グループに PIM を使用してグループのメンバーシップと所有権を管理する
グループのPrivileged Identity Management (グループの場合は PIM) を使用すると、プリンシパルにグループのメンバーシップまたは所有権を割り当てる方法を管理できます。 セキュリティとMicrosoft 365 グループは、Microsoft Entra ロール、Azure ロール、Azure SQL、Azure Key Vault、Intune、サード パーティのアプリケーションなどの Microsoft クラウド リソースへのアクセスを提供するために使用できる重要なリソースです。 グループの PIM を使用すると、プリンシパルがグループのメンバーまたは所有者である方法とタイミングをより詳細に制御できるため、グループ メンバーシップまたは所有権を通じて特権が付与されます。
Microsoft Graph のグループ API の PIM では、次の機能など、セキュリティとMicrosoft 365 グループに対するより多くのガバナンスが提供されます。
- グループのジャストインタイム メンバーシップまたは所有権をプリンシパルに提供する
- プリンシパルの一時的なメンバーシップまたはグループの所有権の割り当て
この記事では、Microsoft Graph のグループの PIM 用 API のガバナンス機能について説明します。
グループ所有者とメンバーのアクティブな割り当てを管理するためのグループ API の PIM
Microsoft Graph のグループ API の PIM を使用すると、プリンシパルを永続的または一時的なメンバーシップまたは期限付きメンバーシップまたは所有権をグループに割り当てることができます。
次の表に、グループ API に PIM を使用して、プリンシパルと呼び出す対応する API のアクティブな割り当てを管理するシナリオを示します。
Scenarios | API |
---|---|
管理者: プリンシパル: |
割り当ての作成ScheduleRequest |
管理者は、グループのアクティブなメンバーシップと所有権の割り当てに対するすべての要求を一覧表示します | 割り当ての一覧表示ScheduleRequests |
管理者は、グループのメンバーシップと所有権について、すべてのアクティブな割り当てと、今後作成する割り当ての要求を一覧表示します | 割り当ての一覧表示スケジュール |
管理者は、グループのすべてのアクティブなメンバーシップと所有権の割り当てを一覧表示します | 割り当ての一覧表示ScheduleInstances |
管理者は、グループとその詳細についてメンバーと所有権の割り当てを照会します | privilegedAccessGroupAssignmentScheduleRequest を取得する |
プリンシパルは、メンバーシップまたは所有権の割り当て要求と詳細を照会します 承認者は、承認を待機しているメンバーシップまたは所有権の要求と、これらの要求の詳細を照会します |
privilegedAccessGroupAssignmentScheduleRequest: filterByCurrentUser |
プリンシパルは、作成したメンバーシップまたは所有権の割り当て要求を取り消します | privilegedAccessGroupAssignmentScheduleRequest: cancel |
承認者は、承認要求の詳細 (承認手順に関する情報を含む) を取得します | 承認を取得する |
承認者は、承認ステップを承認または拒否することによって承認要求を承認または拒否します | 承認の更新手順 |
グループ所有者とメンバーの適格な割り当てを管理するためのグループ API の PIM
プリンシパルは、常にメンバーシップまたは所有権を通じて付与される特権を必要としないため、永続的なメンバーシップやグループの所有権を必要としない場合があります。 この場合、グループの PIM を使用すると、プリンシパルをグループのメンバーシップまたは所有権の対象にすることができます。
プリンシパルに適格な割り当てがある場合は、特権タスクを実行するためにグループを通じて付与された特権が必要な場合に、割り当てをアクティブにします。 適格な割り当ては、永続的または一時的な場合があります。 アクティブ化は、常に最大 8 時間の時間バインドされます。 プリンシパルは、グループのメンバーシップまたは所有権を拡張または更新することもできます。
次の表に、グループ API に PIM を使用して、プリンシパルと呼び出す対応する API の適格な割り当てを管理するシナリオを示します。
Scenarios | API |
---|---|
管理者: |
eligibilityScheduleRequest を作成する |
管理者は、対象となるすべてのメンバーシップまたは所有権の要求とその詳細を照会します | 対象の一覧表示ScheduleRequests |
管理者は、適格なメンバーシップまたは所有権の要求とその詳細を照会します | 対象の取得ScheduleRequest |
管理者が、作成した適格なメンバーシップまたは所有権要求を取り消す | privilegedAccessGroupEligibilityScheduleRequest:cancel |
プリンシパルは、対象となるメンバーシップまたは所有権の詳細を要求するクエリを実行します | privilegedAccessGroupEligibilityScheduleRequest: filterByCurrentUser |
グループの PIM のポリシー設定
グループの PIM は、プリンシパルにセキュリティとMicrosoft 365 グループのメンバーシップまたは所有権を割り当てる方法を制御する設定または規則を定義します。 このようなルールには、グループの適格なメンバーシップまたは所有権をアクティブ化するために多要素認証 (MFA)、正当な理由、または承認が必要かどうか、またはグループへのプリンシパルの永続的な割り当てまたは適格性を作成できるかどうかが含まれます。 ルールはポリシーで定義され、ポリシーをグループに適用できます。
Microsoft Graph では、これらのルールは unifiedRoleManagementPolicy と unifiedRoleManagementPolicyAssignment リソースの種類とそれに関連するメソッドを使用して管理されます。
たとえば、既定では、グループの PIM では永続的なアクティブなメンバーシップと所有権の割り当てが許可されておらず、アクティブな割り当てに対して最大 6 か月が定義されているとします。 有効期限のない privilegedAccessGroupAssignmentScheduleRequest オブジェクトを作成しようとすると、有効期限ルール違反の 400 Bad Request
応答コードが返されます。
グループの PIM を使用すると、次のようなさまざまな規則を構成できます。
- プリンシパルに永続的な適格な割り当てを割り当てることができるかどうか
- グループ メンバーシップまたは所有権のアクティブ化に許可される最大期間、および資格のあるメンバーシップまたは所有権をアクティブ化するために正当な理由または承認が必要かどうか
- グループ メンバーシップまたは所有権のアクティブ化要求を承認できるユーザー
- グループ メンバーシップまたは所有権の割り当てをアクティブ化して適用するために MFA が必要かどうか
- グループ メンバーシップまたは所有権のアクティブ化の通知を受け取るプリンシパル
次の表に、グループに PIM を使用してルールを管理し、呼び出す API を使用するシナリオを示します。
シナリオ | API |
---|---|
グループ ポリシーと関連するルールまたは設定の PIM を取得する | unifiedRoleManagementPolicies の一覧表示 |
グループ ポリシーとそれに関連付けられているルールまたは設定の PIM を取得する | unifiedRoleManagementPolicy を取得する |
関連付けられているルールまたは設定でグループ ポリシーの PIM を更新する | unifiedRoleManagementPolicy を更新する |
グループ ポリシーの PIM に対して定義されている規則を取得する | List rules |
グループ ポリシーの PIM に対して定義されたルールを取得する | unifiedRoleManagementPolicyRule を取得する |
グループ ポリシーの PIM に対して定義されたルールを更新する | unifiedRoleManagementPolicyRule を更新する |
グループのメンバーシップと所有権に関連付けられているポリシーとルールなど、グループ ポリシーの割り当てに関するすべての PIM の詳細を取得します | unifiedRoleManagementPolicyAssignments を一覧表示する |
グループ のメンバーシップまたは所有権に関連付けられているポリシーとルールなど、グループ ポリシーの割り当てに関する PIM の詳細を取得する | unifiedRoleManagementPolicyAssignment を取得する |
Microsoft Graph を使用してルールを構成する方法の詳細については、「 Microsoft Graph の PIM API のルールの概要」を参照してください。 ルールの更新の例については、「 Microsoft Graph で PIM API を使用してルールを更新する」を参照してください。
グループの PIM へのグループのオンボード
グループの PIM にグループを明示的にオンボードすることはできません。 Create assignmentScheduleRequest または Create eligibilityScheduleRequest を使用してグループに割り当てを追加するように要求した場合、または Update unifiedRoleManagementPolicy または Update unifiedRoleManagementPolicyRule を使用してグループの PIM ポリシー (ロール設定) を更新すると、グループは事前にオンボードされていない場合に自動的に PIM にオンボードされます。
PIM にオンボードされているグループと、PIM にまだオンボードされていないグループの両方に対して、次のいずれかの API を呼び出すことができますが、調整される可能性を減らすために、PIM にオンボードされているグループに対してのみ実行することをお勧めします。
- 割り当ての一覧表示ScheduleRequests
- 割り当ての一覧表示スケジュール
- list assignmentScheduleInstances,
- 対象の一覧表示ScheduleRequests
- 対象の一覧表示スケジュール
- 対象の一覧表示ScheduleInstances
PIM がグループをオンボードした後、PIM ポリシーの ID と特定のグループのポリシー割り当てが変更されます。 更新された ID を取得するには、unifiedRoleManagementPolicy または Get unifiedRoleManagementPolicyAssignment API を呼び出します。
PIM がグループをオンボードした後は、オフボードすることはできませんが、必要に応じて、適格な割り当てと期限付きの割り当てをすべて削除できます。
グループとグループ オブジェクトの PIM
セキュリティと Microsoft 365 グループ (オンプレミスから同期された動的グループとグループを除く) のメンバーシップと所有権は、グループの PIM を通じて管理できます。 グループに対して PIM で有効にするために、グループをロール割り当て可能にする必要はありません。
プリンシパルを アクティブな 永続的または一時的なメンバーシップまたはグループの所有権に割り当てる場合、または Just-In-Time ライセンス認証を行うとき:
- リスト グループ メンバーまたはリスト グループ所有者 API を使用してメンバーと所有者の関係を照会すると、プリンシパルの詳細が返されます。
- グループ所有者の削除またはグループ メンバーの削除 API を使用して 、グループ からプリンシパルを 削除 できます。
- ディレクトリ オブジェクトの Get delta 関数と Get delta 関数を使用してグループへの変更が追跡される場合、
@odata.nextLink
には新しいメンバーまたは所有者が含まれます。 - グループの PIM を通じて行われたグループ メンバーと所有者に対する変更は、監査ログMicrosoft Entraログインされ、List ディレクトリ監査 API を通じて読み取ることができます。
プリンシパルにグループの 適格な 永続的または一時的なメンバーシップまたは所有権が割り当てられている場合、グループのメンバーと所有者の関係は更新されません。
プリンシパルの 一時的なアクティブな メンバーシップまたはグループの所有権の有効期限が切れた場合:
- プリンシパルの詳細は、 メンバー と 所有者 の関係から自動的に削除されます。
- ディレクトリ オブジェクトの Get delta 関数と Get delta 関数を使用してグループに対する変更が追跡される場合、
@odata.nextLink
は削除されたグループ メンバーまたは所有者を示します。
ゼロ トラスト
この機能は、組織がテナントを ゼロ トラスト アーキテクチャの 3 つの基本原則に合わせるのに役立ちます。
- 明確に確認する
- 最小特権を使用する
- 侵害を想定する
ゼロ トラストとその他の方法の詳細については、organizationをガイド原則に合わせる方法については、ゼロ トラスト ガイダンス センターを参照してください。
ライセンス
Privileged Identity Managementが使用されているテナントには、十分な購入ライセンスまたは試用版ライセンスが必要です。 詳細については、「Microsoft Entra ID ガバナンス ライセンスの基礎」を参照してください。
関連コンテンツ
- Microsoft Entra アーキテクチャ センターでのPrivileged Identity Managementのセキュリティ操作のMicrosoft Entra