Privileged Identity Management でグループのメンバーシップまたは所有権をアクティブにする
Microsoft Entra ID 内で Privileged Identity Management (PIM) を使用すると、グループ内の Just-In-Time メンバーシップまたはグループの Just-In-Time 所有権を利用できます。
この記事は、PIM でグループ メンバーシップまたは所有権をアクティブにする資格のあるメンバーまたは所有者を対象としています。
重要
グループのメンバーシップまたは所有権がアクティブ化されると、アクティブな割り当てが、Microsoft Entra PIM によって一時的に追加されます。 Microsoft Entra PIM は、アクティブな割り当て (グループのメンバーまたは所有者としてのユーザーの追加) を数秒で作成します。 また、非アクティブ化が (手動またはアクティブ化時間の有効期限経過により) 行なわれた際にも、ユーザーのグループ メンバーシップまたは所有権が、Microsoft Entra PIM により 数秒以内に削除されます。
アプリケーションは、グループ メンバーシップに基づいてユーザーにアクセスを提供する場合があります。 状況によっては、ユーザーがグループに追加された、またはグループから削除されたという事実がアプリケーション アクセスにすぐに反映されない場合があります。 アプリケーションが以前にユーザーがグループのメンバーではないという事実をキャッシュした場合、ユーザーがアプリケーションに再度アクセスしようとしても、アクセスできない可能性があります。 同様に、アプリケーションが以前にユーザーがグループのメンバーであるという事実をキャッシュした場合、グループ メンバーシップが非アクティブ化されても、ユーザーは引き続きアクセスできる可能性があります。 特定の状況は、アプリケーションのアーキテクチャによって異なります。 一部のアプリケーションでは、サインアウトし、再びサインインすると、アクセスの追加または削除が反映される場合があります。
ロールのアクティブ化
グループ メンバーシップまたは所有権が必要な場合は、PIM の [自分のロール] ナビゲーション オプションを使用してアクティブ化を要求できます。
Microsoft Entra 管理センターに特権ロール管理者以上としてサインインします。
[Identity governance] (ID ガバナンス)>[Privileged Identity Management]>[My roles] (自分のロール)>[グループ] の順に移動します。
Note
この短いリンクを使用して、[自分のロール] ページを直接開くこともできます。
[資格のある割り当て] ブレードを使用して、適格なメンバーシップまたは所有権を持つグループのリストを確認します。
アクティブにする資格のある割り当てに対して [アクティブ化] を選びます。
グループの設定によっては、多要素認証または別の形式の資格情報の提供を求められる場合があります。
必要に応じて、カスタムのアクティブ化開始時刻を指定します。 メンバーシップまたは所有権は、選択した時間が経過してからのみアクティブ化されます。
グループの設定によっては、アクティブ化の正当な理由が必要になる場合があります。 必要に応じて、[理由] ボックスに理由を入力します。
[アクティブ化] を選びます。
アクティブ化するためにロールで承認が必要な場合は、ブラウザーの右上隅に Azure の通知が表示され、要求が承認待ちになっていることが示されます。
要求の状態を表示する
保留中のアクティブ化要求の状態を表示することができます。 ユーザーの要求が別のユーザーからの承認を受ける場合に重要です。
Microsoft Entra 管理センターにサインインします。
[ID ガバナンス]>[Privileged Identity Management]>[マイリクエスト] [グループ] の順に移動します。
要求のリストを確認します。
保留中の要求をキャンセルする
Microsoft Entra 管理センターにサインインします。
[ID ガバナンス]>[Privileged Identity Management]>[マイリクエスト] [グループ] の順に移動します。
取り消す要求に対して [キャンセル] を選択します。
[キャンセル] を選択すると、要求が取り消されます。 ロールをもう一度アクティブにするには、新しいアクティブ化要求を送信する必要があります。