Privileged Identity Management でグループの資格を割り当てる

Microsoft Entra ID (旧称 Azure Active Directory) では、Privileged Identity Management (PIM) を使用して、グループの Just-In-Time メンバーシップまたはグループの Just-In-Time 所有権を管理できます。

メンバーシップまたは所有権を割り当てると、割り当ては次のようになります。

  • 5 分未満の期間は割り当てることができません。
  • 割り当てられてから 5 分以内に削除することはできません。

Note

グループの PIM のメンバーシップまたは所有権の対象となるすべてのユーザーは、Microsoft Entra ID P2 または Microsoft Entra ID ガバナンス ライセンスを持っている必要があります。 詳細については、「Privileged Identity Management を使用するためのライセンスの要件」を参照してください。

グループの所有者またはメンバーを割り当てる

ヒント

この記事の手順は、開始するポータルに応じて若干異なる場合があります。

ユーザーをグループの資格のあるメンバーまたは所有者にするには、以下の手順のようにします。 グループを管理するには、アクセス許可が必要です。 ロール割り当て可能なグループの場合は、少なくとも特権ロール管理者のロールであるか、グループの所有者である必要があります。 ロール割り当て不可能なグループの場合は、少なくともディレクトリ ライター、グループ管理者、ID ガバナンス管理者、またはユーザー管理者のロールであるか、グループの所有者である必要があります。 管理者のロールの割り当ては、(管理単位レベルではなく) ディレクトリ レベルでスコープを設定する必要があります。

Note

グループを管理するためのアクセス許可を持つ他のロール (ロール割り当てできない M365 グループの Exchange 管理者など) と、管理単位レベルで範囲指定された割り当てを持つ管理者は、グループ API/UX を使用してグループを管理し、Microsoft Entra PIM で行われた変更をオーバーライドできます。

  1. Microsoft Entra 管理センターにサインインします。

  2. [Identity governance] (ID ガバナンス)>[Privileged Identity Management]>[グループ] の順に移動します。

  3. ここでは、グループの PIM で既に有効になっているグループを表示できます。

    グループの PIM で既に有効になっているグループを表示する場所のスクリーンショット。

  4. 管理する必要があるグループを選びます。

  5. [割り当て] を選択します。

  6. [資格のある割り当て][アクティブな割り当て] ブレードを使って、選んだグループの既存のメンバーシップまたは所有権の割り当てを確認します。

    選んだグループの既存のメンバーシップまたは所有権の割り当てを確認する場所のスクリーンショット。

  7. [割り当ての追加] を選択します。

  8. [ロールの選択] で、[メンバー] または [所有者] を選んで、メンバーシップまたは所有権を割り当てます。

  9. グループに対する資格を与えるメンバーまたは所有者を選びます。

    グループに対する資格を与えるメンバーまたは所有者を選ぶ場所のスクリーンショット。

  10. [次へ] を選択します。

  11. [割り当ての種類] リストで [対象] または [アクティブ] を選択します。 Privileged Identity Management には、割り当ての種類が 2 つあります。

    • 資格のある割り当てでは、メンバーまたは所有者はロールを使うためにアクティブ化を実行する必要があります。 アクティブ化では、多要素認証 (MFA) の実行、業務上の妥当性の指定、指定された承認者による承認の要求などが必要な場合もあります。

    重要

    Microsoft Entra ロールへの昇格に使われるグループの場合、資格のあるメンバーの割り当てに対して承認プロセスを要求することをお勧めします。 承認せずにアクティブ化できる割り当てでは、アクセス許可を持つ別の管理者が対象ユーザーのパスワードをリセットしてしまうというセキュリティリスクに対して脆弱なままである可能性があります。

    • アクティブな割り当てでは、メンバーはロールを使うためにアクティブ化を実行する必要はありません。 アクティブとして割り当てられたメンバーまたは所有者は、ロールに対して割り当てられた特権を常に持っています。
  12. 割り当てを永続的 (永続的に対象または永続的に割り当て済み) にする必要がある場合は、 [Permanently](永続的) チェック ボックスをオンにします。 グループの設定によっては、チェック ボックスが表示されない場合や編集できない場合があります。 詳しくは、Privileged Identity Management でのグループの PIM の設定の構成に関するアーティクルをご覧ください。

    割り当ての追加の設定を構成する場所のスクリーンショット。

  13. [割り当て] を選択します。

既存のロールの割り当てを更新または削除する

ヒント

この記事の手順は、開始するポータルに応じて若干異なる場合があります。

既存のロールの割り当てを更新または削除するには、次の手順を実行します。 グループを管理するには、アクセス許可が必要です。 ロール割り当て可能なグループの場合は、少なくとも特権ロール管理者のロールであるか、グループの所有者である必要があります。 ロール割り当て不可能なグループの場合は、少なくともディレクトリ ライター、グループ管理者、ID ガバナンス管理者、またはユーザー管理者のロールを持っているか、グループの所有者である必要があります。 管理者のロールの割り当ては、(管理単位レベルではなく) ディレクトリ レベルでスコープを設定する必要があります。

Note

グループを管理するためのアクセス許可を持つ他のロール (ロール割り当てできない M365 グループの Exchange 管理者など) と、管理単位レベルで範囲指定された割り当てを持つ管理者は、グループ API/UX を使用してグループを管理し、Microsoft Entra PIM で行われた変更をオーバーライドできます。

  1. Microsoft Entra 管理センター特権ロール管理者以上としてサインインします。

  2. [Identity governance] (ID ガバナンス)>[Privileged Identity Management]>[グループ] の順に移動します。

  3. ここでは、グループの PIM で既に有効になっているグループを表示できます。

    グループの PIM で既に有効になっているグループを表示する場所のスクリーンショット。

  4. 管理する必要があるグループを選びます。

  5. [割り当て] を選択します。

  6. [資格のある割り当て][アクティブな割り当て] ブレードを使って、選んだグループの既存のメンバーシップまたは所有権の割り当てを確認します。

    選んだグループの既存のメンバーシップまたは所有権の割り当てを確認する場所のスクリーンショット。

  7. [更新] または [削除] を選んで、メンバーシップまたは所有権の割り当てを更新または削除します。

次の手順