本記事は、Privileged Identity Management(以下PIMと略)における概要と設定手順について解説します。
PIM概要
PIMとは、組織内の重要なリソースへのアクセスを管理、制御、監視することができるサービスの一つです。
PIMでは、時間ベースおよび承認ベースで特権ロールのアクティブ化を提供し、対象リソースに対する過剰、不要、または誤用であるアクセス許可のリスクを軽減します。
PIM設定手順
PIMで、利用者が特権ロール(本手順ではグローバル管理者)をアクティブ化して利用可能となるまでの手順を解説します。
※ 本記事では、ロールを付与するために、MFA設定を必須にして解説しております
特権ロールの条件設定
1.Microsoft Entra管理センターに管理者でログインします。
2.左ペインの一覧から、Identity Management > Privileged Identity Managementを選択します。
3.左メニューの一覧から、「Microsoft Entra ロール」を選択します。
4.左メニューから「設定」を選択し、「グローバル管理者」を入力して選択します。
5.詳細画面で「編集」をクリックします。
6.「アクティブ化」タブにて設定可能な項目は下記の通りです。
項目 | 説明 | 設定値 |
アクティブ化の最大時間(時間) | アクティブ化するユーザーの最大時間を設定可能です。 | 0.5~24(h) |
アクティブ化が必要 | MFA認証の有無を設定可能です。 | Azure MFA or なし |
アクティブ化に理由が必要 | ユーザーがアクティブ化する際の理由を必須にするかの有無を設定可能です。 | 有 or 無 |
アクティブ化のチケット情報を要求 | ユーザーがアクティブ化にチケット情報を要求するかの有無を設定可能です。 | 有 or 無 |
アクティブ化するには承認が必要 | ユーザーがアクティブ化する際に承認者の承認有無を設定可能です。 | 有 or 無 |
※ 上記表および記事内の同様の表は、実際の検証環境を参考に項目や設定値をまとめたものです
本記事では、下記のように設定しました。
- アクティブ化が必要:Azure MFA
- アクティブ化に理由が必要:有効
- アクティブ化するには承認が必要:有効
7.「割り当て」タブで設定可能な項目は下記の通りです。
項目 | 説明 | 設定値 |
永続的に資格の割り当てを許可する | 資格のある割り当てにおいて永続的か期限を設定するか選択可能です。 | 有 or 無 |
※無しの場合に期限を設定 | 資格のある割り当ての有効期限を設定可能です。 | 1年、6ヶ月、3ヶ月、1ヶ月、15日間 |
永続するアクティブな割り当てを許可する | アクティブな割り当てにおいて永続的か期限を設定するか選択可能です。 | 有 or 無 |
※無しの場合に期限を設定 | アクティブな割り当ての有効期限を設定可能です。 | 1年、6ヶ月、3ヶ月、1ヶ月、15日間 |
アクティブな割り当てにAzure Multi-Factor Authentivcationを必要とする | アクティブな割り当てにおいて、MFAの有無を選択可能です。 | 有 or 無 |
アクティブな割り当てに理由が必要 | アクティブな割り当てにおいて、理由が必須かの有無を選択可能です。 | 有 or 無 |
本記事では、下記のように設定しました。
- 永続的に資格の割り当てを許可する:有効
- 永続的するアクティブな割り当てを許可する:有効
- アクティブな割り当てにAzure Multi-Factor Authenticationを必要とする:有効
- アクティブな割り当てには理由が必要:有効
8.「通知」タブにて設定可能な項目は下記の通りです。
(1) このロールにメンバーが資格のあるメンバーとして割り当てられたときに通知を送信する
項目 | 既定の受信者 | その他の受信者 | 重要なメールのみ |
ロールの割り当てのアラート | 管理者 | 任意で設定可能 | 有 or 無 |
ロール割り当て済みユーザー(担当者)への通知 | 担当者 | 任意で設定可能 | 有 or 無 |
ロールの割り当ての更新または延長の承認要求 | 承認者 | 任意で設定可能 | 有 or 無 |
(2) このロールにメンバーがアクティブとして割り当てられたときに通知を送信する
項目 | 既定の受信者 | その他の受信者 | 重要なメールのみ |
ロールの割り当てのアラート | 管理者 | 任意で設定可能 | 有 or 無 |
ロール割り当て済みユーザー(担当者)への通知 | 担当者 | 任意で設定可能 | 有 or 無 |
ロールの割り当ての更新または延長の承認要求 | 承認者 | 任意で設定可能 | 有 or 無 |
(3) 資格のあるメンバーがこのロールをアクティブ化したときに通知を送信する
項目 | 既定の受信者 | その他の受信者 | 重要なメールのみ |
ロールのアクティブ化のアラート | 管理者 | 任意で設定可能 | 有 or 無 |
アクティブ化されたユーザー(要求元)への通知 | 担当者 | 任意で設定可能 | 有 or 無 |
アクティブ化の承認要求 | 承認者 | 設定不可 | 有 or 無 |
本記事では、下記のように設定しました。
- 既定の受信者:有効(既定値のまま)
Microsoft Entra ロールの対象化するユーザー選定
1.Microsoft Entra管理センターに管理者でログインします。
2.左メニューの一覧から、Identity Management > Privileged Identity Managementを選択します。
3.左メニューの一覧から、「Microsoft Entra ロール」を選択します。
4.左メニューから「割り当て」を選択します。
5.割り当て画面で、「+割り当ての追加」を選択します。
6.「メンバーシップ」タブで、「ロールの選択」と「メンバーの選択」の設定を行います。
本記事では、下記のように設定しました。
- ロールの選択:グローバル管理者(特権ロールとして設定)
- メンバーの選択:testuser01(利用者ユーザーとして設定)
7.「設定」タブで、「割り当ての種類」と「有資格期間」の設定を行います。
本記事では、下記のように設定しました。
- 割り当ての種類:対象
- 永続的に有資格:有効
8.対象のメンバーが「資格のある割り当て」欄に表示されていることを確認します。
ユーザーのアクティブ化の申請
1.Microsoft Entra管理センターに利用者でログインします。
2.左メニューの一覧から、Identity Management > Privileged Identity Managementを選択します。
3.左メニューの一覧から、「自分の ロール」を選択します。
4.「資格の割り当て」タブで、グローバル管理者の「アクティブ化」を選択します。
5.特権ロールの条件設定で、Azure MFAを有効化している場合は「追加認証が必要です。クリックして続行します」を選択します。
6.詳細情報が必要と表示されたら、「次へ」をクリックします。
7.アカウントのセキュリティ保護の画面で、Microsoft Authenticatorをダウンロードします。インストール後、「次へ」をクリックします。
8.Microsoft Authenticatorアプリを利用して、QRコードをスキャンします。スキャン完了後「次へ」をクリックしてコード入力すると、セットアップが完了します。
9.アクティブ化の画面にて設定可能な項目は下記の通りです。
項目 | 説明 | 設定値 |
時間 | アクティブ化する時間を設定可能です。 | 任意の時間 |
理由 | 承認する理由を記載可能です。 | 任意の理由 |
本記事ではどちらも入力せず、そのまま「アクティブ化」を選択します。
管理者のアクティブ化に対する承認
1.Microsoft Entra管理センターに管理者でログインします。
2.左メニューの一覧から、Identity Management > Privileged Identity Managementを選択します。
3.左メニューの一覧から、「申請の承認」を選択します。
4.対象の利用者ユーザーを選択して、「承認」をクリックします。
5.確認画面で、任意の理由を入力して「確認」をクリックします。承認が完了します。
利用者ユーザーのグローバル管理者権限利用開始
1.Microsoft Entra管理センターに利用者でログインします。
2.左メニューの一覧から、Identity Management > Privileged Identity Managementを選択します。
3.左メニューの一覧から、「自分の ロール」を選択します。
4.アクティブな割り当てにグローバル管理者が割り当てられており、アクティブ化状態であることを確認します。
最後に
本記事では、PIMの概要および利用者が特権ロールに対してアクティブ化の申請を行い、実際に利用可能となるまでの手順を記載しました。
PIM設定では他にも様々な細かなカスタマイズが可能です。今回は永続的に全ての権限を付与しましたが、開始日時と終了日時を指定することや、特定のリソースに対する権限だけを付与する事も可能です。
今回触れられなかった過剰・不要な権限のアクセス許可のリスクを軽減する方法については、また別の記事で解説出来ればと思います。
真木野 芳紀(日本ビジネスシステムズ株式会社)
業務内容は、Microsoft 365製品やサイバーセキュリティシステムの設計/構築に携わり、特にセキュリティ製品ではCyberArkを主に担当しています。趣味は、旅行やドライブをすることが好きで時間があるとどこかに出掛けていることが多いです。
担当記事一覧