Privileged Identity Management で Azure リソース ロールの設定を構成する

Microsoft Entra の一部である Microsoft Entra ID の Privileged Identity Management (PIM) では、ロール設定によりロールの割り当てプロパティが定義されます。 これらのプロパティには、多要素認証とアクティブ化の承認要件、割り当ての最大期間、通知設定が含まれます。 この記事では、ロール設定を構成し、承認ワークフローを設定して、特権を昇格させる要求を承認または拒否できるユーザーを指定する方法を説明します。

リソースの PIM ロール設定を管理するには、所有者またはユーザー アクセス管理者ロールが必要です。 ロールの設定は、ロールごとおよびリソースごとに定義されます。 同じロールに対するすべての割り当ては、同じロール設定に従います。 あるロールのロール設定は、別のロールのロール設定とは独立しています。 あるリソースのロール設定は、別のリソースのロール設定とは独立しています。 たとえば、サブスクリプションなど、上位レベルで構成されたロール設定は、リソース グループなどの下位レベルには継承されません。

PIM ロールの設定は、PIM ポリシーとも呼ばれます。

ロールの設定を開く

Azure リソース ロールの設定を開くには:

  1. Microsoft Entra 管理センターにサインインします。

  2. [Identity Governance]>[Privileged Identity Management]>[Azure リソース] の順に移動します。 このページで、管理するリソースの種類を選択します。 [管理グループ] ドロップダウンまたは [サブスクリプション] ドロップダウンから開始し、[リソース グループ] または [リソース] を必要に応じて選択します。

    Privileged Identity Management で検出された Azure リソースの一覧を示すスクリーンショット。

  3. PIM ロール設定を構成する必要があるリソースを選択します。

  4. [設定] を選択します。 選択したリソースの PIM ポリシーの一覧を表示します。

    選択したリソースの PIM ポリシーの一覧を示すスクリーンショット。

  5. 構成するロールまたはポリシーを選択します。

  6. [編集] を選んでロール設定を更新します。

  7. [更新] を選択します。

ロールの設定

このセクションでは、ロール設定のオプションについて説明します。

アクティブ化の最大期間

[アクティブ化の最大期間] スライダーを使用して、ロールの割り当てのアクティブ化要求が、有効期限が切れるまでアクティブなままである最大時間 (時間単位) を設定します。 1 から 24 時間の範囲の値を指定できます。

アクティブ化の際に多要素認証を要求する

ロールの資格を持つユーザーに対して、アクティブにする前に Microsoft Entra ID の多要素認証機能を使うことで、自分が誰であるかを証明するように要求することができます。 多要素認証は、データやアプリケーションへのアクセスを保護するのに役立ちます。 第 2 の形式の認証を使用して、別のセキュリティのレイヤーが提供されます。

ユーザーは、強力な資格情報で認証を行った場合、またはこのセッションで以前に多要素認証を提供した場合には、多要素認証を求められないことがあります。

アクティブ化の際にユーザーが認証を提供することを必須にすることが目的である場合は、[On activation, require Microsoft Entra Conditional Access authentication context] (アクティブ化の際に、Microsoft Entra 条件付きアクセス認証コンテキストを要求する)[認証強度] と一緒に使用できます。 これらのオプションでは、ユーザーはアクティブ化の際に、マシンへのサインインに使用した方法とは異なる方法を使用して認証する必要があります。

たとえば、ユーザーが Windows Hello for Business を使ってマシンにサインインする場合は、[On activation, require Microsoft Entra Conditional Access authentication context] (アクティブ化の際に、Microsoft Entra 条件付きアクセス認証コンテキストを要求する)[認証強度] を使って、ロールのアクティブ化時に Microsoft Authenticator を使ってパスワードレス サインインを行うように、ユーザーに要求できます。

この例では、ユーザーは Microsoft Authenticator によるパスワードレス サインインを 1 回提供した後は、このセッションでの次のアクティブ化は別の認証なしで行うことができます。 Microsoft Authenticator でのパスワードレス サインインは、既にトークンの一部になっています。

すべてのユーザーに対して Microsoft Entra ID の多要素認証機能を有効にすることをお勧めします。 詳細については、「Microsoft Entra 多要素認証の展開を計画する」を参照してください。

アクティブ化の際に、Microsoft Entra 条件付きアクセス認証コンテキストを要求する

ロールの資格を持つユーザーに条件付きアクセス ポリシーの要件を満たすことを要求できます。 たとえば、認証強度を通じて適用される特定の認証方法を使用すること、Intune 準拠デバイスからロールを昇格させること、使用条件に準拠することなどをユーザーに要求できます。

この要件を適用するには、条件付きアクセス認証コンテキストを作成します。

  1. この認証コンテキストの要件を適用する条件付きアクセス ポリシーを構成します。

  2. ロールの PIM 設定で認証コンテキストを構成します。

    [Edit role setting - Attestation Reader](ロール設定の編集 - 構成証明閲覧者) ページを示すスクリーンショット。

PIM 設定で [On activation, require Microsoft Entra Conditional Access authentication context] (アクティブ化の際に、Microsoft Entra 条件付きアクセス認証コンテキストを要求する) が構成されている場合、条件付きアクセス ポリシーは、ユーザーがアクセス要件を満たすために満たす必要がある条件を定義します。

つまり、条件付きアクセス管理者やセキュリティ管理者など、条件付きアクセス ポリシーを管理するアクセス許可を持つセキュリティ プリンシパルは、要件の変更や削除を行ったり、資格を持つユーザーがロールをアクティブ化するのをブロックしたりすることができます。 条件付きアクセス ポリシーを管理できるセキュリティ プリンシパルは、高度な特権を持つと見なし、それに応じて保護する必要があります。

PIM 設定で認証コンテキストを構成する前に、認証コンテキストの条件付きアクセス ポリシーを作成して有効にすることをお勧めします。 PIM 設定で構成された認証コンテキストを対象とする条件付きアクセス ポリシーがテナント内に存在しない場合、[On activation, require multifactor authentication] (アクティブ化の際に、多要素認証を要求する) 設定が設定されるため、PIM ロールのアクティブ化時に、バックアップ保護メカニズムとして Microsoft Entra ID の多要素認証機能が必要になります。

このバックアップ保護メカニズムは、構成ミスによって、条件付きアクセス ポリシーの作成前に PIM 設定が更新された場合にのみ、保護するように設計されています。 条件付きアクセス ポリシーがオフになっている、レポート専用モードになっている、または資格を持つユーザーがポリシーから除外されている場合、このバックアップ保護メカニズムはトリガーされません。

[On activation, require Microsoft Entra Conditional Access authentication context] (アクティブ化の際に、Microsoft Entra 条件付きアクセス認証コンテキストを要求する) 設定では、ユーザーがロールをアクティブにするときに満たす必要がある認証コンテキスト要件を定義します。 ロールがアクティブ化された後、ユーザーはアクセス許可を使用するために別のブラウズ セッション、デバイス、または場所を使用できます。

たとえば、ユーザーは Intune 準拠デバイスを使用してロールをアクティブ化できます。 ロールがアクティブ化された後、Intune 非準拠の別のデバイスから同じユーザー アカウントにサインインし、そこから以前にアクティブ化されたロールを使用できます。

このような状況を防ぐために、条件付きアクセス ポリシーのスコープを設定して、資格を持つユーザーに特定の要件を直接適用できます。 たとえば、特定のロールの資格を持つユーザーに対して、常に Intune 準拠のデバイスを使用するように要求できます。

条件付きアクセス認証コンテキストの詳細については、「条件付きアクセス: クラウド アプリ、アクション、認証コンテキスト」を参照してください。

アクティブ化の正当な理由を要求する

ユーザーが資格のある割り当てをアクティブにするときに、業務上の正当な理由を入力するように要求できます。

アクティブ化時にチケット情報を要求する

ユーザーが資格のある割り当てをアクティブにするときに、サポート チケット番号を入力するように要求できます。 このオプションは情報のみのフィールドです。 チケット システムの情報との相関関係は適用されません。

アクティブ化の承認を必須にする

資格のある割り当てのアクティブ化に対する承認を要求できます。 承認者はロールを持っている必要はありません。 このオプションを使用する場合は、1 人以上の承認者を選択する必要があります。 少なくとも 2 人の承認者を選択することをお勧めします。 既定の承認者はいません。

承認の詳細については、「Privileged Identity Management で Microsoft Entra ロールに対する要求を承認または拒否する」を参照してください。

割り当て期間

ロールの設定を構成するときに、割り当ての種類 ("対象" と "アクティブ") ごとに 2 つの割り当て期間オプションから選択できます。 これらのオプションは、Privileged Identity Management でユーザーがロールに割り当てられるときの既定の最大期間になります。

これらの資格のある割り当て期間オプションからいずれかを選択できます。

設定 説明
永続的な有資格割り当てを許可する リソース管理者は、永続的に資格のある割り当てを行うことができます。
資格のある割り当てが次の期間後に期限切れになる リソース管理者は、すべての資格のある割り当てに、開始日と終了日の指定を必須にすることができます。

また、これらのアクティブな割り当て期間オプションからいずれかを選択できます。

設定 説明
永続的なアクティブ割り当てを許可する リソース管理者は、永続的にアクティブな割り当てを行うことができます。
アクティブな割り当てが次の期間後に期限切れになる リソース管理者は、すべてのアクティブな割り当てに、開始日と終了日の指定を必須にすることができます。

グローバル管理者と特権ロール管理者は、終了日が指定されているすべての割り当てを更新できます。 これに対し、ユーザーはロールの割り当てを延長または更新するセルフサービス要求を開始することができます。

アクティブな割り当てに多要素認証を要求する

管理者が (資格のある割り当てではなく) アクティブな割り当てを作成するときに、多要素認証を行うように要求できます。 ユーザーがロールの割り当てを使うときは、ロールが割り当てられた時点からロール内で既にアクティブになっているため、Privileged Identity Management で多要素認証を強制することはできません。

管理者は、強力な資格情報で認証を行った場合、またはこのセッションで以前に多要素認証を提供した場合には、多要素認証を求められないことがあります。

アクティブな割り当ての理由を要求する

ユーザーが (資格のある割り当てではなく) アクティブな割り当てを作成するときに、業務上の正当な理由を入力するように要求できます。

[ロールの設定] ページの [通知] タブで、Privileged Identity Management によって、通知を受信するユーザーとユーザーが受信する通知をきめ細かく制御できます。

  • メールをオフにする: 特定のメールをオフにするには、既定の受信者のチェック ボックスをオフにし、その他の受信者をすべて削除します。
  • 指定したメール アドレスへのメールを制限する: 既定の受信者に送信されるメールをオフにするには、既定の受信者のチェック ボックスをオフにします。 その後で、受信者として他のメール アドレスを追加できます。 複数のメール アドレスを追加する場合は、セミコロン (;) で区切ります。
  • 既定の受信者と他の受信者の両方にメールを送信する: 既定の受信者と他の受信者の両方にメールを送信できます。 既定の受信者のチェック ボックスをオンにし、他の受信者のメール アドレスを追加します。
  • 重要なメールのみ: メールの種類ごとに、重要なメールのみを受信するためのチェック ボックスをオンにできます。 メールで即時のアクションが求められている場合にのみ、指定された受信者に、Privileged Identity Management によって引き続きメールが送信されます。 たとえば、ユーザーにロールの割り当てを延長するよう求めるメールはトリガーされません。 管理者に延長要求の承認を要求するメールはトリガーされます。

Note

Privileged Identity Management の 1 つのイベントで、複数の受信者 (担当者、承認者、管理者) 宛の電子メール通知を生成できます。 1 つのイベントごとに送信できる通知の最大数は 1000 です。 受信者の数が 1000 を超える場合は、最初の 1000 人の受信者のみが電子メール通知を受け取ります。 これにより、他の担当者、管理者、または承認者が Microsoft Entra ID および Privileged Identity Management のアクセス許可を使用できなくなることはありません。

次のステップ