ある企業が Entra ID で Privileged Identity Management(PIM)を導入した。グローバル管理者ロールをユーザーに「資格のある割り当て(Eligible assignment)」として設定した。このユーザーが実際にグローバル管理者の権限を使って作業したい場合、どのような手順を踏む必要があるか。最も正確な説明はどれか。
- A. Entra ID の「ロールと管理者」ページからロールを手動で自分自身に割り当てなおす操作が必要である
- B. PIM でロールのアクティブ化リクエストを送信し、設定に応じて MFA や承認プロセスを経てから一定期間だけロールが付与される
- C. IT 管理者に連絡して「アクティブな割り当て(Active assignment)」への変更を依頼し、常時有効化してもらう必要がある
- D. 資格のある割り当てのユーザーはすでにグローバル管理者の権限を常時持っており、特別な操作は不要である
解答と解説を見る
正解: B
Entra ID PIM の「資格のある割り当て(Eligible assignment)」は、ユーザーがロールを使いたいときに自分で「アクティブ化(Activate)」するリクエストを送ることで一時的にロールが付与される仕組みである。アクティブ化時には MFA 認証、業務上の理由(Justification)の入力、承認者による承認(ポリシー設定による)などが要求される。アクティブ化後は設定された最大時間(例:1 時間・8 時間)のみロールが有効であり、期限が切れると自動的に権限が失われる。これにより常時特権を持つリスクを排除できる(最小特権・ジャストインタイムアクセスの実現)。選択肢Dは資格ある割り当ては「常時有効」ではなく、アクティブ化が必要な点が誤り。選択肢Aは自分自身へのロール再割り当ては PIM の仕組みとは別の操作であり、PIM ではアクティブ化 UI を使う。選択肢Cは IT 管理者への依頼は PIM の目的(自己サービス型の一時的な権限昇格)に反する。
📚 関連サービスの解説: Microsoft Entra ID