PIM のルール - マッピング ガイド
Privileged Identity Management (PIM) では、管理できるリソースのロール設定またはルールが公開されます。 Microsoft Graph では、これらのリソースはロールとグループMicrosoft Entraされ、MICROSOFT ENTRA ロールの場合は PIM、グループの場合は PIM を使用してそれぞれ管理されます。
ロール設定は、アクティブ化設定、割り当て設定、通知設定の 3 つのカテゴリのいずれかに分類されます。 このような設定には、適格なロールをアクティブ化するために多要素認証 (MFA) が必要かどうか、グループ メンバーシップまたはグループの所有権、または永続的なロールの割り当てまたは永続的なグループ メンバーシップまたは所有権を作成できるかどうかが含まれます。
Microsoft Graph で PIM API を 使用する場合、これらのロール設定はポリシーとルールによって管理されます。
ポリシー
Microsoft Graph では、ロール設定は ルールと呼ばれます。 これらのルールは、ポリシーと呼ばれるコンテナーを通じて、Microsoft Entraロールとグループにグループ化され、に割り当てられ、管理されます。
ポリシーは、 unifiedRoleManagementPolicy リソースの種類を使用して定義されます。
ポリシー ルール
各ポリシーには、更新できる 17 個の定義済みルールが含まれています。 これらのルールは、unifiedRoleManagementPolicy リソースの種類のルール関係によって管理されます。
ルールをアクティブ化、割り当て、および通知ルールにグループ化するために、Microsoft Graph は unifiedRoleManagementPolicyRule リソースの種類の抽象型を 定義します。 この抽象型は、5 つのリソースによって継承されます。 次に、これら 5 つの派生型のそれぞれで、1 つ以上の 17 個の規則を指定できる規則構成を定義します。 17 個のルールは、一意の変更できないルール ID によって識別されます。
この記事では、Microsoft Entra 管理センターの PIM の設定を Microsoft Graph の対応するルールにマッピングします。
Microsoft Entra 管理センターでの PIM ロール設定へのルール ID のマッピング
アクティブ化ルール
次の図は、Microsoft Graph の PIM API のルールとリソースの種類にマップされた、Microsoft Entra 管理センターのアクティブ化ロール設定を示しています。
| 番号 | MICROSOFT ENTRA 管理センター UX の説明 | Microsoft Graph ルール ID/派生リソースの種類 | 呼び出し元に適用 |
|---|---|---|---|
| 1 | アクティブ化の最大期間 (時間) | Expiration_EndUser_Assignment / unifiedRoleManagementPolicyExpirationRule |
エンド ユーザー |
| 2 | アクティブ化時に、必須: なし、Azure MFA ライセンス認証に関するチケット情報を要求する ライセンス認証に正当な理由を要求する |
Enablement_Admin_Eligibility / unifiedRoleManagementPolicyEnablementRule |
管理者 |
| 3 | アクティブ化時に、必須: 条件付きアクセス認証コンテキストMicrosoft Entra (プレビュー) | AuthenticationContext_EndUser_Assignment / unifiedRoleManagementPolicyAuthenticationContextRule |
エンド ユーザー |
| 4 | ライセンス認証に承認を要求する | Approval_EndUser_Assignment / unifiedRoleManagementPolicyApprovalRule |
エンド ユーザー |
割り当てルール
次の図は、Microsoft Graph の PIM API のルールとリソースの種類にマップされた、Microsoft Entra 管理センターの割り当てロール設定を示しています。
| 番号 | MICROSOFT ENTRA 管理センター UX の説明 | Microsoft Graph ルール ID/派生リソースの種類 | 呼び出し元に適用 |
|---|---|---|---|
| 5 | 永続的な適格な割り当てを許可する 対象となる割り当てを後で期限切れにする |
Expiration_Admin_Eligibility / unifiedRoleManagementPolicyExpirationRule |
管理者 |
| 6 | 永続的なアクティブな割り当てを許可する アクティブな割り当てを後で期限切れにする |
Expiration_Admin_Assignment / unifiedRoleManagementPolicyExpirationRule |
管理者 |
| 7 | アクティブな割り当てで Azure Multi-Factor Authentication を要求する アクティブな割り当てで正当な理由を要求する ライセンス認証に関するチケット情報を要求する |
Enablement_Admin_Assignment / unifiedRoleManagementPolicyExpirationRule |
管理者 |
| 8 | アクティブな割り当てで Azure Multi-Factor Authentication を要求する アクティブな割り当てで正当な理由を要求する ライセンス認証に関するチケット情報を要求する |
Enablement_EndUser_Assignment / unifiedRoleManagementPolicyExpirationRule |
エンド ユーザー |
通知ルール
次の図は、Microsoft Graph の PIM API のルールとリソースの種類にマップされた、Microsoft Entra 管理センターの通知ロール設定を示しています。
| 番号 | MICROSOFT ENTRA 管理センター UX の説明 | Microsoft Graph ルール ID/派生リソースの種類 | 呼び出し元に適用 |
|---|---|---|---|
| 9 | メンバーがこのロールの対象として割り当てられたときに通知を送信する: ロールの割り当てアラート | Notification_Admin_Admin_Eligibility / unifiedRoleManagementPolicyNotificationRule |
管理者 |
| 10 | メンバーがこのロールの対象として割り当てられたときに通知を送信する: 割り当てられたユーザー (担当者) への通知 | Notification_Requestor_Admin_Eligibility / unifiedRoleManagementPolicyNotificationRule |
担当者/依頼者 |
| 11 | メンバーがこのロールの対象として割り当てられたときに通知を送信する: ロールの割り当ての更新/拡張機能の承認要求 | Notification_Approver_Admin_Eligibility / unifiedRoleManagementPolicyNotificationRule |
承認 |
| 12 | メンバーがこのロールにアクティブとして割り当てられているときに通知を送信する: ロールの割り当てアラート | Notification_Admin_Admin_Assignment / unifiedRoleManagementPolicyNotificationRule |
管理者 |
| 13 | メンバーがこのロールにアクティブとして割り当てられているときに通知を送信する: 割り当てられたユーザー (担当者) への通知 | Notification_Requestor_Admin_Assignment / unifiedRoleManagementPolicyNotificationRule |
担当者/依頼者 |
| 14 | メンバーがこのロールにアクティブとして割り当てられているときに通知を送信する: ロールの割り当ての更新/拡張機能の承認を要求する | Notification_Approver_Admin_Assignment / unifiedRoleManagementPolicyNotificationRule |
承認 |
| 15 | 対象メンバーがこのロールをアクティブ化したときに通知を送信する: ロールのアクティブ化アラート | Notification_Admin_EndUser_Assignment / unifiedRoleManagementPolicyNotificationRule |
管理者 |
| 16 | 対象メンバーがこのロールをアクティブ化したときに通知を送信する: アクティブ化されたユーザー (要求者) への通知 | Notification_Requestor_EndUser_Assignment / unifiedRoleManagementPolicyNotificationRule |
リクエスター |
| 17 | 対象メンバーがこのロールをアクティブ化したときに通知を送信する: アクティブ化の承認を要求する | Notification_Approver_EndUser_Assignment / unifiedRoleManagementPolicyNotificationRule |
承認 |
関連コンテンツ
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示