グループに PIM を使用してグループのメンバーシップと所有権を管理する

  • [アーティクル]

グループのPrivileged Identity Management (グループの場合は PIM) を使用すると、プリンシパルにグループのメンバーシップまたは所有権を割り当てる方法を管理できます。 セキュリティと Microsoft 365 グループは、Microsoft Entra ロール、Azure ロール、Azure SQL、Azure Key Vault、Intune、サード パーティのアプリケーションなどの Microsoft クラウド リソースへのアクセスを提供するために使用できる重要なリソースです。 グループの PIM を使用すると、プリンシパルがグループのメンバーまたは所有者である方法とタイミングをより詳細に制御できるため、グループ メンバーシップまたは所有権を通じて特権が付与されます。

Microsoft Graph のグループ API 用 PIM では、次の機能など、セキュリティと Microsoft 365 グループに対するより多くのガバナンスが提供されます。

  • グループのジャストインタイム メンバーシップまたは所有権をプリンシパルに提供する
  • プリンシパルの一時的なメンバーシップまたはグループの所有権の割り当て

この記事では、Microsoft Graph のグループの PIM 用 API のガバナンス機能について説明します。

グループ所有者とメンバーのアクティブな割り当てを管理するためのグループ API の PIM

Microsoft Graph のグループ API の PIM を使用すると、プリンシパルを永続的または一時的なメンバーシップまたは期限付きメンバーシップまたは所有権をグループに割り当てることができます。

次の表に、グループ API に PIM を使用して、プリンシパルと呼び出す対応する API のアクティブな割り当てを管理するシナリオを示します。

Scenarios API
管理者:
  • プリンシパルのアクティブなメンバーシップまたは所有権をグループに割り当てます
  • アクティブなメンバーシップまたは所有権からグループへのプリンシパルの更新、更新、拡張、または削除

    プリンシパル:
  • グループの 対象となる メンバーシップまたは所有権の割り当ての Just-In-Time および Time-Bound アクティブ化を実行します
  • アクセスが不要になったときに、対象となるメンバーシップと所有権の割り当てを非アクティブ化します
  • 独自のメンバーシップと所有権の割り当てを非アクティブ化、拡張、または更新する
    		•  割り当ての作成ScheduleRequest
    管理者は、グループのアクティブなメンバーシップと所有権の割り当てに対するすべての要求を一覧表示します 割り当ての一覧表示ScheduleRequests
    管理者は、グループのメンバーシップと所有権について、すべてのアクティブな割り当てと、今後作成する割り当ての要求を一覧表示します 割り当ての一覧表示スケジュール
    管理者は、グループのすべてのアクティブなメンバーシップと所有権の割り当てを一覧表示します 割り当ての一覧表示ScheduleInstances
    管理者は、グループとその詳細についてメンバーと所有権の割り当てを照会します privilegedAccessGroupAssignmentScheduleRequest を取得する
    プリンシパルは、メンバーシップまたは所有権の割り当て要求と詳細を照会します

    承認者は、承認を待機しているメンバーシップまたは所有権の要求と、これらの要求の詳細を照会します    		 privilegedAccessGroupAssignmentScheduleRequest: filterByCurrentUser
    プリンシパルは、作成したメンバーシップまたは所有権の割り当て要求を取り消します privilegedAccessGroupAssignmentScheduleRequest: cancel
    承認者は、承認要求の詳細 (承認手順に関する情報を含む) を取得します 承認を取得する
    承認者は、承認ステップを承認または拒否することによって承認要求を承認または拒否します 承認の更新手順

    グループ所有者とメンバーの適格な割り当てを管理するためのグループ API の PIM

    プリンシパルは、常にメンバーシップまたは所有権を通じて付与される特権を必要としないため、永続的なメンバーシップまたはグループの所有権を必要としない場合があります。 この場合、グループの PIM を使用すると、プリンシパルをグループのメンバーシップまたは所有権の対象にすることができます。

    プリンシパルに適格な割り当てがある場合は、特権タスクを実行するためにグループを通じて付与された特権が必要な場合に、割り当てをアクティブにします。 適格な割り当ては、永続的または一時的な場合があります。 アクティブ化は、最大 8 時間まで常に制限されます。

    次の表に、グループ API に PIM を使用して、プリンシパルと呼び出す対応する API の適格な割り当てを管理するシナリオを示します。

    Scenarios API
    管理者:
  • グループの適格なメンバーシップまたは所有権の割り当てを作成します
  • グループの適格なメンバーシップ/所有権の割り当てを更新、更新、拡張、または削除する
  • 独自のメンバーシップ/所有権の資格を非アクティブ化、拡張、または更新する
    		•  eligibilityScheduleRequest を作成する
    管理者は、対象となるすべてのメンバーシップまたは所有権の要求とその詳細を照会します 対象の一覧表示ScheduleRequests
    管理者は、適格なメンバーシップまたは所有権の要求とその詳細を照会します 対象の取得ScheduleRequest
    管理者が、作成した適格なメンバーシップまたは所有権要求を取り消す privilegedAccessGroupEligibilityScheduleRequest:cancel
    プリンシパルは、対象となるメンバーシップまたは所有権の詳細を要求するクエリを実行します privilegedAccessGroupEligibilityScheduleRequest: filterByCurrentUser

    グループの PIM のポリシー設定

    グループの PIM は、プリンシパルにセキュリティグループと Microsoft 365 グループのメンバーシップまたは所有権を割り当てる方法を制御する設定またはルールを定義します。 このようなルールには、グループの適格なメンバーシップまたは所有権をアクティブ化するために多要素認証 (MFA)、正当な理由、または承認が必要かどうか、またはグループへのプリンシパルの永続的な割り当てまたは適格性を作成できるかどうかが含まれます。 ルールはポリシーで定義され、ポリシーをグループに適用できます。

    Microsoft Graph では、これらのルールは unifiedRoleManagementPolicyunifiedRoleManagementPolicyAssignment リソースの種類とそれに関連するメソッドを使用して管理されます。

    たとえば、既定では、グループの PIM では永続的なアクティブなメンバーシップと所有権の割り当てが許可されておらず、アクティブな割り当てに対して最大 6 か月が定義されているとします。 有効期限のない privilegedAccessGroupAssignmentScheduleRequest オブジェクトを作成しようとすると、 400 Bad Request 有効期限規則違反の応答コードが返されます。

    グループの PIM を使用すると、次のようなさまざまな規則を構成できます。

    • プリンシパルに永続的な適格な割り当てを割り当てることができるかどうか
    • グループ メンバーシップまたは所有権のアクティブ化に許可される最大期間、および資格のあるメンバーシップまたは所有権をアクティブ化するために正当な理由または承認が必要かどうか
    • グループ メンバーシップまたは所有権のアクティブ化要求を承認できるユーザー
    • グループ メンバーシップまたは所有権の割り当てをアクティブ化して適用するために MFA が必要かどうか
    • グループ メンバーシップまたは所有権のアクティブ化の通知を受け取るプリンシパル

    次の表に、グループに PIM を使用してルールを管理し、呼び出す API を使用するシナリオを示します。

    シナリオ API
    グループ ポリシーと関連するルールまたは設定の PIM を取得する unifiedRoleManagementPolicies の一覧表示
    グループ ポリシーとそれに関連付けられているルールまたは設定の PIM を取得する unifiedRoleManagementPolicy を取得する
    関連付けられているルールまたは設定でグループ ポリシーの PIM を更新する unifiedRoleManagementPolicy を更新する
    グループ ポリシーの PIM に対して定義されている規則を取得する List rules
    グループ ポリシーの PIM に対して定義されたルールを取得する unifiedRoleManagementPolicyRule を取得する
    グループ ポリシーの PIM に対して定義されたルールを更新する unifiedRoleManagementPolicyRule を更新する
    グループのメンバーシップと所有権に関連付けられているポリシーとルールなど、グループ ポリシーの割り当てに関するすべての PIM の詳細を取得します unifiedRoleManagementPolicyAssignments を一覧表示する
    グループ のメンバーシップまたは所有権に関連付けられているポリシーとルールなど、グループ ポリシーの割り当てに関する PIM の詳細を取得する unifiedRoleManagementPolicyAssignment を取得する

    Microsoft Graph を使用してルールを構成する方法の詳細については、「 Microsoft Graph の PIM API のルールの概要」を参照してください。 ルールの更新の例については、「 Microsoft Graph で PIM API を使用してルールを更新する」を参照してください。

    グループの PIM へのグループのオンボード

    グループの PIM にグループを明示的にオンボードすることはできません。 Create assignmentScheduleRequest または Create eligibilityScheduleRequest を使用してグループに割り当てを追加するように要求した場合、または Update unifiedRoleManagementPolicy または Update unifiedRoleManagementPolicyRule を使用してグループの PIM ポリシー (ロール設定) を更新すると、グループは事前にオンボードされていない場合に自動的に PIM にオンボードされます。

    LIST assignmentScheduleRequestsList assignmentSchedulesList assignmentScheduleInstancesList eligibilityScheduleRequestsList eligibilitySchedules、List eligibilityScheduleInstances API は、PIM にオンボードされていないグループと PIM にオンボードされていないグループの両方に対して呼び出すことができますが、PIM にオンボードされているグループに対してのみ実行することをお勧めします。

    PIM がグループをオンボードした後、PIM ポリシーの ID と特定のグループのポリシー割り当てが変更されます。 更新された ID を取得するには、unifiedRoleManagementPolicy または Get unifiedRoleManagementPolicyAssignment API を呼び出します。

    PIM がグループをオンボードすると、オフボードすることはできませんが、必要に応じて、対象となる割り当てと期限付きの割り当てをすべて削除できます。

    グループとグループ オブジェクトの PIM

    セキュリティと Microsoft 365 グループ (オンプレミスから同期された動的グループとグループを除く) のメンバーシップと所有権は、グループの PIM を通じて管理できます。 グループに対して PIM で有効にするために、グループをロール割り当て可能にする必要はありません。

    プリンシパルを アクティブな 永続的または一時的なメンバーシップまたはグループの所有権に割り当てる場合、または Just-In-Time ライセンス認証を行うとき:

    • リスト グループ メンバーまたはリスト グループ所有者 API を使用してメンバー所有者の関係を照会すると、プリンシパルの詳細が返されます。
    • グループ所有者の削除またはグループ メンバーの削除 API を使用して 、グループ からプリンシパルを 削除 できます。
    • グループへの変更がディレクトリ オブジェクトの デルタの取得 関数と Get delta 関数を使用して追跡される場合、 @odata.nextLink には新しいメンバーまたは所有者が含まれます。
    • グループの PIM を通じて行われたグループ メンバー所有者に対する変更は、監査ログMicrosoft Entraログインされ、List ディレクトリ監査 API を通じて読み取ることができます。

    プリンシパルにグループの 適格な 永続的または一時的なメンバーシップまたは所有権が割り当てられている場合、グループのメンバーと所有者の関係は更新されません。

    プリンシパルの 一時的なアクティブな メンバーシップまたはグループの所有権の有効期限が切れた場合:

    • プリンシパルの詳細は、 メンバー所有者 の関係から自動的に削除されます。
    • ディレクトリ オブジェクトの Get delta 関数と Get delta 関数を使用してグループに 対する 変更が追跡される場合、 は @odata.nextLink 削除されたグループ メンバーまたは所有者を示します。

    ゼロ トラスト

    この機能は、組織が id を ゼロ トラスト アーキテクチャの 3 つの基本原則に合わせるのに役立ちます。

    • 明確に確認する
    • 最小特権を使用する
    • 侵害を想定する

    ゼロ トラストとその他の方法の詳細については、organizationをガイド原則に合わせる方法については、ゼロ トラスト ガイダンス センターを参照してください。

    アクセス許可と特権

    グループ API の PIM を呼び出すには、次の Microsoft Graph アクセス許可が必要です。

    エンドポイント サポートされる操作 アクセス許可
    assignmentSchedule
    assignmentScheduleInstance    		 LIST、GET PrivilegedAssignmentSchedule.Read.AzureADGroup
    PrivilegedAssignmentSchedule.ReadWrite.AzureADGroup
    assignmentScheduleRequest CREATE、LIST、GET、UPDATE、DELELE PrivilegedAssignmentSchedule.ReadWrite.AzureADGroup
    eligibilitySchedule
    eligibilityScheduleInstance    		 LIST、GET PrivilegedEligibilitySchedule.Read.AzureADGroup
    PrivilegedEligibilitySchedule.ReadWrite.AzureADGroup
    eligibilityScheduleRequest CREATE、LIST、GET、UPDATE、DELELE PrivilegedEligibilitySchedule.ReadWrite.AzureADGroup
    承認 GET PrivilegedAssignmentSchedule.Read.AzureADGroup
    PrivilegedAssignmentSchedule.ReadWrite.AzureADGroup
    approvalStep LIST、GET PrivilegedAssignmentSchedule.Read.AzureADGroup
    PrivilegedAssignmentSchedule.ReadWrite.AzureADGroup
    approvalStep UPDATE PrivilegedAssignmentSchedule.ReadWrite.AzureADGroup
    roleManagementPolicy
    roleManagementPolicyAssignment    		 LIST、GET RoleManagementPolicy.Read.AzureADGroup
    RoleManagementPolicy.ReadWrite.AzureADGroup
    roleManagementPolicy UPDATE RoleManagementPolicy.ReadWrite.AzureADGroup

    さらに、委任されたシナリオでは、呼び出し元プリンシパルには次のいずれかのロールが必要です (承認と承認のステップ エンドポイントには適用されません)。

    グループ 役割 サポートされる操作
    ロール割り当て可能 特権ロール管理者
    グループ所有者*
    グループ メンバー*    		 CREATE、UPDATE、DELELE
    ロール割り当て可能 グローバル閲覧者
    特権ロール管理者
    グループ所有者*
    グループ メンバー*    		 LIST、GET
    ロール割り当て不可 ディレクトリ ライター
    グループ管理者
    ID ガバナンス管理者
    ユーザー管理者
    グループ所有者*
    グループ メンバー*    		 CREATE、UPDATE、DELELE
    ロール割り当て不可 グローバル閲覧者
    ディレクトリ ライター
    グループ管理者
    ID ガバナンス管理者
    ユーザー管理者
    グループ所有者*
    グループ メンバー*    		 LIST、GET

    * グループ メンバーとグループ所有者のアクセス許可は、実行する必要がある読み取りまたは書き込み操作に制限されます。 たとえば、グループ メンバーは 割り当てをキャンセルできますが、 他のプリンシパルの要求は取り消すことができません。

    と エンドポイントを呼び出すことができるのは、要求の/approval/approvalStep承認者だけです。 Microsoft Entraロールを割り当てる必要はありません。

    関連コンテンツ