この記事は自動的に翻訳されています。翻訳には不正確な表現が含まれる場合があります。
英語の原文はこちらをご覧ください。
Ctrlk

RealmJoin ポータルで Privileged Identity Management (PIM) を実装する

概要

このガイドでは、RealmJoin Portal の管理アクセスを伴う Groups 向けの Microsoft Entra ID Privileged Identity Management (PIM) の実装手順を説明します。PIM は、必要なときにユーザーが特権ロールを有効化することを求めることで、セキュリティリスクを低減し、ジャストインタイムの管理アクセスを提供します。

RealmJoin で PIM を実装すると、管理者は定義された時間内に管理者権限を明示的に有効化する必要があり、監査証跡が作成され、永続的な管理アクセスによる攻撃対象領域が縮小されます。

前提条件

  • PIM アクセスを必要とするユーザー向けの Microsoft Entra ID P2 ライセンス

  • 全体管理者または特権ロール管理者の権限

  • RealmJoin Portal の設定へのアクセス

  • Microsoft Entra ID Groups とロール割り当てに関する理解

実装手順

手順 1: ロール割り当て可能なグループを作成する

Microsoft Entra ID で 2 つの Security Group を作成します。「role-assignable」属性はもはや厳密な前提条件ではありませんが、最適な PIM 機能のために引き続き推奨されます。

グループ 1: 対象グループ

  • 名前: sec - PIM-Eligibility - RealmJoin Portal - Admins

  • 目的: RealmJoin の管理者アクセスの対象となるユーザーを含みます

  • 種類: Security Group

  • ロール割り当て可能: 推奨(はい)

グループ 2: アクティブ管理者グループ

  • 名前: sec - PIM-Enabled - RealmJoin Portal - Admins

  • 目的: 実際の RealmJoin 管理者権限を提供する対象グループ

  • 種類: Security Group

  • ロール割り当て可能: 推奨(はい)

手順 2: Groups 向けに PIM を構成する

Groups 向けに PIM を有効化する

  1. 次へ移動します Microsoft Entra ID > Privileged Identity Management

  2. 選択します グループ 左側のナビゲーション ペインから

  3. 選択します グループを検出 PIM 管理の対象となるグループを特定します

  4. 新しく作成したグループを選択して、PIM の管理下に置きます

詳細な構成手順については、Microsoft 公式ドキュメントを参照してください:

グループ設定を構成する

  1. 有効化期間を設定する(推奨: 1~8 時間)

  2. 必要に応じて承認要件を構成する

  3. 有効化要件を定義する(MFA、業務上の正当性)

  4. 最大有効化期間ポリシーを設定する

手順 3: 対象設定を割り当てる

PIM 有効化済みグループのユーザー対象設定を構成します:

  1. PIM で次に移動します グループ > 割り当て

  2. 選択してください sec - PIM-Enabled - RealmJoin Portal - Admins グループ

  3. 選択します 割り当ての追加

  4. 選択します 対象 割り当ての種類

  5. ユーザーまたは対象グループを選択します(sec - PIM-Eligibility - RealmJoin Portal - Admins)

  6. 必要に応じて割り当て期間とスケジュールを設定します

包括的な割り当てガイダンスについては、次を参照してください: Privileged Identity Management でグループの対象を割り当てる

構成ロジック

ユーザー管理ワークフロー

  1. ユーザーを対象グループに追加する: ユーザー アカウントを次に追加します sec - PIM-Eligibility - RealmJoin Portal - Admins

    • このグループは、管理者アクセスを要求できるユーザーの供給元として機能します

    • このグループのユーザーは、PIM 有効化済みグループへの参加を有効化できます

  2. RealmJoin Portal を構成する: 次を設定します sec - PIM-Enabled - RealmJoin Portal - Admins RealmJoin Portal の設定で管理グループとして

    • このグループのアクティブなメンバーのみが管理者権限を持ちます

    • アクセスを取得するには、ユーザーは PIM を通じてメンバーシップを有効化する必要があります

アクセス有効化プロセス

ユーザーが RealmJoin の管理者アクセスを必要とする場合:

  1. ユーザーは次へ移動します My Access ポータルまたは PIM インターフェース

  2. のメンバーシップの有効化を要求します sec - PIM-Enabled - RealmJoin Portal - Admins

  3. 業務上の正当性を提示します(必要な場合)

  4. MFA チャレンジを完了します(構成されている場合)

  5. 時間制限付きの RealmJoin Portal 管理者アクセスを取得します

  6. アクセスは定義された期間後に自動的に期限切れになります

セキュリティ上の利点

  • ジャストインタイム アクセス: 管理者権限は必要なときにのみ付与されます

  • 監査証跡: すべての有効化要求と承認が記録されます

  • 攻撃対象領域の縮小: 永続的な管理者アカウントが減少します

  • コンプライアンス: 特権アクセス管理に関する規制要件をサポートします

  • 制御された期間: 管理者アクセスは自動的に期限切れになります

  • 承認ワークフロー: 機密性の高いロールに対するオプションの承認プロセス

ベスト プラクティス

  • 定期的なアクセス レビュー: グループ メンバーシップと PIM 割り当てを定期的に確認します

  • 適切な期間: 一般的な管理タスクの所要時間に基づいて有効化期間を設定します

  • MFA の強制: 有効化には常に多要素認証を要求します

  • 業務上の正当性: ユーザーにアクセス要求の理由を提示させます

  • 監視: 異常な有効化パターンがないか PIM 監査ログを定期的に確認します

  • ドキュメント: 緊急アクセス シナリオに対する明確な手順を維持します

トラブルシューティング

一般的な問題

  • ユーザーが有効化オプションを確認できない: PIM ライセンスとグループ割り当てを確認します

  • 有効化に失敗する: MFA の設定と承認ワークフローの構成を確認します

  • RealmJoin へのアクセスが拒否される: RealmJoin Portal の設定で正しいグループが構成されていることを確認します

確認手順

  1. パイロット ユーザーで有効化プロセスをテストします

  2. RealmJoin Portal が PIM 有効化済みグループを認識していることを確認します

  3. 監査ログ記録が正しく機能していることを確認します

  4. 緊急アクセス手順をテストします

追加リソース

最終更新

役に立ちましたか?