Azure AD Privileged Identity Managementによる特権アクセス管理を試してみた

2023.01.02

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

Azure AD Privileged Identity Management (以下、PIM) 機能は、Just In Time で Azure AD や Azure リソースの特権アクセス権限をユーザーに付与できるサービスです。権限付与時に承認フローを設けることもできます。

Privileged Identity Management とは? - Azure AD - Microsoft Entra | Microsoft Learn

試してみた

PIM を利用して特定のリソースグループへの共同作成者権限を一時的に付与する承認フローを作成してみます。

PIM の概要

PIM は次のドキュメントに記載があります。

Privileged Identity Management のドキュメント - Microsoft Entra | Microsoft Learn

PIM の利用には Azure AD Premium P2 ライセンスが必要となり、ライセンスの考え方は次のドキュメントにまとめっています。

Privileged Identity Management を使用するためのライセンス要件 - Azure Active Directory - Microsoft Entra | Microsoft Learn

PIM の機能や活用方法については次の Microsoft ブログでも解説があります。


今回のブログでは、特定のリソースグループに対する共同作成者権限を時間制限付きで申請する動作を試してみます。

PIM の権限の割り当てには「資格」状態と「アクティブ」状態があり、2 つの考え方については上述した Microsoft のブログにおける次の図が分かりやすかったです。アクティブ化している間、権限が与えられます。今回の検証では「資格」状態から「アクティブ」状態にする際に申請・承認のフローを設けます。

(引用元)PIM の活用方法 | Japan Azure Identity Support Blog


PIM のドキュメントにおける「資格」と「アクティブ」の記載場所は次の通りです。

Privileged Identity Management デプロイメントの計画 ‐ Azure AD - Microsoft Entra | Microsoft Learn

PIM のメニューには検索バーから検索することでたどり着けます。


対象リソースを PIM の管理下にする設定

設定の流れとしては、はじめに管理グループもしくはサブスクリプションを PIM の管理下におく設定を行い、その後に資格の割り当てを行います。

サブスクリプションを PIM の管理下にするために「Azure リソース」メニューの「リソースを検出する」を選択します。

PIM の対象としたいサブスクリプションを検索、選択して「リソースの管理」を選択します。

メッセージを確認して「OK」とします。

以上で PIM の管理下にする作業は終了です。

PIM の管理下となったリソースは「Azure リソース」に表示されるようになります。このとき、リソースの種類を変更しないとリソースグループやリソースは表示されないため注意が必要です。


資格の割り当て設定

次に、リソースグループtest-rg共同作成者の資格を割り当てます。

Azure リソースの画面から資格を割り当てるリソースグループtest-rgを選択します。

選択後は、概要画面でアクティブな割り当てのユーザー数を確認できます。リソースグループの所有者が永続するアクティブな割り当て扱いとなるため、ロールの割り当ての分布で 1 メンバーがいることが分かります。

「ロール」メニューから共同作成者を検索して選択します。

アクティブ化の際に承認フローを追加するためには設定変更が必要となります。「設定」から変更を行います。

現状では「アクティブにするには承認が必要です」がいいえです。「編集」を選択して設定を変更します。

設定変更の内容です。「アクティブにするには承認が必要です」をチェックして承認者を指定した後に「更新」します。

これで、アクティブ化の際に承認が必要な設定となります。

続いて、共同管理者の権限を割り当てます。

リソースグループtest-rgの画面から「割り当ての追加」を選択します。

次の内容で設定します。今回は 1 ユーザーのみに資格を割り当てます。「割り当ての種類」で対象を選択することで資格のみの割り当てとなります。

設定後は「資格のある割り当て」タブに選択したメンバーが追加されます。

以上で、資格の割り当て設定は完了です。

改めて概要画面を見ると資格のあるユーザー(対象のメンバー)が増えていることが分かります。


アクティブ化と承認

資格を割り当てたTest Userからアクティブ化を申請し、承認者が承認する作業を試してみます。

アクティブ化の申請前のリソースグループサービスの画面では、権限のあるリソースは一つも表示されない状況です。

PIM の「Azure リソース」メニューから「アクティブ化」を選択します。

アクティブ化する期間(時間)と申請理由を記載して「アクティブ化」します。

次は、承認者側の作業です。

承認者には下記のようなメールが届くため、「Approve or deny request」から承認か拒否かを実施します。

今回はテストなので承認します。

承認理由を記載して「確認」を選択すれば承認完了です。

承認後は PIM サービスのリソースグループtest-rgの概要画面で「時間ベースのアクティブな割り当て」メンバーが増えていることが確認できます。

申請者側の確認に戻ります。

申請者側でもアクティブ化されていることを確認できました。申請者側から「非アクティブ化」もできそうです。

リソースグループサービスの画面を確認したところ、権限をアクティブ化したリソースグループtest-rgを確認できました。

以上で、アクティブ化と承認作業は終了です。

承認者側からアクティブ化を取り消す場合は PIM サービス内の対象リソースの「割り当て」メニューからアクティブな割り当てを削除することもできました。

さいごに

AZ-500 の勉強をしており、自身の復習も兼ねて Azure AD Privileged Identity Management 機能の動作を確認してみました。

このブログがどなたかのご参考になれば幸いです。