Privileged Identity Management の機能を説明する

  • 5 分

Privileged Identity Management (PIM) は、組織内の重要なリソースへのアクセスの管理、制御、監視を可能とする Microsoft Entra ID のサービスです。 これには、Microsoft Entra、Azure、その他の Microsoft オンライン サービス (Microsoft 365 や Microsoft Intune など) のリソースが含まれます。 PIM は、アクセス許可が過剰または不要であるか、乱用された場合のリスクを軽減します。 ユーザーにアクセス許可が必要な理由を理解するために正当化が要求され、あらゆるロールが、多要素認証を適用してアクティブ化されます。

PIM の特長は、次のとおりです。

  • 正確なタイミング。必要な時期になるまでは特権アクセスが提供されません。
  • 期限付き。ユーザーがリソースにアクセスできる日時を示す、開始日と終了日が割り当てられます。
  • 承認ベース。権限のアクティブ化に特定の承認が必要です。
  • 可視化。特権ロールがアクティブ化されると、通知が送信されます。
  • 監査可能。完全なアクセス履歴がダウンロード可能です。

PIM を使用する理由

PIM を使用すると、セキュリティで保護された情報やリソースにアクセスできるユーザーの数を最小限に抑えて、悪意のあるアクターがアクセスする可能性を減らすことができます。 承認されたユーザーの数を制限することで、それらのユーザーが不注意により機密リソースに影響を与えるリスクが軽減されます。 PIM では、管理者特権でユーザーが実行している操作を監視することもできます。

PIM を使用してできること

現在、PIM を使用できる対象は次のとおりです。

  • Microsoft Entra ロール – ディレクトリ ロールと呼ばれることもある Microsoft Entra ロールには、Microsoft Entra ID およびその他の Microsoft 365 オンライン サービスを管理するための組み込みとカスタムのロールが含まれます。

  • Azure ロール – 管理グループ、サブスクリプション、リソース グループ、リソースに対するアクセスを許可する、Azure 内のロールベースのアクセス制御 (RBAC) のロール。

  • グループ向けの PIM – グループの Just-In-Time メンバーシップと、グループの Just-In-Time 所有権を提供します。 グループ向けの Microsoft Entra Privileged Identity Management を使用して、Microsoft Entra ロール、Azure ロール、Azure SQL、Azure Key Vault、Intune、その他のアプリケーション ロール、サードパーティ アプリケーションなどのさまざまなシナリオへのアクセスを管理できます。

一般的なワークフロー

PIM のデプロイ時には、通常、基本的なワークフローの一部である手順がいくつかあります。 これらの手順は、割り当て、アクティブ化、承認/拒否、延長/更新です。

  • 割り当て - 割り当てのプロセスは、メンバーにロールを割り当てることから始まります。 リソースへのアクセスを付与するために、管理者はロールをユーザー、グループ、サービス プリンシパル、またはマネージド ID に割り当てます。 割り当てには、次のデータが含まれます。

    • メンバーまたは所有者 - ロールに割り当てるメンバーまたは所有者。
    • スコープ - スコープによって、割り当てられたロールが特定のリソース セットに制限されます。
    • 割り当ての種類 - 2 つのオプションがあります。 [対象] 割り当ての場合、このロールのメンバーは、ロールを使用するにはアクションを実行する必要があります。 要求されるアクションには、アクティブ化、指定された承認者に対する承認要求などがあります。 [アクティブ] 割り当ての場合、ロールを使用するために何らかのアクションを実行することをメンバーに要求しません。 アクティブとして割り当てられたメンバーは、そのロールに割り当てられた特権を持ちます。
    • 期間 - 割り当ての期間は、開始日と終了日によって定義されるか、永続的に設定されます。

    割り当ての手順を示す画面キャプチャ。

  • アクティブ化 - ユーザーがロールの資格を持っている場合は、ロールを使用する前にロールの割り当てをアクティブにする必要があります。 ロールをアクティブにするには、ユーザーは最大範囲 (管理者が設定) 内で特定のアクティブ化期間と、アクティブ化要求の理由を選択します。

    アクティブ化の手順を示す画面キャプチャ。

  • 承認または拒否 - ロールの要求の承認が保留されていると、代理承認者には電子メール通知が届きます。 承認者は、PIM でこれらの保留中の要求を表示、承認、または拒否することができます。 要求が承認されると、メンバーはロールの使用を開始できます。

    承認または拒否の手順を示す画面キャプチャ。

  • 延長および更新 - ロールの割り当ての期限が近付くと、ユーザーは PIM を使用してそのロールの割り当ての延長を要求できます。 ロールの割り当ての期限が既に切れている場合、ユーザーは Privileged Identity Management を使用してそのロールの割り当ての更新を要求できます。

    割り当てを延長するオプションを示す画面キャプチャ。

Audit

Privileged Identity Management (PIM) の監査履歴を使用すると、すべての特権ロールでの過去 30 日間におけるすべてのロール割り当てとアクティブ化を確認できます。

PIM 監査履歴を示す画面キャプチャ。