの PIM API を使用すると、特権アクセスを管理し、Microsoft Entraロールへの過剰なアクセスを制限できます。 この記事では、Microsoft Graph の Microsoft Entra ロール API の PIM のガバナンス機能について説明します。

注:

Azure リソース ロールを管理するには、Azure Resource Manager (ARM) 用の PIM API を使用します。

アクティブなロールの割り当てを管理するための PIM API

PIM を使用すると、永続的な割り当てまたは一時的な割り当てを作成することで、アクティブなロールの割り当てを管理できます。 unifiedRoleAssignmentScheduleRequest リソースの種類とそれに関連するメソッドを使用して、ロールの割り当てを管理します。

次の表に、PIM を使用してロールの割り当てと呼び出す API を管理するシナリオを示します。

シナリオ API
管理者が永続的なロールの割り当てを作成してプリンシパルに割り当てる
管理者がプリンシパルに一時的なロールを割り当てる
roleAssignmentScheduleRequests を作成する
管理者がロールの割り当てを更新、更新、拡張、または削除する roleAssignmentScheduleRequests を作成する
管理者は、すべてのロールの割り当てとその詳細を照会します roleAssignmentScheduleRequests を一覧表示する
管理者がロールの割り当てとその詳細を照会する unifiedRoleAssignmentScheduleRequest を取得する
プリンシパルは、ロールの割り当てと詳細を照会します unifiedRoleAssignmentScheduleRequest: filterByCurrentUser
プリンシパルは、 対象となる ロールの割り当ての Just-In-Time および Time-Bound ライセンス認証を実行します roleAssignmentScheduleRequests を作成する
プリンシパルは、作成したロールの割り当て要求を取り消します unifiedRoleAssignmentScheduleRequest: cancel
対象となるロールの割り当てをアクティブ化したプリンシパルは、アクセスが不要になったときに非アクティブ化します roleAssignmentScheduleRequests を作成する
プリンシパルは、独自のロールの割り当てを非アクティブ化、拡張、または更新します。 roleAssignmentScheduleRequests を作成する

ロールの適格性を管理するための PIM API

プリンシパルは、常に特権ロールを通じて付与される特権を必要としないため、永続的なロールの割り当てを必要としない場合があります。 この場合、PIM では、ロールの適格性を作成し、それらをプリンシパルに割り当てることもできます。 ロールの適格性により、プリンシパルは特権タスクを実行する必要があるときにロールをアクティブ化します。 アクティブ化は、常に最大 8 時間の時間バインドされます。 ロールの資格は、永続的な適格性または一時的な適格性である場合もあります。

unifiedRoleEligibilityScheduleRequest リソースの種類とそれに関連するメソッドを使用して、ロールの適格性を管理します。

次の表に、PIM を使用してロールの適格性と呼び出す API を管理するシナリオを示します。

シナリオ API
管理者は、プリンシパルに適格なロールを作成して割り当てます
管理者がプリンシパルに一時的なロールの適格性を割り当てる
roleEligibilityScheduleRequests を作成する
管理者がロールの資格を更新、更新、拡張、または削除する roleEligibilityScheduleRequests を作成する
管理者は、すべてのロールの適格性とその詳細を照会します roleEligibilityScheduleRequests を一覧表示する
管理者がロールの適格性とその詳細を照会する unifiedRoleEligibilityScheduleRequest を取得する
管理者が作成したロールの適格性要求を取り消す unifiedRoleEligibilityScheduleRequest: cancel
プリンシパルは、ロールの適格性と詳細を照会します unifiedRoleEligibilityScheduleRequest: filterByCurrentUser
プリンシパルは、独自のロールの適格性を非アクティブ化、拡張、または更新します。 roleEligibilityScheduleRequests を作成する

ロール設定と PIM

各Microsoft Entraロールは、設定またはルールを定義します。 このようなルールには、適格なロールをアクティブ化するために多要素認証 (MFA)、正当な理由、または承認が必要かどうか、またはロールへのプリンシパルの永続的な割り当てまたは適格性を作成できるかどうかが含まれます。 これらのロール固有のルールは、PIM を使用してロールの割り当てと適格性を作成または管理するときに適用できる設定を決定します。

Microsoft Graph では、これらのルールは unifiedRoleManagementPolicyunifiedRoleManagementPolicyAssignment リソースの種類とそれに関連するメソッドを使用して管理されます。

たとえば、既定では、ロールは永続的なアクティブな割り当てを許可せず、アクティブな割り当てに対して最大 15 日間を定義するとします。 有効期限のない unifiedRoleAssignmentScheduleRequest オブジェクトを作成しようとすると、 400 Bad Request 有効期限ルール違反の応答コードが返されます。

PIM を使用すると、次のようなさまざまな規則を構成できます。

  • プリンシパルに永続的な適格な割り当てを割り当てることができるかどうか
  • ロールのアクティブ化に許可される最大期間と、適格なロールをアクティブ化するために正当な理由または承認が必要かどうか
  • Microsoft Entra ロールのアクティブ化要求を承認できるユーザー
  • ロールの割り当てをアクティブ化して適用するために MFA が必要かどうか
  • ロールのアクティブ化の通知を受け取るプリンシパル

次の表に、PIM を使用してMicrosoft Entraロールと呼び出す API のルールを管理するシナリオを示します。

シナリオ API
ロール管理ポリシーと関連するルールまたは設定を取得する unifiedRoleManagementPolicies の一覧表示
ロール管理ポリシーとそれに関連付けられているルールまたは設定を取得する unifiedRoleManagementPolicy を取得する
関連付けられているルールまたは設定でロール管理ポリシーを更新する unifiedRoleManagementPolicy を更新する
ロール管理ポリシーに対して定義されているルールを取得する ルールの一覧表示
ロール管理ポリシーに対して定義されたルールを取得する unifiedRoleManagementPolicyRule を取得する
ロール管理ポリシーに対して定義されたルールを更新する unifiedRoleManagementPolicyRule を更新する
Microsoft Entraロールに関連付けられているポリシーとルールまたは設定を含むすべてのロール管理ポリシーの割り当ての詳細を取得する unifiedRoleManagementPolicyAssignments を一覧表示する
Microsoft Entra ロールに関連付けられているポリシーとルールまたは設定など、ロール管理ポリシーの割り当ての詳細を取得する unifiedRoleManagementPolicyAssignment を取得する

Microsoft Graph を使用してルールを構成する方法の詳細については、「Microsoft Graph の PIM API でのMicrosoft Entraロールのルールの概要」を参照してください。 ルールの更新の例については、「Microsoft Graph で PIM API を使用してMicrosoft Entra IDルールを更新する」を参照してください。

Microsoft Entra ロールのセキュリティ アラート

Microsoft Entraロールの PIM は、テナント内のMicrosoft Entraロールの疑わしい設定または安全でない設定を検出するとアラートを生成します。 次の 7 種類のアラートを使用できます。

通知 Microsoft Graph リソース (アラートの構成/インシデント)
テナント内のグローバル管理者が多すぎます tooManyGlobalAdminsAssignedToTenantAlertConfiguration / tooManyGlobalAdminsAssignedToTenantAlertIncident
PIM の使用を制限する無効なライセンス アラート invalidLicenseAlertConfiguration / invalidLicenseAlertIncident
多要素認証を必要とせずにアクティブ化用に構成されたロール noMfaOnRoleActivationAlertConfiguration / noMfaOnRoleActivationAlertIncident
未使用の対象ロールまたはアクティブなMicrosoft Entra ロールの割り当てを持つユーザー redundantAssignmentAlertConfiguration / redundantAssignmentAlertIncident
Privileged Identity Managementの外部で割り当てられているMicrosoft Entraロール rolesAssignedOutsidePrivilegedIdentityManagementAlertConfiguration / rolesAssignedOutsidePrivilegedIdentityManagementAlertIncident
Microsoft Entraロールのアクティブ化頻度が高すぎる sequentialActivationRenewalsAlertConfiguration / sequentialActivationRenewalsAlertIncident
特権ロールの古いアカウントの可能性 staleSignInAlertConfiguration / staleSignInAlertIncident

重大度の評価やトリガーなど、これらのアラートの詳細については、「PIM でのMicrosoft Entraロールのセキュリティ アラートの構成」を参照してください。

PIM アラート API の構成要素

PIM アラートを管理するには、次の Microsoft Graph リソースを使用します。

関連情報 説明 API 操作
unifiedRoleManagementAlert PIM のMicrosoft Entraロールに関するアラートの概要を示します。有効か無効か、PIM サービスが最後にテナントで発生率またはこのアラートをスキャンしたとき、およびテナント内のこのアラートの種類にマッピングされる発生回数について説明します。 PIM サービスは、アラートに関連する発生率についてテナントを毎日スキャンしますが、手動スキャンを実行することもできます。 List

Get

Update

更新 (手動スキャン)
unifiedRoleManagementAlertDefinition 各アラートの種類、重大度レベル、テナント内のアラートに関連する発生率を軽減するための推奨手順、および将来の発生を防ぐための推奨されるアクションの詳細な説明を提供します。 List

Get
unifiedRoleManagementAlertConfiguration PIM サービスが、アラートに関連する発生率、アラートをトリガーするしきい値、および関連するアラート定義についてテナントをスキャンする必要があるかどうかなど、アラートのテナント固有の構成。 これは、個々のアラートの種類を表すリソースの派生元となる抽象型です。 List

Get

Update
unifiedRoleManagementAlertIncident アラートの種類に一致するテナントの発生率。 List

Get

修復

Microsoft Entra ロールのセキュリティ アラートの操作の詳細については、「Privileged Identity ManagementでMicrosoft Entra ロールのセキュリティ アラートを構成する」を参照してください。

PIM API を使用したMicrosoft Entraロールのセキュリティ アラートの操作の詳細については、「Microsoft Graph の PIM API を使用してMicrosoft Entraロールのセキュリティ アラートを管理する」を参照してください。

監査ログ

Microsoft Entraロールに対して PIM を介して行われたすべてのアクティビティは、監査ログMicrosoft Entraログインされ、List ディレクトリ監査 API を通じて読み取ることができます。

ゼロ トラスト

この機能は、組織が id を ゼロ トラスト アーキテクチャの 3 つの基本原則に合わせるのに役立ちます。

  • 明確に確認する
  • 最小特権を使用する
  • 侵害を想定する

ゼロ トラストとその他の方法の詳細については、organizationをガイド原則に合わせる方法については、ゼロ トラスト ガイダンス センターを参照してください。

ライセンス

Privileged Identity Managementが使用されているテナントには、十分な購入ライセンスまたは試用版ライセンスが必要です。 詳細については、「Privileged Identity Managementを使用するためのライセンス要件」を参照してください。