トップ > Microsoft > PIM for Groupsを利用した特権管理のスマート化

PIM for Groupsを利用した特権管理のスマート化

Microsoft Microsoft Entra ID Microsoft Purview

クラウド環境やMicrosoft 365の利用が進む中、管理者権限を持つアカウントの管理は情報セキュリティリスクを考える上で必要不可欠です。

また大規模な組織では複数の管理者ロールやアクセス権を一元的に管理することは非常に煩雑になり、セキュリティと運用効率の両立が課題となります。

そこで注目されるのがMicrosoft Entra Privileged Identity Management(以下 PIM) です。特にグループ単位で権限管理を可能にする PIM for Groupsは、複雑なロール管理を簡素化し、セキュリティを維持しながら運用の効率化が可能になります。

本記事では、Microsoft Entra IDのグループ向けのPIM(以下 PIM for Groups)を使用した特権管理についてご紹介します。

PIMとは

PIMは、Microsoft Entra IDやAzure、Microsoft 365などの重要リソースへのアクセスを安全に管理、制御、監視するサービスです。

PIMの特徴は必要な時だけ特権を付与できる Just In Timeアクセスの実現ができることです。これにより、常時管理者権限を持つ状態を避け、セキュリティリスクを大幅に低減できます。

learn.microsoft.com

PIM for Groupsとは

実際の運用では、個別ユーザごとにロールを割り当てる管理は煩雑になりがちです。そこで登場するのが、PIM for Groupsです。

これはPIMの機能の一部で、グループ単位で特権管理を行う仕組みです。PIM for Groupsを利用する、Microsoft 365グループやセキュリティグループを通して、複数のロールをまとめて割り当てることが可能となります。

learn.microsoft.com

PIM for Groupsの設定方法

ここからはPIM for Groupsを利用したロールの割り当てをご紹介します。

なお、今回はPurviewポータルを利用して、Microsoft Purview (以下 Purview) のロールをPIM for Groupsを使用して割り当てる手順を記載しています。

前提条件

  • グローバル管理者権限または特権ロール管理者が必要
  • Microsoft Entra ID P2ライセンスが必要

グループの作成方法

グローバル管理者でMicrosoft Entra 管理センターにログインします。

Microsoft Entra ID>グループ>「新しいグループ」をクリックして作成します。

新しいグループを作成します。

グループの種類、グループ名等を設定して作成を行います。

※Microsoft Entraロールを割り当てる場合は、「はい」を選択します。

グループの設定をします。

グループに対してPIMを有効にする

引き続き、グローバル管理者でログインした状態で、Microsoft Entra管理センターからPIMの有効化を実施します。グループ>すべてのグループ>検索画面から作成したグループを選択します。

作成したグループを選択します。

作成したグループに対してPIMを有効にします。

アクティビティ>Privileged Identity Management>「このグループのPIMを有効にする」をクリックします。

グループのPIMを有効にします。

グループへメンバーを追加

作成したグループに対してメンバーを追加します。ホーム>IDガバナンス>Privileged Identity Management>管理>グループ>先ほど作成したグループを選択します。

PIMを有効にしたグループを作成を選択します。

管理>割り当て>「割り当ての追加」をクリックします。

割り当てを追加します。

メンバーまたは所有者を選択し、グループに追加するメンバーを選択します。

グループへメンバーを追加します。

割り当てる種類を選択します。割り当ての種類は以下の通りです。

  • 対象:常時権限を持たず、必要な時に権限のアクティブ化を行う際に選択します。
  • アクティブ:すぐに権限が有効化される状態です。

割り当ての種類を追加します。

Purview ロールの付与方法

引き続き、グローバル管理者でログインした状態で、Purview管理ポータルへ移動します。

設定>役割とスコープ>「役割グループ」をクリックします。

Purview ロールの付与を行います。

付与したいロールを選択し、「編集」を選択します。ここでは、例としてPurview Administratorsを選択しています。

グループに対してPIMを付与します。

役割グループのメンバーの編集から、グループを選択して、ロールを付与します。

グループを選択します。

PIMのアクティブ化方法

ロールを付与したグループのユーザーでMicrosoft Entra 管理センターへログインします。

グループメンバーのユーザーでログインします。

PIMの有効化を行います。

グループ>アクティビティ>Privileged Identity Management>「自分のロール」をクリックします。

割り当てられているロールを確認します。

グループ>「アクティブ化」をクリックします。

ロールのアクティブ化を行います。

有効化する際の理由を入力します。

アクティブ化を実行します。

PIMのアクティブ化する画面が表示され、実行されます。

アクティブ化が実行されます。

PIM申請履歴の確認方法

グローバル管理者でMicrosoft Entra管理センターにログインします。

監査と正常性>「監査ログ」をクリックします。 

監査ログからログの確認が可能

PIM for Groupsを使用してロールを付与したことが、監査ログから確認できました。

おわりに

このようにPIM for Groupsを利用することで、特権アカウントを安全に付与することができるのはもちろん、運用効率化の改善も可能となるでしょう。

特に権限管理が複雑化しやすい現場や複数のチームに関わるプロジェクトでは、有効な選択肢として今後の活用が期待できます。

本記事がPIM for Groupsの導入・活用を検討する際のご参考になれば幸いです。

執筆担当者プロフィール
永井 美菜

永井 美菜(日本ビジネスシステムズ株式会社)

西日本事業本部所属 クラウドインテグレーション部に所属。 Microsoft 365 製品を中心に扱ってます。趣味は美味しい物を食べることです。好きな食べ物は砂肝です。

担当記事一覧