Privileged Identity Management でグループのメンバーシップまたは所有権をアクティブにする

2025-04-30

Microsoft Entra ID 内で Privileged Identity Management (PIM) を使用すると、グループ内の Just-In-Time メンバーシップまたはグループの Just-In-Time 所有権を利用できます。

この記事は、PIM でグループメンバーシップまたは所有権をアクティブにする資格のあるメンバーまたは所有者を対象としています。

重要

グループのメンバーシップまたは所有権がアクティブ化されると、アクティブな割り当てが、Microsoft Entra PIM によって一時的に追加されます。 Microsoft Entra PIM は、アクティブな割り当て (グループのメンバーまたは所有者としてのユーザーの追加) を数秒で作成します。また、非アクティブ化が (手動またはアクティブ化時間の有効期限経過により) 行なわれた際にも、ユーザーのグループメンバーシップまたは所有権が、Microsoft Entra PIM により数秒以内に削除されます。

アプリケーションは、グループメンバーシップに基づいてユーザーにアクセスを提供する場合があります。状況によっては、ユーザーがグループに追加された、またはグループから削除されたという事実がアプリケーションアクセスにすぐに反映されない場合があります。アプリケーションが以前にユーザーがグループのメンバーではないという事実をキャッシュした場合、ユーザーがアプリケーションに再度アクセスしようとすると、アクセスが提供されない可能性があります。同様に、アプリケーションが以前にユーザーがグループのメンバーであるという事実をキャッシュした場合、グループメンバーシップが非アクティブ化されても、ユーザーは引き続きアクセスできる可能性があります。特定の状況は、アプリケーションのアーキテクチャによって異なります。一部のアプリケーションでは、サインアウトし、再びサインインすると、アクセスの追加または削除が反映される場合があります。

グループと所有権無効化のためのPIM

Microsoft Entra ID では、グループの最後の (アクティブな) 所有者を削除することはできません。たとえば、アクティブな所有者 A と資格のある所有者 B を持つグループがあるとします。ユーザー B が PIM で所有権をアクティブ化した後、後でユーザー A がグループまたはテナントから削除された場合、ユーザー B の所有権の非アクティブ化は成功しません。

PIM は、ユーザー B の所有権を最大 30 日間非アクティブ化しようとします。別のアクティブな所有者 C がグループに追加されると、非アクティブ化は成功します。非アクティブ化が 30 日後に失敗した場合、PIM はユーザー B の所有権の非アクティブ化の試行を停止し、ユーザー B は引き続きアクティブな所有者になります。

ロールのアクティブ化

グループメンバーシップまたは所有権を取得する必要がある場合は、PIM の [自分のロール ] ナビゲーションオプションを使用してアクティブ化を要求できます。

Microsoft Entra 管理センターに、少なくとも特権ロール管理者としてサインインします。
ID ガバナンス>特権アイデンティティ管理>自分のロール>グループ にアクセスします。

注

この短いリンクを使用して、[ マイロール ] ページを直接開くこともできます。
対象メンバーシップまたは所有権を持つグループのリストを見直すために、資格割り当てブレードを使用します。
有効にしたい対象の割り当てで、アクティブ化を選択してください。
グループの設定によっては、多要素認証または別の形式の資格情報の入力を求められる場合があります。
必要に応じて、カスタムのアクティブ化開始時刻を指定します。メンバーシップまたは所有権は、選択した時間が経過してからのみアクティブ化されます。
グループの設定によっては、アクティブ化の正当な理由が必要になる場合があります。必要に応じて、[ 理由 ] ボックスに理由を入力します。
[アクティブ化] を選択します。