演習: Privileged Identity Management で Microsoft Entra ロールを割り当てる

  • 10 分

Microsoft Entra ID を使用すると、グローバル管理者は永続的な Microsoft Entra 管理者ロールの割り当てを行うことができます。 こうしたロールの割り当ては、Azure portal または PowerShell のコマンド を使用して作成できます。

永続的な管理ロールの割り当ては、特権ロール管理者が Microsoft Entra Privileged Identity Management (PIM) サービスを使用して行うこともできます。 さらに、特権ロール管理者は、ユーザーを Microsoft Entra 管理者ロールの候補にすることもできます。 管理者候補は必要なときにロールをアクティブ化できます。作業が完了すると、そのアクセス許可は期限切れになります。

ロールの割り当て

ユーザーを Microsoft Entra 管理者ロールの候補にするには、次の手順を実行します。

  1. テナント管理者として Microsoft Entra 管理センターにサインインします。

  2. Microsoft Entra Privileged Identity Management」を検索して選択します。

  3. Privileged Identity Management の画面の左側のナビゲーションで、[Microsoft Entra roles](Microsoft Entra ロール) を選択します。

  4. [クイック スタート] ページの左側のナビゲーションで [ロール] を選択します。

  5. 上部のメニューで [+ 割り当ての追加] を選択します。

    Screenshot of the Microsoft Entra roles with Add assignments menu highlighted.

  6. [割り当ての追加] ペインの [メンバーシップ] タブで、設定を確認します。

  7. [ロールの選択] メニューを選択し、[コンプライアンス管理者] を選択します。 [名前でロールを検索] フィルターを使用すると、ロールを見つけやすくなります。

  8. [メンバーの選択][メンバーが選択されていません] を選択します。

  9. [メンバーの選択] ペインで管理者アカウントを選んで、[選択] を選びます。

    Screenshot of the select a member pane with a selected member highlighted.

  10. [割り当ての追加] 画面で [次へ] を選びます。

  11. [設定] タブの [割り当ての種類] で、使用可能なオプションを確認します。 このタスクでは、既定の設定を使用します。

    • 有資格割り当ては、ロールを使用するためのアクションを実行することをロールのメンバーに要求します。 アクションには、多要素認証 (MFA) チェックの実行、業務上の妥当性の指定、指定された承認者に対する承認要求などがあります。
    • アクティブ割り当ては、ロールを使用するために何らかのアクションを実行することをメンバーに要求しません。 アクティブとして割り当てられたメンバーには常に、そのロールに割り当てられた特権があります。

  12. 残りの設定を確認してから、[割り当て] を選択します。

Microsoft Entra ロールをアクティブ化する

Microsoft Entra ロールを想定する必要がある場合は、Privileged Identity Management で [自分のロール] を開いてアクティブ化を要求できます。

  1. [Privileged Identity Management] 画面の左側のナビゲーション メニューで、[自分のロール] を選びます。

  2. [自分のロール] ペインで、資格のある割り当ての一覧を確認します。

    Screenshot of the My roles with eligible role assignments highlighted. Pick the role you need.

  3. [コンプライアンス管理者ロール] 行で [アクティブ化] を選択します。

  4. [アクティブ化 - コンプライアンス管理者] ウィンドウで [追加の確認が必要] を選択し、指示に従って追加のセキュリティ確認を行います。 セッションごとに 1 回だけ認証を行う必要があります。

    Screenshot of a popup to activate the compliance administrator.

  5. セキュリティ確認を完了した後、[アクティブ化 - コンプライアンス管理者] ペインの [理由] ボックスに、このロールのアクティブ化が正当であることの説明を入力します。

  6. [アクティブ化] を選びます。

制限スコープがあるロールを割り当てる

特定のロールでは、付与されるアクセス許可の範囲を 1 つの管理単位、サービス プリンシパル、またはアプリケーションに制限することができます。 この手順は、管理単位のスコープを持つロールを割り当てる場合の例です。

  1. [Privileged Identity Management] 画面に移動し、左側のナビゲーション メニューで [Microsoft Entra roles](Microsoft Entra ロール) を選択します。

  2. [ロール] ペインの上部のメニューで、[+ 割り当ての追加] を選びます。

  3. [割り当ての追加] 画面で [ロールの選択] メニューを選び、[ユーザー管理者] を選びます。

  4. [スコープの種類] メニューを選択し、使用可能なオプションを確認します。 ここでは、[ディレクトリ] というスコープの種類を使用します。

    ヒント

    管理単位のスコープの種類の詳細については、Microsoft Entra ID での管理単位の管理に関する記事を参照してください。

  5. スコープが制限されていないロールの割り当てに似ています。 メンバーを追加し、設定オプションを完了します。 ここでは、[キャンセル] を選択します。

既存のロールの割り当てを更新または削除する

既存のロールの割り当てを更新または削除するには、次の手順を実行します。

  1. [Open Microsoft Entra Privileged Identity Management](Microsoft Entra Privileged Identity Management を開く) から [Microsoft Entra roles](Microsoft Entra ロール) 画面に進み、左側のナビゲーションで [Assignments](割り当て) を選択します。

  2. [割り当て] リストで、[コンプライアンス管理者] の [操作] 列のオプションを確認します。

    Screenshot of the options listed in the action column of the Compliance Administrator.

  3. [更新] を選択し、[メンバーシップの設定] ウィンドウで使用可能なオプションを確認します。 完了したら、ウィンドウを閉じます。

  4. [削除] を選択します。

  5. [削除] ダイアログ ボックスで情報を確認し、[はい] を選びます。