Privileged Identity Management で Azure AD ロールの設定を構成する

特権ロール管理者は、ロール候補の割り当てをアクティブ化しているユーザーの操作性を変更するなど、Azure Active Directory (Azure AD) 組織の Privileged Identity Management (PIM) をカスタマイズできます。 通知をトリガーする PIM イベントと、それらを受け取る管理者の詳細については、Privileged Identity Management の電子メール通知に関するページを参照してください

ロールの設定を開く

次の手順を実行して、Azure AD ロールの設定を開きます。

  1. 特権ロール管理者ロールのユーザーで Azure portal にサインインします。

  2. [Azure AD Privileged Identity Management]>[Azure AD ロール]>[ロールの設定] を開きます。

    Azure AD ロールを一覧表示する [ロールの設定] ページ

  3. 設定を構成するロールを選択します。

    複数の割り当てとアクティブ化の設定を一覧表示する [ロールの設定の詳細] ページ

  4. [編集] を選択して [ロールの設定] ページを開きます。

    割り当てとアクティブ化の設定を更新するためのオプションがある [Edit role settings]/(ロールの設定の編集/) ページ

    各ロールの [ロールの設定] ウィンドウでは、複数の設定を構成できます。

割り当て期間

ロールの設定を構成するときに、各割り当ての種類 (対象とアクティブ) に 2 つの割り当て期間オプションから選択できます。 これらのオプションは、Privileged Identity Management でユーザーがロールに割り当てられるときの既定の最大期間になります。

このような資格のある割り当て期間のオプションからいずれかを選択することができます。

設定 説明
永続的な有資格割り当てを許可する 全体管理者と特権ロール管理者は、永続的に資格のある割り当てを割り当てることができます。
資格のある割り当てが次の期間後に期限切れになる 全体管理者と特権ロール管理者は、すべての資格のある割り当てに、開始日と終了日の指定を必須にすることができます。

また、このようなアクティブな割り当て期間のオプションからいずれかを選択することができます。

設定 説明
永続的なアクティブ割り当てを許可する 全体管理者と特権ロール管理者は、永続的にアクティブな割り当てを割り当てることができます。
アクティブな割り当てが次の期間後に期限切れになる 全体管理者と特権ロール管理者は、すべてのアクティブな割り当てに、開始日と終了日の指定を必須にすることができます。

Note

全体管理者と特権ロール管理者は、終了日時が指定されているすべての割り当てを更新することができます。 これに対し、ユーザーはロールの割り当てを延長または更新するセルフサービス要求を開始することができます。

多要素認証を要求する

Privileged Identity Management により、アクティブ化時およびアクティブな割り当て時に、Azure AD Multi-Factor Authentication が適用されます。

アクティブ化時

ロールの資格を持つユーザーに対して、アクティブ化する前に Azure AD Multi-Factor Authentication を使用していることを証明するように要求することができます。 多要素認証により、ユーザーが本人であることが合理的かつ確実に保証されます。 このオプションを強制すると、ユーザー アカウントが侵害された可能性がある状況で、重要なリソースが保護されます。

ロールの割り当てをアクティブ化するために多要素認証を要求するには、 [Edit role setting](ロールの設定の編集) の [アクティブ化] タブで [On activation, require Azure MFA](アクティブ化時に Azure MFA を要求する) を選択します。

アクティブな割り当て時

このオプションを選択した場合、管理者は、資格のあるロールの割り当てでなく、アクティブなロールの割り当てを作成する前に、多要素認証を完了する必要があります。 ユーザーは割り当てられた時点からそのロールでアクティブになるため、各自がそのロールの割り当てを使用するときに、Privileged Identity Management で多要素認証を強制することができません。

アクティブなロール割り当てを作成するときに多要素認証を要求するには、 [Edit role setting](ロールの設定の編集) の [割り当て] タブで [アクティブな割り当てに Azure Multi-Factor Authentication を必要とする] オプションを選択します。

詳細については、「多要素認証と Privileged Identity Management」を参照してください。

アクティブ化の最大期間

[アクティブ化の最大期間] スライダーを使用して、ロールの割り当てのアクティブ化要求が、有効期限が切れるまでアクティブなままである最大時間 (時間単位) を設定します。 1 から 24 時間の範囲の値を指定できます。

理由を必須にする

ユーザーがアクティブ化するときに、業務上の正当な理由を入力するように要求できます。 理由を必須にするには、 [アクティブな割り当てに理由が必要] チェックボックスまたは [アクティブ化に理由が必要] チェックボックスをオンにします。

アクティブ化時にチケット情報を要求する

組織でチケット発行システムを使用して環境のヘルプ デスク項目または変更要求を追跡している場合は、[アクティブ化時にチケット情報を要求する] チェック ボックスをオンにして、チケット発行システムの名前 (組織で複数のシステムを使用している場合は省略可能) と、ロールのアクティブ化が必要であることを示すチケット番号を昇格要求に含めるように求めることができます。

アクティブ化の承認を必須にする

複数の承認者を設定した場合、承認は、承認者が 1 人でも承認または拒否すると直ちに完了します。 2 番目以降の承認者からの承認は強制できません。 ロールをアクティブ化するために承認を必須にする場合は、次の手順を実行します。

  1. [アクティブにするには承認が必要です] チェックボックスをオンにします。

  2. [承認者の選択] を選択します。

    承認者を選択するための [ユーザーまたはグループの選択] ペイン

  3. 少なくとも 1 人のユーザーを選択し、 [選択] をクリックします。 少なくとも 1 人の承認者を選択してください。 特定の承認者が選択されていない場合は、特権ロール管理者と全体管理者が既定の承認者になります。

    注意

    承認者自身に Azure AD 管理ロールは必要ありません。 IT エグゼクティブなどの通常のユーザーを承認者にすることができます。

  4. [更新] を選択して変更を保存します。

Microsoft Graph を使用してロール設定を管理する

Microsoft Graph を使用して Azure AD ロールの設定を管理するには、unifiedRoleManagementPolicy リソースの種類と関連メソッドを使用します。

Microsoft Graph では、ロール設定はルールと呼ばれ、コンテナー ポリシーを使用して Azure AD ロールに割り当てられます。 各 Azure AD ロールには、特定のポリシー オブジェクトが割り当てられます。 Azure AD ロールにスコープが設定されているすべてのポリシーを取得し、ポリシーごとに、$expand クエリ パラメーターを使用して関連付けられているルールのコレクションを取得できます。 要求の構文は次のとおりです。

GET https://graph.microsoft.com/v1.0/policies/roleManagementPolicies?$filter=scopeId eq '/' and scopeType eq 'DirectoryRole'&$expand=rules

ルールは、コンテナーにグループ化されます。 コンテナーは、管理を容易にするために一意の ID で識別されるルール定義にさらに分割されます。 たとえば、unifiedRoleManagementPolicyEnablementRule コンテナーは、以下の一意の ID で識別される 3 つのルール定義を示します。

  • Enablement_Admin_Eligibility - 管理者がロールの適格性に関する操作を実行するために適用されるルール。 たとえば、理由が必須かどうか、およびすべての操作 (更新、アクティブ化、非アクティブ化など) に対してか、特定の操作のみに対してかなどです。
  • Enablement_Admin_Assignment - 管理者がロールの割り当てに関する操作を実行するために適用されるルール。 たとえば、理由が必須かどうか、およびすべての操作 (更新、非アクティブ化、拡張など) に対してか、特定の操作のみに対してかなどです。
  • Enablement_EndUser_Assignment - プリンシパルが割り当てを有効にするために適用されるルール。 たとえば、多要素認証が必要かどうかなどです。

これらのルール定義を更新するには、更新ルール API を使用します。 たとえば、次の要求は、空の enabledRules コレクションを指定するため、多要素認証、チケット情報、理由などの、ポリシーに対して有効なルールを非アクティブ化します。

PATCH https://graph.microsoft.com/v1.0/policies/roleManagementPolicies/DirectoryRole_cab01047-8ad9-4792-8e42-569340767f1b_70c808b5-0d35-4863-a0ba-07888e99d448/rules/Enablement_EndUser_Assignment
{
    "@odata.type": "#microsoft.graph.unifiedRoleManagementPolicyEnablementRule",
    "id": "Enablement_EndUser_Assignment",
    "enabledRules": [],
    "target": {
        "caller": "EndUser",
        "operations": [
            "all"
        ],
        "level": "Assignment",
        "inheritableSettings": [],
        "enforcedSettings": []
    }
}

unifiedroleManagementPolicyAssignment リソースの種類と関連メソッドを使用して、すべての Azure AD ロールまたは特定の Azure AD ロールに適用されるルールのコレクションを取得できます。 たとえば、次の要求では、$expand クエリ パラメーターを使用して、roleDefinitionId または templateId62e90394-69f5-4237-9190-012177145e10 によって識別される Azure AD ロールに適用されるルールを取得します。

GET https://graph.microsoft.com/v1.0/policies/roleManagementPolicyAssignments?$filter=scopeId eq '/' and scopeType eq 'DirectoryRole' and roleDefinitionId eq '62e90394-69f5-4237-9190-012177145e10'&$expand=policy($expand=rules)

PIM を使用したロール設定の管理について詳しくは、「ロール設定と PIM」を参照してください。

次のステップ