Privileged Identity Management で Azure AD ロールを割り当てる

全体管理者は、Azure Active Directory (Azure AD) を使用して、永続的な Azure AD 管理者ロールの割り当てを行うことができます。 こうしたロールの割り当ては、Azure portal または PowerShell のコマンド を使用して作成できます。

永続的な管理ロールの割り当ては、特権ロール管理者が Azure AD Privileged Identity Management (PIM) サービスを使用して行うこともできます。 さらに、特権ロール管理者は、ユーザーを Azure AD 管理者ロールの候補にすることもできます。 管理者候補は必要なときにロールをアクティブ化できます。作業が完了すると、そのアクセス許可は期限切れになります。

Privileged Identity Management では、組み込みとカスタムの両方の Azure AD ロールがサポートされます。 Azure AD のカスタム ロールの詳細については、Azure Active Directory のロールベースのアクセス制御に関する記事を参照してください。

Note

ロールが割り当てられている場合、割り当ては次のようになります。

  • 5 分未満の期間は割り当てることができません
  • 割り当てられてから 5 分以内に削除することはできません

ロールの割り当て

ユーザーを Azure AD 管理者ロールの候補にするには、次の手順を実行します。

  1. 特権ロール管理者ロールのメンバー ユーザーで Azure portal にサインインします。

  2. [Azure AD Privileged Identity Management] を開きます。

  3. [Azure AD ロール] を選択します。

  4. [ロール] を選択して、Azure AD のアクセス許可のロール一覧を表示します。

    [割り当ての追加] 操作が選択されている [ロール] ページのスクリーンショット。

  5. [割り当ての追加] を選択して、 [割り当ての追加] ページを開きます。

  6. [ロールを選択] を選択して [ロールを選択] ページを開きます。

    [新しい割り当て] ウィンドウ

  7. 割り当てるロールを選択し、ロールを割り当てるメンバーを選択してから、 [次へ] を選択します。

  8. [メンバーシップ設定] ウィンドウの [割り当ての種類] リストで、 [対象] または [アクティブ] を選択します。

    • [対象] 割り当ての場合、このロールのメンバーは、ロールを使用するにはアクションを実行する必要があります。 要求されるアクションには、多要素認証 (MFA) チェックの実行、業務上の妥当性の指定、指定された承認者に対する承認要求などがあります。

    • [アクティブ] 割り当ての場合、ロールを使用するために何らかのアクションを実行することをメンバーに要求しません。 アクティブ割り当てされたメンバーは、ロールによって提供される特権を常に所有します。

  9. 特定の割り当て期間を指定するには、開始日時と終了日時のボックスを追加します。 完了したら、 [割り当て] を選択して、新しいロールの割り当てを作成します。

    • 永続的な割り当てに有効期限はありません。 このオプションは、ロールのアクセス許可を頻繁に必要とする永続的なワーカーに対して使用します。

    • 期限付き割り当ては、指定された期間の終了時に期限切れになります。 このオプションは、たとえばプロジェクトの終了日時がわかっている、一時的なまたはコントラクト ワーカーで使用します。

    メンバー シップ設定 - 日付と時刻

  10. ロールが割り当てられると、割り当て状態の通知が表示されます。

    新しい割り当て - 通知

制限スコープがあるロールを割り当てる

特定のロールでは、付与されるアクセス許可の範囲を 1 つの管理単位、サービス プリンシパル、またはアプリケーションに制限することができます。 この手順は、管理単位のスコープを持つロールを割り当てる場合の例です。 管理単位を介してスコープをサポートするロールの一覧については、「スコープ付きロールを管理単位に割り当てる」を参照してください。 この機能は、現在 Azure AD 組織に展開されています。

  1. 特権ロール管理者アクセス許可を使用して、Azure Active Directory 管理センターにサインインします。

  2. [Azure Active Directory]>[ロールと管理者] を選択します。

  3. [ユーザー管理者] を選択します。

    ポータルでロールを開くと、[割り当ての追加] コマンドを使用できます

  4. [割り当ての追加] を選択します。

    ロールがスコープをサポートしている場合は、スコープを選択できます

  5. [割り当ての追加] ページでは、次のことができます。

    • ロールに割り当てるユーザーまたはグループを選択する
    • ロールのスコープ (この場合は管理単位) を選択する
    • スコープの管理単位を選択する

管理単位の作成の詳細については、管理単位の追加と削除に関するページを参照してください。

Microsoft Graph API を使用してロールを割り当てる

PIM 向けの Microsoft Graph API の詳細については、「特権 ID 管理 (PIM) API を使用したロール管理の概要」を参照してください。

PIM API の使用に必要なアクセス許可については、「Privileged Identity Management API について理解する」を参照してください。

終了日なしの有資格

次に、終了日のない、資格のある割り当てを作成するための HTTP 要求の例を示します。 C# や JavaScript などの言語での要求例を含む API コマンドの詳細については、「roleEligibilityScheduleRequests を作成する」を参照してください。

HTTP 要求

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests
Content-Type: application/json

{
    "action": "adminAssign",
    "justification": "Permanently assign the Global Reader to the auditor",
    "roleDefinitionId": "f2ef992c-3afb-46b9-b7cf-a126ee74c451",
    "directoryScopeId": "/",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "scheduleInfo": {
        "startDateTime": "2022-04-10T00:00:00Z",
        "expiration": {
            "type": "noExpiration"
        }
    }
}

HTTP 応答

応答の例を次に示します。 ここに示されている応答オブジェクトは、読みやすくするために短縮されている可能性があります。

HTTP/1.1 201 Created
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleEligibilityScheduleRequests/$entity",
    "id": "42159c11-45a9-4631-97e4-b64abdd42c25",
    "status": "Provisioned",
    "createdDateTime": "2022-05-13T13:40:33.2364309Z",
    "completedDateTime": "2022-05-13T13:40:34.6270851Z",
    "approvalId": null,
    "customData": null,
    "action": "adminAssign",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "roleDefinitionId": "f2ef992c-3afb-46b9-b7cf-a126ee74c451",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": "42159c11-45a9-4631-97e4-b64abdd42c25",
    "justification": "Permanently assign the Global Reader to the auditor",
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "3fbd929d-8c56-4462-851e-0eb9a7b3a2a5"
        }
    },
    "scheduleInfo": {
        "startDateTime": "2022-05-13T13:40:34.6270851Z",
        "recurrence": null,
        "expiration": {
            "type": "noExpiration",
            "endDateTime": null,
            "duration": null
        }
    },
    "ticketInfo": {
        "ticketNumber": null,
        "ticketSystem": null
    }
}

アクティブで期限付き

次に、期限付きのアクティブな割り当てを作成するための HTTP 要求の例を示します。 C# や JavaScript などの言語での要求例を含む API コマンドの詳細については、「roleAssignmentScheduleRequests を作成する」を参照してください。

HTTP 要求

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests 

{
    "action": "adminAssign",
    "justification": "Assign the Exchange Recipient Administrator to the mail admin",
    "roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
    "directoryScopeId": "/",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "scheduleInfo": {
        "startDateTime": "2022-04-10T00:00:00Z",
        "expiration": {
            "type": "afterDuration",
            "duration": "PT3H"
        }
    }
}

HTTP 応答

応答の例を次に示します。 ここに示されている応答オブジェクトは、読みやすくするために短縮されている可能性があります。

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
    "id": "ac643e37-e75c-4b42-960a-b0fc3fbdf4b3",
    "status": "Provisioned",
    "createdDateTime": "2022-05-13T14:01:48.0145711Z",
    "completedDateTime": "2022-05-13T14:01:49.8589701Z",
    "approvalId": null,
    "customData": null,
    "action": "adminAssign",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": "ac643e37-e75c-4b42-960a-b0fc3fbdf4b3",
    "justification": "Assign the Exchange Recipient Administrator to the mail admin",
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "3fbd929d-8c56-4462-851e-0eb9a7b3a2a5"
        }
    },
    "scheduleInfo": {
        "startDateTime": "2022-05-13T14:01:49.8589701Z",
        "recurrence": null,
        "expiration": {
            "type": "afterDuration",
            "endDateTime": null,
            "duration": "PT3H"
        }
    },
    "ticketInfo": {
        "ticketNumber": null,
        "ticketSystem": null
    }
}

既存のロールの割り当てを更新または削除する

既存のロールの割り当てを更新または削除するには、次の手順を実行します。 Azure AD P2 ライセンス供与されたお客様のみ:Azure AD と Privileged Identity Management (PIM) の両方を使用して、グループをアクティブとしてロールに割り当てないでください。 詳細については、「既知の問題」を参照してください。

  1. [Azure AD Privileged Identity Management] を開きます。

  2. [Azure AD ロール] を選択します。

  3. [ロール] を選択して、Azure AD のロール一覧を表示します。

  4. 更新または削除するロールを選択します。

  5. [資格のあるロール] タブまたは [アクティブなロール] タブでロールの割り当てを見つけます。

    ロールの割り当ての更新または削除

  6. [更新] または [削除] を選択して、ロールの割り当てを更新または削除します。

Microsoft Graph API を使用して資格のある割り当てを削除する

プリンシパルからロールへの資格のある割り当てを取り消す HTTP 要求の例を次に示します。 C# や JavaScript などの言語での要求例を含む API コマンドの詳細については、「roleEligibilityScheduleRequests を作成する」を参照してください。

Request

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests 

{ 
    "action": "AdminRemove", 
    "justification": "abcde", 
    "directoryScopeId": "/", 
    "principalId": "d96ea738-3b95-4ae7-9e19-78a083066d5b", 
    "roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b" 
} 

Response

{ 
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleEligibilityScheduleRequests/$entity", 
    "id": "fc7bb2ca-b505-4ca7-ad2a-576d152633de", 
    "status": "Revoked", 
    "createdDateTime": "2021-07-15T20:23:23.85453Z", 
    "completedDateTime": null, 
    "approvalId": null, 
    "customData": null, 
    "action": "AdminRemove", 
    "principalId": "d96ea738-3b95-4ae7-9e19-78a083066d5b", 
    "roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b", 
    "directoryScopeId": "/", 
    "appScopeId": null, 
    "isValidationOnly": false, 
    "targetScheduleId": null, 
    "justification": "test", 
    "scheduleInfo": null, 
    "createdBy": { 
        "application": null, 
        "device": null, 
        "user": { 
            "displayName": null, 
            "id": "5d851eeb-b593-4d43-a78d-c8bd2f5144d2" 
        } 
    }, 
    "ticketInfo": { 
        "ticketNumber": null, 
        "ticketSystem": null 
    } 
} 

次のステップ