<目次>
(1) Azure AD Privileged Identity Management(PIM)とは?
(1-1) Azure AD Privileged Identity Management(PIM)の主な機能
例①:「Just in Time」アクセス
例②:アカウント権限の期限管理(timebound)
例③:「approval」機能よる権限有効化の承認フロー
例④:多要素認証によるロール(権限)のアクティベート
例⑤:「justification」による認証目的の表明
例⑥:「notification」による状況モニタリング
例⑦:「Access Review」による特権の棚卸
(1-2) Azure AD Privileged Identity Management(PIM)の対象権限
(1) Azure AD Privileged Identity Management(PIM)とは?
当記事ではMicrosoft Azureの「Azure AD Privileged Identity Management」の主な機能の概要についてご紹介します。
(1-1) Azure AD Privileged Identity Management(PIM)の主な機能
例①:「Just in Time」アクセス
PIMを導入する事で、まず「特権ID」を使うためには「アクティベーション(有効化)」が必要になります。IT管理者が0時間~24時間の時限を指定して、その設定した時間のみのアクセスを許可する、といった制御が可能になります(再度アクセスする場合は、再度のアクティベートが必要)。
例②:アカウント権限の期限管理(timebound)
アカウントの権限に有効期限を設けて、期限が過ぎたら自動的に権限をはく奪されるような仕組みです。通常であれば一度権限を付与すると、明示的にそれをはく奪しない限りは永遠に続きますが、PIMを使う事で期日管理ができます。
例③:「approval」機能よる権限有効化の承認フロー
権限の有効化の申請する際に、1人~複数人の承認者を指定する事ができます。申請が完了すると、承認者は承認依頼のEメールを受信し、その承認を以て権限が有効化されるように制御する機能です。
例④:多要素認証によるロール(権限)のアクティベート
多要素認証はユーザーがID/パスワードで認証する際に、ID/パスワードによる認証が成功したら更に別のデバイス(タブレットやスマホやショートメール等)に2要素目の認証要求を飛ばし、デバイスでの認証が完了したら、ようやく認証が完了するといった仕組みです。これを使っての権限のアクティベート機能を提供します。
例⑤:「justification」による認証目的の表明
PIMではロール(権限)を有効化する際に、内部監査者や外部監査者に対して「なぜロールを有効化したか?」を表明する事ができます。
例⑥:「notification」による状況モニタリング
どのユーザにロールがアサインされ、何のロールがアクティベートされたか?を管理者がモニタリングできる機能です。
例⑦:「Access Review」による特権の棚卸
権限の管理者はどのユーザが「特権」を持っているか?まだその権限を必要としているか?を知る事ができる機能です。特定のレビューア・権限保持者により確認が済んだ権限は、ユーザからはく奪する事が可能です。
(1-2) Azure AD Privileged Identity Management(PIM)の対象権限
PIMで保護できる対象のロールは、下記の様なAzure AD権限に加えて、Azureリソース(VM、リソースグループ、サブスクリプショングループ等)の権限も対象です。
