Azure AD PIMとは?
Azure Active Directory Privileged Identity Management(特権ID管理)とは、AzureADロールやAzureリソースロールの特権IDの割り当てを管理するための機能です(特権以外のロールも管理することは可能)。この機能を用いると開始日時と終了日時を定義した上でRBACロールの割り当てが可能なため、外部のユーザやプロジェクト期間単位での権限付与を楽に行うことが可能です。流れとしては下記のイメージです。
管理者がAzureADロールやAzureリソースロールを利用する可能性のあるユーザに[対象]として割り当てておき、ユーザは必要に応じて自身が対象となっているロールのアクティブ化要求を行い、承認されれば利用が開始できます。
Azureでの操作
AzureADのPIM設定画面から[Azureリソース]を選択します。リソースが見えていない場合には[リソースを検出する]からリソースをオンボードする必要があります。
リソースオンボード後、リソースを選択するとそのリソースに対するRBACの付与状況が確認できます。
[ロール]から選択しているリソースについてユーザに割り当て可能なRBACロールの一覧が表示されます。内容はリソース固有のリストです。
共同作成者など作業に必要なロールを選択し、メンバーを選択します。
[設定]タブでは割り当ての開始、終了日時を設定可能です。[対象]とはユーザにそのロールについて利用申請ができる状態にするということです。
テナント内のユーザに対するAzureリソースロールの割り当て一覧に追加されていることを確認します。
この時点では対象に含めただけであり、実際の利用時にはユーザからのアクティブ化の要求が必要になります。
次に、承認者を追加します。承認フローなどを追加するには、[設定]のところから各ロールについての承認などの設定を行います。[共同作成者]の場合の例を貼っておきます。
下記画面で[編集]を選択して各設定値を変更します。
[アクティブにするには承認が必要]にチェックを入れます
利用ユーザからのアクティブ化要求
対象として割り当てたユーザでAzurePortalへログインし[AzureAD]⇒[Identity Governance]⇒[Azureリソース]と選択します。
[ロールをアクティブ化]を選択します。
自分が対象となっているAzureリソースロールの一覧が確認できます。ここからアクティブ化の要求を出します。
管理者によるアクティブ化の承認
管理者でログインします。[保留中の要求]から現在のリクエストを確認できます。24時間保留されるとリクエストは無効化されます。
[申請の承認]から保留となっている要求への対処をします。承認理由を入力し、[承認]と選択します。
アクティブ化の確認
再度ユーザアカウントでログインします。[自分のロール]に先ほど管理者の承認したロールが追加されています。
今回はサブスクリプションの共同作成者ロールで承認したため、[サブスクリプション]からも確認できます。
おわり
Azure AD PIMはコラボレーション時にも非常に便利ですが、PIMによるロール割り当て対象となるユーザ数分のAzureAD Premium P2ライセンスが必要になりますのでご注意を。
必要なライセンス
少なくとも、次のタスクを実行する従業員と同じ数の Azure AD Premium P2 ライセンスがディレクトリにあることを確認します。
・PIM を使用して管理された Azure AD または Azure ロールに対象として割り当てられたユーザー
・資格のあるメンバーまたは特権アクセス グループの所有者として割り当てられたユーザー
・PIM でアクティブ化要求を承認または却下できるユーザー
・アクセス レビューに割り当てられたユーザー
・アクセス レビューを実行するユーザー