特権アクセス管理を強化するPrivileged Identity Managementとは?

 

今日は、Microsoft Entra ID の中で、セキュリティに関わる重要な機能の一つである Privileged Identity Management (PIM) についてお話ししたいと思います。

PIM とは何か、どのように使うのか、どんなメリットがあるのか、などについて解説していきます。

 

Privileged Identity Management (PIM) とは

PIM とは、Microsoft Entra ID のサービスの一つで、組織内の重要なリソースへの特権ロールを時間ベースおよび承認ベースでアクティブ化、監視などの管理ができる機能です。

PIM を使うと、次のようなことができます。

  • 特権ロールに対する継続的な管理者アクセス付与を制限し、誰がどんなアクセス権を持っているか確認できる
  • アクセス権付与の際に、多要素認証、理由の記入、承認者による承認などのアクションを要求することができる
  • 特権ロールのアクティブ化する期間の設定、アクセス権のレビュー、特権ロールによるアクティビティの監査ができる
  • ロール割り当てや、アクティブ化時の通知を受けとることができる

 

必要なライセンス

PIMを使うには、Microsoft Entra ID Premium P2 ライセンスが必要になります。

必要となるライセンス数は、「管理対象の管理者数」+「承認者数」+「レビュー担当者数」になります。

 

10人の管理者をPIMで管理し、承認者が2人の場合は、10+2で12ライセンスが必要です。

加えて、承認などは行わないけど、定期的にロール保有者の棚卸等でレビューする担当者が1人いた場合、10+2+1で13ライセンスが必要となります。

 

PIMの管理対象者とPIMの機能を使う人はライセンスが必要になります。

 

PIMを使って特権ロールの付与、承認をしてみた

今回は、以下の流れでロールの付与、承認を実施します。

①ロール利用申請の承認者を設定

②管理者がMicrosoft Entra ロールをユーザーに付与

③ユーザーは利用時に「グローバル管理者」を申請

④管理者が承認

⑤ユーザはグローバル管理者権限を利用開始

承認者の設定(管理者操作)

Azure Portal > Privileged Identity Management > Microsoft Entra ロールに進みます。

 

設定 > グローバル管理者をクリックします。

 

編集をクリックします。

 

特権ロールの要求に理由やMFA、承認の要否を設定可能です。今回はMFA、理由、承認が必要とします。

[承認者の選択]から承認者を選びます。

 

 

承認者を設定し、更新をクリックします。その他、「永続的な資格の割り当て」を許可や、通知先の設定も可能です。

今回はデフォルトのまま進めます。

 

 

ユーザーに対するロール割り当ての作成(管理者操作)

ユーザーに対して、「グローバル管理者」ロールの割り当てを行います。

Azure Portal > Privileged Identitiy Management > Microsoft Entra ロール に進みます。

 

 

ロール > 割り当ての追加をクリックします。

 

ロールの選択で「グローバル管理者」を選択します。

その後、メンバーの選択をクリックします。

 

メンバーの選択で、「グローバル管理者」を付与する対象のユーザーを選択します。

 

設定画面にて、割り当ての種類を選択します。

対象:ロールの付与の際に、アクション(理由、MFA、承認など)が必要となります。

アクティブ:ロール付与にあたりアクションが必要なく、即時ロールが付与されます。

 

完了したら割り当てをクリックします。

 

特権ロールの要求(ユーザー操作)

 

割り当て > 資格のある割り当てを開くと、自身の資格のあるロール一覧が表示されます。

対象のロールのアクティブ化をクリックします。

グローバル管理者権限を利用する時間と理由を入力します。最後にアクティブ化をクリックします。

 

申請の承認(管理者操作)

承認者は「申請の承認」をクリックします。

 

現在、申請されているロールの一覧が表示されます。

承認者は、理由や、期間を確認して承認をクリックします。

承認理由を記入し、確認をクリックします。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

ロールの確認(ユーザー操作)

グローバル管理者を割り当てたユーザーでログインしロールを確認すると、正常に割り当てられていることを確認できました。

 

 

 

この記事を書いた人

髙橋 和輝
髙橋 和輝
テクニカルマーケターとして、新技術の検証、ブログ執筆、セミナー講師を行っております!
学生時代はアプリ開発に興味がありましたが、インフラ、セキュリティ事業を経て、現在はクラウド屋さんになっております。
コロナ禍前は、月1で海外旅行にいくなどアクティブに活動していましたが、最近は家に引きこもってゲームが趣味になっています。

宜しくお願い致します!