ある企業がEntra ID の Privileged Identity Management(PIM)を導入した。グローバル管理者ロールの管理について、PIMを使った場合の説明として最も正確なものはどれか。
- A. PIMを使うとグローバル管理者ロールが完全に削除され、代わりに一時的な管理者アカウントが作成される
- B. ユーザーは「適格(Eligible)」として割り当てられ、必要な時だけロールを有効化し、使用後は自動的に失効する
- C. グローバル管理者ロールは常に有効化されており、PIMでは変更できない
- D. PIMはロールの有効化に承認は不要であり、ユーザーが自由にグローバル管理者を有効化できる
解答と解説を見る
正解: B
PIMの核心機能はジャストインタイム(JIT)アクセスであり、ユーザーはロールに「適格(Eligible)」として割り当てられる。管理作業が必要なときだけロールを有効化し、設定した時間(例:1時間)が経過すると自動的に失効する。これにより常時特権を保持するリスクを排除できる。選択肢Cはロールが常時有効な従来の割り当て方式の説明であり、PIMの目的と逆である。選択肢Aはロールの削除やアカウント作成という説明が誤りであり、PIMは既存のロール割り当ての管理を改善するものである。選択肢Dはオプションによっては承認ワークフローを必須にできる(管理者が設定次第)という重要な機能を否定しており誤りである。PIMでは有効化時に承認を必須にする設定が可能でありJIT管理の重要な要素である。