Microsoft Entra Privileged Identity Management (PIM) を使用すると、組み込みの Azure リソース ロールと次のような (ただし、これらに限定されない) カスタム ロール を管理できます:
- オーナー
- ユーザーアクセス管理者
- 投稿者
- セキュリティ管理者
- セキュリティマネージャー
注
所有者またはユーザー アクセス管理者のサブスクリプション ロールに割り当てられているグループのユーザーまたはメンバー、および Microsoft Entra ID でサブスクリプション管理を有効にする Microsoft Entra グローバル管理者には、既定でリソース管理者のアクセス許可があります。 これらの管理者は、ロールの割り当て、ロール設定の構成、Azure リソース用 Privileged Identity Management を使用したアクセスの確認ができます。 リソース管理者のアクセス許可がないユーザーは、リソース用 Privileged Identity Management を管理できません。 Azure 組み込みロールの一覧を表示します。
Privileged Identity Management では、組み込みとカスタムの両方の Azure ロールがサポートされます。 Azure カスタム ロールの詳細については、Azure カスタム ロールに関するページを参照してください。
ロールの割り当て条件
Azure 属性ベースのアクセス制御 (Azure ABAC) を使用すると、Azure リソースに対して Microsoft Entra PIM を使用して、対象となるロールの割り当てに条件を追加できます。 Microsoft Entra PIM を使用する場合、エンド ユーザーは、対象となるロールの割り当てをアクティブ化して、特定のアクションを実行するためのアクセス許可を取得する必要があります。 Microsoft Entra PIM で条件を使用すると、きめ細かな条件を使用してリソースに対するユーザーのロールのアクセス許可を制限できるだけでなく、Microsoft Entra PIM を使用して、期限付きの設定、承認ワークフロー、監査証跡などでロールの割り当てを保護することもできます。
注
ロールが割り当てられている場合、割り当ては次のようになります。
- 5 分未満の期間は割り当てることができません。
- 割り当てられてから 5 分以内に削除することはできません。
現時点では、次の組み込みロールに条件を追加できます。
詳細については、「 Azure 属性ベースのアクセス制御 (Azure ABAC)とは」を参照してください。
ロールを割り当てる
ユーザーを Azure リソース ロールの対象にするには、次の手順に従います。
Microsoft Entra 管理センターに、少なくともユーザー アクセス管理者としてサインインします。
ID ガバナンス>Privileged Identity Management>Azure リソースを参照します。
管理する リソースの種類 を選択します。 [管理グループ] ドロップダウンまたは [サブスクリプション] ドロップダウンから開始し、必要に応じて [リソース グループ] または [リソース] をさらに選択します。 管理するリソースの [選択] ボタンを選択して、その概要ページを開きます。
[ 管理] で [ ロール ] を選択すると、Azure リソースのロールの一覧が表示されます。
[ 割り当ての追加] を選択して、[ 割り当ての追加] ウィンドウを 開きます。
割り当てる ロール を選択します。
[ メンバーが選択されていない ] リンクを選択して、[ メンバーまたはグループの選択 ] ウィンドウを開きます。
ロールに割り当てるメンバーまたはグループを選択し、[選択] を 選択します。
[ 設定 ] タブの [ 割り当ての種類 ] の一覧で、[ 対象] または [ アクティブ] を選択します。
![[割り当ての追加] 設定ウィンドウのスクリーンショット。](media/pim-resource-roles-assign-roles/resources-membership-settings-type.png)
Azure リソース向けの Microsoft Entra PIM には、以下の 2 つの異なる割り当ての種類があります。
対象の 割り当ては、メンバーがロールを使用する前にそのロールを有効化する必要があります。 管理者は、ロールのアクティブ化の前にロール メンバーに特定のアクションの実行を要求する場合があります。これには、多要素認証 (MFA) チェックの実行、業務上の正当な理由の提供、指定された承認者への承認の要求などがあります。
アクティブな 割り当てでは、使用前にメンバーがロールをアクティブ化する必要はありません。 アクティブに指定されたメンバーは、使用可能な特権を持っています。 この種類の割り当ては、Microsoft Entra PIM を使用していないお客様でも使用できます。
特定の割り当て期間を指定するには、開始日時と終了日時を変更します。
ロールが条件を持つそのロールへの割り当てを許可するアクションで定義されている場合は、[ 条件の追加] を選択して、割り当ての一部であるプリンシパル ユーザーとリソース属性に基づいて条件を追加できます。
条件は式ビルダーで入力できます。
完了したら、[ 割り当て] を選択します。
新しいロールの割り当てが作成されると、状態通知が表示されます。
Azure Resource Manager API を使用してロールを割り当てる
Privileged Identity Management では、PIM Azure Resource Manager API リファレンスに記載されているように、Azure リソース ロールを管理するための Azure Resource Manager (ARM) API コマンドがサポートされています。 PIM API を使用するために必要なアクセス許可については、「 Privileged Identity Management API について」を参照してください。
次の例は、Azure のロールに資格のある割り当てを作成するためのサンプルの HTTP 要求です。
依頼
PUT https://management.azure.com/providers/Microsoft.Subscription/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleEligibilityScheduleRequests/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e?api-version=2020-10-01-preview
要求本文
{
"properties": {
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
"requestType": "AdminAssign",
"scheduleInfo": {
"startDateTime": "2022-07-05T21:00:00.91Z",
"expiration": {
"type": "AfterDuration",
"endDateTime": null,
"duration": "P365D"
}
},
"condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'",
"conditionVersion": "1.0"
}
}
[応答]
状態コード: 201
{
"properties": {
"targetRoleEligibilityScheduleId": "b1477448-2cc6-4ceb-93b4-54a202a89413",
"targetRoleEligibilityScheduleInstanceId": null,
"scope": "/providers/Microsoft.Subscription/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"principalType": "User",
"requestType": "AdminAssign",
"status": "Provisioned",
"approvalId": null,
"scheduleInfo": {
"startDateTime": "2022-07-05T21:00:00.91Z",
"expiration": {
"type": "AfterDuration",
"endDateTime": null,
"duration": "P365D"
}
},
"ticketInfo": {
"ticketNumber": null,
"ticketSystem": null
},
"justification": null,
"requestorId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
"createdOn": "2022-07-05T21:00:45.91Z",
"condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'",
"conditionVersion": "1.0",
"expandedProperties": {
"scope": {
"id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"displayName": "Pay-As-You-Go",
"type": "subscription"
},
"roleDefinition": {
"id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
"displayName": "Contributor",
"type": "BuiltInRole"
},
"principal": {
"id": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
"displayName": "User Account",
"email": "[email protected]",
"type": "User"
}
}
},
"name": "64caffb6-55c0-4deb-a585-68e948ea1ad6",
"id": "/providers/Microsoft.Subscription/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/RoleEligibilityScheduleRequests64caffb6-55c0-4deb-a585-68e948ea1ad6",
"type": "Microsoft.Authorization/RoleEligibilityScheduleRequests"
}
既存のロールの割り当てを更新または削除する
既存のロールの割り当てを更新または削除するには、次の手順に従います。
Microsoft Entra Privileged Identity Management を開きます。
Azure リソースを選択します。
管理する リソースの種類 を選択します。 [管理グループ] ドロップダウンまたは [サブスクリプション] ドロップダウンから開始し、必要に応じて [リソース グループ] または [リソース] をさらに選択します。 管理するリソースの [選択] ボタンを選択して、その概要ページを開きます。
[ 管理] で、[ ロール ] を選択して Azure リソースのロールを一覧表示します。 次のスクリーンショットは、Azure Storage アカウントのロールの一覧です。 更新または削除するロールを選択します。
[対象ロール] タブまたは [アクティブなロール] タブでロールの割り当てを見つけます。
条件を追加または更新して Azure リソース のアクセスを絞り込むには、ロールの割り当ての [条件] 列で [追加] または [表示/編集] を選択します。
[式の追加] または [削除] を選択して式を更新します。 [ 条件の追加] を選択して、新しい条件をロールに追加することもできます。
ロールの割り当ての拡張については、「 Privileged Identity Management」の「Azure リソース ロールの拡張または更新」を参照してください。
