PIM で Azure リソース ロールと Azure AD ロールのアクセス レビューを実行する

Privileged Identity Management (PIM) を使用すると、企業は、Microsoft Entra の一部である Azure Active Directory (AD) 内または他の Microsoft Online Services (Microsoft 365 や Microsoft Intune など) 内のリソースへの特権アクセスを簡単な方法で管理できます。 この記事の手順に従って、ロールへのアクセスのレビューを実行します。

既に管理者ロールに割り当てられているユーザーは、組織の特権ロール管理者から、自分の業務にそのロールがまだ必要であるかどうかを定期的に確認するよう求められることがあります。 リンクが記載された電子メールが届く場合もあれば、直接 Azure portal にアクセスして開始することもできます。

特権ロール管理者またはグローバル管理者としてアクセス レビューに関心がある場合は、 アクセス レビューを開始する方法に関するページで詳細を確認できます。

アクセスの承認または拒否

ユーザーがまだロールへのアクセスを必要とするかどうかに基づいて、アクセスを承認または拒否することができます。 ロールに含めたままにする場合は [承認] を選択し、アクセスが不要な場合は [拒否] を選択します。 レビューが終了し、管理者が結果を適用するまで、ユーザーの割り当ての状態は変更されません。 拒否された特定のユーザーに結果を適用できない一般的なシナリオには、次のようなものがあります。

  • 同期されたオンプレミスの Windows AD グループのメンバーのレビュー: グループがオンプレミスの Windows AD から同期されている場合、グループを Azure AD で管理することはできません。そのため、メンバーシップを変更することはできません。
  • 入れ子になったグループが割り当てられているロールのレビュー: 入れ子になったグループのメンバーシップを持つユーザーの場合、アクセス レビューを行っても入れ子になったグループのメンバーシップは削除されないため、レビュー対象のロールへのアクセスが維持されます。
  • ユーザーが見つからないか、その他のエラー: これらの事象が発生した場合も、適用結果がサポートされないことがあります。

アクセス レビューを検索して完了するには、次の手順に従います。

  1. Azure portal にサインインします。

  2. [Azure Active Directory] を選択し、[Privileged Identity Management] を開きます。

  3. [アクセスのレビュー] を選択します。 保留中のアクセス レビューがある場合は、アクセス レビューのページに表示されます。

    Azure AD ロールの [アクセスのレビュー] ブレードが選択された Privileged Identity Management アプリケーションのスクリーンショット

  4. 完了するレビューを選択します。

  5. [承認] または [拒否] を選択します。 [理由の指定] ボックスに、必要であれば、業務上の正当な理由を入力します。

    Azure AD ロールのアクセス レビューが選択されている Privileged Identity Management アプリケーションのスクリーンショット。

次のステップ