問題
次の表に示すグループを含む Microsoft Entra テナントがあります。
グループに対して Privileged Identity Management (PIM) を実装する必要があります。
PIMを使用して管理できるグループはどれですか?
A. グループ1のみ
B. グループ1とグループ2のみ
C. グループ1とグループ3のみ
D. グループ3とグループ4のみ
E. グループ1、グループ2、グループ3、グループ4
回答
C.グループ1とグループ3のみ
解説
PIMの復習
○ 特定の期間に限定して権限を付与したり、権限を行使する際に承認を必要としたりする機能
○ 例①:UserXにユーザー管理者ロールを時間制限付きで付与
○ 例②:UserXのロールのアクティブ化要求に対して、管理者が承認することでロールを期限付きでアクティブ化させたい
グループ向けのPIMとは
○ グループの所有者ロールやメンバーロールを必要な時に必要な時間だけ付与するというJITアクセスの機能
例:グループAのメンバーロールをUserXに1日アクティブな割り当てを実施
⇒UserXが1日グループAのメンバーに所属
例:グループAの所有者ロールをUserXに1日アクティブな割り当てを実施
⇒UserXが1日グループAの所有者として所属
〇使用例として、該当のグループに複数のロールをあらかじめ割り当てておき、グループへの所属メンバーをPIMで管理するイメージ
グループ向けPIMの制約
○ 動的グループでは、グループ向けPIMの有効化不可
⇒今回の問題でいうと、Group2,4が動的グループにあたるため、グループ向けのPIMの実装が不可となる
ロールの割り当て可能グループ
○ グループに、ユーザー管理者ロールやIntune管理者ロールのようなEntraロールを割り当てる場合、「ロールの割り当て可能なグループ」である必要がある
○ ロールの割り当て可能グループも、動的グループでの作成不可
○ グループ向けのPIMを有効化するのに「ロールの割り当て可能なグループ」である必要はなし
○ 後から、「ロールの割り当て可能なグループ」に変更することは不可(SC-300の問題で必要な知識)
○ グループの入れ子が不可
復習問題
次の表に示すグループが含まれています。
デバイス管理者ロールを IT_Group1 に割り当てようとしたときに、グループが選択リストに表示されません。
IT_Group1 の問題を解決する必要があります。
まず何をすべきでしょうか?
A. IT_Group1 のメンバーシップ タイプを動的ユーザーに変更します。
B. IT_Group1 グループを再作成します。
C. IT グループ 1 のメンバーシップ タイプを動的デバイスに変更します。
D. IT_Group1 に所有者を追加します。
回答
B. IT_Group1 グループを再作成します。
⇒後から、「ロールの割り当て可能なグループ」に変更することは不可
コメント