問題
Entra IDテナントには、ユーザー管理者ロールの Entra ID Privileged Identity Management(PIM)ロール設定が含まれています。
次の設問について文章を完成させてください。
回答
1問目:8時間
2問目:特権ロール管理者とグローバル管理者
解説
PIMについては以前の勉強会でも取り上げています。
Entra ID P2ライセンスが必要なEntra の機能で、最小限の権限を運用するための機能。
ある特権権限を用いた作業を行う際は、必ず申請→PIMによる限定された時間内での権限付与ができる。
アクティブと対象の違いが本設問の理解のカギになる。(資格のある割り当て=「対象」)
~~~
■アクティブ(通常のロール割り当て)「アクティブ」でAさんにロールを割り当てると、Aさんには、すぐにそのロールが付与される(ロールがアクティブになる)
■対象
「対象」でAさんにロールを割り当てると、Aさんには、ロールをアクティブ化する権限が付与される
~~~
今回の設問では、ユーザー管理者ロールの「対象」ユーザーがアクティブ化をする際に必要な設定項目が記載されてる
<参考:PIMの設定値>
「割り当て」の項目から紐解いていくと
永続的に資格のある割り当てを許可する
> 管理者が資格のある割り当て=ユーザーに「対象」としてロールを付与する事
仮にAさんを対象としてロールを付与した時に、Aさんは永続的にアクティブ化する権限を得るか、有期でアクティブ化できる権限を得るかを指定する項目
次の後に、資格のある割り当てを許可する
> 有期でアクティブ化できる「対象」権限にした場合の期限を指定する
永続するアクティブな割り当てを許可する
> 管理者が「アクティブ」な状態の権限を付与することを許可するかどうかの設定
次の後に、アクティブな割り当ての有効期限が切れる
> 管理者が付与した「アクティブ」な割り当てに対しての有効期間を定める。
「対象」→「アクティブ」にしたユーザーの期間とは異なる。
アクティブな割り当てにMFAを必要とする
> 管理者が手動でロールを「アクティブ」な割り当てをする際に、MFAを管理者に要求する設定
アクティブな割り当てに理由が必要
> 管理者が手動でロールを「アクティブ」な割り当てをする際に、理由を管理者に要求する設定
以上より、「割り当て」の項目では管理者が「対象」として割り当てる期間や、「対象」ユーザーを手動で「アクティブ」にする場合などの制約を設定する。
「アクティブ化」の項目では「アクティブ」の状態のユーザーに何を許可するかと、ユーザーが自ら「アクティブ」にするために管理者、ユーザーに何を要求するかを設定する。
アクティブ化の最大期間(時間)
> Aさんが「対象」→「アクティブ」に変更した時に、どれだけ「アクティブ」状態を維持するかを設定する。
つまり、Aさんはここに設定された時間のみユーザー管理者ロールの権限を使って作業ができる。
アクティブ化で必要
> Aさんがアクティブ化する際に、AuthenticatorなどでMFAをする必要があるかどうかを設定する
MFA以外にもEntra 条件付きアクセス認証コンテキストが選べる。
アクティブ化に理由が必要
> Aさんがアクティブ化する際に、なぜアクティブ化したいのかの理由を記載する必要があるかどうかを設定する
アクティブ化の時にチケット情報を要求します
> Aさんなどの「対象」ユーザーが「アクティブ」にするために、サポートチケット番号を入力するように要求できる。
トラブル対応などの証拠と揃えて権限を渡す運用が想定される。
アクティブにするには承認が必要です
> Aさんがアクティブ化したいとなった際に、管理者が承認をするか、承認なしでアクティブ化ができるかを設定する
承認者
> 承認をする場合、承認者を選択する。選択されていない場合は自動的にアクティブな「特権ロール管理者」と「グローバル管理者」を持ったユーザーが承認者になる。
これらを踏まえて、
Aさんがユーザー管理者ロールへのアクセスをする場合、「アクティブ化の最大期間」の制約に基づき、8時間までしか作業ができない。
8時間後は再度アクティブ化をするために、MFAを行う必要がある。
また、資格のあるユーザー(対象)であるAさんはユーザー管理者ロールをアクティブ化する場合、「アクティブ化するには承認が必要です」の制約に基づき承認を得なければならない。
承認者は設定されていないので、自動的に「特権ロール管理者」と「グローバル管理者」が選ばれる。
コメント