PIM でグループ用 PIM の設定を構成する
Microsoft Entra ID のグループ向け Privileged Identity Management (PIM) では、ロール設定によりメンバーシップまたは所有権の割り当てプロパティが定義されます。 これらのプロパティには、多要素認証とアクティブ化の承認要件、割り当ての最大期間、通知設定が含まれます。 この記事では、ロール設定を構成し、承認ワークフローを設定して、特権を昇格させる要求を承認または拒否できるユーザーを指定する方法を説明します。
設定を管理するには、グループ管理のアクセス許可が必要です。 ロール割り当て可能なグループの場合は、少なくとも特権ロール管理者のロールを持っているか、グループの所有者である必要があります。 ロール割り当て不可能なグループの場合は、少なくともディレクトリ ライター、グループ管理者、ID ガバナンス管理者、またはユーザー管理者のロールを持っているか、グループの所有者である必要があります。 管理者のロールの割り当ては、(管理単位レベルではなく) ディレクトリ レベルでスコープを設定する必要があります。
Note
グループを管理するためのアクセス許可を持つ他のロール (ロール割り当てできない Microsoft 365 グループの場合の Exchange 管理者など) と、管理単位レベルでスコープが設定された割り当てを持つ管理者は、グループ API/UX を使用してグループを管理し、Microsoft Entra Privileged Identity Management で行われた変更をオーバーライドできます。
ロール設定は、ロールとグループごとに定義されます。 同じグループの同じロール (メンバーまたは所有者) に対するすべての割り当ては、同じロール設定に従います。 あるグループのロール設定は、別のグループのロール設定とは独立しています。 あるロール (メンバー) のロール設定は、別のロール (メンバー) のロール設定とは独立しています。
ロール設定を更新する
グループ ロールの設定を開くには:
Microsoft Entra 管理センターにサインインします。
[ID ガバナンス]>[Privileged Identity Management]>[グループ] に移動します。
ロール設定を構成するグループを選択します。
[設定] を選択します。
ロール設定を構成する必要があるロールを選択します。 オプションは [メンバー] または [所有者] です。
現在のロール設定を確認します。
[編集] を選んでロール設定を更新します。
[更新] を選択します。
ロールの設定
このセクションでは、ロール設定のオプションについて説明します。
アクティブ化の最大期間
[アクティブ化の最大期間] スライダーを使用して、ロールの割り当てのアクティブ化要求が、有効期限が切れるまでアクティブなままである最大時間 (時間単位) を設定します。 1 から 24 時間の範囲の値を指定できます。
アクティブ化の際に多要素認証を要求する
ロールの資格を持つユーザーに対して、アクティブにする前に Microsoft Entra ID の多要素認証機能を使うことで、自分が誰であるかを証明するように要求することができます。 多要素認証は、データやアプリケーションへのアクセスを保護するのに役立ちます。 第 2 の形式の認証を使用して、別のセキュリティのレイヤーが提供されます。
ユーザーは、強力な資格情報で認証を行った場合、またはこのセッションで以前に多要素認証を提供した場合には、多要素認証を求められないことがあります。 アクティブ化の際にユーザーが認証を提供することを必須にすることが目的である場合は、[On activation, require Microsoft Entra Conditional Access authentication context] (アクティブ化の際に、Microsoft Entra 条件付きアクセス認証コンテキストを要求する) を [認証強度] と一緒に使用できます。
ユーザーはアクティブ化の際に、マシンへのサインインに使用した方法とは異なる方法を使用して認証する必要があります。 たとえば、ユーザーが Windows Hello for Business を使ってマシンにサインインする場合は、[On activation, require Microsoft Entra Conditional Access authentication context] (アクティブ化の際に、Microsoft Entra 条件付きアクセス認証コンテキストを要求する) と [認証強度] を使って、ロールのアクティブ化時に Microsoft Authenticator を使ってパスワードレス サインインを行うように、ユーザーに要求できます。
この例では、ユーザーは Microsoft Authenticator によるパスワードレス サインインを 1 回提供した後は、このセッションでの次のアクティブ化は別の認証なしで行うことができます。 Microsoft Authenticator でのパスワードレス サインインは、既にトークンの一部になっています。
すべてのユーザーに対して Microsoft Entra ID の多要素認証機能を有効にすることをお勧めします。 詳細については、「Microsoft Entra 多要素認証デプロイを計画する」を参照してください。
アクティブ化の際に、Microsoft Entra 条件付きアクセス認証コンテキストを要求する
ロールの資格を持つユーザーに条件付きアクセス ポリシーの要件を満たすことを要求できます。 たとえば、認証強度を通じて適用される特定の認証方法を使用すること、Intune 準拠デバイスからロールを昇格させること、使用条件に準拠することなどをユーザーに要求できます。
この要件を適用するには、条件付きアクセス認証コンテキストを作成します。
この認証コンテキストの要件を適用する条件付きアクセス ポリシーを構成します。
条件付きアクセス ポリシーのスコープには、すべてのユーザーまたはグループ メンバーシップ/所有権の対象ユーザーを含める必要があります。 認証コンテキストとグループを対象とする条件付きアクセス ポリシーを同時に作成しないでください。 アクティブ化中は、ユーザーにはまだグループ メンバーシップがないため、条件付きアクセス ポリシーは適用されません。
ロールの PIM 設定で認証コンテキストを構成します。
PIM 設定で [On activation, require Microsoft Entra Conditional Access authentication context] (アクティブ化の際に、Microsoft Entra 条件付きアクセス認証コンテキストを要求する) が構成されている場合、条件付きアクセス ポリシーは、ユーザーがアクセス要件をクリアするために満たす必要がある条件を定義します。
つまり、条件付きアクセス管理者やセキュリティ管理者など、条件付きアクセス ポリシーを管理する権限を持つセキュリティ プリンシパルは、要件の変更や削除を行ったり、資格のあるユーザーがグループのメンバーシップ/所有権をアクティブ化するのをブロックしたりすることができます。 条件付きアクセス ポリシーを管理できるセキュリティ プリンシパルは、高度な特権を持つと見なし、それに応じて保護する必要があります。
PIM 設定で認証コンテキストを構成する前に、認証コンテキストの条件付きアクセス ポリシーを作成して有効にすることをお勧めします。 PIM 設定で構成された認証コンテキストを対象とする条件付きアクセス ポリシーがテナント内に存在しない場合、[On activation, require multifactor authentication] (アクティブ化の際に多要素認証を要求する) が設定されるため、グループのメンバーシップ/所有権のアクティブ化時に、バックアップ保護メカニズムとして Microsoft Entra ID の多要素認証機能が必要になります。
このバックアップ保護メカニズムは、構成ミスによって、条件付きアクセス ポリシーの作成前に PIM 設定が更新された場合にのみ、保護するように設計されています。 条件付きアクセス ポリシーがオフになっている、レポート専用モードになっている、または資格を持つユーザーがポリシーから除外されている場合、このバックアップ保護メカニズムはトリガーされません。
[On activation, require Microsoft Entra Conditional Access authentication context] (アクティブ化の際に、Microsoft Entra 条件付きアクセス認証コンテキストを要求する) 設定では、ユーザーがグループのメンバーシップ/所有権をアクティブ化するときに満たす必要がある認証コンテキスト要件を定義します。 グループのメンバーシップ/所有権がアクティブ化された後、ユーザーが別のブラウザ セッション、デバイス、または場所を使用して、グループのメンバーシップ/所有権を使用することは妨げられません。
たとえば、ユーザーは Intune 準拠デバイスを使用してグループのメンバーシップ/所有権をアクティブ化できます。 ロールがアクティブ化された後、Intune 非準拠の別のデバイスから同じユーザー アカウントにサインインし、そこから以前にアクティブ化されたグループのメンバーシップ/所有権を使用できます。
このような状況を防ぐために、条件付きアクセス ポリシーのスコープを設定して、資格を持つユーザーに特定の要件を直接適用できます。 たとえば、特定のグループのメンバーシップ/所有権の資格を持つユーザーに対して、常に Intune 準拠のデバイスを使用するように要求できます。
条件付きアクセス認証コンテキストの詳細については、「条件付きアクセス: クラウド アプリ、アクション、認証コンテキスト」を参照してください。
アクティブ化の正当な理由を要求する
ユーザーが資格のある割り当てをアクティブにするときに、業務上の正当な理由を入力するように要求できます。
アクティブ化時にチケット情報を要求する
ユーザーが資格のある割り当てをアクティブにするときに、サポート チケットを入力するように要求できます。 このオプションは情報のみのフィールドです。 チケット システムの情報との相関関係は適用されません。
アクティブ化の承認を必須にする
資格のある割り当てのアクティブ化に対する承認を要求できます。 承認者は、グループのメンバーまたは所有者である必要はありません。 このオプションを使用する場合は、1 人以上の承認者を選択する必要があります。 少なくとも 2 人の承認者を選択することをお勧めします。 既定の承認者はいません。
承認について詳しくは、「グループのメンバーと所有者のアクティブ化要求を承認する」に関する記事をご覧ください。
割り当て期間
ロールの設定を構成するときに、割り当ての種類 ("対象" と "アクティブ") ごとに 2 つの割り当て期間オプションから選択できます。 これらのオプションは、Privileged Identity Management でユーザーがロールに割り当てられるときの既定の最大期間になります。
これらの資格のある割り当て期間オプションからいずれかを選択できます。
設定 | 説明 |
---|---|
永続的な有資格割り当てを許可する | リソース管理者は、永続的に資格のある割り当てを行うことができます。 |
資格のある割り当てが次の期間後に期限切れになる | リソース管理者は、すべての資格のある割り当てに、開始日と終了日の指定を必須にすることができます。 |
また、これらのアクティブな割り当て期間オプションからいずれかを選択できます。
設定 | 説明 |
---|---|
永続的なアクティブ割り当てを許可する | リソース管理者は、永続的にアクティブな割り当てを行うことができます。 |
アクティブな割り当てが次の期間後に期限切れになる | リソース管理者は、すべてのアクティブな割り当てに、開始日と終了日の指定を必須にすることができます。 |
リソース管理者は、終了日時が指定されている割り当てのどれでも更新することができます。 これに対し、ユーザーはロールの割り当てを延長または更新するセルフサービス要求を開始することができます。
アクティブな割り当てに多要素認証を要求する
管理者またはグループ所有者が (資格のある割り当てではなく) アクティブな割り当てを作成するときに、多要素認証を行うように要求できます。 ユーザーがロールの割り当てを使うときは、ロールが割り当てられた時点からロール内で既にアクティブになっているため、Privileged Identity Management で多要素認証を強制することはできません。
管理者またはグループ所有者は、強力な資格情報で認証を行った場合、またはこのセッションで以前に多要素認証を提供した場合には、多要素認証を求められないことがあります。
アクティブな割り当ての理由を要求する
ユーザーが (資格のある割り当てではなく) アクティブな割り当てを作成するときに、業務上の正当な理由を入力するように要求できます。
[ロールの設定] ページの [通知] タブで、Privileged Identity Management によって、通知を受信するユーザーとユーザーが受信する通知をきめ細かく制御できます。 次のようなオプションがあります。
- メールをオフにする: 特定のメールをオフにするには、既定の受信者のチェック ボックスをオフにし、その他の受信者をすべて削除します。
- 指定したメール アドレスへのメールを制限する: 既定の受信者に送信されるメールをオフにするには、既定の受信者のチェック ボックスをオフにします。 その後で、受信者として他のメール アドレスを追加できます。 複数のメール アドレスを追加する場合は、セミコロン (;) で区切ります。
- 既定の受信者と他の受信者の両方にメールを送信する: 既定の受信者と他の受信者の両方にメールを送信できます。 既定の受信者のチェック ボックスをオンにし、他の受信者のメール アドレスを追加します。
- 重要なメールのみ: メールの種類ごとに、重要なメールのみを受信するためのチェック ボックスをオンにできます。 メールで即時のアクションが求められている場合にのみ、指定された受信者に、Privileged Identity Management によって引き続きメールが送信されます。 たとえば、ユーザーにロールの割り当てを延長するよう求めるメールはトリガーされません。 管理者に延長要求の承認を要求するメールはトリガーされます。
Note
Privileged Identity Management の 1 つのイベントで、複数の受信者 (担当者、承認者、管理者) 宛の電子メール通知を生成できます。 1 つのイベントごとに送信できる通知の最大数は 1000 です。 受信者の数が 1000 を超える場合は、最初の 1000 人の受信者のみが電子メール通知を受け取ります。 これにより、他の担当者、管理者、または承認者が Microsoft Entra ID および Privileged Identity Management のアクセス許可を使用できなくなることはありません。
Microsoft Graph を使用してロール設定を管理する
Microsoft Graph で PIM API を使用してグループのロール設定を管理するには、unifiedRoleManagementPolicy リソースの種類とその関連メソッドを使用します。
Microsoft Graph では、ロール設定はルールと呼ばれます。 これらは、コンテナー ポリシーを通じてグループに割り当てられます。 グループと各ポリシーを対象とするすべてのポリシーを取得できます。 $expand
クエリ パラメーターを使用して、関連付けられているルールのコレクションを取得します。 要求の構文は次のとおりです。
GET https://graph.microsoft.com/beta/policies/roleManagementPolicies?$filter=scopeId eq '{groupId}' and scopeType eq 'Group'&$expand=rules
Microsoft Graph で PIM API を使用してロール設定を管理する方法の詳細については、「ロール設定と PIM」を参照してください。 ルールを更新する方法の例については、「Microsoft Graph を使用して PIM のルールを更新する」を参照してください。