circle-info
この記事は自動的に翻訳されています。翻訳には不正確な表現が含まれる場合があります。
英語の原文はこちらをご覧ください。chevron-right
search

RealmJoin ポータルでの特権 ID 管理 (PIM) の実装

hashtag
概要

このガイドでは、RealmJoin ポータルの管理アクセスに対して Microsoft Entra ID Privileged Identity Management (PIM) for Groups を実装する手順を説明します。PIM は、必要なときにユーザーが特権ロールを有効化することを要求することで、ジャストインタイムの管理アクセスを提供し、セキュリティリスクを低減します。

RealmJoin と PIM を組み合わせて実装することで、管理者は定められた期間のみ明示的に管理特権を有効化する必要があり、監査の記録が残り、恒常的な管理アクセスによる攻撃対象範囲が縮小されます。

hashtag
前提条件

  • PIM アクセスを必要とするユーザー向けの Microsoft Entra ID P2 ライセンス

  • グローバル管理者または特権ロール管理者の権限

  • RealmJoin ポータルの構成に対するアクセス

  • Microsoft Entra ID のグループおよびロール割り当ての理解

hashtag
実装手順

hashtag
ステップ 1: ロール割り当て可能なグループを作成する

Microsoft Entra ID に 2 つのセキュリティグループを作成します。「role-assignable」属性はもはや厳密な前提条件ではありませんが、最適な PIM 機能のために推奨されます。

グループ 1: Eligibility グループ

  • 名前: sec - PIM-Eligibility - RealmJoin Portal - Admins

  • 目的:RealmJoin 管理アクセスの対象となるユーザーを含む

  • 種類:セキュリティ グループ

  • ロール割り当て可能:推奨(はい)

グループ 2: アクティブ管理者グループ

  • 名前: sec - PIM-Enabled - RealmJoin Portal - Admins

  • 目的:実際に RealmJoin の管理権限を付与する対象グループ

  • 種類:セキュリティ グループ

  • ロール割り当て可能:推奨(はい)

hashtag
ステップ 2: グループの PIM を構成する

グループに対して PIM を有効にする

  1. に移動します Microsoft Entra ID > Privileged Identity Management

  2. 選択します グループ 左側のナビゲーション ウィンドウから

  3. を選択 グループの検出 を使用して PIM 管理の対象となるグループを特定します

  4. 作成したグループを選択して PIM 管理下に置きます

詳細な構成手順については、公式の Microsoft ドキュメントを参照してください:

グループ設定を構成する

  1. 有効化期間を設定する(推奨: 1~8 時間)

  2. 必要に応じて承認要件を構成する

  3. 有効化要件を定義する(MFA、業務上の理由)

  4. 最大有効化期間ポリシーを設定する

hashtag
ステップ 3: 適格性を割り当てる

PIM 有効化グループに対するユーザーの適格性を構成します:

  1. PIM で、次へ移動します グループ > 割り当て

  2. を選択し、 sec - PIM-Enabled - RealmJoin Portal - Admins グループ

  3. を選択 割り当てを追加

  4. 選択します 適格 割り当てタイプ

  5. ユーザーまたは適格性グループ(sec - PIM-Eligibility - RealmJoin Portal - Admins)

  6. 必要に応じて割り当て期間とスケジュールを設定する

包括的な割り当てガイダンスについては、次を参照してください: Privileged Identity Management でグループの適格性を割り当てるarrow-up-right

hashtag
構成の論理

hashtag
ユーザー管理ワークフロー

  1. 適格性グループにユーザーを追加する:ユーザーアカウントを追加する sec - PIM-Eligibility - RealmJoin Portal - Admins

    • このグループは、管理アクセスを要求できるユーザーのソースとして機能します

    • このグループのユーザーは PIM を介して PIM 有効化グループのメンバーシップを有効化できます

  2. RealmJoin ポータルを構成する:を管理グループとして設定する sec - PIM-Enabled - RealmJoin Portal - Admins RealmJoin ポータルの設定で

    • このグループのアクティブなメンバーだけが管理権限を持ちます

    • ユーザーはアクセスを得るために PIM を通じてメンバーシップを有効化する必要があります

hashtag
アクセス有効化プロセス

ユーザーが RealmJoin の管理アクセスを必要とする場合:

  1. ユーザーは次に移動します マイアクセス ポータルまたは PIM インターフェイス

  2. でメンバーシップの有効化を要求する sec - PIM-Enabled - RealmJoin Portal - Admins

  3. 業務上の理由を提供する(必要な場合)

  4. (設定されている場合は)MFA チャレンジを完了する

  5. RealmJoin ポータルへの時間制限付きの管理アクセスを受け取る

  6. アクセスは定義された期間後に自動的に失効します

hashtag
セキュリティ上の利点

  • ジャストインタイムアクセス:管理特権は必要なときにのみ付与されます

  • 監査トレイル:すべての有効化要求と承認が記録されます

  • 攻撃対象範囲の縮小:恒久的な管理アカウントが減少します

  • コンプライアンス:特権アクセス管理に関する規制要件をサポートします

  • 制御された期間:管理アクセスは自動的に失効します

  • 承認ワークフロー:重要な役割に対する任意の承認プロセス

hashtag
ベストプラクティス

  • 定期的なアクセスレビュー:グループ メンバーシップと PIM 割り当てを定期的にレビューする

  • 適切な期間設定:典型的な管理タスクの所要時間に基づいて有効化期間を設定する

  • MFA の適用:有効化時には常に多要素認証を要求する

  • 業務上の理由の提示:ユーザーにアクセス要求の理由を提供させることを要求する

  • 監視:異常な有効化パターンについて定期的に PIM 監査ログをレビューする

  • ドキュメンテーション:緊急アクセスのシナリオに対する明確な手順を維持する

hashtag
トラブルシューティング

hashtag
一般的な問題

  • ユーザーが有効化オプションを表示できない:PIM のライセンスとグループ割り当てを確認する

  • 有効化が失敗する:MFA の設定と承認ワークフローの構成を確認する

  • RealmJoin へのアクセスが拒否される:RealmJoin ポータルの設定で正しいグループが構成されていることを確認する

hashtag
検証手順

  1. パイロットユーザーで有効化プロセスをテストする

  2. RealmJoin ポータルが PIM 有効化グループを認識することを検証する

  3. 監査ログ記録が正しく動作していることを確認する

  4. 緊急アクセス手順をテストする

hashtag
追加リソース

最終更新

役に立ちましたか?