Privileged Identity Management で Azure リソース ロールの割り当てを延長または更新する

Microsoft Entra Privileged Identity Management (PIM) は、Azure リソースのアクセスと割り当てのライフサイクルを管理するための制御を提供します。 管理者は、開始時刻と終了日時のプロパティを使用してロールを割り当てることができます。 割り当てが終了すると、Privileged Identity Management は、影響を受けるユーザーまたはグループに電子メール通知を送信します。 また、リソースの管理者に電子メール通知を送信して、適切なアクセスが維持されるようにします。 アクセスが延長されていない場合でも、割り当てが更新され、有効期限が切れた状態で最大 30 日間表示される場合があります。

誰が延長および更新できますか？

ロールの割り当てを延長または更新できるのは、リソースの管理者だけです。 影響を受けるユーザーまたはグループは、有効期限が近づいているロールの拡張と、既に期限切れのロールの更新を要求できます。

通知はいつ送信されますか?

Privileged Identity Management は、有効期限が切れる 14 日以内および 1 日前に期限切れになる管理者および影響を受けるロールのユーザーまたはグループに電子メール通知を送信します。 割り当てが正式に期限切れになると、追加の電子メールが送信されます。

管理者は、ロールの期限が近づいているか、既に期限切れのユーザーまたはグループが延長または更新を要求したときに通知を受け取ります。 特定の管理者が要求を解決すると、他のすべての管理者に解決の決定 (承認または拒否) が通知されます。 その後、要求しているユーザーまたはグループに決定が通知されます。

ロールの割り当てを拡張する

次の手順では、ロールの割り当ての延長または更新を要求、解決、または管理するプロセスについて説明します。

自分で期限切れの割り当てを延長する

ロールに割り当てられたユーザーは、期限切れのロールの割り当てを、リソースの [自分のロール ] ページの [有資格] タブまたは [アクティブな] タブ、および Privileged Identity Management ポータルの最上位レベルの [自分のロール] ページから直接延長できます。 ポータルでは、ユーザーは、今後 14 日以内に期限切れになる対象ロールまたはアクティブ (割り当て済み) ロールの延長を要求できます。

割り当ての終了日時が 14 日以内になると、延長 へのリンクが Microsoft Entra 管理センターでアクティブになります。 次の例では、現在の日付が 3 月 27 日であるとします。

手記

ロールに割り当てられたグループの場合は、割り当てを継承している 1 人のユーザーがグループの割り当てを延長できないように、[延長] リンクが利用できなくなっています。

このロールの割り当ての延長を要求するには、[ 延長 ] を選択して要求フォームを開きます。

元の割り当てに関する情報を表示するには、割り当ての詳細を展開します。 延長要求の理由を入力し、[延長] を選択します。

手記

拡張機能が必要な理由と、拡張機能を付与する必要がある期間 (この情報がある場合) の詳細を含することをお勧めします。

リソース管理者は、しばらくすると、拡張機能の要求を確認することを要求する電子メール通知を受け取ります。 延長要求が既に送信されている場合は、ポータルに Azure 通知が表示されます。

保留中の要求 ページに移動して、要求の状態を表示するか、キャンセルします。

管理者が承認した拡張機能

ユーザーまたはグループがロールの割り当てを延長する要求を送信すると、リソース管理者は、元の割り当ての詳細と要求の理由を含む電子メール通知を受け取ります。 通知には、管理者が承認または拒否するための要求への直接リンクが含まれています。

管理者は、電子メールからのリンクを使用するだけでなく、Privileged Identity Management 管理ポータルに移動し、左側のウィンドウで [要求の承認] 選択することで、要求を承認または拒否できます。

管理者が [承認 ] または [拒否 ] を選択すると、要求の詳細と監査ログに業務上の正当な理由を提供するフィールドが表示されます。

ロールの割り当てを延長する要求を承認する場合、リソース管理者は新しい開始日、終了日、割り当ての種類を選択できます。 管理者が特定のタスクを完了するために制限付きアクセスを提供する場合は、割り当ての種類を変更することが必要になる場合があります (たとえば、1 日)。 この例では、管理者は割り当てを Eligible から Activeに変更できます。 つまり、アクティブ化を要求することなく、要求者へのアクセスを提供できます。

管理者が開始した拡張機能

ロールに割り当てられたユーザーがロールの割り当ての拡張機能を要求しない場合、管理者はユーザーに代わって割り当てを延長できます。 ロールの割り当ての管理拡張機能では承認は必要ありませんが、通知はロールの延長後に他のすべての管理者に送信されます。

ロールの割り当てを拡張するには、Privileged Identity Management のリソース ロールまたは割り当てビューを参照します。 拡張機能を必要とする割り当てを見つけます。 次に、[アクション] 列の [延長] を選択します。

ロールの割り当てを更新する

概念的には拡張機能を要求するプロセスと似ていますが、期限切れのロールの割り当てを更新するプロセスは異なります。 次の手順を使用すると、割り当てと管理者は、必要に応じて期限切れのロールへのアクセスを更新できます。

自己更新

リソースにアクセスできなくなったユーザーは、最大 30 日間の期限切れの割り当て履歴にアクセスできます。 これを行うには、左側のペインで マイ ロール に移動し、[Azure リソース ロール] セクションの [期限切れのロール] タブを選択します。

表示されるロールの一覧は、既定で 対象ロールです。 ドロップダウン メニューを使用して、割り当てられた有資格ロールとアクティブ割り当てロールを切り替えます。

一覧のロールの割り当ての更新を要求するには、更新 アクションを選択します。 次に、要求の理由を指定します。 リソース管理者が承認または拒否を決定するのに役立つ他のコンテキストや業務上の正当な理由に加えて、期間を提供すると便利です。

要求が送信されると、リソース管理者にロールの割り当てを更新する保留中の要求が通知されます。

管理者が承認する

リソース管理者は、電子メール通知のリンクから更新要求にアクセスするか、Azure portal から Privileged Identity Management にアクセスし、左側のウィンドウから [要求 承認] を選択することでアクセスできます。

管理者が [承認] または [拒否] を選択すると、要求の詳細が、監査ログ用の業務上の正当な理由を入力するフィールドと共に表示されます。

ロールの割り当てを更新する要求を承認する場合、リソース管理者は新しい開始日、終了日、割り当ての種類を入力する必要があります。

管理者による更新

リソース管理者は、リソースの左側のナビゲーション メニューの メンバー タブから、期限切れのロールの割り当てを更新できます。 また、リソース ロールの [期限切れの ロール] タブ内から、期限切れのロールの割り当てを更新することもできます。

期限切れになったすべてのロールの割り当ての一覧を表示するには、[メンバー] 画面で、[期限切れのロール]選択します。

次の手順

• Privileged Identity Management で Azure リソース ロールの要求を承認または拒否する
• Privileged Identity Management で Azure リソース ロールの設定を構成する