PIM で Microsoft Entra ロールをアクティブ化する

  • 操作方法

Microsoft Entra Privileged Identity Management (PIM) を使用すると、企業が Microsoft Entra ID や他の Microsoft Online Services (Microsoft 365 や Microsoft Intune など) 内のリソースへの特権アクセスを管理する方法が簡略化されます。

管理ロールの候補者となっている場合は、特権が必要な操作を実行する必要があるときに、ロールの割り当てをアクティブにできます。 たとえば、Microsoft 365 の機能を時々しか管理しないユーザーは、組織の特権ロール管理者によって永続的な全体管理者には設定されない可能性があります。このロールは他のサービスにも影響を与えるからです。 その代わりに、Exchange Online 管理者などの Microsoft Entra ロールが割り当てられます。 その特権が必要になった時点で、そのロールのアクティブ化を要求でき、その後、事前に定義された時間だけ管理者として制御できます。

この記事は、Privileged Identity Management で自分の Microsoft Entra ロールをアクティブ化する必要のある管理者を対象としています。 どのユーザーも特権ロール管理者 (PRA) ロールを持たずに PIM を通じて必要なロールの要求を送信できますが、組織内の他のユーザーへのロールの割り当ておよび管理を行うには、このロールが必要です。

重要

ロールがアクティブ化されると、そのロールのアクティブな割り当てが Microsoft Entra PIM によって一時的に追加されます。 アクティブな割り当てが Microsoft Entra PIM によって数秒以内に作成されます (ユーザーがロールに割り当てられます)。 非アクティブ化が (手動またはアクティブ化の有効期限により) 発生する場合も、アクティブな割り当てが Microsoft Entra PIM によって数秒以内に削除されます。

アプリケーションへのアクセスは、ユーザーが持っているロールに基づいて許可される場合があります。 状況によっては、ロールがユーザーに割り当てられたり削除されたりしたことがアプリケーション アクセスにすぐに反映されない場合があります。 ユーザーがロールを持っていないということがアプリケーションによって以前にキャッシュされている場合、ユーザーがアプリケーションにもう一度アクセスしようとしても、アクセスできない可能性があります。 同様に、ユーザーがロールを持っているということがアプリケーションによって以前にキャッシュされている場合、ロールが非アクティブ化されていても、ユーザーは引き続きアクセスできる可能性があります。 特定の状況は、アプリケーションのアーキテクチャによって異なります。 一部のアプリケーションでは、サインアウトしてから再びサインインすると、アクセスの追加または削除を反映するのに役立つ場合があります。

前提条件

なし

ロールのアクティブ化

Microsoft Entra ロールを想定する必要がある場合は、Privileged Identity Management で [自分のロール] を開いてアクティブ化を要求できます。

Note

Azure mobile app (iOS と Android) で、Microsoft Entra ID と Azure リソースのロール用に、PIM を利用できるようになりました。 対象となる割り当てを簡単にアクティブにしたり、有効期限が切れたものの更新を要求したり、保留されている要求の状態を確認したりできます。 詳しくは後の説明をご覧ください

  1. Microsoft Entra 管理センター特権ロール管理者以上としてサインインします。

  2. [Identity governance] (ID ガバナンス)>[Privileged Identity Management]>[My roles] (自分のロール) の順に移動します。 ダッシュボードに [Privileged Identity Management] タイルを追加する方法については、「Privileged Identity Management の使用開始」を参照してください。

  3. [Microsoft Entra ロール] を選択して、対象となる Microsoft Entra ロールのリストを表示します。

    アクティブ化できるロールを表示した [自分のロール] ページ

  4. [Microsoft Entra ロール] のリストで、アクティブにするロールを見つけます。

    Microsoft Entra ロール - 資格があるロールのリスト

  5. [アクティブ化] を選択して、[アクティブ化] ウィンドウを開きます。

    Microsoft Entra ロール - 期間とスコープを含むアクティブ化ページ

  6. [追加の検証が必要] を選択し、指示に従ってセキュリティ確認を提供します。 認証が要求されるのは、各セッションにつき 1 回だけです。

    PIN コードなどのセキュリティ確認を提供するための画面

  7. 多要素認証の後に、[続行する前にアクティブにする] を選択します。

    ロールをアクティブ化する前に MFA で自分の ID を確認する

  8. より狭いスコープを指定する場合は、 [Scope](スコープ) を選択して [フィルター] ペインを開きます。 [フィルター] ペインでは、アクセス権が必要な Microsoft Entra リソースを指定できます。 必要最低限のリソースに対するアクセスを要求することをお勧めします。

  9. 必要に応じて、カスタムのアクティブ化開始時刻を指定します。 Microsoft Entra ロールは、選択した時刻になるとアクティブになります。

  10. [理由] ボックスに、アクティブ化要求の理由を入力します。

  11. [アクティブ化] を選びます。

    アクティブにするために承認が必要なロールの場合は、ブラウザーの右上隅に Azure の通知が表示され、要求が承認待ちになっていることが示されます。

    アクティブ化要求は承認通知待ち中

    Microsoft Graph API を使用してロールをアクティブにする

    PIM 向けの Microsoft Graph API の詳細については、「特権 ID 管理 (PIM) API を使用したロール管理の概要」を参照してください。

    アクティブにできる、資格のあるロールをすべて取得する

    ユーザーがグループ メンバーシップを使用して自分のロールの適格性を取得した場合、この Microsoft Graph 要求では適格性は返されません。

    HTTP 要求

    GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests/filterByCurrentUser(on='principal')

    HTTP 応答

    領域を節約するために、あるロールの応答のみが表示されていますが、アクティブにできる、資格のあるロールの割り当てすべてが一覧表示されます。

    {
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleEligibilityScheduleRequest)",
    "value": [
        {
            "@odata.type": "#microsoft.graph.unifiedRoleEligibilityScheduleRequest",
            "id": "50d34326-f243-4540-8bb5-2af6692aafd0",
            "status": "Provisioned",
            "createdDateTime": "2022-04-12T18:26:08.843Z",
            "completedDateTime": "2022-04-12T18:26:08.89Z",
            "approvalId": null,
            "customData": null,
            "action": "adminAssign",
            "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
            "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
            "directoryScopeId": "/",
            "appScopeId": null,
            "isValidationOnly": false,
            "targetScheduleId": "50d34326-f243-4540-8bb5-2af6692aafd0",
            "justification": "Assign Attribute Assignment Admin eligibility to myself",
            "createdBy": {
                "application": null,
                "device": null,
                "user": {
                    "displayName": null,
                    "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
                }
            },
            "scheduleInfo": {
                "startDateTime": "2022-04-12T18:26:08.8911834Z",
                "recurrence": null,
                "expiration": {
                    "type": "afterDateTime",
                    "endDateTime": "2024-04-10T00:00:00Z",
                    "duration": null
                }
            },
            "ticketInfo": {
                "ticketNumber": null,
                "ticketSystem": null
            }
        }
    ]
}

    正当な理由を指定してロールの適格性を自分でアクティブにする

    HTTP 要求

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests 

{
    "action": "selfActivate",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
    "directoryScopeId": "/",
    "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
    "scheduleInfo": {
        "startDateTime": "2022-04-14T00:00:00.000Z",
        "expiration": {
            "type": "AfterDuration",
            "duration": "PT5H"
        }
    },
    "ticketInfo": {
        "ticketNumber": "CONTOSO:Normal-67890",
        "ticketSystem": "MS Project"
    }
}

    HTTP 応答

    HTTP/1.1 201 Created
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
    "id": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
    "status": "Granted",
    "createdDateTime": "2022-04-13T08:52:32.6485851Z",
    "completedDateTime": "2022-04-14T00:00:00Z",
    "approvalId": null,
    "customData": null,
    "action": "selfActivate",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
    "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "071cc716-8147-4397-a5ba-b2105951cc0b"
        }
    },
    "scheduleInfo": {
        "startDateTime": "2022-04-14T00:00:00Z",
        "recurrence": null,
        "expiration": {
            "type": "afterDuration",
            "endDateTime": null,
            "duration": "PT5H"
        }
    },
    "ticketInfo": {
        "ticketNumber": "CONTOSO:Normal-67890",
        "ticketSystem": "MS Project"
    }
}

アクティブ化要求の状態を表示する

保留中のアクティブ化要求の状態を表示することができます。

  1. Microsoft Entra 管理センター特権ロール管理者以上としてサインインします。

  2. [ID ガバナンス]>[Privileged Identity Management]>[自分のロール] の順に移動します。

  3. [個人の要求] を選択すると、Microsoft Entra ロールおよび Azure リソース ロール要求のリストが表示されます。

    承認待ち中の要求を表示した [個人の要求] - Microsoft Entra ID ページのスクリーンショット

  4. 右へスクロールして [Request Status](要求の状態) 列を表示します。

新しいバージョンの保留要求をキャンセルする

承認が要求されるロールのアクティブ化を必要としない場合、保留中の要求をいつでもキャンセルできます。

  1. Microsoft Entra 管理センター特権ロール管理者以上としてサインインします。

  2. [ID ガバナンス]>[Privileged Identity Management]>[自分のロール] の順に移動します。

  3. 取り消すロールの [キャンセル] リンクを選択します。

    [キャンセル] を選択すると、要求が取り消されます。 ロールをもう一度アクティブにするには、新しいアクティブ化要求を送信する必要があります。

    [キャンセル] アクションが強調表示された個人の要求の一覧

ロールの割り当てを非アクティブ化する

ロールの割り当てがアクティブになると、PIM ポータルでロールの割り当てに [非アクティブ化] オプションが表示されます。 また、アクティブ化してから 5 分以内にロールの割り当てを非アクティブ化することはできません。

Azure mobile app を使用して PIM のロールをアクティブにする

Microsoft Entra ID と Azure リソース ロール モバイル アプリ (iOS と Android の両方) で、PIM を利用できるようになりました。

  1. 対象となる Microsoft Entra ロールの割り当てをアクティブにするには、最初に Azure mobile app (iOS | Android) をダウンロードします。 [Privileged Identity Management] > [マイ ロール] > [Microsoft Entra ロール] から [モバイルで開く] を選んで、アプリをダウンロードすることもできます。

    モバイル アプリをダウンロードする方法を示すスクリーンショット。

  2. Azure mobile app を開いてサインインします。 [Privileged Identity Management] カードを選び、[自分の Microsoft Entra ロール] を選んで、対象となるロールの割り当てとアクティブなロールの割り当てを表示します。

    ユーザーが使用可能なロールを表示する方法を示すモバイル アプリのスクリーンショット。

  3. ロールの割り当てを選び、ロールの割り当ての詳細の下にある [アクション] > [アクティブ化] をクリックします。 アクティブにして必要な詳細を入力する手順を完了した後、下部にある [アクティブ化] をクリックします。

    必要な情報を入力する方法をユーザーに示すモバイル アプリのスクリーンショット。

  4. [自分の Microsoft Entra ロール] の下で、アクティブ化要求の状態とロールの割り当てを確認します。

    ユーザーのロールの状態を示すモバイル アプリのスクリーンショット。

関連するコンテンツ