Privileged Identity Management の使用開始
Privileged Identity Management (PIM) を使用すると、Azure Microsoft Entra 組織内のアクセス権を管理、制御、および監視できます。 PIM を使用すると、Azure リソースや Microsoft Entra リソースのほか、Microsoft 365 や Microsoft Intune などのその他の Microsoft オンライン サービスへのアクセスを、必要に応じて適切なタイミングで提供できます。
この記事では、Privileged Identity Management (PIM) を有効にしてその使用を開始する方法について説明します。
前提条件
Privileged Identity Management を使用するには、Microsoft Entra ID P2 または Microsoft Entra ID ガバナンス ライセンスが必要です。 ライセンスの詳細については、「Microsoft Entra ID ガバナンス ライセンスの基礎」をご覧ください。
ロールの割り当てのアクティブ化
Microsoft Entra テナントに Microsoft Entra ID P2 または Microsoft Entra ID ガバナンス ライセンスがある場合、アクティブなロールの割り当てを持つユーザーは次の操作を実行できます。
- Microsoft Entra ID の [ロールと管理者] ページを開き、ロールを選択します。
- [Privileged Identity Management] ページを開きます。
- Microsoft Entra roles API を使用して PIM を呼び出します。
Microsoft Entra では、次の方法でテナントの PIM が有効になります。
- すぐに開始して、Microsoft Entra ロールの有資格または期限付き割り当てを作成できます。
- グローバル管理者または特権ロール管理者は、PIM の週次ダイジェストなどの追加のメールの受信を開始できます。
- PIM サービス プリンシパル名 (MS-PIM) は、ロールの割り当て管理に関連する監査ログ イベントに記載されている場合があります。
これらの動作は想定されており、ワークフローには影響しません。
Microsoft Entra ロール用に PIM を準備する
Microsoft Entra ロールを管理できるように Privileged Identity Management を準備する場合に推奨されるタスクを次に示します。
- Microsoft Entra ロールの設定を構成する
- 資格に応じて割り当てる
- 資格のあるユーザーが Microsoft Entra ロールを Just-In-Time でアクティブ化できるようにする
Azure ロール用に PIM を準備する
サブスクリプション用の Azure ロールを管理できるように Privileged Identity Management を準備する場合に推奨されるタスクを次に示します。
タスクへの移動
Privileged Identity Management の設定が済んだら、使用してみることができます。
![[タスク] と [管理] のオプションが表示されている Privileged Identity Management のナビゲーション ウィンドウを示すスクリーンショット。](media/pim-getting-started/pim-quickstart-tasks.png#lightbox)
| タスク + 管理 | 説明 |
|---|---|
| 自分のロール | 自分に割り当てられている適格でアクティブなロールの一覧が表示されます。 ここでは、割り当てられている適格なロールをアクティブにできます。 |
| 個人の要求 | 適格なロール割り当てのアクティブ化の保留中要求が表示されます。 |
| 申請の承認 | ディレクトリ内のユーザーによる適格なロールのアクティブ化要求のうち、自分が承認するものの一覧が表示されます。 |
| アクセスのレビュー | 自分に完了が割り当てられているアクティブなアクセス レビューが一覧表示されます (自分自身のアクセスをレビューするものと、他のユーザーのアクセスをレビューするものの両方)。 |
| Microsoft Entra ロール | Microsoft Entra ロールの割り当てを管理するための、特権ロール管理者向けのダッシュボードと設定が表示されます。 このダッシュボードは、特権ロール管理者以外に対しては無効になっています。 これらのユーザーは、[自分のビュー] という特殊なダッシュボードにアクセスできます。 [自分のビュー] ダッシュボードには、組織全体ではなく、ダッシュボードにアクセスしているユーザーに関する情報のみが表示されます。 |
| グループ | グループの Just-In-Time メンバーシップまたはグループの Just-In-Time 所有権を管理します。 グループでは、Microsoft Entra ロール、Azure ロール、およびその他のさまざまなシナリオにアクセスできます。 PIM で Microsoft Entra グループを管理するには、そのグループを PIM の管理下に置く必要があります。 |
| Azure リソース | Azure リソース ロールの割り当てを管理するための、特権ロール管理者向けのダッシュボードと設定が表示されます。 このダッシュボードは、特権ロール管理者以外に対しては無効になっています。 これらのユーザーは、[自分のビュー] という特殊なダッシュボードにアクセスできます。 [自分のビュー] ダッシュボードには、組織全体ではなく、ダッシュボードにアクセスしているユーザーに関する情報のみが表示されます。 |
| 全般設定 | PIM のために Microsoft Graph API に対してアプリ専用の呼び出しを実行できるアプリケーションを選択します。 |