PIM のルール - マッピング ガイド
Privileged Identity Management (PIM) は、管理できるリソースのロール設定を公開します。 Microsoft Graph では、これらのリソースはロールとグループMicrosoft Entraされ、それぞれMICROSOFT ENTRAロールの場合は PIM、グループの場合は PIM を使用して管理されます。
ロールの設定は、次の 3 つのカテゴリのいずれかに分類されます。
- アクティブ化設定
- 割り当ての設定
- 通知設定
このような設定には、適格なロールまたはグループ メンバーシップをアクティブ化するために多要素認証 (MFA) が必要かどうかが含まれます。または、永続的なロールの割り当て、グループの所有権、またはグループ メンバーシップを作成できるかどうか。
Microsoft Graph でMICROSOFT ENTRAロール API に PIM、グループ API に PIM を使用する場合、これらのロール設定はポリシーとルールを通じて管理されます。
ポリシー
Microsoft Graph では、ロール設定は ルールと呼ばれます。 これらのルールは、ポリシーと呼ばれるコンテナーを通じて、Microsoft Entraロールとグループにグループ化され、に割り当てられ、管理されます。
ポリシーは、 unifiedRoleManagementPolicy リソースの種類を使用して定義されます。
ポリシー ルール
各 unifiedRoleManagementPolicy オブジェクトには、更新できる 17 個の定義済みの規則が含まれています。 これらのルールは、 ルール 関係を通じて管理されます。
Microsoft Graph では、 unifiedRoleManagementPolicyRule リソースの種類 の抽象型が定義されています。これは 5 つのリソースによって継承されます。 5 つの派生型を使用して、ルールをアクティブ化、割り当て、通知ルールにグループ化します。 これらは、一意の変更できないルール ID によって識別される 17 個のルールのうち 1 つ以上のルール構成を定義します。
この記事では、Microsoft Entra 管理センターの PIM の設定を Microsoft Graph の対応するルールにマッピングします。
Microsoft Entra 管理センターでの PIM ロール設定へのルール ID のマッピング
アクティブ化ルール
次の図は、Microsoft Graph の PIM API のルールとリソースの種類にマップされた、Microsoft Entra 管理センターのアクティブ化ロール設定を示しています。
| 番号 | MICROSOFT ENTRA 管理センター UX の説明 | Microsoft Graph ルール ID/派生リソースの種類 | 呼び出し元に適用 |
|---|---|---|---|
| 1 | アクティブ化の最大期間 (時間) |
Expiration_EndUser_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
エンド ユーザー |
| 2 | アクティブ化時に、必須: なし、Azure MFA ライセンス認証に関するチケット情報を要求する ライセンス認証に正当な理由を要求する |
Enablement_EndUser_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
エンド ユーザー |
| 3 | アクティブ化時に、必須: 条件付きアクセス認証コンテキストMicrosoft Entra (プレビュー) |
AuthenticationContext_EndUser_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
エンド ユーザー |
| 4 | ライセンス認証に承認を要求する |
Approval_EndUser_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
エンド ユーザー |
割り当てルール
次の図は、Microsoft Graph の PIM API のルールとリソースの種類にマップされた、Microsoft Entra 管理センターの割り当てロール設定を示しています。
| 番号 | MICROSOFT ENTRA 管理センター UX の説明 | Microsoft Graph ルール ID/派生リソースの種類 | 呼び出し元に適用 |
|---|---|---|---|
| 5 | 永続的な適格な割り当てを許可する 対象となる割り当てを後で期限切れにする |
Expiration_Admin_Eligibility
/
unifiedRoleManagementPolicyExpirationRule |
管理者 |
| 6 | 永続的なアクティブな割り当てを許可する アクティブな割り当てを後で期限切れにする |
Expiration_Admin_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
管理者 |
| 7 | アクティブな割り当てで Azure Multi-Factor Authentication を要求する アクティブな割り当てで正当な理由を要求する |
Enablement_Admin_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
管理者 |
| 8 | MICROSOFT ENTRA 管理センター UX に存在しない |
Enablement_Admin_Eligibility
/
unifiedRoleManagementPolicyExpirationRule |
管理者 |
通知ルール
次の図は、Microsoft Graph の PIM API のルールとリソースの種類にマップされた、Microsoft Entra 管理センターの通知ロール設定を示しています。
| 番号 | MICROSOFT ENTRA 管理センター UX の説明 | Microsoft Graph ルール ID/派生リソースの種類 | 呼び出し元に適用 |
|---|---|---|---|
| 9 | メンバーがこのロールの対象として割り当てられたときに通知を送信する: ロールの割り当てアラート |
Notification_Admin_Admin_Eligibility
/
unifiedRoleManagementPolicyExpirationRule |
管理者 |
| 10 | メンバーがこのロールの対象として割り当てられたときに通知を送信する: 割り当てられたユーザー (担当者) への通知 |
Notification_Requestor_Admin_Eligibility
/
unifiedRoleManagementPolicyExpirationRule |
担当者/依頼者 |
| 11 | メンバーがこのロールの対象として割り当てられたときに通知を送信する: ロールの割り当ての更新/拡張機能の承認要求 |
Notification_Approver_Admin_Eligibility
/
unifiedRoleManagementPolicyExpirationRule |
承認 |
| 12 | メンバーがこのロールにアクティブとして割り当てられているときに通知を送信する: ロールの割り当てアラート |
Notification_Admin_Admin_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
管理者 |
| 13 | メンバーがこのロールにアクティブとして割り当てられているときに通知を送信する: 割り当てられたユーザー (担当者) への通知 |
Notification_Requestor_Admin_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
担当者/依頼者 |
| 14 | メンバーがこのロールにアクティブとして割り当てられているときに通知を送信する: ロールの割り当ての更新/拡張機能の承認を要求する |
Notification_Approver_Admin_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
承認 |
| 15 | 対象メンバーがこのロールをアクティブ化したときに通知を送信する: ロールのアクティブ化アラート |
Notification_Admin_EndUser_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
管理者 |
| 16 | 対象メンバーがこのロールをアクティブ化したときに通知を送信する: アクティブ化されたユーザー (要求者) への通知 |
Notification_Requestor_EndUser_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
リクエスター |
| 17 | 対象メンバーがこのロールをアクティブ化したときに通知を送信する: アクティブ化の承認を要求する |
Notification_Approver_EndUser_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
承認 |