Privileged Identity Management でグループのメンバーシップまたは所有権をアクティブにする

[アーティクル]
10/31/2023

Microsoft Entra ID 内で Privileged Identity Management (PIM) を使用すると、グループ内の Just-In-Time メンバーシップまたはグループの Just-In-Time 所有権を利用できます。

この記事は、PIM でグループメンバーシップまたは所有権をアクティブにする資格のあるメンバーまたは所有者を対象としています。

重要

グループのメンバーシップまたは所有権がアクティブ化されると、アクティブな割り当てが、Microsoft Entra PIM によって一時的に追加されます。 Microsoft Entra PIM は、アクティブな割り当て (グループのメンバーまたは所有者としてのユーザーの追加) を数秒で作成します。また、非アクティブ化が (手動またはアクティブ化時間の有効期限経過により) 行なわれた際にも、ユーザーのグループメンバーシップまたは所有権が、Microsoft Entra PIM により数秒以内に削除されます。

アプリケーションは、グループメンバーシップに基づいてユーザーにアクセスを提供する場合があります。状況によっては、ユーザーがグループに追加された、またはグループから削除されたという事実がアプリケーションアクセスにすぐに反映されない場合があります。アプリケーションが以前にユーザーがグループのメンバーではないという事実をキャッシュした場合、ユーザーがアプリケーションに再度アクセスしようとしても、アクセスできない可能性があります。同様に、アプリケーションが以前にユーザーがグループのメンバーであるという事実をキャッシュした場合、グループメンバーシップが非アクティブ化されても、ユーザーは引き続きアクセスできる可能性があります。特定の状況は、アプリケーションのアーキテクチャによって異なります。一部のアプリケーションでは、サインアウトし、再びサインインすると、アクセスの追加または削除が反映される場合があります。

ロールのアクティブ化

グループメンバーシップまたは所有権が必要な場合は、PIM の [自分のロール] ナビゲーションオプションを使用してアクティブ化を要求できます。

Microsoft Entra 管理センターに特権ロール管理者以上としてサインインします。
[Identity governance] (ID ガバナンス)>[Privileged Identity Management]>[My roles] (自分のロール)>[グループ] の順に移動します。

Note

この短いリンクを使用して、[自分のロール] ページを直接開くこともできます。
[資格のある割り当て] ブレードを使用して、適格なメンバーシップまたは所有権を持つグループのリストを確認します。
アクティブにする資格のある割り当てに対して [アクティブ化] を選びます。
グループの設定によっては、多要素認証または別の形式の資格情報の提供を求められる場合があります。
必要に応じて、カスタムのアクティブ化開始時刻を指定します。メンバーシップまたは所有権は、選択した時間が経過してからのみアクティブ化されます。
グループの設定によっては、アクティブ化の正当な理由が必要になる場合があります。必要に応じて、[理由] ボックスに理由を入力します。
[アクティブ化] を選びます。