Microsoft Entra ID (旧称 Azure Active Directory) では、Privileged Identity Management (PIM) を使用して、グループの Just-In-Time メンバーシップまたはグループの Just-In-Time 所有権を管理できます。
メンバーシップまたは所有権を割り当てると、割り当ては次のようになります。
- 5 分未満の期間は割り当てることができません。
- 割り当てられてから 5 分以内に削除することはできません。
注
グループの PIM のメンバーシップまたは所有権の対象となるすべてのユーザーは、Microsoft Entra ID P2 または Microsoft Entra ID ガバナンス ライセンスを持っている必要があります。 詳細については、「 Privileged Identity Management を使用するためのライセンス要件」を参照してください。
グループの所有者またはメンバーを割り当てる
ユーザーをグループの資格のあるメンバーまたは所有者にするには、以下の手順のようにします。 グループを管理するにはアクセス許可が必要です。 ロール割り当て可能なグループの場合は、少なくとも特権ロール管理者のロールであるか、グループの所有者である必要があります。 ロール割り当て不可能なグループの場合は、少なくともディレクトリ ライター、グループ管理者、ID ガバナンス管理者、またはユーザー管理者のロールであるか、グループの所有者である必要があります。 管理者のロールの割り当ては、(管理単位レベルではなく) ディレクトリ レベルでスコープを設定する必要があります。
注
グループを管理するためのアクセス許可を持つ他のロール (ロール割り当て不可の Microsoft 365 グループ向け Exchange 管理者など) と、管理単位レベルでスコープ指定されている割り当てを持つ管理者は、Groups API/UX を使用してグループを管理できるとともに、Microsoft Entra PIM で行われた変更をオーバーライドできます。
Microsoft Entra 管理センターにサインインする
ID ガバナンス>Privileged Identity Management>Groups を参照します。
ここでは、グループの PIM で既に有効になっているグループを表示できます。
管理する必要があるグループを選びます。
割り当てを選択します。
[対象の割り当て] ブレードと [アクティブな割り当て] ブレードを使用して、選択したグループの既存のメンバーシップまたは所有権の割り当てを確認します。
[ 割り当ての追加] を選択します。
[ ロールの選択] で、[ メンバー ] と [所有者 ] を選択してメンバーシップまたは所有権を割り当てます。
グループに対する資格を与えるメンバーまたは所有者を選びます。
[ 次へ] を選択します。
[割り当ての種類] リストで [対象] または [アクティブ] を選択します。 Privileged Identity Management には、割り当ての種類が 2 つあります。
- 資格のある割り当てでは、メンバーまたは所有者はロールを使うためにアクティブ化を実行する必要があります。 また、アクティブ化では、多要素認証 (MFA) の設定、業務上の正当な理由の設定、または指定した承認者への承認の要求が必要となる場合もあります。
重要
Microsoft Entra ロールへの昇格に使われるグループの場合、資格のあるメンバーの割り当てに対して承認プロセスを要求することをお勧めします。 承認せずにアクティブ化できる割り当てでは、アクセス許可を持つ別の管理者が対象ユーザーのパスワードをリセットしてしまうというセキュリティリスクに対して脆弱なままである可能性があります。
- アクティブな割り当てでは、メンバーはロールを使うためにアクティブ化を実行する必要はありません。 アクティブとして割り当てられたメンバーや所有者は、常にロールに関連付けられた特権を持ちます。
割り当てが永続的である (永続的に適格または永続的に割り当てられる) 場合は、[ 永続的 ] チェック ボックスをオンにします。 グループの設定によっては、チェック ボックスが表示されない場合や編集できない場合があります。 詳細については、「 Privileged Identity Management」の「グループの PIM 設定の構成」を 参照してください。
割り当てを選択します。
既存のロールの割り当てを更新または削除する
既存のロールの割り当てを更新または削除するには、次の手順を実行します。 グループを管理するにはアクセス許可が必要です。 ロール割り当て可能なグループの場合は、少なくとも特権ロール管理者のロールであるか、グループの所有者である必要があります。 ロール割り当て不可能なグループの場合は、少なくともディレクトリ ライター、グループ管理者、ID ガバナンス管理者、またはユーザー管理者のロールを持っているか、グループの所有者である必要があります。 管理者のロールの割り当ては、(管理単位レベルではなく) ディレクトリ レベルでスコープを設定する必要があります。
注
グループを管理するためのアクセス許可を持つ他のロール (ロール割り当て不可の Microsoft 365 グループ向け Exchange 管理者など) と、管理単位レベルでスコープ指定されている割り当てを持つ管理者は、Groups API/UX を使用してグループを管理できるとともに、Microsoft Entra PIM で行われた変更をオーバーライドできます。
Microsoft Entra 管理センターに、少なくとも特権ロール管理者としてサインインします。
ID ガバナンス>Privileged Identity Management>Groups を参照します。
ここでは、グループの PIM で既に有効になっているグループを表示できます。
管理する必要があるグループを選びます。
割り当てを選択します。
[対象の割り当て] ブレードと [アクティブな割り当て] ブレードを使用して、選択したグループの既存のメンバーシップまたは所有権の割り当てを確認します。
[ 更新 ] または [削除] を 選択して、メンバーシップまたは所有権の割り当てを更新または削除します。