Microsoft Entra Private Access × PIMで実現する安全な社内アクセス

クラウド利用やテレワークをする方が増加した今、社内システムへの安全なアクセスはこれまで以上に重要です。

本記事では、ゼロトラスト時代に最適な Microsoft Entra Private Access と、特権アクセスを必要なときだけ許可する Microsoft Entra Privileged Identity Management (PIM) を組み合わせ、セキュリティ強化されたアクセス環境を構成する手順をご紹介します。

• 概要
• 前提条件
• 構成手順
  • グループの作成
  • グループを PIM へオンボード
  • メンバーシップの割り当て
  • クイックアクセスの割り当て
• 動作確認
  • 特権アクセスを有効化していない場合
  • 特権アクセスを有効化した場合
• おわりに

概要

企業のネットワーク環境は、クラウド活用やテレワークの浸透によって、従来の境界型セキュリティモデルから「ゼロトラスト」モデルへと急速に移行しています。

その中で、社内システムやオンプレミスにある業務アプリケーションへのアクセスを、安全かつ効率的に提供する仕組みが求められています。

Microsoft Entra Private Access は、従来の VPN 接続を置き換える形で、ユーザーがどこからでも安全にプライベートリソースへアクセスできるゼロトラスト型のサービスです。

さらに、このアクセス制御に PIM を組み合わせることで、必要なときだけ特権アクセスを付与し、過剰権限や長時間付与によるリスクを最小化することができます。

前提条件

• ライセンス：Entra ID Governance もしくは Microsoft Entra ID P2（2025年8月時点）
• Microsoft Entra Private Access が構成されていること

なお、今回はアクセスを許可するプライベートリソースとして「仮想マシン」を、アクセス方法として「リモートデスクトップ接続」を想定します。

構成手順

グループの作成

ユーザー単位ではなくグループ単位でロールを割り当てることで管理が容易となるため、まずはグループを作成します。

1. Microsoft Entra 管理センターに特権ロール管理者としてログインし、[Entra ID] の [グループ] をクリックします。

2. [すべてのグループ] をクリックします。

3. [新しいグループ] をクリックします。

4.「グループの種類」では、[セキュリティ]を選択します。

5.任意のグループ名を入力します。

6.「メンバーシップの種類」は [割り当て済み] を選択します。

7. [作成]をクリックします。

グループを PIM へオンボード

作成したグループに対してPIMのポリシーを適用できるようにするため、グループをPIMの管理対象へ登録します。

1.  [IDガバナンス] の [Privileged Identity Management] をクリックします。

2. [グループ] をクリックします。

3. [グループの検出] をクリックします。

4. 作成したグループを選択します。

5. [グループの管理] をクリックします。

6. [OK] をクリックし、作成したグループをPIMへオンボードします。

7. オンボードされたグループが表示されます。

メンバーシップの割り当て

必要時のみ権限を有効化できるように、グループに対して適切な特権アクセスを割り当てます。

1. [割り当て] をクリックします。

2. [割り当ての追加] をクリックします。

3.「ロールの選択」で [Member] を選択します。

4. [メンバーが選択されていない] をクリックします。

5. PIMを構成したいユーザーを選択します。

6. [選択] をクリックします。

7. [次へ] をクリックします。

8.「割り当ての種類」では [対象] を選択し、[割り当て] をクリックします。

クイックアクセスの割り当て

PIMを構成したグループをMicrosoft Entra Private Accessにも適用するため、グループへクイックアクセスを割り当てます。

1.「グローバルセキュアアクセス」の [クイックアクセス] をクリックします。

2. [ユーザーとグループ] をクリックします。

3. [ユーザーまたはグループの追加] をクリックします。

4.「ユーザーとグループ」の [選択されていません] をクリックします。

5. 作成したグループを選択します。

6. [割り当て] をクリックします。

7.これで構成が完了しました。

※プライベートリソースへのアクセスについて、より詳細なアクセス制御を実装したい場合は、上記手順1で[エンタープライズアプリケーション]をクリックし、上記2~7と同様の手順で構成することも可能です。

動作確認

特権アクセスを有効化していない場合

プライベートリソースにアクセスしようとした際にエラーが発生します。

特権アクセスを有効化した場合

1. 特権アクセスを有効化したいユーザーでMicrosoft Entra 管理センターへログインし、[ID ガバナンス] の [Privileged Identity Management] をクリックします。

2. [自分のロール] をクリックします。

3. [グループ] をクリックします。

4. PIMへオンボードしたグループをアクティブ化します。

5. 特権アクセスを有効化する理由を入力し、[アクティブ化] をクリックします。

6.「アクティブ化は成功しました。」と表示されましたら、特権アクセスの有効化が完了しています。

7. プライベートリソースへアクセスします。

8. 特権アクセスが有効化されているため、プライベートリソースへアクセスすることができるようになります。アクティブ化の時間が終了する、もしくは非アクティブ化することで特権アクセスは無効化されます。

おわりに

ゼロトラスト時代では、社内リソースへのアクセス時に「誰が」「どこから」「どの状態のデバイスで」利用するのかを常に確認することが重要です。

また、特権権限が恒久的に付与されている場合はリスクが残るため、必要なときだけ権限を付与・自動解除することで、過剰な権限保持を防ぐ必要があります。

Microsoft Entra Private Access と PIM を組み合わせることは、セキュリティ強化に加えて運用負荷の軽減や監査対応にも有効です。

ぜひ本記事を読んで、Microsoft Entra Private Access と PIM を組み合わせた実装をご検討いただけますと幸いです。