特権アクセス グループの計画と構成

完了

Privileged Identity Management (PIM) で、特権アクセス グループのメンバーシップまたは所有権の資格を割り当てることができるようになりました。 Microsoft Entra ID 組み込みロールをクラウド グループに割り当て、PIM を使用してグループ メンバーと所有者の適格性とアクティブ化を管理できます。 特権アクセス グループのプレビューを使用すると、ワークロード固有の管理者に、1 回の Just-In-Time 要求で複数のロールにすばやくアクセスできます。

例: 階層 0 の Office 管理者 は、毎日インシデントを徹底的に調査するために、 Exchange 管理者、 Office アプリ管理者、 Teams 管理者、 および検索管理者 の役割への Just-In-Time アクセスが必要になる場合があります。

"Tier 0 Office Admins" というロール割り当て可能なグループを作成し、前述の 4 つのロール (または Microsoft Entra 組み込みロール) への割り当ての対象にすることができます。 次に、グループの [アクティビティ] セクションで Privileged Access に対して有効にします。 特権アクセスを有効にすると、管理者と所有者をグループに割り当てることができます。 管理者がグループをロールに昇格すると、スタッフには 4 つの Microsoft Entra ロールすべてからのアクセス許可が付与されます。

ロールの割り当て可能なグループごとに異なるポリシーを要求する

一部の組織では、Microsoft Entra 企業間 (B2B) コラボレーションなどのツールを使用して、パートナーを Microsoft Entra 組織のゲストとして招待します。 特権ロールへのすべての割り当てに対して 1 つの Just-In-Time ポリシーではなく、独自のポリシーを使用して 2 つの異なる特権アクセス グループを作成できます。 信頼できる従業員にはより緩やかな要件を適用し、パートナーには割り当てられた役割をアクティブ化を要求する際に承認ワークフローなどの、より厳格な要件を適用することができます。