Azure Managed Applications でジャストインタイム アクセスの構成と承認を行う

  • [アーティクル]

マネージド アプリケーションのコンシューマーとして、マネージド リソース グループへの永続的なアクセス権を発行元に与えることに不安を覚えることがあります。 管理対象リソースへのアクセス権の付与をさらに制御できるように、Azure Managed Applications には Just-In-Time (JIT) アクセスと呼ばれる機能が提供されています。 それを使用して、発行元がどの時点でどのくらいの期間、リソース グループにアクセスできるかを承認できます。 発行元は、その期間中に必要な更新を実行できますが、その期間が終了すると、発行元のアクセス権は期限切れになります。

アクセス権を付与するためのワークフローは次のとおりです。

  1. 発行元が、マーケットプレースにマネージド アプリケーションを追加し、JIT アクセスを使用できることを指定します。

  2. デプロイ時に、お客様がマネージド アプリケーションのインスタンスに対する JIT アクセスを有効にします。

  3. デプロイ後に、JIT アクセスの設定を変更できます。

  4. 発行元がアクセス要求を送信します。

  5. お客様が要求を承認します。

この記事では、JIT アクセスを有効にし、要求を承認するためにコンシューマーが行う操作について説明します。 JIT アクセス権付きのマネージド アプリケーションの発行方法については、Azure Managed Applications でのジャストインタイム アクセスの要求に関する記事を参照してください。

Note

ジャストインタイム アクセスを使用するには、Microsoft Entra ID P2 ライセンスが必要です。

デプロイ時に有効にする

  1. Azure portal にサインインします。

  2. マーケットプレースのエントリで、JIT が有効になっているマネージド アプリケーションを見つけます。 [作成] を選択します

  3. 新しいマネージド アプリケーションの値を指定するのと同時に、JIT 構成手順で、マネージド アプリケーションに対する JIT アクセスを有効または無効にすることができます。 [JIT アクセスの有効化][はい] を選択します。 マーケットプレースで JIT の有効化が定義されているマネージド アプリケーションでは、このオプションは既定で選択されています。

    Configure access

    JIT アクセスの有効化は、デプロイ時にのみ実行できます。 [いいえ] を選択した場合、発行元は、マネージド リソース グループに対する永続的なアクセス権を取得します。 JIT アクセスは、後で有効にすることはできません。

  4. 既定の承認設定を変更するには、[JIT 構成のカスタマイズ] を選択します。

    Customize access

    既定では、JIT が有効になっているマネージド アプリケーションの設定は次のようになっています。

    • 承認モード - 自動
    • 最大アクセス期間 - 8 時間
    • 承認者 - なし

    [承認モード] を [自動] に設定した場合、要求ごとに承認者に通知が送信されますが、要求は自動的に承認されます。 [手動] に設定した場合、要求ごとに承認者に通知が送信され、承認者のいずれかが要求を承認する必要があります。

    [アクティブ化の最大期間] には、発行元がマネージド リソース グループへのアクセスを要求できる最大期間を指定します。

    承認者の一覧は、JIT アクセス要求を承認できる Microsoft Entra ユーザーです。 承認者を追加するには、[承認者の追加] を選択し、ユーザーを検索します。

    設定を更新した後、[保存] を選択します。

デプロイ後に更新する

要求の承認方法の値を変更することができます。 ただし、デプロイ時に JIT アクセスを有効にしていない場合、後でそれを有効にすることはできません。

デプロイされたマネージド アプリケーションの設定を変更するには:

  1. ポータルで、マネージド アプリケーションを選択します。

  2. [JIT 構成] を選択し、必要に応じて設定を変更します。

    Change access settings

  3. 操作が完了したら、[保存] をクリックします。

要求の承認

発行元がアクセスを要求すると、要求の通知が送信されます。 JIT アクセス要求は、マネージド アプリケーションから直接承認するか、Microsoft Entra Privileged Identity Management サービスを介してすべてのマネージド アプリケーションで承認することができます。 ジャストインタイム アクセスを使用するには、Microsoft Entra ID P2 ライセンスが必要です。

マネージド アプリケーションを介して要求を承認するには:

  1. マネージド アプリケーションで [JIT アクセス] を選択し、[要求の承認] を選択します。

    Approve requests

  2. 承認する要求を選択します。

    Select request

  3. フォームで、承認の理由を指定し、[承認] を選択します。

Microsoft Entra Privileged Identity Management を介して要求を承認するには:

  1. [すべてのサービス] を選択し、Microsoft Entra Privileged Identity Management の検索を開始します。 使用可能なオプションから、それを選択します。

    Search for service

  2. [要求の承認] を選択します。

    Select approve requests

  3. [Azure Managed Applications] を選択し、承認する要求を選択します。

    Select requests

次のステップ

JIT アクセス権付きのマネージド アプリケーションの発行方法については、Azure Managed Applications でのジャストインタイム アクセスの要求に関する記事を参照してください。