circle-info
この記事は自動的に翻訳されています。翻訳には不正確な表現が含まれる場合があります。
英語の原文はこちらをご覧ください。chevron-right
search

RealmJoin Portal を使用した Privileged Identity Management (PIM) の実装

hashtag
概要

このガイドでは、RealmJoin Portal の管理者アクセス権を持つグループに対して Microsoft Entra ID Privileged Identity Management (PIM) を実装する手順を説明します。PIM は、必要なときにユーザーが特権ロールを有効化することを求めることで、ジャストインタイムの管理者アクセスを提供し、セキュリティリスクを低減します。

RealmJoin と PIM を実装すると、管理者は定義された期間に明示的に管理者権限を有効化する必要があり、監査証跡が作成されるとともに、永続的な管理者アクセスによる攻撃対象領域が縮小されます。

hashtag
前提条件

  • PIM アクセスを必要とするユーザー向けの Microsoft Entra ID P2 ライセンス

  • グローバル管理者または特権ロール管理者の権限

  • RealmJoin Portal の設定へのアクセス

  • Microsoft Entra ID グループとロール割り当てに関する理解

hashtag
実装手順

hashtag
手順 1: ロール割り当て可能なグループを作成する

Microsoft Entra ID に 2 つのセキュリティ グループを作成します。「ロール割り当て可能」属性はもはや厳密な前提条件ではありませんが、PIM を最適に機能させるために引き続き推奨されます。

グループ 1: 資格グループ

  • 名前: sec - PIM-Eligibility - RealmJoin Portal - Admins

  • 目的: RealmJoin の管理者アクセス権の資格を持つユーザーを含みます

  • 種類: セキュリティ グループ

  • ロール割り当て可能: 推奨 (はい)

グループ 2: 有効な管理者グループ

  • 名前: sec - PIM-Enabled - RealmJoin Portal - Admins

  • 目的: 実際の RealmJoin 管理者権限を提供する対象グループ

  • 種類: セキュリティ グループ

  • ロール割り当て可能: 推奨 (はい)

hashtag
手順 2: グループの PIM を構成する

グループに対して PIM を有効にする

  1. 次へ移動し Microsoft Entra ID > Privileged Identity Management

  2. 選択します グループ 左側のナビゲーション ペインから

  3. 選択します グループの検出 PIM 管理の対象となるグループを特定する

  4. 新しく作成したグループを選択して、PIM の管理下に置きます

詳細な構成手順については、以下の Microsoft 公式ドキュメントを参照してください。

グループ設定を構成する

  1. 有効化の継続時間を設定する (推奨: 1~8 時間)

  2. 必要に応じて承認要件を構成する

  3. 有効化要件 (MFA、業務上の正当性) を定義する

  4. 最大有効化継続時間のポリシーを設定する

hashtag
手順 3: 資格を割り当てる

PIM が有効なグループに対するユーザーの資格を構成します。

  1. PIM で グループ > 割り当て

  2. を選択してください sec - PIM-Enabled - RealmJoin Portal - Admins group

  3. 選択します 割り当ての追加

  4. 選択します 資格 割り当ての種類

  5. ユーザーまたは資格グループ (sec - PIM-Eligibility - RealmJoin Portal - Admins)

  6. 必要に応じて割り当て期間とスケジュールを設定します

包括的な割り当てのガイダンスについては、以下を参照してください。 Privileged Identity Management でグループの資格を割り当てるarrow-up-right

hashtag
構成ロジック

hashtag
ユーザー管理ワークフロー

  1. ユーザーを資格グループに追加する: ユーザー アカウントを sec - PIM-Eligibility - RealmJoin Portal - Admins

    • このグループは、管理者アクセスを要求できるユーザーのソースとして機能します

    • このグループのユーザーは、PIM が有効なグループへのメンバーシップを有効化できます

  2. RealmJoin Portal を構成する: sec - PIM-Enabled - RealmJoin Portal - Admins を RealmJoin Portal の設定で管理グループとして設定します

    • このグループのアクティブなメンバーのみが管理者権限を持ちます

    • アクセスを取得するには、ユーザーは PIM を通じて自分のメンバーシップを有効化する必要があります

hashtag
アクセス有効化プロセス

ユーザーが RealmJoin の管理者アクセスを必要とする場合:

  1. ユーザーは マイ アクセス ポータルまたは PIM インターフェースに移動します

  2. のメンバーシップの有効化を要求します sec - PIM-Enabled - RealmJoin Portal - Admins

  3. 業務上の正当性を提供します (必要な場合)

  4. MFA チャレンジを完了します (構成されている場合)

  5. RealmJoin Portal への時間制限付き管理者アクセスを取得します

  6. アクセスは定義された継続時間後に自動的に期限切れになります

hashtag
セキュリティ上の利点

  • ジャストインタイム アクセス: 管理者権限は必要なときにのみ付与されます

  • 監査証跡: すべての有効化要求と承認が記録されます

  • 攻撃対象領域の縮小: 永続的な管理者アカウントが減少します

  • コンプライアンス: 特権アクセス管理に関する規制要件をサポートします

  • 管理された継続時間: 管理者アクセスは自動的に期限切れになります

  • 承認ワークフロー: 機密性の高いロール向けの任意の承認プロセス

hashtag
ベスト プラクティス

  • 定期的なアクセス レビュー: グループ メンバーシップと PIM 割り当てを定期的に確認します

  • 適切な継続時間: 一般的な管理タスクの所要時間に基づいて有効化期間を設定します

  • MFA の強制: 有効化には常に多要素認証を必須にします

  • 業務上の正当性: ユーザーにアクセス要求の理由を提供するよう求めます

  • 監視: PIM 監査ログを定期的に確認し、異常な有効化パターンを検出します

  • ドキュメント: 緊急アクセス シナリオに関する明確な手順を維持します

hashtag
トラブルシューティング

hashtag
よくある問題

  • ユーザーに有効化オプションが表示されない: PIM ライセンスとグループ割り当てを確認します

  • 有効化に失敗する: MFA の設定と承認ワークフローの構成を確認します

  • RealmJoin アクセスが拒否される: RealmJoin Portal の設定で正しいグループが構成されていることを確認します

hashtag
確認手順

  1. パイロット ユーザーで有効化プロセスをテストします

  2. RealmJoin Portal が PIM が有効なグループを認識することを確認します

  3. 監査ログが正しく機能していることを確認します

  4. 緊急アクセス手順をテストします

hashtag
追加リソース

最終更新

役に立ちましたか?