本記事はFIXERが提供する「cloud.config Tech Blog」に掲載された「PIMのAzure ADロール設定を見直す」を再編集したものです。
PIM(Privileged Identity Management)の運用を行っている方、またはこれから設定しなければならない方、下記のようなことで困ったりしていませんか?
1.何から設定すればよいか分からない
PIMの概要と最初に設定すべきポイントについて下記記事にて解説しています。
まずはPIMのクイックスタート画面の設定から始めることをおススメします。
PIM(privileged identity management)の導入のススメ
2.対象となるロールの種類が多すぎて、設定していないロールが存在する
まずはすべてのロールの既定値を確認しましょう。
※各ロール毎に方針を定めて設定を行うのがベストですが、未設定(既定)の状態を把握することも含め、本手順で確認することをおススメします。
設定画面へのアクセス方法
1.Azure Portalにアクセス
2.すべてのサービスから「Identity Governance」を開く
3.サイドメニュー「Privileged Identity Management」の「Azure ADロール」を開く
4.サイドメニュー「管理」の「Azure ADロール」を開く
5.サイドメニュー「管理」の「設定」を開く
6.「ロール」を開く
7.「すべてのロールの既定値」を開く
という遠い道のりの先に設定画面があります。
PIMの初回セットアップが完了している方は下記リンクからアクセスすることも可能です。
https://portal.azure.com/#blade/Microsoft_Azure_PIM/RoleSettingsDefaultForAllRolesBlade/roleId/All
こちらの画面で各種Azure ADロールの既定値を設定できます。
3.承認者の要否、および承認者(グループ)を一括指定したい
既定値を設定する画面には承認者を設定する項目がありません。
そのため、承認者については各種ロールの設定画面を開いて1個ずつ設定していくほかありません。
・・・が、GUIの限界を超えるため、一括登録の手順を作成しました。
長くなりますので、下記3つの記事にまとめています。
Graph APIとPowershellを駆使してPIMの設定を一括登録(準備編)
Graph APIとPowershellを駆使してPIMの設定を一括登録(実践編)
作業量を考えると直接設定したほうが早いのでは?と思うかもしれません。
しかし今後新しいロールが増えることや、PIMの仕組みが変わっていく可能性なども考慮すると準備していおいて損はないものだと思います。
PIMを含めAzureの各種サービスは随時User Voiceを通じて更新されています。
上記手順も将来のアップデートで使えなくなるかもしれませんが、どなたかの参考になりましたら幸いです。
神守 広介/FIXER
株式会社FIXERにてCorporate IT業務をエンジョイしてます。
[転載元]
PIMのAzure ADロール設定を見直す
