PIM API を使用してMicrosoft Entraロールの割り当てを管理する
Privileged Identity Management (PIM) は、Microsoft Entra ID ガバナンスの機能であり、organization内の重要なリソースへのアクセスを管理、制御、監視できます。 ユーザー、グループ、サービス プリンシパル (アプリケーション) などのプリンシパルに重要なリソースへのアクセスを許可する方法の 1 つは、Microsoft Entra ロールの割り当てです。
Microsoft Entra ロールの PIM API を使用すると、特権アクセスを管理し、Microsoft Entraロールへの過剰なアクセスを制限できます。 この記事では、Microsoft Graph の Microsoft Entra ロール API の PIM のガバナンス機能について説明します。
注:
Azure リソース ロールを管理するには、PIM 用の Azure Resource Manager API を使用します。
Microsoft Entraロールのセキュリティ アラートを管理するための PIM API は、/beta エンドポイントでのみ使用できます。 詳細については、「Microsoft Entra ロールのセキュリティ アラート」を参照してください。
ロールを割り当てる方法
Microsoft Entra ロールの PIM には、プリンシパルにロールを割り当てるための 2 つの方法が用意されています。
- アクティブなロールの割り当て: プリンシパルは永続的または一時的な永続的にアクティブなロールの割り当てを持つことができます。
- 対象となるロールの割り当て: プリンシパルは、永続的または一時的にロールの資格を得ることができます。 適格な割り当てでは、プリンシパルは、特権タスクを実行する必要があるときに、そのロールをアクティブ化し、それによって一時的にアクティブなロールの割り当てを作成します。 アクティブ化は常に最大 8 時間の時間枠ですが、ロールの設定で最大期間を短縮できます。 アクティブ化は、更新または拡張することもできます。
アクティブなロールの割り当てを管理するための PIM API
PIM を使用すると、永続的な割り当てまたは一時的な割り当てを作成することで、アクティブなロールの割り当てを管理できます。 unifiedRoleAssignmentScheduleRequest リソースの種類とそれに関連するメソッドを使用して、ロールの割り当てを管理します。
注:
PIM を使用して、 unifiedRoleAssignment または directoryRole リソースの種類を使用してアクティブなロールの割り当てを直接管理するよりも、アクティブなロールの割り当てを管理することをお勧めします。
次の表に、PIM を使用してロールの割り当てと呼び出す API を管理するシナリオを示します。
| シナリオ | API |
|---|---|
| 管理者が永続的なロールの割り当てを作成してプリンシパルに割り当てる 管理者がプリンシパルに一時的なロールを割り当てる |
roleAssignmentScheduleRequests を作成する |
| 管理者がロールの割り当てを更新、更新、拡張、または削除する | roleAssignmentScheduleRequests を作成する |
| 管理者は、すべてのロールの割り当てとその詳細を照会します | roleAssignmentScheduleRequests を一覧表示する |
| 管理者がロールの割り当てとその詳細を照会する | unifiedRoleAssignmentScheduleRequest を取得する |
| プリンシパルは、ロールの割り当てと詳細を照会します | unifiedRoleAssignmentScheduleRequest: filterByCurrentUser |
| プリンシパルは、 対象となる ロールの割り当ての Just-In-Time および Time-Bound ライセンス認証を実行します | roleAssignmentScheduleRequests を作成する |
| プリンシパルは、作成したロールの割り当て要求を取り消します | unifiedRoleAssignmentScheduleRequest: cancel |
| 対象となるロールの割り当てをアクティブ化したプリンシパルは、アクセスが不要になったときに非アクティブ化します | roleAssignmentScheduleRequests を作成する |
| プリンシパルは、独自のロールの割り当てを非アクティブ化、拡張、または更新します。 | roleAssignmentScheduleRequests を作成する |
ロールの適格性を管理するための PIM API
プリンシパルは、常に特権ロールを通じて付与される特権を必要としないため、永続的なロールの割り当てを必要としない場合があります。 この場合、PIM では、ロールの適格性を作成し、それらをプリンシパルに割り当てることもできます。 ロールの適格性により、プリンシパルは特権タスクを実行する必要があるときにロールをアクティブ化します。 アクティブ化は、常に最大 8 時間の時間バインドされます。 プリンシパルは、ロールを永続的または一時的に対象にすることもできます。
unifiedRoleEligibilityScheduleRequest リソースの種類とそれに関連するメソッドを使用して、ロールの適格性を管理します。
次の表に、PIM を使用してロールの適格性と呼び出す API を管理するシナリオを示します。
| シナリオ | API |
|---|---|
| 管理者は、プリンシパルに適格なロールを作成して割り当てます 管理者がプリンシパルに一時的なロールの適格性を割り当てる |
roleEligibilityScheduleRequests を作成する |
| 管理者がロールの資格を更新、更新、拡張、または削除する | roleEligibilityScheduleRequests を作成する |
| 管理者は、すべてのロールの適格性とその詳細を照会します | roleEligibilityScheduleRequests を一覧表示する |
| 管理者がロールの適格性とその詳細を照会する | unifiedRoleEligibilityScheduleRequest を取得する |
| 管理者が作成したロールの適格性要求を取り消す | unifiedRoleEligibilityScheduleRequest: cancel |
| プリンシパルは、ロールの適格性と詳細を照会します | unifiedRoleEligibilityScheduleRequest: filterByCurrentUser |
| プリンシパルは、独自のロールの適格性を非アクティブ化、拡張、または更新します。 | roleEligibilityScheduleRequests を作成する |
ロール設定と PIM
各Microsoft Entraロールは、設定またはルールを定義します。 このようなルールには、適格なロールをアクティブ化するために多要素認証 (MFA)、正当な理由、または承認が必要かどうか、またはロールへのプリンシパルの永続的な割り当てまたは適格性を作成できるかどうかが含まれます。 これらのロール固有のルールは、PIM を使用してロールの割り当てと適格性を作成または管理するときに適用できる設定を決定します。
Microsoft Graph では、これらのルールは unifiedRoleManagementPolicy と unifiedRoleManagementPolicyAssignment リソースの種類とそれに関連するメソッドを使用して管理されます。
たとえば、既定では、ロールは永続的なアクティブな割り当てを許可せず、アクティブな割り当てに対して最大 15 日間を定義するとします。 有効期限のない unifiedRoleAssignmentScheduleRequest オブジェクトを作成しようとすると、有効期限規則違反の 400 Bad Request 応答コードが返されます。
PIM を使用すると、次のようなさまざまな規則を構成できます。
- プリンシパルに永続的な適格な割り当てを割り当てることができるかどうか
- ロールのアクティブ化に許可される最大期間と、適格なロールをアクティブ化するために正当な理由または承認が必要かどうか
- Microsoft Entra ロールのアクティブ化要求を承認できるユーザー
- ロールの割り当てをアクティブ化して適用するために MFA が必要かどうか
- ロールのアクティブ化の通知を受け取るプリンシパル
次の表に、PIM を使用してMicrosoft Entraロールと呼び出す API のルールを管理するシナリオを示します。
| シナリオ | API |
|---|---|
| ロール管理ポリシーと関連するルールまたは設定を取得する | unifiedRoleManagementPolicies の一覧表示 |
| ロール管理ポリシーとそれに関連付けられているルールまたは設定を取得する | unifiedRoleManagementPolicy を取得する |
| 関連付けられているルールまたは設定でロール管理ポリシーを更新する | unifiedRoleManagementPolicy を更新する |
| ロール管理ポリシーに対して定義されているルールを取得する | List rules |
| ロール管理ポリシーに対して定義されたルールを取得する | unifiedRoleManagementPolicyRule を取得する |
| ロール管理ポリシーに対して定義されたルールを更新する | unifiedRoleManagementPolicyRule を更新する |
| Microsoft Entraロールに関連付けられているポリシーとルールまたは設定を含むすべてのロール管理ポリシーの割り当ての詳細を取得する | unifiedRoleManagementPolicyAssignments を一覧表示する |
| Microsoft Entra ロールに関連付けられているポリシーとルールまたは設定など、ロール管理ポリシーの割り当ての詳細を取得する | unifiedRoleManagementPolicyAssignment を取得する |
Microsoft Graph を使用してルールを構成する方法の詳細については、「PIM API でのMicrosoft Entraロールのルールの概要」を参照してください。 ルールの更新の例については、「PIM API を使用してMicrosoft Entra IDロールのルールを更新する」を参照してください。
監査ログ
Microsoft Entraロールに対して PIM を介して行われたすべてのアクティビティは、監査ログMicrosoft Entraログインされ、List ディレクトリ監査 API を通じて読み取ることができます。
ゼロ トラスト
この機能は、組織が id を ゼロ トラスト アーキテクチャの 3 つの基本原則に合わせるのに役立ちます。
- 明確に確認する
- 最小特権を使用する
- 侵害を想定する
ゼロ トラストとその他の方法の詳細については、organizationをガイド原則に合わせる方法については、ゼロ トラスト ガイダンス センターを参照してください。
ライセンス
Privileged Identity Managementが使用されているテナントには、十分な購入ライセンスまたは試用版ライセンスが必要です。 詳細については、「ガバナンス ライセンスの基礎Microsoft Entra ID」を参照してください。
関連コンテンツ
- セキュリティ操作の詳細については、Microsoft Entra アーキテクチャ センターのPrivileged Identity ManagementのMicrosoft Entraセキュリティ操作に関するページを参照してください。