PIM API を使用してMicrosoft Entraロールの割り当てを管理する
Privileged Identity Management (PIM) は、organization内の重要なリソースへのアクセスを管理、制御、監視できるMicrosoft Entra ID ガバナンスの機能です。 ユーザー、グループ、サービス プリンシパル (アプリケーション) などのプリンシパルに重要なリソースへのアクセスを許可する方法の 1 つは、Microsoft Entra ロールの割り当てです。
Microsoft Entra ロールの PIM API を使用すると、特権アクセスを管理し、Microsoft Entraロールへの過剰なアクセスを制限できます。 この記事では、Microsoft Graph の Microsoft Entra ロール API の PIM のガバナンス機能について説明します。
注:
Azure リソース ロールを管理するには、PIM 用の Azure Resource Manager (ARM) API を使用します。
Microsoft Entraロールのセキュリティ アラートを管理するための PIM API は、エンドポイントでのみ使用できますbeta。 詳細については、「Microsoft Entra ロールのセキュリティ アラート」を参照してください。
アクティブなロールの割り当てを管理するための PIM API
PIM を使用すると、永続的な割り当てまたは一時的な割り当てを作成することで、アクティブなロールの割り当てを管理できます。 unifiedRoleAssignmentScheduleRequest リソースの種類とそれに関連するメソッドを使用して、ロールの割り当てを管理します。
次の表に、PIM を使用してロールの割り当てと呼び出す API を管理するシナリオを示します。
| シナリオ | API |
|---|---|
| 管理者が永続的なロールの割り当てを作成してプリンシパルに割り当てる 管理者がプリンシパルに一時的なロールを割り当てる |
roleAssignmentScheduleRequests を作成する |
| 管理者がロールの割り当てを更新、更新、拡張、または削除する | roleAssignmentScheduleRequests を作成する |
| 管理者は、すべてのロールの割り当てとその詳細を照会します | roleAssignmentScheduleRequests を一覧表示する |
| 管理者がロールの割り当てとその詳細を照会する | unifiedRoleAssignmentScheduleRequest を取得する |
| プリンシパルは、ロールの割り当てと詳細を照会します | unifiedRoleAssignmentScheduleRequest: filterByCurrentUser |
| プリンシパルは、 対象となる ロールの割り当ての Just-In-Time および Time-Bound ライセンス認証を実行します | roleAssignmentScheduleRequests を作成する |
| プリンシパルは、作成したロールの割り当て要求を取り消します | unifiedRoleAssignmentScheduleRequest: cancel |
| 対象となるロールの割り当てをアクティブ化したプリンシパルは、アクセスが不要になったときに非アクティブ化します | roleAssignmentScheduleRequests を作成する |
| プリンシパルは、独自のロールの割り当てを非アクティブ化、拡張、または更新します。 | roleAssignmentScheduleRequests を作成する |
ロールの適格性を管理するための PIM API
プリンシパルは、常に特権ロールを通じて付与される特権を必要としないため、永続的なロールの割り当てを必要としない場合があります。 この場合、PIM では、ロールの適格性を作成し、それらをプリンシパルに割り当てることもできます。 ロールの適格性により、プリンシパルは特権タスクを実行する必要があるときにロールをアクティブ化します。 アクティブ化は、常に最大 8 時間の時間バインドされます。 ロールの資格は、永続的な適格性または一時的な適格性である場合もあります。
unifiedRoleEligibilityScheduleRequest リソースの種類とそれに関連するメソッドを使用して、ロールの適格性を管理します。
次の表に、PIM を使用してロールの適格性と呼び出す API を管理するシナリオを示します。
| シナリオ | API |
|---|---|
| 管理者は、プリンシパルに適格なロールを作成して割り当てます 管理者がプリンシパルに一時的なロールの適格性を割り当てる |
roleEligibilityScheduleRequests を作成する |
| 管理者がロールの資格を更新、更新、拡張、または削除する | roleEligibilityScheduleRequests を作成する |
| 管理者は、すべてのロールの適格性とその詳細を照会します | roleEligibilityScheduleRequests を一覧表示する |
| 管理者がロールの適格性とその詳細を照会する | unifiedRoleEligibilityScheduleRequest を取得する |
| 管理者が作成したロールの適格性要求を取り消す | unifiedRoleEligibilityScheduleRequest: cancel |
| プリンシパルは、ロールの適格性と詳細を照会します | unifiedRoleEligibilityScheduleRequest: filterByCurrentUser |
| プリンシパルは、独自のロールの適格性を非アクティブ化、拡張、または更新します。 | roleEligibilityScheduleRequests を作成する |
ロール設定と PIM
各Microsoft Entraロールは、設定またはルールを定義します。 このようなルールには、適格なロールをアクティブ化するために多要素認証 (MFA)、正当な理由、または承認が必要かどうか、またはロールへのプリンシパルの永続的な割り当てまたは適格性を作成できるかどうかが含まれます。 これらのロール固有のルールは、PIM を使用してロールの割り当てと適格性を作成または管理するときに適用できる設定を決定します。
Microsoft Graph では、これらのルールは unifiedRoleManagementPolicy と unifiedRoleManagementPolicyAssignment リソースの種類とそれに関連するメソッドを使用して管理されます。
たとえば、既定では、ロールは永続的なアクティブな割り当てを許可せず、アクティブな割り当てに対して最大 15 日間を定義するとします。 有効期限のない unifiedRoleAssignmentScheduleRequest オブジェクトを作成しようとすると、 400 Bad Request 有効期限ルール違反の応答コードが返されます。
PIM を使用すると、次のようなさまざまな規則を構成できます。
- プリンシパルに永続的な適格な割り当てを割り当てることができるかどうか
- ロールのアクティブ化に許可される最大期間と、適格なロールをアクティブ化するために正当な理由または承認が必要かどうか
- Microsoft Entra ロールのアクティブ化要求を承認できるユーザー
- ロールの割り当てをアクティブ化して適用するために MFA が必要かどうか
- ロールのアクティブ化の通知を受け取るプリンシパル
次の表に、PIM を使用してMicrosoft Entraロールと呼び出す API のルールを管理するシナリオを示します。
| シナリオ | API |
|---|---|
| ロール管理ポリシーと関連するルールまたは設定を取得する | unifiedRoleManagementPolicies の一覧表示 |
| ロール管理ポリシーとそれに関連付けられているルールまたは設定を取得する | unifiedRoleManagementPolicy を取得する |
| 関連付けられているルールまたは設定でロール管理ポリシーを更新する | unifiedRoleManagementPolicy を更新する |
| ロール管理ポリシーに対して定義されているルールを取得する | ルールの一覧表示 |
| ロール管理ポリシーに対して定義されたルールを取得する | unifiedRoleManagementPolicyRule を取得する |
| ロール管理ポリシーに対して定義されたルールを更新する | unifiedRoleManagementPolicyRule を更新する |
| Microsoft Entraロールに関連付けられているポリシーとルールまたは設定を含むすべてのロール管理ポリシーの割り当ての詳細を取得する | unifiedRoleManagementPolicyAssignments を一覧表示する |
| Microsoft Entra ロールに関連付けられているポリシーとルールまたは設定など、ロール管理ポリシーの割り当ての詳細を取得する | unifiedRoleManagementPolicyAssignment を取得する |
Microsoft Graph を使用してルールを構成する方法の詳細については、「PIM API でのMicrosoft Entraロールのルールの概要」を参照してください。 ルールの更新の例については、「PIM API を使用してMicrosoft Entra IDロールのルールを更新する」を参照してください。
ゼロ トラスト
この機能は、組織が id を ゼロ トラスト アーキテクチャの 3 つの基本原則に合わせるのに役立ちます。
- 明確に確認する
- 最小特権を使用する
- 侵害を想定する
ゼロ トラストとその他の方法の詳細については、organizationをガイド原則に合わせる方法については、ゼロ トラスト ガイダンス センターを参照してください。
ライセンス
Privileged Identity Managementが使用されているテナントには、十分な購入ライセンスまたは試用版ライセンスが必要です。 詳細については、「Microsoft Entra ID ガバナンス ライセンスの基礎」を参照してください。
関連コンテンツ
- Microsoft Entra Privileged Identity Managementとは
- PIM のロール設定の詳細については、次の記事を参照してください。
- PIM API の使用の詳細については、次のチュートリアルに従ってください
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示