Privileged Identity Management の機能を説明する

  • 5 分

Privileged Identity Management (PIM) は、組織内の重要なリソースへのアクセスの管理、制御、監視を可能とする Microsoft Entra ID のサービスです。 これには、Microsoft Entra、Azure、その他の Microsoft オンライン サービス (Microsoft 365 や Microsoft Intune など) のリソースが含まれます。 PIM は、アクセス許可が過剰または不要であるか、乱用された場合のリスクを軽減します。 ユーザーにアクセス許可が必要な理由を理解するために正当化が要求され、あらゆるロールが、多要素認証を適用してアクティブ化されます。

PIM の特長は、次のとおりです。

  • 正確なタイミング。必要な時期になるまでは特権アクセスが提供されません。
  • 期限付き。ユーザーがリソースにアクセスできる日時を示す、開始日と終了日が割り当てられます。
  • 承認ベース。権限のアクティブ化に特定の承認が必要です。
  • 可視化。特権ロールがアクティブ化されると、通知が送信されます。
  • 監査可能。完全なアクセス履歴がダウンロード可能です。

PIM を使用する理由

PIM を使用すると、セキュリティで保護された情報やリソースにアクセスできるユーザーの数を最小限に抑えて、悪意のあるアクターがアクセスする可能性を減らすことができます。 承認されたユーザーの数を制限することで、それらのユーザーが不注意により機密リソースに影響を与えるリスクが軽減されます。 PIM では、管理者特権でユーザーが実行している操作を監視することもできます。

PIM を使用してできること

現在、PIM を使用できる対象は次のとおりです。

  • Microsoft Entra ロール – ディレクトリ ロールと呼ばれることもある Microsoft Entra ロールには、Microsoft Entra ID およびその他の Microsoft 365 オンライン サービスを管理するための組み込みとカスタムのロールが含まれます。

  • Azure ロール – 管理グループ、サブスクリプション、リソース グループ、リソースに対するアクセスを許可する、Azure 内のロールベースのアクセス制御 (RBAC) のロール。

  • グループ向けの PIM – グループの Just-In-Time メンバーシップと、グループの Just-In-Time 所有権を提供します。 グループ向けの Microsoft Entra Privileged Identity Management を使用して、Microsoft Entra ロール、Azure ロール、Azure SQL、Azure Key Vault、Intune、その他のアプリケーション ロール、サードパーティ アプリケーションなどのさまざまなシナリオへのアクセスを管理できます。

一般的なワークフロー

PIM のデプロイ時には、通常、基本的なワークフローの一部である手順がいくつかあります。 これらの手順は、割り当て、アクティブ化、承認/拒否、延長/更新です。

  • 割り当て - 割り当てのプロセスは、メンバーにロールを割り当てることから始まります。 リソースへのアクセスを付与するために、管理者はロールをユーザー、グループ、サービス プリンシパル、またはマネージド ID に割り当てます。 割り当てには、次のデータが含まれます。

    • メンバーまたは所有者 - ロールに割り当てるメンバーまたは所有者。
    • スコープ - スコープによって、割り当てられたロールが特定のリソース セットに制限されます。
    • 割り当ての種類 - 2 つのオプションがあります。 [対象] 割り当ての場合、このロールのメンバーは、ロールを使用するにはアクションを実行する必要があります。 要求されるアクションには、アクティブ化、指定された承認者に対する承認要求などがあります。 [アクティブ] 割り当ての場合、ロールを使用するために何らかのアクションを実行することをメンバーに要求しません。 アクティブとして割り当てられたメンバーは、そのロールに割り当てられた特権を持ちます。
    • 期間 - 割り当ての期間は、開始日と終了日によって定義されるか、永続的に設定されます。

    Screen capture showing the assignment step.

  • アクティブ化 - ユーザーがロールの資格を持っている場合は、ロールを使用する前にロールの割り当てをアクティブにする必要があります。 ロールをアクティブにするには、ユーザーは最大範囲 (管理者が設定) 内で特定のアクティブ化期間と、アクティブ化要求の理由を選択します。

    Screen capture showing the activation step.

  • 承認または拒否 - ロールの要求の承認が保留されていると、代理承認者には電子メール通知が届きます。 承認者は、PIM でこれらの保留中の要求を表示、承認、または拒否することができます。 要求が承認されると、メンバーはロールの使用を開始できます。

    Screen capture showing the approve or deny step.

  • 延長および更新 - ロールの割り当ての期限が近付くと、ユーザーは PIM を使用してそのロールの割り当ての延長を要求できます。 ロールの割り当ての期限が既に切れている場合、ユーザーは Privileged Identity Management を使用してそのロールの割り当ての更新を要求できます。

    Screen capture showing the option to extend an assignment.

Audit

Privileged Identity Management (PIM) の監査履歴を使用すると、すべての特権ロールでの過去 30 日間におけるすべてのロール割り当てとアクティブ化を確認できます。

Screen capture showing the PIM audit history.