Azure AD Privileged Identity Management とは

Privileged Identity Management (PIM) は、お客様の組織内の重要なリソースへのアクセスを管理、制御、監視することができる、Azure Active Directory (Azure AD) のサービスです。 これらのリソースには、Azure AD、Azure、他の Microsoft Online Services (Microsoft 365 や Microsoft Intune など) 内のリソースが含まれます。 次のビデオでは、PIM の重要な概念と機能を紹介しています。

使用する理由

組織では、セキュリティで保護された情報やリソースへのアクセス権を持つユーザーの数を最小限に抑える必要があります。そうすることにより、次の可能性を軽減できます。

  • 悪意のあるアクターによるアクセス権の取得
  • 許可されているユーザーによる機密リソースの誤操作

ただし、ユーザーは、Azure AD、Azure、Microsoft 365、または SaaS アプリで特権操作を実行する必要があります。 組織は、Azure および Azure AD リソースに対する Just-In-Time 特権アクセスをユーザーに付与することができ、それらのユーザーが与えられた特権アクセスでどんな操作を実行しているかを監視することもできます。

ライセンスの要件

この機能を使用するには、Azure AD Premium P2 ライセンスが必要です。 ご自分の要件に対して適切なライセンスを探すには、一般提供されている Azure AD の機能の比較に関するページをご覧ください。

ユーザーのライセンスについては、「Privileged Identity Management を使用するためのライセンスの要件」を参照してください。

内容

Privileged Identity Management では、時間ベースおよび承認ベースのロールのアクティブ化を提供して、対象リソースに対する過剰、不要、または誤用であるアクセス許可のリスクを軽減します。 以下に、Privileged Identity Management の主な機能をいくつか示します。

  • Azure AD と Azure のリソースに対する Just-In-Time の特権アクセスを提供する
  • 開始日と終了日を使用した期限付きアクセス権をリソースに割り当てる
  • 特権ロールをアクティブ化するために承認を要求する
  • ロールをアクティブ化するために多要素認証を強制する
  • なぜユーザーをアクティブ化するのかを把握するために理由を使用する
  • 特権ロールがアクティブ化されたときに通知を受ける
  • ユーザーにロールがまだ必要であることを確認するためにアクセス レビューを実施する
  • 社内監査または外部監査に使用する監査履歴をダウンロードする
  • 最後にアクティブだったグローバル管理者特権ロール管理者のロールの割り当てが削除されないようにする

このサービスでできること

Privileged Identity Management を設定すると、左側のナビゲーション メニューに [タスク][管理][アクティビティ] の各オプションが表示されます。 管理者として、Azure AD ロールの管理、Azure リソース ロールの管理、特権アクセス グループなどのオプションを選択することになります。 管理対象を選択すると、そのオプションに対する適切な一連のオプションが表示されます。

Azure portal での Privileged Identity Management のスクリーンショット

ユーザーの割り当て管理

Privileged Identity Management での Azure AD ロールの場合、他の管理者の割り当てを管理できるのは、特権ロール管理者またはグローバル管理者ロールに属しているユーザーだけです。 グローバル管理者、セキュリティ管理者、グローバル閲覧者、およびセキュリティ閲覧者も、Privileged Identity Management における Azure AD ロールへの割り当てを表示することができます。

Privileged Identity Management での Azure リソースのロールの場合、サブスクリプション管理者、リソース所有者、またはリソース ユーザー アクセス管理者だけが、他の管理者の割り当てを管理できます。 既定では、特権ロール管理者、セキュリティ管理者、またはセキュリティ閲覧者であるユーザーは、Privileged Identity Management での Azure リソースのロールへの割り当てを表示することはできません。

用語

Privileged Identity Management とそのドキュメントについてより深く理解するために、次の用語を確認してください。

用語または概念 ロールの割り当てのカテゴリ 説明
有資格 Type ロールを使用するユーザーは、1 つまたは複数のアクションを実行するために必要となるロールの割り当て。 あるロールに対して資格があるとは、特権タスクを実行する必要が生じたときに、ユーザーがそのロールをアクティブ化できることを意味します。 ロールへの永続的な割り当てと、有資格者としての割り当てに、アクセスの違いはありません。 常時のアクセスを必要としないユーザーがいる、というのが唯一の違いです。
active Type ロールを使用するユーザーが、何のアクションを実行する必要がないロールの割り当て。 アクティブとして割り当てられたユーザーは、そのロールに割り当てられた特権を持ちます。
アクティブ化 ユーザーに資格のあるロールを使用するために、1 つまたは複数のアクションを実行するプロセス。 要求されるアクションには、多要素認証 (MFA) チェックの実行、業務上の妥当性の指定、指定された承認者に対する承認要求などがあります。
割り当て済み State アクティブなロールの割り当てを持つユーザー。
アクティブ化済み State ロールの割り当ての資格を持ち、ロールをアクティブ化するためのアクションを実行して、アクティブになったユーザー。 アクティブになったユーザーは、事前に構成された期間、そのロールを使用することができ、その期間の経過後は再度アクティブ化する必要があります。
永続的に有資格 Duration ロールをアクティブ化する資格が常にユーザーにあるロールの割り当て。
永続的にアクティブ Duration 何もアクションを実行しなくても、ユーザーがロールを常に使用できるロールの割り当て。
期限付き有資格 Duration 開始日から終了日の間だけ、ユーザーにロールをアクティブ化する資格があるロールの割り当て。
期限付きアクティブ Duration 開始日から終了日の間にのみ、ユーザーがロールを使用できるロールの割り当て。
Just-In-Time (JIT) アクセス 悪意のあるユーザーまたは未承認ユーザーがアクセス許可の期限が切れた後にアクセスできないように、ユーザーに特権タスクを実行する一時的なアクセス許可を与えるモデル。 ユーザーが必要な場合にのみ、アクセスが許可されます。
最小特権アクセスの原則 すべてのユーザーに、実行権限があるタスクを実行するのに必要な最小特権のみを与える、推奨されるセキュリティ プラクティス。 このプラクティスでは、グローバル管理者の数を最小限にする代わりに、特定のシナリオで特定の管理者ロールが使用されます。

ロールの割り当ての概要

PIM ロールの割り当てにより、組織内のリソースへのアクセス権を安全な方法で付与できます。 ここでは、割り当てのプロセスについて説明します。 これには、メンバーへのロールの割り当て、割り当てのアクティブ化、要求の承認または拒否、割り当ての延長と更新が含まれます。

PIM では、自分や他の参加者に電子メール通知を送信して、最新情報を知らせることができます。 これらの電子メールには、関連するタスク (ロールのアクティブ化や要求の承認または拒否など) へのリンクが含まれる場合もあります。

次のスクリーンショットは、PIM によって送信された電子メール メッセージを示しています。 この電子メールでは、Alex が Emily のロールの割り当てを更新したことを Patti に通知しています。

Privileged Identity Management によって送信された電子メール メッセージを示すスクリーンショット。

割り当て

割り当てのプロセスは、メンバーにロールを割り当てることから始まります。 リソースへのアクセスを付与するために、管理者はロールをユーザー、グループ、サービス プリンシパル、またはマネージド ID に割り当てます。 割り当てには、次のデータが含まれます。

  • ロールを割り当てるメンバーまたは所有者。
  • 割り当てのスコープ。 スコープによって、割り当てられたロールが特定のリソース セットに制限されます。
  • 割り当ての種類
    • [対象] 割り当ての場合、このロールのメンバーは、ロールを使用するにはアクションを実行する必要があります。 要求されるアクションには、アクティブ化、指定された承認者に対する承認要求などがあります。
    • [アクティブ] 割り当ての場合、ロールを使用するために何らかのアクションを実行することをメンバーに要求しません。 アクティブとして割り当てられたメンバーは、そのロールに割り当てられた特権を持ちます。
  • 開始日と終了日を使用する、または永続的に使用する割り当ての期間。 対象となる割り当ての場合、メンバーは開始日から終了日の間でアクティブ化または承認の要求ができます。 アクティブな割り当ての場合、メンバーはこの期間中に割り当てロールを使用できます。

次のスクリーンショットは、管理者がメンバーにロールを割り当てる方法を示しています。

Privileged Identity Management でのロールの割り当てのスクリーンショット。

詳細については、次の記事を参照してください。「Azure AD ロールを割り当てる」、「Azure リソース ロールを割り当てる」、「特権アクセス グループの資格を割り当てる

アクティブ化

ユーザーがロールの資格を持っている場合は、ロールを使用する前にロールの割り当てをアクティブにする必要があります。 ロールをアクティブにするには、ユーザーは最大範囲 (管理者が設定) 内で特定のアクティブ化期間と、アクティブ化要求の理由を選択します。

次のスクリーンショットは、メンバーが限られた期間のみロールをアクティブにする方法を示しています。

Privileged Identity Management のロールのアクティブ化のスクリーンショット。

アクティブにするために承認が必要なロールの場合は、ユーザーのブラウザーの右上隅に通知が表示され、要求が承認待ちになっていることが示されます。 承認が必要ない場合、メンバーはロールの使用を開始できます。

詳細については、次の記事を参照してください。「Azure AD ロールをアクティブ化する」、「自分の Azure リソース ロールをアクティブにする」、「特権アクセス グループ ロールをアクティブにする

承認または拒否

ロールの要求の承認が保留されていると、代理承認者には電子メール通知が届きます。 承認者は、PIM でこれらの保留中の要求を表示、承認、または拒否することができます。 要求が承認されると、メンバーはロールの使用を開始できます。 たとえば、ユーザーまたはグループは、リソース グループに対するコントリビューション ロールが割り当てられていれば、その特定のリソース グループを管理できます。

詳細については、次の記事を参照してください。「Azure AD ロールの要求を承認または拒否する」、「Azure リソース ロールの要求を承認または拒否する」、「特権アクセス グループのアクティブ化要求を承認する

割り当ての延長と更新

所有者またはメンバーの期限付き割り当てが管理者によって設定されたときにまず疑問に思うのは、割り当ての期限が切れるとどうなるかということです。 この新しいバージョンでは、このシナリオに対して 2 つの選択肢があります。

  • 延長 – ロールの割り当ての期限が近づいたら、ユーザーは Privileged Identity Management を使用してそのロールの割り当ての延長を要求できます
  • 更新 – ロールの割り当ての期限が既に切れている場合、ユーザーは Privileged Identity Management を使用してそのロールの割り当ての更新を要求できます

ユーザーが開始するどちらのアクションにも、グローバル管理者または特権ロール管理者からの承認が必要です。 管理者は、割り当ての有効期限を管理する担当者である必要はありません。 ユーザーは、延長要求または更新要求が許可されるか拒否されるのをただ待つだけですみます。

詳細については、次の記事を参照してください。「Azure AD ロールの割り当てを延長または更新する」、「Azure リソース ロールの割り当てを延長または更新する」、特権アクセス グループの割り当てを延長または更新するに関する記事

シナリオ

Privileged Identity Management では、次のシナリオがサポートされています。

特権ロール管理者のアクセス許可

  • 特定のロールの承認を有効化する
  • 要求を承認するユーザーまたはグループを指定する
  • すべての特権ロールの要求と承認の履歴を表示する

承認者のアクセス許可

  • 保留中の承認 (要求) を表示する
  • ロールの昇格の要求を承認または拒否する (単独および一括)
  • 自分の承認または却下の理由を説明する

有資格のロール ユーザーのアクセス許可

  • 承認が必要なロールのアクティブ化を要求する
  • アクティブ化要求の状態を表示する
  • アクティブ化が承認された場合に Azure AD でタスクを完了する

特権アクセス Azure AD グループの管理 (プレビュー)

Privileged Identity Management (PIM) では、特権アクセス グループのメンバーシップまたは所有権の資格を割り当てることができるようになりました。 このプレビュー以降、Azure Active Directory (Azure AD) の組み込みロールをクラウド グループに割り当て、PIM を使用してグループのメンバーと所有者の資格とアクティブ化を管理できます。 Azure AD でのロール割り当て可能グループの詳細については、「Azure AD グループを使用してロールの割り当てを管理する」を参照してください。

重要

Exchange、セキュリティ/コンプライアンス センター、または SharePoint への管理アクセス用のロールに、特権アクセス グループを割り当てるには、[特権アクセス グループ] エクスペリエンスではなく、Azure AD ポータルの [ロールと管理者] エクスペリエンスを使用します。そのグループには、アクティブ化の資格のあるユーザーまたはグループを含めるようにします。

グループごとに異なる Just-In-Time ポリシー

組織によっては、Azure AD 企業間 (B2B) コラボレーションなどのツールを使用して、パートナーを Azure AD 組織にゲストとして招待することがあります。 特権ロールへのすべての割り当てに対して単一の Just-In-Time ポリシーを使用するのではなく、独自のポリシーを持つ 2 つの異なる特権アクセス グループを作成できます。 社内の信頼できる従業員に対しては、それほど厳格でない要件を適用できますが、外部のパートナーへの承認ワークフローなどが割り当てられたグループに、アクティブ化が必要な場合は、厳しい要件を適用できます。

1 つの要求で複数のロールの割り当てをアクティブ化する

特権アクセス グループ (プレビュー) を使用すると、ワークロード固有の管理者に対して、単一の Just-In-Time 要求で複数のロールへのクイック アクセスを付与できます。 たとえば、"Tier 3 Office Admins" は、毎日インシデントを徹底的に調査するために、Exchange 管理者、Office アプリ管理者、Teams 管理者、および Search 管理者などのロールに Just-In-Time アクセスを必要とする場合があります。 以前は 4 つの連続した要求が必要であり、時間のかかるプロセスでした。 代わりに、"Tier 3 Office Admins" という名前のロール割り当て可能グループを作成し、前述の 4 つのロール (または任意の Azure AD 組み込みロール) にそれを割り当てて、グループの [アクティビティ] セクションで特権アクセスを有効にすることができます。 特権アクセスを有効にすると、グループのメンバーに対して Just-In-Time の設定を構成し、管理者と所有者を適格として割り当てることができます。 管理者がグループに昇格すると、4 つの Azure AD ロールすべてのメンバーになります。

Privileged Identity Management でゲスト ユーザーを招待して Azure リソース ロールを割り当てる

Azure Active Directory (Azure AD) ゲスト ユーザーは Azure AD 内の企業間 (B2B) コラボレーション機能の一部であるため、外部のゲスト ユーザーとベンダーを Azure AD でゲストとして管理することができます。 たとえば、特定の Azure リソースへのアクセスの割り当て、割り当て期間と終了日の指定、アクティブな割り当てまたはアクティブ化での 2 段階認証の要求など、ゲストを含む Azure ID タスクに対してこれらの Privileged Identity Management 機能を使用できます。 組織にゲストを招待し、ゲストのアクセスを管理する方法の詳細については、Azure AD portal で B2B コラボレーション ユーザーを追加する方法に関する記事を参照してください。

いつゲストを招待しますか?

ゲストを組織に招待するタイミングの例をいくつか示します。

  • プロジェクトの Azure リソースにアクセスするために、電子メール アカウントしか持っていない外部の自営仕入先を許可します。
  • オンプレミスの Active Directory フェデレーション サービスを使用する大規模な組織で、経費アプリケーションにアクセスすることを外部のパートナーを許可します。
  • 組織外のサポート エンジニア (Microsoft サポートなど) に、問題をトラブルシューティングしてもらうために Azure リソースに一時的にアクセスすることを許可します。

B2B ゲストを使用するコラボレーションはどのようなしくみですか?

B2B コラボレーションを使用する場合は、外部ユーザーをゲストとして貴社の組織に招待することができます。 ゲストは貴社の組織内のユーザーとして管理できますが、ゲストの認証は Azure AD 組織ではなく、ゲスト自身のホーム組織で行う必要があります。 つまり、ゲストは自分のホーム組織へのアクセス権を失った場合、貴社の組織へのアクセス権も失うことになります。 たとえば、ゲストが所属する組織を離れた場合、ゲストは Azure AD 内で貴社と共有しているリソースへのアクセス権を自動的に失いまます。貴社は何もする必要はありません。 B2B コラボレーションの詳細については、「Azure Active Directory B2B のゲスト ユーザー アクセスとは」を参照してください。

ゲスト ユーザーが自身のホーム ディレクトリでどのように認証されるかを示す図

次のステップ