Rainbow Engine

IT技術を分かりやすく簡潔にまとめることによる学習の効率化、また日常の気付きを記録に残すことを目指します。

Azure Microsoft

Azure AD Privileged Identity Management(PIM)とは?

投稿日:2021年7月3日 更新日:

 

<目次>

(1) Azure AD Privileged Identity Management(PIM)とは?
 (1-1) Azure AD Privileged Identity Management(PIM)の主な機能
  例①:「Just in Time」アクセス
  例②:アカウント権限の期限管理(timebound)
  例③:「approval」機能よる権限有効化の承認フロー
  例④:多要素認証によるロール(権限)のアクティベート
  例⑤:「justification」による認証目的の表明
  例⑥:「notification」による状況モニタリング
  例⑦:「Access Review」による特権の棚卸
 (1-2) Azure AD Privileged Identity Management(PIM)の対象権限

(1) Azure AD Privileged Identity Management(PIM)とは?

当記事ではMicrosoft Azureの「Azure AD Privileged Identity Management」の主な機能の概要についてご紹介します。

(1-1) Azure AD Privileged Identity Management(PIM)の主な機能

例①:「Just in Time」アクセス

PIMを導入する事で、まず「特権ID」を使うためには「アクティベーション(有効化)」が必要になります。IT管理者が0時間~24時間の時限を指定して、その設定した時間のみのアクセスを許可する、といった制御が可能になります(再度アクセスする場合は、再度のアクティベートが必要)。

目次にもどる

例②:アカウント権限の期限管理(timebound)

アカウントの権限に有効期限を設けて、期限が過ぎたら自動的に権限をはく奪されるような仕組みです。通常であれば一度権限を付与すると、明示的にそれをはく奪しない限りは永遠に続きますが、PIMを使う事で期日管理ができます。

目次にもどる

例③:「approval」機能よる権限有効化の承認フロー

権限の有効化の申請する際に、1人~複数人の承認者を指定する事ができます。申請が完了すると、承認者は承認依頼のEメールを受信し、その承認を以て権限が有効化されるように制御する機能です。

目次にもどる

例④:多要素認証によるロール(権限)のアクティベート

多要素認証はユーザーがID/パスワードで認証する際に、ID/パスワードによる認証が成功したら更に別のデバイス(タブレットやスマホやショートメール等)に2要素目の認証要求を飛ばし、デバイスでの認証が完了したら、ようやく認証が完了するといった仕組みです。これを使っての権限のアクティベート機能を提供します。

(備考)
組織によりログイン時に多要素認証を実施している場合、PIMは再度の多要素認証を要求する事はありません。

目次にもどる

例⑤:「justification」による認証目的の表明

PIMではロール(権限)を有効化する際に、内部監査者や外部監査者に対して「なぜロールを有効化したか?」を表明する事ができます。

目次にもどる

例⑥:「notification」による状況モニタリング

どのユーザにロールがアサインされ、何のロールがアクティベートされたか?を管理者がモニタリングできる機能です。

目次にもどる

例⑦:「Access Review」による特権の棚卸

権限の管理者はどのユーザが「特権」を持っているか?まだその権限を必要としているか?を知る事ができる機能です。特定のレビューア・権限保持者により確認が済んだ権限は、ユーザからはく奪する事が可能です。

目次にもどる

(1-2) Azure AD Privileged Identity Management(PIM)の対象権限

PIMで保護できる対象のロールは、下記の様なAzure AD権限に加えて、Azureリソース(VM、リソースグループ、サブスクリプショングループ等)の権限も対象です。

●PIMで保護可能なAzure ADのロール例
 

 

目次にもどる 

Adsense審査用広告コード


Adsense審査用広告コード


-Azure, Microsoft

執筆者:


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

Azureリソースグループの作り方の手順について

  <目次> (1) Azureリソースグループの作り方の手順について  (1-1) Azureリソースグループとは?  (1-2) Azureリソースグループの作成手順  (1-3) Az …

Azure Cosmos DBの使い方入門(作成~データ登録~SQL発行)

  <目次> (1) Azure Cosmos DBの使い方入門(作成~データ登録~SQL発行)  (1-0) Azure Cosmos DBとは?  (1-1) STEP1: Cosmos …

Azureの可用性セットとは?概要や設定画面の例も交えてご紹介

  <目次> (1) Azureの可用性セットとは?概要や設定画面の例も交えてご紹介  (1-1) Azureの可用性セットとは?  (1-2) Azureの可用性セットを実現する仕組み ( …

Azureの「NSG」とは?概要と設定方法について

  <目次> (1) Azureの「NSG」とは?概要と設定方法について  (1-1) NSG(ネットワークセキュリティグループ)とは?  (1-2) NSGの設定内容について  (1-3) …

AzureのARMテンプレートをPowerShellからデプロイする手順をご紹介

  <目次> (1) AzureのARMテンプレートをPowerShellからデプロイする手順をご紹介  (1-1) Azure Resouce Managerとは?  (1-2) ARMテ …

  • English (United States)
  • 日本語
Top