特権アクセス グループを計画して構成する
Privileged Identity Management (PIM) では、特権アクセス グループのメンバーシップまたは所有権の資格を割り当てることができるようになりました。 Microsoft Entra ID の組み込みロールをクラウド グループに割り当て、PIM を使用してグループのメンバーと所有者の資格とアクティブ化を管理できます。 特権アクセス グループ (プレビュー) を使用すると、ワークロード固有の管理者に対して、単一の Just-In-Time 要求で複数のロールへのクイック アクセスを付与できます。
例: 階層 0 の Office 管理者が、毎日インシデントを徹底的に調査するために、Exchange 管理者、Office アプリ管理者、Teams 管理者、Search 管理者のロールに対する Just-In-Time アクセスを必要としているとします。
"Tier 0 Office Admins" という名前のロール割り当て可能なグループを作成し、前述の 4 つのロール (または任意の Microsoft Entra 組み込みロール) への割り当ての対象にします。 次に、グループの [アクティビティ] セクションでそれを特権アクセスに対して有効にします。 特権アクセスを有効にすると、管理者と所有者をグループに割り当てることができます。 管理者がグループをロールに昇格すると、スタッフには 4 つの Microsoft Entra ロールすべてからのアクセス許可が付与されます。
ロール割り当て可能グループごとに異なるポリシーを要求する
組織によっては、Microsoft Entra 企業間 (B2B) コラボレーションなどのツールを使用して、パートナーを Microsoft Entra 組織にゲストとして招待することがあります。 特権ロールへのすべての割り当てに対して単一の Just-In-Time ポリシーを使用するのではなく、独自のポリシーを持つ 2 つの異なる特権アクセス グループを作成できます。 信頼できる従業員に対してはそれほど厳格ではない要件を適用し、パートナーが割り当てられたロールへのアクティブ化を要求したときの承認ワークフローなどのより厳しい要件を適用できます。
![[グループの割り当て] ページが開いている Privileged Identity Manager のスクリーンショット。](../../wwl-sci/plan-implement-privileged-access/media/privileged-groups-assignments-f64567b1.png)