演習: Privileged Identity Management で Microsoft Entra ロールを割り当てる
Microsoft Entra ID を使用すると、グローバル管理者は永続的な Microsoft Entra 管理者ロールの割り当てを行うことができます。 こうしたロールの割り当ては、Azure portal または PowerShell のコマンド を使用して作成できます。
永続的な管理ロールの割り当ては、特権ロール管理者が Microsoft Entra Privileged Identity Management (PIM) サービスを使用して行うこともできます。 さらに、特権ロール管理者は、ユーザーを Microsoft Entra 管理者ロールの候補にすることもできます。 管理者候補は必要なときにロールをアクティブ化できます。作業が完了すると、そのアクセス許可は期限切れになります。
ロールの割り当て
ユーザーを Microsoft Entra 管理者ロールの候補にするには、次の手順を実行します。
テナント管理者として Microsoft Entra 管理センターにサインインします。
「Microsoft Entra Privileged Identity Management」を検索して選択します。
Privileged Identity Management の画面の左側のナビゲーションで、[Microsoft Entra roles](Microsoft Entra ロール) を選択します。
[クイック スタート] ページの左側のナビゲーションで [ロール] を選択します。
上部のメニューで [+ 割り当ての追加] を選択します。
[割り当ての追加] ペインの [メンバーシップ] タブで、設定を確認します。
[ロールの選択] メニューを選択し、[コンプライアンス管理者] を選択します。 [名前でロールを検索] フィルターを使用すると、ロールを見つけやすくなります。
[メンバーの選択] で [メンバーが選択されていません] を選択します。
[メンバーの選択] ペインで管理者アカウントを選んで、[選択] を選びます。
[割り当ての追加] 画面で [次へ] を選びます。
[設定] タブの [割り当ての種類] で、使用可能なオプションを確認します。 このタスクでは、既定の設定を使用します。
- 有資格割り当ては、ロールを使用するためのアクションを実行することをロールのメンバーに要求します。 アクションには、多要素認証 (MFA) チェックの実行、業務上の妥当性の指定、指定された承認者に対する承認要求などがあります。
- アクティブ割り当ては、ロールを使用するために何らかのアクションを実行することをメンバーに要求しません。 アクティブとして割り当てられたメンバーには常に、そのロールに割り当てられた特権があります。
残りの設定を確認してから、[割り当て] を選択します。
Microsoft Entra ロールをアクティブ化する
Microsoft Entra ロールを想定する必要がある場合は、Privileged Identity Management で [自分のロール] を開いてアクティブ化を要求できます。
[Privileged Identity Management] 画面の左側のナビゲーション メニューで、[自分のロール] を選びます。
[自分のロール] ペインで、資格のある割り当ての一覧を確認します。
[コンプライアンス管理者ロール] 行で [アクティブ化] を選択します。
[アクティブ化 - コンプライアンス管理者] ウィンドウで [追加の確認が必要] を選択し、指示に従って追加のセキュリティ確認を行います。 セッションごとに 1 回だけ認証を行う必要があります。
セキュリティ確認を完了した後、[アクティブ化 - コンプライアンス管理者] ペインの [理由] ボックスに、このロールのアクティブ化が正当であることの説明を入力します。
[アクティブ化] を選びます。
制限スコープがあるロールを割り当てる
特定のロールでは、付与されるアクセス許可の範囲を 1 つの管理単位、サービス プリンシパル、またはアプリケーションに制限することができます。 この手順は、管理単位のスコープを持つロールを割り当てる場合の例です。
[Privileged Identity Management] 画面に移動し、左側のナビゲーション メニューで [Microsoft Entra roles](Microsoft Entra ロール) を選択します。
[ロール] ペインの上部のメニューで、[+ 割り当ての追加] を選びます。
[割り当ての追加] 画面で [ロールの選択] メニューを選び、[ユーザー管理者] を選びます。
[スコープの種類] メニューを選択し、使用可能なオプションを確認します。 ここでは、[ディレクトリ] というスコープの種類を使用します。
ヒント
管理単位のスコープの種類の詳細については、Microsoft Entra ID での管理単位の管理に関する記事を参照してください。
スコープが制限されていないロールの割り当てに似ています。 メンバーを追加し、設定オプションを完了します。 ここでは、[キャンセル] を選択します。
既存のロールの割り当てを更新または削除する
既存のロールの割り当てを更新または削除するには、次の手順を実行します。
[Open Microsoft Entra Privileged Identity Management](Microsoft Entra Privileged Identity Management を開く) から [Microsoft Entra roles](Microsoft Entra ロール) 画面に進み、左側のナビゲーションで [Assignments](割り当て) を選択します。
[割り当て] リストで、[コンプライアンス管理者] の [操作] 列のオプションを確認します。
[更新] を選択し、[メンバーシップの設定] ウィンドウで使用可能なオプションを確認します。 完了したら、ウィンドウを閉じます。
[削除] を選択します。
[削除] ダイアログ ボックスで情報を確認し、[はい] を選びます。