Privileged Identity Management で自分の Azure リソース ロールをアクティブ化する
Azure リソースの適格なロール メンバーは、Microsoft Entra Privileged Identity Management (PIM) を使用して、アクティブ化を将来の日時でスケジュールできます。 最大範囲 (管理者が設定) 内で特定のアクティブ化期間を選択することもできます。
この記事の対象者は、Privileged Identity Management で自分の Azure リソース ロールをアクティブ化する必要のあるメンバーです。
注意
2023 年 3 月の時点で、Azure poral で、割り当てをアクティブ化して PIM の外部にあるブレードから自分のアクセス権を直接表示できるようになりました。 詳細については、こちらをご覧ください。
重要
ロールがアクティブ化されると、そのロールのアクティブな割り当てが Microsoft Entra PIM によって一時的に追加されます。 アクティブな割り当てが Microsoft Entra PIM によって数秒以内に作成されます (ユーザーがロールに割り当てられます)。 非アクティブ化が (手動またはアクティブ化の有効期限により) 発生する場合も、アクティブな割り当てが Microsoft Entra PIM によって数秒以内に削除されます。
アプリケーションへのアクセスは、ユーザーが持っているロールに基づいて許可される場合があります。 状況によっては、ロールがユーザーに割り当てられたり削除されたりしたことがアプリケーション アクセスにすぐに反映されない場合があります。 ユーザーがロールを持っていないということがアプリケーションによって以前にキャッシュされている場合、ユーザーがアプリケーションにもう一度アクセスしようとしても、アクセスできない可能性があります。 同様に、ユーザーがロールを持っているということがアプリケーションによって以前にキャッシュされている場合、ロールが非アクティブ化されていても、ユーザーは引き続きアクセスできる可能性があります。 特定の状況は、アプリケーションのアーキテクチャによって異なります。 一部のアプリケーションでは、サインアウトしてから再びサインインすると、アクセスの追加または削除を反映するのに役立つ場合があります。
ロールのアクティブ化
ヒント
この記事の手順は、開始するポータルに応じて若干異なる場合があります。
Azure リソース ロールを引き受ける必要がある場合は、Privileged Identity Management の [自分のロール] ナビゲーション オプションを使用してアクティブ化を要求できます。
Note
Azure mobile app (iOS と Android) で、Microsoft Entra ID と Azure リソースのロール用に、PIM を利用できるようになりました。 対象となる割り当てを簡単にアクティブにしたり、有効期限が切れたものの更新を要求したり、保留されている要求の状態を確認したりできます。 詳しくは後の説明をご覧ください
Microsoft Entra 管理センターに特権ロール管理者以上としてサインインします。
[Identity governance] (ID ガバナンス)>[Privileged Identity Management]>[My roles] (自分のロール) の順に移動します。
[Azure リソース ロール] を選択して、適格な Azure リソース ロールの一覧を表示します。
[Azure リソース ロール] の一覧で、アクティブにするロールを見つけます。
[アクティブ化] を選択して、[アクティブ化] ページを開きます。
ロールで多要素認証が必要な場合は、[続行する前に ID を確認してください] を選びます。 認証は、セッションごとに 1 回だけ行う必要があります。
[ID を確認] を選択し、指示に従って追加のセキュリティ確認を提供します。
より狭いスコープを指定する場合は、 [Scope](スコープ) を選択して [リソース フィルター] ウィンドウを開きます。
ベスト プラクティスは、必要なリソースへのアクセスのみを要求することです。 [リソース フィルター] ウィンドウでは、アクセスする必要があるリソース グループまたはリソースを指定できます。
必要に応じて、カスタムのアクティブ化開始時刻を指定します。 メンバーは、選択した時刻になるとアクティブになります。
[理由] ボックスに、アクティブ化要求の理由を入力します。
[アクティブ化] を選びます。
Note
アクティブ化に承認が必要なロールの場合は、ブラウザーの右上隅に通知が表示され、承認待ちになっていることが示されます。
ARM API を使用してロールをアクティブ化する
Privileged Identity Management では、PIM ARM API リファレンスに関するページに記載のとおり、Azure リソース ロールの管理で、Azure Resource Manager (ARM) API コマンドをサポートしています。 PIM API の使用に必要なアクセス許可については、「Privileged Identity Management API について理解する」を参照してください。
対象となる Azure ロールの割り当てをアクティブ化し、アクティブ化されたアクセス権を取得するには、ロールの割り当てスケジュールの要求 - REST API の作成を使用して新しい要求を作成し、セキュリティ プリンシパル、ロール定義、requestType = SelfActivate、およびスコープを指定します。 この API を呼び出すには、スコープに対して対象となるロールの割り当てが必要です。
GUID ツールを使用し、ロール割り当て識別子に使用する一意の識別子を生成します。 この識別子の形式は次のようになります: 00000000-0000-0000-0000-000000000000。
以下の PUT 要求の {roleAssignmentScheduleRequestName} を、ロール割り当ての GUID 識別子に置き換えます。
Azure リソースの対象となるロールの管理の詳細については、こちらの「PIM ARM API チュートリアル」を参照してください。
資格のある Azure ロールの割り当てをアクティブ化する HTTP 要求のサンプルを次に示します。
Request
PUT https://management.azure.com/providers/Microsoft.Subscription/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleAssignmentScheduleRequests/{roleAssignmentScheduleRequestName}?api-version=2020-10-01
要求本文
{
"properties": {
"principalId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
"roleDefinitionId": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
"requestType": "SelfActivate",
"linkedRoleEligibilityScheduleId": "b1477448-2cc6-4ceb-93b4-54a202a89413",
"scheduleInfo": {
"startDateTime": "2020-09-09T21:35:27.91Z",
"expiration": {
"type": "AfterDuration",
"endDateTime": null,
"duration": "PT8H"
}
},
"condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'",
"conditionVersion": "1.0"
}
}
Response
状態コード: 201
{
"properties": {
"targetRoleAssignmentScheduleId": "c9e264ff-3133-4776-a81a-ebc7c33c8ec6",
"targetRoleAssignmentScheduleInstanceId": null,
"scope": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f",
"roleDefinitionId": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
"principalId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
"principalType": "User",
"requestType": "SelfActivate",
"status": "Provisioned",
"approvalId": null,
"scheduleInfo": {
"startDateTime": "2020-09-09T21:35:27.91Z",
"expiration": {
"type": "AfterDuration",
"endDateTime": null,
"duration": "PT8H"
}
},
"ticketInfo": {
"ticketNumber": null,
"ticketSystem": null
},
"justification": null,
"requestorId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
"createdOn": "2020-09-09T21:35:27.91Z",
"condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'",
"conditionVersion": "1.0",
"expandedProperties": {
"scope": {
"id": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f",
"displayName": "Pay-As-You-Go",
"type": "subscription"
},
"roleDefinition": {
"id": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
"displayName": "Contributor",
"type": "BuiltInRole"
},
"principal": {
"id": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
"displayName": "User Account",
"email": "user@my-tenant.com",
"type": "User"
}
}
},
"name": "fea7a502-9a96-4806-a26f-eee560e52045",
"id": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/RoleAssignmentScheduleRequests/fea7a502-9a96-4806-a26f-eee560e52045",
"type": "Microsoft.Authorization/RoleAssignmentScheduleRequests"
}
要求の状態を表示する
保留中のアクティブ化要求の状態を表示することができます。
Microsoft Entra Privileged Identity Management を開きます。
[My requests] (個人の要求) を選んで、Microsoft Entra ロールおよび Azure リソース ロール要求の一覧を表示します。
右へスクロールして [Request Status](要求の状態) 列を表示します。
保留中の要求をキャンセルする
承認が要求されるロールのアクティブ化を必要としない場合、保留中の要求をいつでもキャンセルできます。
Microsoft Entra Privileged Identity Management を開きます。
[My requests](個人の要求) を選択します。
取り消すロールの [キャンセル] リンクを選択します。
[キャンセル] を選択すると、要求が取り消されます。 ロールを再びアクティブにするには、新しいアクティブ化要求を送信する必要があります。
ロールの割り当てを非アクティブ化する
ロールの割り当てがアクティブになると、PIM ポータルにロールの割り当ての [非アクティブ化] オプションが表示されます。 また、アクティブ化してから 5 分以内にロールの割り当てを非アクティブ化することはできません。
Azure portal でアクティブ化する
Privileged Identity Management ロールのアクティブ化は、Azure portal 内の課金とアクセス制御 (AD) の拡張機能に統合されました。 ユーザーがこれらのブレードから直接 PIM ロールをアクティブ化できるように、サブスクリプション (課金) とアクセス制御 (AD) にショートカットが追加されました。
[サブスクリプション] ブレードで、水平方向のコマンド メニューで [対象となるサブスクリプションの表示] を選択して、対象となるアクティブで期限切れの割り当てを確認します。 そこから、対象となる割り当てを同じペインでアクティブ化できます。
リソースのアクセス制御 (IAM) で、[アクセスの表示] を選択して、現在アクティブで対象となるロールの割り当てを確認し、直接アクティブ化できるようになりました。
この新機能では、さまざまな Azure portal ブレードに PIM 機能を統合することで、サブスクリプションやリソースをより簡単に表示または編集するための一時的なアクセスを取得できます。
Azure mobile app を使用して PIM のロールをアクティブにする
Microsoft Entra ID と Azure リソース ロール モバイル アプリ (iOS と Android の両方) で、PIM を利用できるようになりました。
対象となる Microsoft Entra ロールの割り当てをアクティブにするには、最初に Azure mobile app (iOS | Android) をダウンロードします。 [Privileged Identity Management] > [マイ ロール] > [Microsoft Entra ロール] から [モバイルで開く] を選んで、アプリをダウンロードすることもできます。
Azure mobile app を開いてサインインします。 [Privileged Identity Management] カードをクリックし、[マイ Azure リソース ロール] を選んで、対象となるアクティブなロールの割り当てを表示します。
ロールの割り当てを選び、ロールの割り当ての詳細の下にある [アクション] > [アクティブ化] をクリックします。 アクティブにして必要な詳細を入力する手順を完了した後、下部にある [アクティブ化] をクリックします。
[マイ Azure リソース ロール] の下で、アクティブ化要求の状態とロールの割り当てを確認します。