Cloud Service
Microsoft Entra Privileged Identity Management
特権を常時持たせず必要時だけ昇格。Microsoft Entra PIM が管理者ロールを承認付き・時間制限付きで貸し出し、特権の常時保持を排除する。AWS の一時的な権限昇格(AssumeRole)に近い発想。
- 1.管理者ロールを常時付与せず、必要時のみ申請して一時昇格させる仕組み。
- 2.承認・MFA・理由入力・有効期限・監査ログでガバナンスを効かせる。
- 3.Entra ロールにも Azure RBAC ロールにも適用でき、P2 ライセンスが必要。
解決する課題
- 管理者ロールを常時付与したまま放置しており、アカウント乗っ取り時の被害が大きい → 必要なときだけ昇格させたい
- 「誰が・いつ・なぜ特権を使ったか」を監査で説明できない → 申請・承認・理由・期間を記録に残したい
- 棚卸しのたびに過剰な特権保持者が大量に見つかる → 常時保持をやめて権限クリープを止めたい
- 高リスクな操作の前に承認や MFA を強制したい → 昇格のたびに条件を満たさせたい
主要概念と用語
- 対象(Eligible)割り当て: ロールを「使える資格」だけ与え、実際の権限は持たせない状態。必要時にアクティブ化(昇格)して初めて権限が有効になる
- アクティブ(Active)割り当て: 通常の常時付与。アクティブ化なしで権限が効く。PIM では有効期限を付けた時間制限付きアクティブ割り当ても作れる
- アクティブ化(Activation): 対象割り当てを持つユーザーが、申請してロールを一時的に有効化する操作。理由入力・MFA・承認などの条件を満たすと、設定した時間だけ権限が付く
- PIM ポリシー(ロール設定): ロールごとに、最大アクティブ化時間・MFA 必須・承認要否・承認者・理由入力要否などを定める設定
- 承認者(Approver): アクティブ化申請を承認する役割。承認必須にすると、申請は承認されるまで権限が付かない
- アクセスレビュー: 対象/アクティブ割り当てを定期的に棚卸しし、不要な保持者を見直す仕組み
- 対象範囲: PIM は Entra ロール(ディレクトリ管理権限)、Azure RBAC ロール(Azure リソース)、**PIM for Groups(特権グループのメンバー/オーナー)**に適用できる
**対象(Eligible)**は「使う資格はあるが今は権限ゼロ」、**アクティブ(Active)**は「今この瞬間に権限が効いている」状態です。PIM の狙いは、管理者を原則 Eligible にしておき、作業のたびにアクティブ化させて常時保持を無くすことにあります。
仕様・制限・クォータ
- Microsoft Entra ID P2 ライセンスが必要(PIM for Groups や Identity Protection も含む上位プラン)。Free / P1 では利用できない
- 適用対象は Entra ロール、Azure RBAC ロール、PIM for Groups の 3 系統。それぞれ別画面・別ポリシーで管理する
- 最大アクティブ化時間には上限がある(ロール設定で時間単位で指定)。期限が来ると権限は自動で失効する
- アクティブ化条件として MFA 必須・承認必須・理由入力必須・チケット番号入力などをロールごとに設定できる
- アクティブ化をスケジュール予約(将来の時間帯を指定して昇格)することも可能
- 対象割り当て自体にも有効期限を付けられ、恒久的な対象割り当てを禁止するポリシーも組める
PIM は Entra ID P2 前提の機能です。Free や P1 のテナントでは「対象割り当て」「アクティブ化」「承認ワークフロー」は使えません。導入計画ではライセンスの手当てを最初に確認してください。
内部の仕組み
PIM は「権限の付与」と「権限の有効化」を分離します。常時は対象(Eligible)として資格だけを持たせ、アクティブ化のときに初めて実際のロール割り当てを付け、期限が来たら自動で剥がす、という流れです。
- 管理者がユーザーに対象(Eligible)割り当てを設定する。この時点で権限は付かない
- ユーザーが特権を使いたいとき、PIM からアクティブ化を申請する。理由やチケット番号を入力する
- ロール設定に応じて MFA 評価・承認待ちなどの条件が課される。承認必須なら承認者の承認を待つ
- 条件を満たすと、設定された時間だけロール割り当てがアクティブ化され、権限が有効になる
- 有効期限が来ると割り当ては自動で失効し、ユーザーは再び権限ゼロの対象状態に戻る
- 申請・承認・アクティブ化・失効の各イベントは PIM の監査ログに記録される
- 認証は Entra ID、Azure リソースの認可は Azure RBAC という土台はそのままで、PIM は割り当てのライフサイクルを管理するレイヤーとして上に乗る
- アクティブ化された権限は通常のロール割り当てとして扱われ、対象サービス側はいつもどおりの認可評価を行う
設計パターン / ベストプラクティス
- 特権ロールは原則 Eligible 化: グローバル管理者・所有者・ユーザー管理者などの高権限は常時付与をやめ、対象割り当てに切り替える
- 高リスクロールは承認 + MFA を必須: グローバル管理者など影響の大きいロールは、アクティブ化に承認とフィッシング耐性のある MFA を課す
- アクティブ化時間を短く絞る: 作業に必要な最小限の時間に設定し、終わったら速やかに失効させる
- 恒久的な対象割り当てを禁止: 対象割り当てにも有効期限を付け、アクセスレビューで定期的に棚卸しする
- 緊急アクセスアカウント(Break-glass)は別管理: PIM や条件付きアクセスでロックアウトしたときの非常用アカウントを別途用意し、厳重に保管する
- PIM for Groups で複数特権をまとめる: 個別ロールでなく、特権グループのメンバーシップ自体を PIM で時間制限化して運用を集約する
運用・監視
- PIM の監査ログ / Entra 監査ログで、アクティブ化・承認・割り当て変更を追跡し、Log Analytics / Microsoft Sentinel に集約して相関分析する
- アクセスレビューを定期実行し、対象/アクティブ割り当ての保持者が今も妥当かを見直す
- アクティブ化の承認待ちキューを滞留させないよう、承認者を複数名にして不在時の昇格停止を防ぐ
- アラート設定を活用し、「承認なしで付与された」「短時間に多数のロールがアクティブ化された」などの異常を検知する
- 権限エラー時は、対象割り当ての有無 → アクティブ化済みか → 有効期限切れか、の順で切り分ける
コスト
PIM の利用には Microsoft Entra ID P2 ライセンスが必要で、対象ユーザー数に応じたユーザー単位の月額がかかります。PIM 機能そのものに別途のトランザクション課金が乗るわけではなく、特権を持つ/管理する利用者に P2 を割り当てる形が基本です。常時付与をやめることで侵害時の被害範囲と監査の手間を下げられる点が、実質的な投資対効果になります。具体的な金額やライセンス条件は変動するため、最新の価格ページで確認してください。
セキュリティ
- 常時特権を排除することで、管理者アカウントが乗っ取られてもその瞬間に使える権限が原則ゼロになり、被害範囲を大きく縮小できる
- アクティブ化に MFA・承認・理由入力を課し、特権利用に必ず説明責任を伴わせる
- 時間制限により、付けっぱなしの権限が放置されるリスクを構造的に排除する
- 申請から失効までを監査ログに残すため、インシデント調査と定期監査の両方を支える
グローバル管理者や所有者を恒久的にアクティブ割り当てしたまま放置するのは典型的な事故要因です。乗っ取られた瞬間にテナント全体が危険にさらされます。高権限ロールは対象(Eligible)化し、承認と MFA を課したアクティブ化で都度貸し出す運用に切り替えてください。
関連サービス・比較
PIM は Entra ID + RBAC の上で割り当てのライフサイクルを管理する機能で、常時の権限保持を一時昇格に置き換える点が、AWS で一時資格情報を引き受ける仕組みと発想が近いです。
| 観点 | Azure(Entra PIM) | AWS(一時昇格) |
|---|---|---|
| 基本の発想 | 対象割り当てを必要時にアクティブ化 | ロールを必要時に AssumeRole で引き受け |
| 昇格の単位 | Entra ロール / Azure RBAC ロール / グループ | IAM ロール |
| 昇格時の条件 | MFA・承認・理由入力・有効期限 | 信頼ポリシー・MFA 条件・セッション期間 |
| 承認ワークフロー | PIM の承認者で承認必須にできる | 標準では承認フローは持たない |
| 前提 | Entra ID P2 ライセンス | IAM の標準機能 |
| 監査 | PIM 監査ログ / Entra 監査ログ | CloudTrail |
AWS の AssumeRole は「別ロールを引き受ける」仕組みで、承認ワークフローは標準では持ちません。PIM は承認・理由入力・時間制限・監査まで組み込んだガバナンス機能である点が違いです。
ハンズオン / CLI例
PIM の割り当て操作は主にポータルや Microsoft Graph で行います。以下は Azure RBAC ロールの PIM(対象割り当て)を Microsoft Graph 経由で作成する例です。
# Microsoft Graph を呼ぶための CLI 拡張(resource-graph 等)やトークン取得の準備
az login
# 対象ユーザーのオブジェクト ID を取得
PRINCIPAL_ID=$(az ad user show --id "admin@example.com" --query id -o tsv)
# Azure RBAC ロールの「対象(Eligible)割り当て」をスケジュール要求として作成
# (roleDefinitionId はロールの完全 ID、scope は割り当て先のスコープ)
az rest --method POST \
--url "https://management.azure.com/subscriptions/<subscription-id>/providers/Microsoft.Authorization/roleEligibilityScheduleRequests/$(cat /proc/sys/kernel/random/uuid)?api-version=2020-10-01" \
--body '{
"properties": {
"principalId": "'"$PRINCIPAL_ID"'",
"roleDefinitionId": "/subscriptions/<subscription-id>/providers/Microsoft.Authorization/roleDefinitions/<role-id>",
"requestType": "AdminAssign",
"scheduleInfo": {
"expiration": { "type": "AfterDuration", "duration": "P90D" }
}
}
}'
# 既存の対象割り当てを一覧で確認
az rest --method GET \
--url "https://management.azure.com/subscriptions/<subscription-id>/providers/Microsoft.Authorization/roleEligibilitySchedules?api-version=2020-10-01"
Azure Service
Microsoft Entra Privileged Identity Managementを実務で読む
TL;DRは入口です。実際に選ぶ・使う段階では、何を解決するか、何と比較するか、導入後にどこで詰まるかまで見る必要があります。
解決すること
セキュリティ・ID
比較で見る軸
クラウド: Azure / カテゴリ: セキュリティ・ID / 難易度: intermediate
導入後に効く点
承認・MFA・理由入力・有効期限・監査ログでガバナンスを効かせる。
先に潰すリスク
サービス単体ではなく、権限、ネットワーク、監視、課金、バックアップを含めて設計する必要がある。
- クラウド
- Azure
- カテゴリ
- セキュリティ・ID
- 難易度
- intermediate
- 関連資格
- —
- 設計柱
- security / operational
判断チェックリスト
- 自社の用途が「セキュリティ・ID / security」に近いか確認する。
- 強みである「管理者ロールを常時付与せず、必要時のみ申請して一時昇格させる仕組み。」が本当に評価軸になるか確認する。
- 注意点の「サービス単体ではなく、権限、ネットワーク、監視、課金、バックアップを含めて設計する必要がある。」を運用で吸収できるか確認する。
- 公開値や仕様値は、対象プラン・対象機種・対象リージョンまで確認する。
- 既存システム、ID、ネットワーク、監視、バックアップとの接続方法を先に洗い出す。
- 小さく試してから、本番移行、権限設計、障害時手順、コスト監視を決める。