グループ割り当ての PIM を延長または更新する
Microsoft Entra ID の Privileged Identity Management (PIM) には、グループのメンバーシップと所有権へのアクセスと割り当てのライフサイクルを管理するためのコントロールが用意されています。 管理者は、グループのメンバーシップと所有権の開始と終了の日時プロパティを割り当てることができます。 割り当ての終了日時が近づくと、Privileged Identity Management は、影響を受けるユーザーまたはグループに電子メール通知を送信します。 適切なアクセスが維持されることを保証するためにリソースの管理者にも電子メール通知を送信します。 アクセスが延長されなかった場合でも、割り当てを更新して、最大 30 日間、期限切れの状態のままで表示できます。
延長と更新を実行できるユーザー
グループのメンバーシップまたは所有権の期限付きの割り当てを延長または更新できるのは、グループを管理するアクセス許可を持つユーザーだけです。 影響を受けるユーザーまたはグループは、まもなく期限切れになる割り当ての延長を要求したり、既に期限切れになっている割り当ての更新を要求したりできます。
ロール割り当て可能なグループは、少なくともそのグループの特権ロール管理者または所有者が管理できます。 ロール割り当て不可能なグループは、少なくともディレクトリ編集者、グループ管理者、Identity Governance 管理者、ユーザー管理者、またはそのグループの所有者が管理できます。 管理者のロールの割り当ては、(管理単位レベルではなく) ディレクトリ レベルでスコープを設定する必要があります。
Note
グループを管理するためのアクセス許可を持つ他のロール (ロール割り当てできない M365 グループの Exchange 管理者など) と、管理単位レベルで範囲指定された割り当てを持つ管理者は、グループ API/UX を使用してグループを管理し、Microsoft Entra PIM で行われた変更をオーバーライドできます。
通知の送信タイミング
Privileged Identity Management から、期限切れになるグループの PIM の割り当ての管理者および影響を受けるユーザーに電子メール通知が送信されます。
- 有効期限切れ前の 14 日以内
- 有効期限の切れる前日
- 割り当ての有効期限が切れたとき
管理者は、ユーザーまたはグループが期限が迫っているか期限切れになっている割り当ての延長または更新を要求したときに通知を受信します。 1 人の管理者が要求を解決すると、すべての管理者と要求元のユーザーにその承認または拒否が通知されます。
グループの割り当てを延長する
次の手順で、グループのメンバーシップまたは所有権の割り当ての延長または更新の要求、解決、または管理のプロセスの概要を示します。
有効期限が切れた割り当ての自動延長
グループのメンバーシップまたは所有権が割り当てられているユーザーは、グループの [割り当て] ページにある [対象] または [アクティブ] タブから直接、有効期限が迫っているグループの割り当てを延長できます。 ユーザーまたはグループは、14 日以内に期限切れになる対象およびアクティブの割り当ての延長を要求できます。
割り当て終了日時が 14 日以内になると、 [延長] コマンドが使用できるようになります。 グループ割り当ての延長を要求するには、 [延長] を選択して、要求フォームを開きます。
![[理由] ボックスと詳細を含む、グループの割り当てを延長するペインの場所を示すスクリーンショット。](media/pim-for-groups/pim-group-12.png#lightbox)
注意
延長が必要な詳しい理由と希望の延長期間 (わかっている場合) を入力することをお勧めします。
管理者は、延長要求の確認を求めるメール通知を受信します。 延長の要求が既に送信されている場合は、Azure の通知がポータルに表示されます。
要求の状態の表示またはキャンセルを行うには、グループの割り当ての [保留中の要求] ページを開きます。
![キャンセルするためのリンクを表示する [保留中のリクエスト] ページのスクリーンショット。](media/pim-for-groups/pim-group-13.png#lightbox)
管理者に承認された延長
ユーザーまたはグループがグループの割り当ての延長を求める要求を送信すると、管理者は、元の割り当ての詳細と要求の理由を含む電子メール通知を受信します。 通知には、管理者が要求を承認または拒否するための直接リンクが含まれています。
電子メール内のリンクに加え、管理者は、Privileged Identity Management の管理ポータルに移動し、左側のペインから [要求の承認] を選択することで、要求を承認または拒否できます。
![要求と承認または拒否するためのリンクが一覧表示されている [要求の承認] ページのスクリーンショット。](media/pim-for-groups/pim-group-14.png#lightbox)
管理者が [承認] または [拒否] を選択すると、要求の詳細が、監査ログ用の業務上の正当な理由を入力するフィールドと共に表示されます。
![[要求元の理由]、[割り当ての種類]、[開始時刻]、[終了時刻]、[理由] を含むグループの割り当て要求を承認する場所を示すスクリーンショット。](media/pim-for-groups/pim-group-15.png#lightbox)
リソース管理者は、グループの割り当ての延長を求める要求を承認するとき、新しい開始日、終了日、および割り当ての種類を選択できます。 管理者が特定のタスク を完了するためのアクセス制限 を指定する (たとえば 1 日だけ延長する) 場合は、割り当ての種類の変更が必要になることがあります。 この例では、管理者は、割り当ての種類を有資格からアクティブに変更できます。 つまり、アクティブ化の必要がないアクセスを要求者に提供できます。
管理者による延長
グループに割り当てられているユーザーがグループの割り当ての延長を要求しない場合、管理者がユーザーの代わりに割り当てを延長できます。 管理者によるグループの割り当ての延長には承認は必要ありませんが、割り当てが延長された後に他のすべての管理者に通知が送信されます。
グループの割り当てを延長するには、Privileged Identity Management の割り当てビューを参照します。 延長する必要がある割り当てを探します。 そして、[アクション] 列の延長をクリックします。
![延長するためのリンクが付いた対象グループ割り当てが一覧表示されている [割り当て] ページのスクリーンショット。](media/pim-for-groups/pim-group-16.png#lightbox)
グループの割り当てを更新する
有効期限が切れたグループの割り当てを更新するプロセスは、延長の要求のプロセスと概念上は似ていますが、異なります。 割り当てと管理者は、次の手順を使用して、必要な場合に有効期限が切れた割り当てへのアクセスを更新できます。
自己更新
リソースにアクセスできなくなったユーザーは、最大 30 日間分の有効期限が切れた割り当て履歴にアクセスできます。 これを行うには、左側のペインで [自分のロール] を参照し、 [Expired assignments](期限切れの割り当て) タブを選択します。
割り当ての一覧には、対象の割り当てが既定で表示されます。 [対象] と [アクティブ] の割り当てを切り替えるには、ドロップダウン メニューを使用します。
一覧のいずれかのグループの割り当ての更新を要求するには、 [更新] アクションを選択します。 そして、要求の理由を入力します。 詳しい理由または業務上の正当な理由を加えて延長期間を入力すると、リソース管理者が承認するか拒否するかを決定する際に役立ちます。
要求が送信されると、リソース管理者は、グループの割り当ての更新を求める保留中の要求の通知を受信します。
管理者による承認
リソース管理者は、メール通知内のリンクから更新要求にアクセスできます。または Microsoft Entra 管理センター から Privileged Identity Management にアクセスし、左側のペインの [申請の承認] を選んでアクセスできます。
管理者が [承認] または [拒否] を選択すると、要求の詳細が、監査ログ用の業務上の正当な理由を入力するフィールドと共に表示されます。
リソース管理者は、グループの割り当てを更新を求める要求を承認するとき、新しい開始日、終了日、および割り当ての種類を入力する必要があります。