Privileged Identity Management で Azure リソース ロールの割り当てを延長または更新する

Microsoft Entra Privileged Identity Management (PIM) には、Azure リソースへのアクセスと割り当てのライフサイクルを管理するための新しいコントロールが用意されています。 管理者は、[開始日時] と [終了日時] プロパティを使用してメンバーシップを割り当てることができます。 割り当ての終了日時が近づくと、Privileged Identity Management は、影響を受けるユーザーまたはグループに電子メール通知を送信します。 適切なアクセスが維持されることを保証するためにリソースの管理者にも電子メール通知を送信します。 アクセスが延長されなかった場合でも、割り当てを更新して、最大 30 日間、期限切れの状態のままで表示できます。

延長と更新を実行できるのは誰か

ロールの割り当ての期限を延長するか更新できるのは、リソースの管理者だけです。 影響を受けるユーザーまたはグループは、まもなく期限切れになるロールの延長と、既に期限切れになっているロールの更新を要求できます。

通知の送信時機

Privileged Identity Management は、14 日以内に期限切れになるロールの管理者と影響を受けるユーザーまたはグループに電子メール通知を送信します。電子メール通知は、有効期限の前日にも送信されます。 電子メールは、割り当てが正式に期限切れになったときにも送信されます。

管理者は、ユーザーまたはグループが期限が迫っているか期限切れになっているロールが期限の延長または更新を要求したときに通知を受信します。 特定の管理者が要求を解決すると、他のすべての管理者に解決の決定 (承認または拒否) が通知されます。 その後、要求したユーザーまたはグループに決定が通知されます。

ロールの割り当てを延長する

ロールの割り当ての延長または更新の要求、解決、または管理に関連する手順とユーザー インターフェイスの要点を次に示します。

有効期限が切れた割り当ての自動延長

ロールに割り当てられたユーザーは、リソースの [自分のロール] ページの [有資格] または [アクティブ] タブから、および Privileged Identity Management ポータルの最上位レベルの [自分のロール] ページから、有効期限が切れるロールの割り当てを直接延長できます。 このポータルでは、ユーザーは 14 日後に期限切れになる有資格ロールと (割り当て済みの) アクティブ ロールの延長を要求できます。

割り当ての終了日時が 14 日以内の場合は、Microsoft Entra 管理センター内で [延長] のリンクがアクティブになります。 次の例では、現在の日付が 3 月 27 日であると想定しています。

注意

ロールに割り当てられたグループの場合は、割り当てを継承している 1 人のユーザーがグループの割り当てを延長できないように、 [延長] リンクが利用できるようになることはありません。

このロールの割り当ての延長を要求するには、延長をクリックして要求フォームを開きます。

[割り当ての詳細]を展開して、最初の割り当てに関する情報を確認します。 延長要求の理由を入力し、延長をクリックします。

注意

延長が必要な詳しい理由と希望の延長期間 (わかっている場合) を入力することをお勧めします。

リソース管理者は、延長要求の確認を求める電子メール通知をすぐに受信します。 延長の要求が既に送信されている場合は、Azure の通知がポータルに表示されます。

[保留中の要求] ページに移動して、要求の状態を確認します。要求をキャンセルすることもできます。

管理者に承認された延長

ユーザーまたはグループがロールの割り当てを延長する要求を送信すると、リソース管理者は、最初の割り当ての詳細と要求者が入力した理由を含む電子メール通知を受信します。 通知には、管理者が要求を承認または拒否するための直接リンクが含まれています。

電子メール内のリンクに加え、管理者は、Privileged Identity Management の管理ポータルに移動し、左側のペインから [要求の承認] を選択することで、要求を承認または拒否できます。

管理者が [承認] または [拒否] を選択すると、要求の詳細が、監査ログ用の業務上の正当な理由を入力するフィールドと共に表示されます。

要求を承認してロールの割り当てを延長するとき、リソース管理者は、新しい開始日時、終了日時、および割り当ての種類を選択できます。 管理者が特定のタスク を完了するためのアクセス制限 を指定する (たとえば 1 日だけ延長する) 場合は、割り当ての種類の変更が必要になることがあります。 この例では、管理者は、割り当ての種類を有資格からアクティブに変更できます。 つまり、アクティブ化の必要がないアクセスを要求者に提供できます。

管理者による延長

ロールに割り当てられたユーザーがロールの割り当ての延長を要求しない場合、管理者がユーザーの代わりに割り当てを延長できます。 管理者によるロールの割り当ての延長に承認は必要ありませんが、ロールが延長された後で、他のすべての管理者に通知が送信されます。

ロールの割り当てを延長するには、Privileged Identity Management のリソース ロールまたは割り当てビューを参照します。 延長する必要がある割り当てを探します。 そして、[アクション] 列の延長をクリックします。

ロールの割り当ての更新

概念上は似ていますが、有効期限が切れたロールの割り当てを更新するプロセスは、メンバーにとっても管理者にとっても、延長の要求とは異なっています。 割り当てと管理者は、次の手順を使用して、必要な場合に有効期限が切れたロールへのアクセスを更新できます。

自己更新

リソースにアクセスできなくなったユーザーは、最大 30 日間分の有効期限が切れた割り当て履歴にアクセスできます。 PIM の左側のナビゲーションで自分のロールに移動し、[Azure リソースのロール] セクションの期限切れのロールタブを選択します。

ロールの一覧には、有資格の割り当てが既定で表示されます。 ドロップダウンを使用して、割り当て済みの有資格ロールとアクティブ ロールを切り替えます。

一覧のいずれかのロールの割り当ての更新を要求するには、更新アクションを選択します。 そして、要求の理由を入力します。 詳しい理由または業務上の正当な理由を加えて延長期間を入力すると、リソース管理者が承認するか拒否するかを決定する際に役立ちます。

要求が送信されると、リソース管理者は、ロールの割り当ての更新を求めている保留中の要求の通知を受信します。

管理者による承認

リソース管理者は、電子メール通知内のリンクから更新要求にアクセスできます。Auzre Portal から Privileged Identity Management にアクセスし、左側のナビゲーション メニューから [要求の承認] を選択することでもアクセスできます。

管理者が [承認] または [拒否] を選択すると、要求の詳細が、監査ログ用の業務上の正当な理由を入力するフィールドと共に表示されます。

要求を承認してロールの割り当てを更新するとき、リソース管理者は、新しい開始日時、終了日時、および割り当ての種類を入力する必要があります。

管理者による更新

リソース管理者は、リソースの左側のナビゲーション メニューのメンバーで、有効期限が切れているロールの割り当てを更新できます。 またはリソース ロールの期限切れのロールタブで、有効期限が切れているロールの割り当てを更新できます。

有効期限が切れたすべてのロールの割り当ての一覧を表示するには、メンバー画面で期限切れのロールを選択します。

次のステップ

• Privileged Identity Management で Azure リソース ロールに対する要求を承認または拒否する
• Privileged Identity Management で Azure リソース ロールの設定を構成する