Groups のための Privileged Identity Management (PIM)
Microsoft Entra ID では、グループ向けの Privileged Identity Management (PIM) を使用して、グループの Just-In-Time メンバーシップと所有権をユーザーに付与できます。 グループを使用すると、Microsoft Entra ロール、Azure ロール、Azure SQL、Azure Key Vault、Intune、その他のアプリケーション ロール、サードパーティ アプリケーションなど、さまざまなシナリオへのアクセスを制御できます。
グループ向けの PIM とは
グループ向けの PIM は、Microsoft Entra Privileged Identity Management の一部です。グループ向けの PIM を Microsoft Entra ロール向けの PIM および Azure リソース向けの PIM と共に使用すると、ユーザーは Microsoft Entra セキュリティ グループまたは Microsoft 365 グループの所有権またはメンバーシップをアクティブにできます。 グループを使用して、Microsoft Entra ロール、Azure ロール、Azure SQL、Azure Key Vault、Intune、その他のアプリケーション ロール、サードパーティ アプリケーションなどのさまざまなシナリオへのアクセスを管理できます。
グループ用の PIM では、Microsoft Entra ロール用の PIM や Azure リソース用の PIM で使うものと同様のポリシーを使用できます。メンバーシップまたは所有権のアクティブ化に対する承認の要求、多要素認証 (MFA) の適用、正当な理由の要求、最大アクティブ化時間の制限などを行うことができます。 グループ向けの PIM の各グループには、メンバーシップのアクティブ化用とグループ内の所有権のアクティブ化用の 2 つのポリシーがあります。 2023 年 1 月まで、グループ向けの PIM 機能は "特権アクセス グループ" と呼ばれていました。
Note
Microsoft Entra ロールへの昇格に使われるグループの場合、資格のあるメンバーの割り当てに対して承認プロセスを要求することをお勧めします。 承認せずにアクティブ化できる割り当てでは、権限の低い管理者によるセキュリティ リスクに対して脆弱なままである可能性があります。 たとえば、ヘルプデスク管理者には、対象となるユーザーのパスワードをリセットするアクセス許可があります。
Microsoft Entra ロール割り当て可能グループとは
Microsoft Entra ID を使用すると、Microsoft Entra セキュリティ グループまたは Microsoft 365 グループを Microsoft Entra ロールに割り当てることができます。 これは、ロール割り当て可能として作成されたグループでのみ可能です。
Microsoft Entra ロール割り当て可能グループの詳細については、「Microsoft Entra ID でロールを割り当て可能なグループを作成する」を参照してください。
ロール割り当て可能なグループは、ロール割り当て不可能なグループと比較して、追加の保護の恩恵が受けられます。
- ロール割り当て可能なグループ - このグループは、全体管理者、特権ロール管理者、またはグループ所有者のみが管理できます。 また、他のユーザーは、そのグループの (アクティブな) メンバーであるユーザーの資格情報を変更することはできません。 この機能を利用することで、管理者が要求と承認の手順を行わずに高い特権ロールに昇格するのを防ぎます。
- ロール割り当て不可能なグループ - このグループは、Exchange 管理者、グループ管理者、ユーザー管理者など、さまざまな Microsoft Entra ロールで管理できます。また、認証管理者、ヘルプデスク管理者、ユーザー管理者などのMicrosoft Entra のさまざまなロールも、グループの (アクティブな) メンバーであるユーザーの資格情報を変更できます。
Microsoft Entra の組み込みロールとそのアクセス許可の詳細については、「Microsoft Entra の組み込みロール」を参照してください。
Microsoft Entra ロール割り当て可能なグループ機能は、Microsoft Entra Privileged Identity Management (Microsoft Entra PIM) の一部ではありません。 ライセンスの詳細については、「Microsoft Entra ID ガバナンス ライセンスの基礎」を参照してください。
ロール割り当て可能なグループとグループ向けの PIM の関係
Microsoft Entra ID のグループは、ロール割り当て可能またはロール割り当て不可として分類できます。 さらに、グループ向けの Microsoft Entra Privileged Identity Management (PIM) で使用するために、どのグループも有効または無効にすることができます。 これらは、グループの独立したプロパティです。 グループ向けの PIM では、任意の Microsoft Entra セキュリティ グループと任意の Microsoft 365 グループ (動的グループおよびオンプレミス環境から同期されたグループを除く) を有効にすることができます。 グループは、グループ向けの PIM で有効にするためにロール割り当て可能なグループである必要はありません。
Microsoft Entra ロールをグループに割り当てる場合、グループはロール割り当て可能である必要があります。 グループに Microsoft Entra ロールを割り当てるつもりがなくても、そのグループが機密性の高いリソースへのアクセスを提供する場合は、グループをロール割り当て可能として作成することを検討することをお勧めします。 ロール割り当て可能なグループにすると、保護が強化されるためです。上記のセクション「Microsoft Entra ロール割り当て可能グループとは」を参照してください。
重要
2023 年 1 月までは、すべての特権アクセス グループ (このグループ向け PIM 機能の旧称) をロール割り当て可能なグループにする必要がありました。 この制限は現在削除されています。 そのため、PIM でテナントごとに 500 を超えるグループを有効にできるようになりましたが、ロール割り当て可能なグループは最大 500 グループまでです。
ユーザーのグループを Microsoft Entra ロールの対象にする
ユーザーのグループを Microsoft Entra ロールの対象にするには、次の 2 つの方法があります。
- グループに対してユーザーのアクティブな割り当てを行ってから、そのグループをアクティブ化の対象としてロールに割り当てます。
- グループに対してロールのアクティブな割り当てを行い、グループ メンバーシップの対象となるユーザーを割り当てます。
SharePoint、Exchange、または Security と Microsoft Purview コンプライアンス ポータルのアクセス許可を持つ Microsoft Entra ロール (Exchange 管理者ロールなど) への Just-In-Time アクセスをユーザーのグループに提供するには、そのグループに対するユーザーのアクティブな割り当てを行い、アクティブ化の対象としてそのグループをロールに割り当てます (上記のオプション #1)。 代わりに、グループをロールにアクティブに割り当て、グループ メンバーシップの対象となるユーザーを割り当てると、そのロールのすべての権限がアクティブ化されて使用できるようになるまでにかなりの時間がかかる場合があります。
Privileged Identity Management とグループの入れ子
Microsoft Entra ID では、ロール割り当て可能なグループの中に他のグループを入れ子にすることはできません。 詳細については、「Microsoft Entra グループを使用してロールの割り当てを管理する」をご覧ください。 これはアクティブなメンバーシップに適用されます。1 つのグループを、ロール割り当て可能な別のグループのアクティブなメンバーにすることはできません。
いずれかのグループがロール割り当て可能な場合でも、1 つのグループを別のグループの適格なメンバーにすることができます。
ユーザーがグループ A のアクティブなメンバーであり、グループ A がグループ B の対象メンバーである場合、このユーザーはグループ B のメンバーシップをアクティブにできます。このアクティブ化は、アクティブ化を要求したユーザーに対してのみ行われます。グループ A 全体がグループ B のアクティブ メンバーになるという意味ではありません。
Privileged Identity Management とアプリのプロビジョニング
グループがアプリ プロビジョニング用に構成されている場合、グループ メンバーシップのアクティブ化により、SCIM プロトコルを使用してアプリケーションへのグループ メンバーシップ (および以前にプロビジョニングされていない場合はユーザー アカウント自体) のプロビジョニングがトリガーされます。
パブリック プレビューでは、PIM でグループ メンバーシップがアクティブ化された直後にプロビジョニングをトリガーする機能があります。 プロビジョニングの構成は、アプリケーションによって異なります。 一般に、アプリケーションに少なくとも 2 つのグループを割り当てることをお勧めします。 アプリケーション内のロールの数に応じて、追加の "特権グループ" を定義することもできます。
| グループ | 目的 | メンバー | グループのメンバーシップ | アプリケーションで割り当てられたロール |
|---|---|---|---|---|
| すべてのユーザー グループ | アプリケーションへのアクセスを必要とするすべてのユーザーが、常にアプリケーションにプロビジョニングされるようにします。 | アプリケーションにアクセスする必要があるすべてのユーザー。 | アクティブ | なし、または低い特権のロール |
| 特権グループ | アプリケーションの特権ロールへの Just-In-Time アクセスを提供します。 | アプリケーションの特権ロールへの Just-In-Time アクセスを必要とするユーザー。 | 対象 | 特権ロール |
重要な考慮事項
- ユーザーがアプリケーションにプロビジョニングされるまでにかかる時間
- Microsoft Entra ID Privileged Identity Management (PIM) を使用したグループ メンバーシップのアクティブ化の外部で、ユーザーを Microsoft Entra のグループに追加するとき:
- グループ メンバーシップは、次の同期サイクルの間に、アプリケーションでプロビジョニングされます。 同期サイクルは 40 分ごとに実行されます。
- ユーザーが Microsoft Entra PIM でグループ メンバーシップをアクティブにするとき:
- グループ メンバーシップは 2 から 10 分でプロビジョニングされます。 一度に行われる要求の数が多い場合、10 秒あたり 5 要求に調整されます。
- 特定のアプリケーションのグループ メンバーシップをアクティブにしようとするユーザーのうち、10 秒の期間内の最初の 5 人については、2 から 10 分以内にアプリケーションでグループ メンバーシップがプロビジョニングされます。
- 特定のアプリケーションのグループ メンバーシップをアクティブにしようとするユーザーのうち、10 秒の期間内の 6 人目以降については、次の同期サイクルの間にアプリケーションでグループ メンバーシップがプロビジョニングされます。 同期サイクルは 40 分ごとに実行されます。 調整の制限は、エンタープライズ アプリケーションごとに行われます。
- Microsoft Entra ID Privileged Identity Management (PIM) を使用したグループ メンバーシップのアクティブ化の外部で、ユーザーを Microsoft Entra のグループに追加するとき:
- ユーザーがターゲット アプリケーションの必要なグループにアクセスできない場合は、PIM のログとプロビジョニングのログを調べて、グループ メンバーシップが正常に更新されたことを確認してください。 ターゲット アプリケーションの設計方法によっては、グループ メンバーシップがアプリケーションで有効になるのにさらに時間がかかる場合があります。
- Azure Monitor を使うと、お客様は障害に対するアラートを作成できます。