Azure PIM (Privileged Identity Management) の設定方法をまとめます。PIMは、一時的な権限を付与したり管理者承認を必要をしたりなどのID管理機能を提供します。なお、PIMを使用するには、Azure Premium P2 ライセンスが必要です。
このページでは仮想マシンや仮想ネットワークなどに対する権限を付与する「Azure リソース」の操作方法を説明します。Azure Active Directoryに対する権限の操作方法は「Azure PIM (Privileged Identity Management) – Azure AD ロールの適用」を参照ください。
警告
Azure PIM (Privileged Identity Management) を一度でも有効にすると権限の割り当て方の概念が変わります。以下フォーラームの会話を見る限りでは、一度でもPIMを有効にすると無効に戻す事はできません。
以下スクリーンショットに示すように、ロール割り当て時などに「対象(eligible)」「アクション」などのPIM固有の概念が登場します。十分な学習体制を確保できない組織では混乱を招く事もあるかもしれません。
業務上の混乱が予想される場合は、Azure ADを使い捨て出来るように検証専用のディレクトリを作成した方が無難かもしれません。
事前準備
「Azure PIM (Privileged Identity Management) – Azure AD ロールの適用」を参照ください。
リソースのオンボード
PIMがどのサブスクリプションに対する操作を可能にするかの権限付与をします。
「マイクロソフトアカウント以外」かつ「サブスクリプションの所有者」ののアカウントで「Azure ポータル」にログインします。この操作例の場合ならばmanager01でログインします。
「ID」「Azure AD Privileged Identity Management」の順に押下し、「Azure AD Privileged Identity Management」の画面を開きます。
「Azure リソース」「リソースを検出する」の順に押下します。
「サブスクリプション名」にチェックを入れ、「リソース管理」ボタンを押下します。すると、「選択したリソースを管理のためオンボードしています」とのメッセージが表示されますので、これに「OK」と返答します。
以上の操作により、指定のサブスクリプションがPIMで操作可能になります。
PIM – Azure リソースの操作
管理者承認を必要としない場合
「Azure リソース ロール」を一時的に付与したり管理者承認を必要としたりする設定方法を説明します。
資格の付与
「マイクロソフトアカウント以外」かつ「サブスクリプションの所有者」ののアカウントで「Azure ポータル」にログインします。この操作例の場合ならばmanager01でログインします。
「ID」「Azure AD Privileged Identity Management」の順に押下し、「Azure AD Privileged Identity Management」の画面を開きます。
「Azure リソース」の画面を開き、「サブスクリプション名」を押下します。
「割り当て」の画面を開き、「割り当ての追加」を押下します。
「ロールの選択」欄に何らかのロールを入力します。ここでは「ネットワーク共同作成者」を例に挙げます。「メンバーの選択」欄の「メンバーが選択されていない」を押下すると、メンバー選択メニューが現れます。user01, user02を選びます。
「次へ」を押下します。
「アクティブ」は今すぐ有効にする事でPIM無効時のロール操作と同じ意味です。「対象」はElidgbleの訳語でロールを使用する資格を与える事を意味します。「対象(Elidgble)」の場合は、承認や有効化などの何らかの操作をしないとロールが付与されません。
「対象」が選択されている事を確認し、「割り当て」を押下します。
操作後、「資格ある割り当て」欄にユーザ名が表示される事を確認します。
アクティブ化
user01またはuser02のアカウントで「Azure ポータル」にログインします。「ID」「Azure AD Privileged Identity Management」の順に押下し、「Azure AD Privileged Identity Management」の画面を開きます。
その後、「自分のロール」を押下します。
「Azure リソース」画面の「資格のある割り当て」タブで、「アクティブ化」を押下します。
「期間(時間)」欄でロールをアクティブにする時間を指定し、「理由」欄にロールが必要とする理由を記入します。記入後、「アクティ…」ボタンを押下します。
操作後、「アクティブな割り当て」欄にロール名が表示される事を確認します。ここに表示された期間限定で権限が付与されます。
管理者承認を必要とする場合
「Azure AD ロール」を一時的に付与したり管理者承認を必要としたりする設定方法を説明します。
ロールの設定変更
manager01のアカウントで「Azure ポータル」にログインします。「ID」「Azure AD Privileged Identity Management」の順に押下し、「Azure AD Privileged Identity Management」の画面を開きます。
「Azure リソース」の画面を開き、「サブスクリプション名」を押下します。
「設定」の画面を開き、何らかのロールを選択します。ここでは「共同作成者」を例に挙げます。
デフォルトのロール設定は承認を必要としません。承認フロー実装するためにはロールの設定変更が必要です。「編集」を押下します。
「アクティブ化には承認が必要です」にチェックが入れ、「承認者の選択」欄の「+」ボタンを押下します。すると、承認者選択画面が現れますので、manager01を承認者として選びます。
この設定例は「資格を付与する人」「資格を承認する人」を同一管理者にしていますが、別の管理者を設定する事もできます。
承認者が選択された事を確認し、「更新」を押下します。
資格の付与
「割り当て」画面にて、「割り当ての追加」を押下します。
「ロールの選択」欄に「共同管理者」を入力します。「メンバーの選択」欄の「メンバーが選択されていない」を押下すると、メンバー選択メニューが現れます。user01, user02を選びます。
「次へ」を押下します。
「アクティブ」は今すぐ有効にする事でPIM無効時のロール操作と同じ意味です。「対象」はElidgbleの訳語でロールを使用する資格を与える事を意味します。「対象(Elidgble)」の場合は、承認や有効化などの何らかの操作をしないとロールが付与されません。
「対象」が選択されている事を確認し、「割り当て」を押下します。
操作後、「資格ある割り当て」欄にユーザ名が表示される事を確認します。
申請の要求
user01またはuser02のアカウントで「Azure ポータル」にログインします。「ID」「Azure AD Privileged Identity Management」の順に押下し、「Azure AD Privileged Identity Management」の画面を開きます。
「Azure リソース」の画面を開き、「サブスクリプション名」を押下します。
「自分のロール」画面の「資格のある割り当て」タブで、「共同作成者」の「アクティブ化」を押下します。
「期間(時間)」欄でロールをアクティブにする時間を指定し、「理由」欄にロールが必要とする理由を記入します。記入後、「アクティ…」ボタンを押下します。
この操作は管理者の承認を必要としますので、「要求の承認は保留中です」とのメッセージが表示されます。
申請の承認
manager01のアカウントで「Azure ポータル」にログインします。「ID」「Azure AD Privileged Identity Management」の順に押下し、「Azure AD Privileged Identity Management」の画面を開きます。
「Azure リソース」の画面を開き、「サブスクリプション名」を押下します。
「申請の承認」画面にて、対象となる申請にチェックを入れ、「承認」を押下します。その後、「理由」欄に申請を受理する理由を記入し、「確認」を押下します。
「承認済です」とのメッセージが表示される事を確認します。
申請の確認
user01またはuser02のアカウントで「Azure ポータル」にログインします。「ID」「Azure AD Privileged Identity Management」の順に押下し、「Azure AD Privileged Identity Management」の画面を開きます。
「Azure リソース」の画面を開き、「サブスクリプション名」を押下します。
「自分のロール」画面にて、「アクティブな割り当て」欄にロール名が表示される事を確認します。ここに表示された期間限定で権限が付与されます。
