PIM で Microsoft Entra ロールをアクティブ化する

Microsoft Entra Privileged Identity Management (PIM) を使用すると、企業が Microsoft Entra ID や他の Microsoft Online Services (Microsoft 365 や Microsoft Intune など) 内のリソースへの特権アクセスを管理する方法が簡略化されます。

管理ロールの候補者となっている場合は、特権が必要な操作を実行する必要があるときに、ロールの割り当てをアクティブにできます。 たとえば、Microsoft 365 の機能をときどきしか管理しないユーザーは、組織の特権ロール管理者によって永続的なグローバル管理者には設定されない可能性があります。このロールは他のサービスにも影響を与えるからです。 その代わりに、Exchange Online 管理者などの Microsoft Entra ロールが割り当てられます。 このような権限が必要な場合には、ロールをアクティブ化することを要求できます。それにより、事前に定義された期間だけ管理者権限が付与されます。

この記事は、Privileged Identity Management で自分の Microsoft Entra ロールをアクティブ化する必要のある管理者を対象としています。

重要

ロールがアクティブ化されると、そのロールのアクティブな割り当てが Microsoft Entra PIM によって一時的に追加されます。 アクティブな割り当てが Microsoft Entra PIM によって数秒以内に作成されます (ユーザーがロールに割り当てられます)。 非アクティブ化が (手動またはアクティブ化の有効期限により) 発生する場合も、アクティブな割り当てが Microsoft Entra PIM によって数秒以内に削除されます。

アプリケーションへのアクセスは、ユーザーが持っているロールに基づいて許可される場合があります。 状況によっては、ロールがユーザーに割り当てられたり削除されたりしたことがアプリケーション アクセスにすぐに反映されない場合があります。 ユーザーがロールを持っていないということがアプリケーションによって以前にキャッシュされている場合、ユーザーがアプリケーションにもう一度アクセスしようとしても、アクセスできない可能性があります。 同様に、ユーザーがロールを持っているということがアプリケーションによって以前にキャッシュされている場合、ロールが非アクティブ化されていても、ユーザーは引き続きアクセスできる可能性があります。 特定の状況は、アプリケーションのアーキテクチャによって異なります。 一部のアプリケーションでは、サインアウトしてから再びサインインすると、アクセスの追加または削除を反映するのに役立つ場合があります。

ロールのアクティブ化

Microsoft Entra ロールを想定する必要がある場合は、Privileged Identity Management で [自分のロール] を開いてアクティブ化を要求できます。

  1. Microsoft Entra 管理センター特権ロール管理者以上としてサインインします。

  2. [Identity governance] (ID ガバナンス)>[Privileged Identity Management]>[My roles] (自分のロール) の順に移動します。 ダッシュボードに [Privileged Identity Management] タイルを追加する方法については、「Privileged Identity Management の使用開始」を参照してください。

  3. [Microsoft Entra ロール] を選択して、対象となる Microsoft Entra ロールのリストを表示します。

    My roles page showing roles you can activate

  4. [Microsoft Entra ロール] のリストで、アクティブにするロールを見つけます。

    Microsoft Entra roles - My eligible roles list

  5. [アクティブ化] を選択して、[アクティブ化] ウィンドウを開きます。

    Microsoft Entra roles - activation page contains duration and scope

  6. [追加の検証が必要] を選択し、指示に従ってセキュリティ確認を提供します。 認証が要求されるのは、各セッションにつき 1 回だけです。

    Screen to provide security verification such as a PIN code

  7. 多要素認証の後に、[続行する前にアクティブにする] を選択します。

    Verify my identity with MFA before role activates

  8. より狭いスコープを指定する場合は、 [Scope](スコープ) を選択して [フィルター] ペインを開きます。 [フィルター] ペインでは、アクセス権が必要な Microsoft Entra リソースを指定できます。 必要最低限のリソースに対するアクセスを要求することをお勧めします。

  9. 必要に応じて、カスタムのアクティブ化開始時刻を指定します。 Microsoft Entra ロールは、選択した時刻になるとアクティブになります。

  10. [理由] ボックスに、アクティブ化要求の理由を入力します。

  11. [アクティブ化] を選びます。

    アクティブ化に承認が必要なロールの場合は、ブラウザーの右上隅に通知が表示され、承認待ちになっていることが示されます。

    Activation request is pending approval notification

Microsoft Graph API を使用してロールをアクティブにする

PIM 向けの Microsoft Graph API の詳細については、「特権 ID 管理 (PIM) API を使用したロール管理の概要」を参照してください。

アクティブにできる、資格のあるロールをすべて取得する

ユーザーがグループ メンバーシップを使用して自分のロールの適格性を取得した場合、この Microsoft Graph 要求では適格性は返されません。

HTTP 要求

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests/filterByCurrentUser(on='principal')  

HTTP 応答

領域を節約するために、あるロールの応答のみが表示されていますが、アクティブにできる、資格のあるロールの割り当てすべてが一覧表示されます。

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleEligibilityScheduleRequest)",
    "value": [
        {
            "@odata.type": "#microsoft.graph.unifiedRoleEligibilityScheduleRequest",
            "id": "50d34326-f243-4540-8bb5-2af6692aafd0",
            "status": "Provisioned",
            "createdDateTime": "2022-04-12T18:26:08.843Z",
            "completedDateTime": "2022-04-12T18:26:08.89Z",
            "approvalId": null,
            "customData": null,
            "action": "adminAssign",
            "principalId": "3fbd929d-8c56-4462-851e-0eb9a7b3a2a5",
            "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
            "directoryScopeId": "/",
            "appScopeId": null,
            "isValidationOnly": false,
            "targetScheduleId": "50d34326-f243-4540-8bb5-2af6692aafd0",
            "justification": "Assign Attribute Assignment Admin eligibility to myself",
            "createdBy": {
                "application": null,
                "device": null,
                "user": {
                    "displayName": null,
                    "id": "3fbd929d-8c56-4462-851e-0eb9a7b3a2a5"
                }
            },
            "scheduleInfo": {
                "startDateTime": "2022-04-12T18:26:08.8911834Z",
                "recurrence": null,
                "expiration": {
                    "type": "afterDateTime",
                    "endDateTime": "2024-04-10T00:00:00Z",
                    "duration": null
                }
            },
            "ticketInfo": {
                "ticketNumber": null,
                "ticketSystem": null
            }
        }
    ]
}

正当な理由を指定してロールの適格性を自分でアクティブにする

HTTP 要求

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests 

{
    "action": "selfActivate",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
    "directoryScopeId": "/",
    "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
    "scheduleInfo": {
        "startDateTime": "2022-04-14T00:00:00.000Z",
        "expiration": {
            "type": "AfterDuration",
            "duration": "PT5H"
        }
    },
    "ticketInfo": {
        "ticketNumber": "CONTOSO:Normal-67890",
        "ticketSystem": "MS Project"
    }
}

HTTP 応答

HTTP/1.1 201 Created
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
    "id": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
    "status": "Granted",
    "createdDateTime": "2022-04-13T08:52:32.6485851Z",
    "completedDateTime": "2022-04-14T00:00:00Z",
    "approvalId": null,
    "customData": null,
    "action": "selfActivate",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
    "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "071cc716-8147-4397-a5ba-b2105951cc0b"
        }
    },
    "scheduleInfo": {
        "startDateTime": "2022-04-14T00:00:00Z",
        "recurrence": null,
        "expiration": {
            "type": "afterDuration",
            "endDateTime": null,
            "duration": "PT5H"
        }
    },
    "ticketInfo": {
        "ticketNumber": "CONTOSO:Normal-67890",
        "ticketSystem": "MS Project"
    }
}

アクティブ化要求の状態を表示する

保留中のアクティブ化要求の状態を表示することができます。

  1. Microsoft Entra 管理センター特権ロール管理者以上としてサインインします。

  2. [ID ガバナンス]>[Privileged Identity Management]>[自分のロール] の順に移動します。

  3. [個人の要求] を選択すると、Microsoft Entra ロールおよび Azure リソース ロール要求のリストが表示されます。

    My requests - Microsoft Entra ID page showing your pending requests

  4. 右へスクロールして [Request Status](要求の状態) 列を表示します。

新しいバージョンの保留要求をキャンセルする

承認が要求されるロールのアクティブ化を必要としない場合、保留中の要求をいつでもキャンセルできます。

  1. Microsoft Entra 管理センター特権ロール管理者以上としてサインインします。

  2. [ID ガバナンス]>[Privileged Identity Management]>[自分のロール] の順に移動します。

  3. 取り消すロールの [キャンセル] リンクを選択します。

    [キャンセル] を選択すると、要求が取り消されます。 ロールを再びアクティブにするには、新しいアクティブ化要求を送信する必要があります。

    My request list with Cancel action highlighted

ロールの割り当てを非アクティブ化する

ロールの割り当てがアクティブになると、PIM ポータルにロールの割り当ての [非アクティブ化] オプションが表示されます。 また、アクティブ化してから 5 分以内にロールの割り当てを非アクティブ化することはできません。

次のステップ