こんにちは、 @yama-s です!
Microsoft Entra Privileged Identity Management について、グループに対する PIM の設定手順をまとめました。
シナリオ
- Defender 統合 RBAC を利用して Defender ポータルの権限管理を行う
- その際に Microsoft Entra Privileged Identity Management を使用する
- 利用者はグループで管理をしているため、アカウント個々ではなくグループでの PIM を設定する
Agenda
- 概要
- 設定イメージ
- まとめ
1. 概要
PIM for Groups は、Microsoft Entra Privileged Identity Management (PIM) の機能のひとつで、Microsoft Entra セキュリティ グループや Microsoft 365 グループのメンバーシップおよび所有権を、必要な時だけ(Just-In-Time)ユーザーに付与する仕組みです。
従来の PIM では Microsoft Entra ロールや Azure リソース ロールを対象に JIT アクセスを提供していましたが、PIM for Groups ではグループ自体を対象とすることで、Microsoft Entra ロール、Azure ロール、Intune、3rd party アプリなど、グループ経由でアクセス制御されるあらゆるリソースへの特権アクセスを一元的に管理できます。
ポイント: ユーザーは常時グループメンバーではなく、必要時にアクティブ化を申請し、ポリシーによる承認・検証を経て、一定時間だけグループのメンバーシップを得ます。これにより「常時特権を持つ」リスクを排除し、最小権限の原則を実現します。
2. 設定イメージ
ここからは具体的な設定イメージです。
登場人物は 3 者です。
・管理者
・承認者(承認者を設定する場合)
・ユーザー(申請者)
管理者が Entra 管理センターから割り当てを設定します。
その後、ユーザー(申請者)側の Entra 管理センターから確認可能になります。
ユーザー(申請者)は Entra 管理センターから Active 化を実施します。
ユーザー(申請者)の Active 化操作をトリガーに、承認者宛に以下のようなメールが届きます。
承認者は、メール本文中の「要求の承認または拒否」ボタンを押し承認画面へ遷移します。
承認者は Entra 管理センターから承認または拒否します。
ユーザー(申請者)は 2 種類のメールを受信します。
・アクティブ化要求の承認ステータス通知
・アクティブ化通知
ユーザー(申請者)は権限昇格後の操作を開始します。
[参考] アクティブ化の状態 / アクティブ化期限経過後に権限喪失した状態の見え方は以下です
管理者視点では、
Active 中、 「管理」 > 「割り当て」の “Active な割り当て” 項目に表示される
↓↓↓
Active 時間経過後、権限喪失し以下表示となる(対象のエントリが消失)
ユーザー(申請者)視点では、
Active 中、 「タスク」 > 「自分のロール」の “Active な割り当て” に表示される
↓↓↓
Active 時間経過後、権限喪失し以下表示となる(対象のエントリが消失)
3. まとめ
必要時にアクティブ化を申請し、一定時間だけグループのメンバーシップを得る、最小権限の原則を実現できる PIM についてのご紹介でした。
もしまだご利用でなければ、ぜひお手元でもお試しいただけると幸いです!
参考資料
- Microsoft Entra Privileged Identity Management
https://learn.microsoft.com/ja-jp/entra/id-governance/privileged-identity-management/concept-pim-for-groups