Microsoft 365 テナントを運用する上で、管理者ユーザーのロール(役割)管理は欠かせない考慮すべき事項のひとつです。Microsoft Entra ID のサービスである Privileged Identity Management(PIM)を使用することで、ロール管理の際の様々な課題が解決できます。
※ PIM の利用には、Microsoft Entra ID P2 ライセンスが必要です。
PIM を使用すると、グローバル管理者などの特権ロールの権限を平常時は保持させずに必要な時に必要な時間だけ特権ロールに昇格する ”Just-In-Time” を実装したり、特権ロールの付与に承認を必要としたりすることが可能です。これにより、特権ロール利用を厳格に管理し、セキュリティを強化することができます。
本記事では、PIM の設定手順とユーザー自身によるアクセス権の有効化の方法について紹介いたします。
設定手順
1.グローバル管理者または特権ロール管理者を持つアカウントで以下へアクセスします。
※特権ロール管理者は、ユーザーのロール割り当てやアクセス権を管理することができます。
Privileged Identity Management
https://portal.azure.com/#view/Microsoft_Azure_PIMCommon/CommonMenuBlade/~/quickStart
2.左メニューから [Microsoft Entra ロール] を選択します。
3.[資格の割り当て] を選択します。
4.Microsoft Entra ロール一覧が表示されますので、ユーザーに付与したいロールを選択します。
※ 例として、グローバル管理者を「対象(資格付与)」とする手順をご紹介します。
5.対象ロールを選択後 [+ 割り当ての追加] を選択します。名前を入力し、次へをクリックします。
6.「メンバーの選択」項目の [メンバーが選択されていない] をクリックして、割り当て対象ユーザーを選択します。
7.[次へ] をクリックし、【設定】にて割り当ての種類や期間を設定します。
【割り当ての種類】
| 対象 | 該当ロールを利用できる資格を割り当てます。(ユーザーによるアクティブ化が実行されるまで権限は機能しません) |
| アクティブ | 該当ロールを割り当てます。(付与した段階で権限が機能します) |
【例】
下記の画面で設定した場合、無期限でグローバル管理者権限の資格を付与します。
もし期間限定での資格付与をする場合は、[永続的に有資格] のチェックを外して、期間を指定してください。
8.[割り当て] を選択し、権限(資格)を付与します。
以下のように、[資格のある割り当て] に上記手順で資格付与したユーザーが表示されれば割り当て成功です。
補足
ユーザーが資格(権限)をアクティブ化する際の条件などは【設定】もしくは【ロールの設定】> 【編集】より編集可能です。
主な設定項目の詳細
ユーザー側でロールをアクティブ化する手順
1.ユーザーにて PIM へアクセスします。https://portal.azure.com/#view/Microsoft_Azure_PIMCommon/CommonMenuBlade/~/quickStart
2.左メニュー [自分のロール] をクリックします。
3.アクティブ化したいロールの [アクティブ化] をクリックします。
4.管理者によって設定された “アクティブ化に必要な条件や項目” を入力してアクティブ化します。
※ 下図の場合は “アクティブ化する理由” を必須としています。
5.以下画面が表示されますので、各ステージが完了するまで待ちます。
[アクティブな割り当て] にアクティブ化したロールが表示されていれば、アクティブ化成功です。
管理者による資格付与とユーザー側での権限のアクティブ化までの手順は以上となります。
留意点
PIM による ”Just-In-Time” の実装により、グローバル管理者の特権を平常時に持たない場合、グローバル管理者宛のシステムメールが届かなくなります。システムメールを漏れなく受信するためには、Exchange のトランスポートルールを設定する必要があります。
トランスポートルールの実装について詳しくお知りになりたい場合は、お気軽にお問い合わせください。
