Azure PIM (Privileged Identity Management) – Azure AD ロールの適用

Azure PIM (Privileged Identity Management) の設定方法をまとめます。PIMは、一時的な権限を付与したり管理者承認を必要をしたりなどのID管理機能を提供します。なお、PIMを使用するには、Azure Premium P2 ライセンスが必要です。

このページではAzure Active Directoryに対する権限を付与する「Azure AD ロール」の操作方法を説明します。仮想マシンや仮想ネットワークなどのAzure リソースに対する操作方法は「Azure PIM (Privileged Identity Management) – Azure リソースの適用」を参照ください。

関連記事 : Azure 内部統制 : 無償枠

関連記事 : Azure 内部統制 : 検証ライセンス発行

Azure Active Directory プレミアムライセンスの試用

Azure EMS(Enterprise Mobility + Security)ライセンスの試用

Azure MS365ライセンスの試用

関連記事 : Azure 内部統制 : 要有償ライセンス

Azure AD Connect Health

企業用ログインページのカスタマイズ

Azure AD パスワードリセットセルフサービス

Azure AD 動的グループ

Azure PIM (Privileged Identity Management) – Azure AD ロールの適用 (いまここ)

Azure PIM (Privileged Identity Management) – Azure リソースの適用

Azure AD Identiry Protection

Windows端末 intuneデバイス登録

Windows端末 intune構成プロファイル

Windows端末 intune 更新リング

Windows端末 intune アプリの更新

Windows端末 intune コンプライアンスポリシーの定義

条件付きアクセス (1/3) 日本国内のみに限定する設定例

条件付きアクセス (2/3) 管理者に対する多要素認証

条件付きアクセス (3/3) コンプライアンスポリシーの併用

警告
事前準備
PIM – Azure AD ロールの操作
1. 管理者承認を必要としない場合
  1. 資格の付与
  2. アクティブ化
2. 管理者承認を必要とする場合

警告

Azure PIM (Privileged Identity Management) を一度でも有効にすると権限の割り当て方の概念が変わります。以下フォーラームの会話を見る限りでは、一度でもPIMを有効にすると無効に戻す事はできません。

以下スクリーンショットに示すように、ロール割り当て時などに「対象（eligible）」「アクション」などのPIM固有の概念が登場します。十分な学習体制を確保できない組織では混乱を招く事もあるかもしれません。

業務上の混乱が予想される場合は、Azure ADを使い捨て出来るように検証専用のディレクトリを作成した方が無難かもしれません。

事前準備

ユーザ作成

動作確認用にmanager01, user01, user02という3ユーザを作成します。user01, user02は作業前にmanager01の承認を必要とするフローを検証シナリオとします。

「ID」「Azure Active Directory」の順に押下し、「Azure Active Directory」の画面を開きます。

「ユーザー」「すべてのユーザー」「新しいユーザー」の順に押下します。

「ユーザー名」を入力します。

「初期パスワード」をメモに控えます。

「利用場所」を入力します。Azure Premiumライセンスを適用する場合は、「利用場所」の入力が必須になります。

以上の操作を3回繰り返し、「ユーザー」「すべてのユーザー」の画面で、manager01, user01, user02が作成された事を確認します。

Azure Premium P2 ライセンス

Azure Premium P2 ライセンスを発行し、manager01, user01, user02の3人にライセンスを割り当てます。操作方法は「Azure Active Directory プレミアムライセンスの試用」などを参考にしてください。

サブスクリプション

「Azure リソース」に対してロールを割り当てるには、以下の権限が必要です。

マイクロソフトアカウント以外
サブスクリプションの所有者権限

「共同作成者」は権限付与ができないため権限不足です。「所有者」の権限が必要になります。

マイクロソフトアカウントでサブスクリプションを作成してしまった方は、そのサブスクリプションではAzure PIM (Privileged Identity Management) の動作確認はできません。マイクロソフトアカウント以外でサブスクリプションを作成しましょう。

マイクロソフトアカウント以外（スクリーンショットではmanager01を例示）でログインし、「サブスクリプション」の画面を開きます。

「追加」を押下します。

無料版が使える方は「無料試用版」を選びましょう。無料が使えないならば、学生ならば「Students」を、学生ではないならば「従量課金制」を選びます。

サブスクリプションの作成画面の説明は省略します。クレジットカード番号などを入力ください。

サブスクリプション作成後、以下スクリーンショットのようにサブスクリプションが新規作成された事を確認します。確認後、「サブスクリプション名」を押下します。

初期設定のサブスクリプション名では管理しづらいので、「名前の変更」を押下します。

なんらかの分かりやすいサブスクリプション名に変更します。

事前準備権限設定

PIM (Privileged Identity Management) を用いて「Azure AD ロール」を割り当てるには、「特権ロール管理者」または「グローバル管理者」の権限が必要です。以下スクリーンショットのように「特権ロール管理者」または「グローバル管理者」が割り当てられている事を確認してください。