Privileged Identity Management の使用開始

この記事では、Privileged Identity Management (PIM) を有効にしてその使用を開始する方法について説明します。

Privileged Identity Management (PIM) を使用すると、Azure Microsoft Entra 組織内のアクセス権を管理、制御、および監視できます。 PIM を使用すると、Azure リソースや Microsoft Entra リソースのほか、Microsoft 365 や Microsoft Intune などのその他の Microsoft オンライン サービスへのアクセスを、必要に応じて適切なタイミングで提供できます。

前提条件

Privileged Identity Management を使用するには、次のライセンスのいずれかが必要です。

• Privileged Identity Management を使用するにはライセンスが必要です。 ライセンスの詳細については、「Microsoft Entra ID ガバナンス ライセンスの基礎」を参照してください。

詳細については、「Privileged Identity Management を使用するためのライセンスの要件」を参照してください。

Note

Premium P2 ライセンスの Microsoft Entra 組織で特権ロールを持っているアクティブなユーザーが、Microsoft Entra の [ロールと管理者] にアクセスしてロールを選択する (または単に Privileged Identity Management にアクセスする) と、次のようになります。

• 組織に対して PIM が自動的に有効になります
• "通常の" ロールの割り当てと資格のあるロールの割り当てのどちらも行えるようになります

PIM が有効になっても、その他の面では、心配しなければならないような影響は組織にはありません。 アクティブなのか資格があるのか、開始と終了時刻など、追加の割り当てオプションが提供されます。 また、PIM では、管理単位とカスタム ロールを使用してロール割り当ての範囲を定義することもできます。 全体管理者または特権ロール管理者には、PIM の週刊ダイジェストなど、いくつかの追加メールが届き始める可能性があります。 さらに、ロールの割り当てに関連する監査ログに MS-PIM サービス プリンシパルが表示される場合もあります。 これは予期された変更であり、ワークフローに対する影響はありません。

Microsoft Entra ロール用に PIM を準備する

Microsoft Entra ロールを管理できるように Privileged Identity Management を準備する場合に推奨されるタスクを次に示します。

1. Microsoft Entra ロールの設定を構成します。
2. 資格に応じて割り当てる。
3. 資格のあるユーザーが Microsoft Entra ロールを Just-In-Time でアクティブ化できるようにします。

Azure ロール用に PIM を準備する

サブスクリプション用の Azure ロールを管理できるように Privileged Identity Management を準備する場合に推奨されるタスクを次に示します。

1. Azure リソースを見つける
2. Azure ロールの設定を構成する。
3. 資格に応じて割り当てる。
4. 資格のあるユーザーが Azure ロールを適切なタイミングでアクティブ化できるようにする。

タスクへの移動

Privileged Identity Management の設定が済んだら、使用してみることができます。

タスク + 管理	説明
自分のロール	自分に割り当てられている適格でアクティブなロールの一覧が表示されます。 ここでは、割り当てられている適格なロールをアクティブにできます。
保留中の要求	適格なロール割り当てのアクティブ化の保留中要求が表示されます。
申請の承認	ディレクトリ内のユーザーによる適格なロールのアクティブ化要求のうち、自分が承認するものの一覧が表示されます。
アクセスのレビュー	自分に完了が割り当てられているアクティブなアクセス レビューが一覧表示されます (自分自身のアクセスをレビューするものと、他のユーザーのアクセスをレビューするものの両方)。
Microsoft Entra ロール	Microsoft Entra ロールの割り当てを管理するための、特権ロール管理者向けのダッシュボードと設定が表示されます。 このダッシュボードは、特権ロール管理者以外に対しては無効になっています。 これらのユーザーは、[自分のビュー] という特殊なダッシュボードにアクセスできます。 [自分のビュー] ダッシュボードには、組織全体ではなく、ダッシュボードにアクセスしているユーザーに関する情報のみが表示されます。
Azure リソース	Azure リソース ロールの割り当てを管理するための、特権ロール管理者向けのダッシュボードと設定が表示されます。 このダッシュボードは、特権ロール管理者以外に対しては無効になっています。 これらのユーザーは、[自分のビュー] という特殊なダッシュボードにアクセスできます。 [自分のビュー] ダッシュボードには、組織全体ではなく、ダッシュボードにアクセスしているユーザーに関する情報のみが表示されます。

次のステップ

• Privileged Identity Management で Microsoft Entra ロールを割り当てる
• Privileged Identity Management で Azure リソースのアクセス権を管理する