ある企業のセキュリティチームがPIM(Privileged Identity Management)のアクセスレビューを実施した。「グローバル管理者」ロールに適格割り当てされたユーザーのレビューを行った結果、3名が「拒否」となった。PIMのアクセスレビューで「拒否」された場合に何が起きるか、最も正確に説明しているものはどれか。
- A. ユーザーのEntra IDアカウントが無効化される
- B. ユーザーはすぐにサインアウトされ、すべてのセッションが終了する
- C. ユーザーのロールの適格割り当てが削除され、以降そのロールを有効化できなくなる
- D. ユーザーへの通知メールが送信されるが、割り当て自体は変更されない
解答と解説を見る
正解: C
PIMのアクセスレビューで「拒否(Deny)」と判定されたユーザーは、そのロールの適格割り当てが自動的に削除される。以後、そのユーザーはそのロールを有効化することができなくなる。アクセスレビューの主目的は不要な特権割り当てを定期的に整理し、最小権限の原則を維持することである。選択肢Aのアカウント無効化はアクセスレビューの「拒否」では起こらない。アカウントの無効化は別途管理者が行う操作である。選択肢Bのセッション終了はサインインリスク対応や管理者操作で発生するものであり、アクセスレビューの直接結果ではない。選択肢Dは誤りであり、アクセスレビューが「拒否」に設定された場合は自動的に割り当てが削除されるよう構成できる(手動承認なしで適用可能)。