Privileged Identity Management を使用するためのライセンスの要件

Microsoft Entra の一部である Azure Active Directory (Azure AD) の Privileged Identity Management (PIM) を使用するには、テナントに有効なライセンスが必要です。 また、管理者と関連ユーザーにライセンスを割り当てることも必要です。 この記事では、Privileged Identity Management を使用するためのライセンス要件について説明します。

有効なライセンス

PIM とそのすべての設定を使用するには、Azure AD ライセンスが必要です。 現時点では、アクセス レビューのスコープを、Azure AD へのアクセス権を持つサービス プリンシパルと、テナントで Azure Active Directory Premium P2 エディションがアクティブになっている Azure リソース ロール (プレビュー) に設定できます。 サービス プリンシパルのライセンス モデルは、この機能の一般提供のために終了する予定です。このため、追加のライセンスが必要になる場合があります。 この機能を使用するには、Azure AD Premium P2 ライセンスが必要です。 ご自分の要件に対して適切なライセンスを探すには、一般提供されている Azure AD の機能の比較に関するページをご覧ください。

必要なライセンス

ディレクトリに、次のカテゴリのユーザー用 Azure AD Premium P2 ライセンスがあることを確認します。

• PIM を使用して管理される Azure AD または Azure ロールへの適格な割り当てや期限付き割り当てを持つユーザー
• グループの PIM のメンバーまたは所有者として、資格のある割り当てまたは期限付きの割り当てを持つユーザー
• PIM でアクティブ化要求を承認または却下できるユーザー
• アクセス レビューに割り当てられたユーザー
• アクセス レビューを実行するユーザー

Azure AD Premium P2 ライセンスは、次のタスクでは必要ありません。

• PIM の設定、ポリシーの構成、アラートの受信、アクセス レビューの設定を行うユーザーに、ライセンスは必要ありません。

ライセンスの詳細については、Azure portal を使用したライセンスの割り当てまたは削除に関するページを参照してください。

ライセンスのシナリオ例

必要なライセンス数の決定に役立つライセンスのシナリオ例をいくつか以下に示します。

シナリオ	計算	ライセンス数
Woodgrove Bank には、各部門に 10 人の管理者がいて、PIM を構成および管理するグローバル管理者が 2 人います。 5 人の管理者を対象とします。	資格のある管理者用の 5 ライセンス	5
Graphic Design Institute には 25 人の管理者がいて、そのうちの 14 人は PIM で管理されています。 ロールのアクティブ化には承認が必要であり、組織にはアクティブ化を承認できるユーザーが 3 人います。	資格のあるロール用の 14 ライセンス + 3 承認者	17
Contoso には 50 人の管理者がいて、そのうちの 42 人は PIM で管理されています。 ロールのアクティブ化には承認が必要であり、組織にはアクティブ化を承認できるユーザーが 5 人います。 また、Contoso では、管理者ロールに割り当てられているユーザーのレビューが毎月行われており、レビュー担当者はユーザーのマネージャーで、そのうちの 6 人は PIM によって管理される管理者ロールにはなっていません。	資格のあるロール用の 42 ライセンス + 5 承認者 + 6 レビュー担当者	53

ライセンスの有効期限が切れた場合

Azure AD Premium P2、EMS E5、または試用版ライセンスの有効期限が切れた場合、Privileged Identity Management の機能はお使いのディレクトリで利用できなくなります。

• Azure AD ロールへの永続的なロールの割り当てには影響しません。
• 特権ロールのアクティブ化、特権アクセスの管理、または特権ロールのアクセス レビューの実行のために、Azure portal の Privileged Identity Management サービスと、Privileged Identity Management の Graph API コマンドレットおよび PowerShell インターフェイスを利用することはできなくなります。
• ユーザーが今後特権ロールをアクティブ化できなくなるため、Azure AD ロールの候補ロールの割り当ては削除されます。
• Azure AD ロールのすべての実行中のアクセス レビューが終了し、Privileged Identity Management の構成設定が削除されます。
• ロールの割り当てを変更しても、Privileged Identity Management から電子メールが送信されなくなります。

次のステップ

• Privileged Identity Management をデプロイする
• Privileged Identity Management の使用を開始する
• Privileged Identity Management で管理できないロール
• PIM で Azure リソース ロールのアクセス レビューを作成する
• PIM で Azure AD ロールのアクセス レビューを作成する