Privileged Identity Management で管理する Azure リソースを検出する

Microsoft Entra の一部である Azure Active Directory (Azure AD) の Privileged Identity Management (PIM) を使用して、Azure リソースの保護を向上させることができます。 これは以下に対して役立ちます。

  • 既に Privileged Identity Management を使用して Azure AD ロールを保護している組織
  • 運用リソースをセキュリティで保護しようとしている管理グループとサブスクリプションの所有者

Privileged Identity Management を Azure リソース用に初めて設定するときは、Privileged Identity Management を使用して保護するリソースを検出して選択する必要があります。 Privileged Identity Management でリソースを検出する場合、PIM は、リソースのユーザー アクセス管理者として割り当てられた PIM サービス プリンシパル (MS-PIM) を作成します。 Privileged Identity Management を使用して管理できるリソースの数に制限はありません。 ただし、最も重要な運用リソースから始めることをお勧めします。

必要なアクセス許可

ユーザー アクセス管理者や所有者ロールなど、Microsoft.Authorization/roleAssignments/write 権限がある管理グループまたはサブスクリプションを表示し、管理できます。 サブスクリプションの所有者ではなく、グローバル管理者であり、管理する Azure サブスクリプションまたは管理グループが表示されない場合は、アクセス権を昇格させてリソースを管理できます。

リソースを探索する

  1. Azure portal にサインインします。

  2. [Azure AD Privileged Identity Management] を開きます。

  3. [Azure リソース] を選択します。

    Azure リソースに対して Privileged Identity Management を初めて使用する場合は、[リソースを検出する] ページが表示されます。

    Discover resources pane with no resources listed for first time experience

    組織内の別の管理者が、既に Privileged Identity Management で Azure リソースを管理している場合は、現在管理されているリソースの一覧が表示されます。

    Discover resources pane listing resources that are currently being managed

  4. [リソースを検出する] を選択して、検出エクスペリエンスを起動します。

    Discovery pane lists resources that can be managed, such as subscriptions and management groups

  5. [検出] ページで、[リソース状態のフィルター][リソースの種類の選択] を使用して、書き込みアクセス許可がある管理グループまたはサブスクリプションをフィルター処理します。 おそらく、最も簡単なのは、[すべて] から始めることです。

    管理グループまたはサブスクリプション リソースを検索して選択し、Privileged Identity Management で管理できます。 Privileged Identity Management で管理グループまたはサブスクリプションを管理する場合は、その子リソースも管理できます。

    注意

    PIM で管理されている管理グループに新しい子 Azure リソースを追加すると、PIM で子リソースを検索することにより、それを管理対象にすることができます。

  6. 管理するアンマネージド リソースを選択します。

  7. [リソースの管理] を選択して、選択したリソースの管理を開始します。 PIM サービス プリンシパル (MS-PIM) は、リソースのユーザー アクセス管理者として割り当てられます。

    注意

    管理グループまたはサブスクリプションは、いったん管理対象となったら、管理対象外にすることはできません。 これにより、別のリソース管理者が Privileged Identity Management 設定を削除できなくなります。

    Discovery pane with a resource selected and the Manage resource option highlighted

  8. 管理対象として選択したリソースのオンボードを確認するメッセージが表示されたら、[はい] を選択します。 これで、リソースの下にあるすべての新規および既存の子オブジェクトを管理するように PIM が構成されます。

    Message confirming to onboard the selected resources for management

次のステップ