ラボ: Privileged Identity Management について確認する

このラボは、次の Learn コンテンツに対応しています。

  • ラーニング パス: Microsoft Entra の機能について説明する
  • モジュール: Microsoft Entra の ID 保護とガバナンスの機能について説明する
  • ユニット: Privileged Identity Management の機能を説明する

ラボのシナリオ

このラボでは、Privileged Identity Management (PIM) のいくつかの基本的な機能の詳細を確認します。 PIM には、Microsoft Entra ID P2 ライセンスが必要です。 このラボでは、管理者として、Privileged ID Management (PIM) を通して、Microsoft Entra ユーザー管理者のロールを持つ “Diego Siciliani” という 1 人のユーザーを構成します。 ユーザー管理者特権を使用すると、Diego はユーザーとグループの管理ライセンスなどを作成できるようになります。 管理者とユーザー Diego の両方を、Microsoft Entra ID P2 ライセンスに対して構成する必要があります。

予測される所要時間: 60 分

タスク 1

このタスクでは、管理者として、ユーザーDiego Siciliani のパスワードをリセットします。 この手順は、後続のタスクで最初にユーザーとしてサインインできるようにするために必要です。

  1. Microsoft Edge を開きます。 アドレス バーに「https://entra.microsoft.com」と入力します。

  2. ALH から提供された Microsoft 365 管理者の資格情報を使ってサインインします。
    1. [サインイン] ウィンドウで「admin@WWLxZZZZZZ.onmicrosoft.com」 (この ZZZZZZ はお使いの ALH から提供された一意のテナント ID です) と入力し、[次へ] を選びます。
    2. ラボ ホスティング プロバイダーから提供されている管理者パスワードを入力します。 [サインイン] を選択します。
    3. 以前に管理者としてログインしたことがある場合は、MFA の一部として、セカンダリ認証を完了するように求められる場合があります。 以前に管理者としてログインしたことがない場合は、MFA 登録プロセスを完了するように求められる場合があります。画面の指示に従って MFA をセットアップします。
    4. サインインしたままにするかどうかを尋ねられたら、[はい] を選択します。

  3. 左側のナビゲーション パネルで [ID][ユーザー] の順に展開し、[すべてのユーザー] を選びます。

  4. ユーザーの一覧から、[Diego Siciliani] を選択します。

  5. ページの上部から、[パスワードのリセット] を選択します。 “Diego Siciliani” として以前にサインインしていないため、彼のパスワードを把握していないので、パスワードをリセットする必要があります。

  6. [パスワードのリセット] ウィンドウが表示されたら、[パスワードのリセット] を選択します。 重要: 後のタスクで、ユーザーとしてサインインできるように、新しいパスワードを控えておいてください。

  7. 左ナビゲーション パネルで [ホーム] を選んで Microsoft Entra 管理センターのホーム ページに戻ります。

  8. 以降のタスクで必要になるので、ブラウザー ページを開いたままにします。

タスク 2

このタスクでは、管理者として、Privileged Identity Management で Diego に Microsoft Entra ID ロールを割り当てます。

  1. ブラウザー タブで Microsoft Entra 管理センターのホーム ページを開きます。

  2. 左側のナビゲーション パネルの [ID] で [Identity Governance] を展開し、[Privileged Identity Management] を選びます。

  3. [Privileged Identity Management クイック スタート] ページが表示されます。 [作業の開始] ページで情報を確認します。 メイン ウィンドウの [アクセスの管理] と表示されているところで、[管理] を選択します。

  4. [Contoso ロール] ページに移動します。 ページの上部にある検索バーに「ユーザー」と入力します。 検索結果から、[ユーザー管理者] を選択します。

  5. ページの上部で [+ 割り当ての追加] を選びます。

  6. [割り当ての追加] ページで、[メンバーシップ] に下線が引かれていることを確認します。 ここでは、PIM でユーザー管理者ロールに対するメンバーシップ設定を構成します。

  7. スコープの種類を既定値の [ディレクトリ] のままにします。

  8. [メンバーの選択] で、 [メンバーが選択されていません] を選びます。 これにより、[メンバーの選択] ウィンドウが開きます。

  9. 検索バーに「Diego」と入力します。 検索結果から [Diego Siciliani] を選択してから、ページの下部で [選択] を押します。

  10. [メンバーの選択] の下に、1 人のメンバーが選択され、選択されたメンバー Diego Siciliani の名前とメール アドレスが表示されます。 [割り当ての追加] ページに下部で、[次へ] を選択します。

  11. [設定] ページに移動します。 割り当ての種類を既定値の [適格] のままにします。

  12. [永続的に適格] ボックスがチェックされている場合は、[永続的に適格] を選択して、チェックマークを削除します。

  13. [割り当て開始] フィールドを既定の日付と時刻 (今日の日付と現在の時刻) のままにします。

  14. [割り当て終了] フィールドで、日付を今日の日付に変更します (既定の設定では今日から 1 年後になっているため、年を変更する必要があることに注意してください)。 時刻については、時刻を現在の時刻から 2 時間に設定します。 [時刻] フィールドに割り当て終了時刻を設定した後、キーボードの Tab キーを押して、ページ下部の [割り当て] を選択します。

  15. これにより、[割り当て] ウィンドウに戻ります。 数秒後、Diego Siciliani が “ユーザー管理者” テーブルに、割り当ての詳細と共に表示されます。 数秒後に更新情報が表示されない場合は、ページ上部で [更新] を選択します。

  16. ページの上部で、[設定] を選択します。

  17. ユーザー管理者のロール設定の詳細で、さまざまなオプションに注目してください。 [アクティブ化時に正当化を要求する] を [はい] に設定し、[アクティブ化時に Azure MFA を要求する] も [はい] に設定することに注意してください。 Diego がロールをアクティブ化する次のタスクで、これらの両方を確認します。 また、[アクティブにするには承認が必要です] が [いいえ] に設定されていることにも注意してください。 すべての設定を既定値のままにしておきます。 画面の右上隅の [X] を選択して、ページを閉じます。

  18. 画面の右上隅のメール アドレスの隣の [ユーザー] アイコンを選択し、[サインアウト] を選択してサインアウトします。次に、すべてのブラウザー ウィンドウを閉じます。

タスク 3

このタスクでは、Diego Siciliani として Microsoft Entra 管理センターにサインインして、Microsoft Entra の Privileged Identity Management 機能にアクセスして、ユーザー管理者として割り当てをアクティブにします。 アクティブ化した後、既存のユーザーに対して、いくつかの構成変更を行います。 注: このタスクでは、Microsoft Authenticator アプリで使用するモバイル デバイスにアクセスする必要があります。

  1. Microsoft Edge を開きます。 ブラウザーのアドレス バーに「Entra.microsoft.com」と入力します。

  2. Diego Siciliani としてサインインします。
    1. [サインイン] ウィンドウで、「DiegoS@WWLxZZZZZZ.onmicrosoft.com」 (ZZZZZZ はラボ ホスティング プロバイダーから指定された固有のテナント ID) と入力してから、[次へ] を選択します。
    2. 以前のタスクでメモした一時パスワードを入力し、[サインイン] を選択します。 [サインイン] を選択します。
    3. 入力したパスワードは一時パスワードであるため、変更する必要があります。 現在のパスワードを入力し、新しいパスワードを入力し、新しいパスワードを確認入力します。 タスクを完了するために必要になるので、新しいパスワードをメモしておきます。
    4. Diego としてログインするのは初めてなので、MFA のセットアップを求められる場合があります。 画面の指示に従って MFA を設定します。
    5. サインインしたままにするかどうかを尋ねられたら、[はい] を選択します。
  3. これで、Microsoft Entra 管理センターへのログインに成功します。
  4. 左側のナビゲーション パネルで [Identity Governance] を展開し、[Privileged Identity Management] を選びます。
  5. 左ナビゲーション パネルで、[自分のロール] を選択します。 これで、対象となる割り当ての情報が表示されます。 自分が Diego であり、ユーザー管理者のロールが割り当てられていることが表示されます。
  6. テーブルの最後のアクションというラベルの付いた列で、[有効化] を選択します。
  7. 追加検証が必要であることを示す警告アイコンが表示されます。 [クリックして続行する] を選択します。 ユーザー管理者のロールの PIM 設定には、多要素認証が必要であることに注意してください。 さらに、MFA (認証方法) で使用する Diego の連絡先情報は以前に構成されていないため、MFA を使用できるようにするには、情報を登録する必要があります。 ユーザー管理者としてサインインするたびに MFA を実行する必要がありますが、割り当て期間内に MFA 登録プロセスが必要なのは 1 回だけです。
  8. 表示されるウィンドウとその後の手順は、Microsoft Authenticator アプリのメソッド用です。 .
    1. モバイル デバイスに Microsoft Authenticator アプリが既にインストールされている場合は、[次へ] を選択します。 それ以外の場合は、[今すぐダウンロード] を選択し、手順に従います。
    2. アカウントのセットアップを開始することになります。 [次へ] を選択します。
    3. モバイル デバイスで Microsoft Authenticator アプリを使用して、[+] を選択してアカウントを追加し、[職場または学校アカウント] を選択します。
    4. QRコードをスキャンするオプションを選択し、モバイル デバイスを使用して PC 画面上の QR コードをスキャンします。
    5. モバイル デバイスで Microsoft Authenticator アプリを使用して、QR コードをスキャンします。
    6. PC とモバイル デバイスの手順に従い、[次へ] を選択します。
    7. セキュリティ情報を設定すると、[成功] ウィンドウが表示されます。 完了 を選択します。
  9. MFA 登録プロセスが完了すると、[PIM アクティブユーザー 管理者] ページに戻ります。
  10. [ユーザー管理者の有効化] ウィンドウが表示されます。 有効化の理由を入力する必要があります。 表示されるボックスに、理由 (最大 500 文字) を入力してから、[有効化] を選択します。
  11. 有効化が処理されるにつれ、状態 (3 段階の進捗状況) が表示されます。
  12. アクティブ化が完了すると、[自分のロール Microsoft Entra ID ロール] に遷移し、そこにロールの有効化が完了したことを示す通知が表示されます。 [ここをクリック] を選択して、アクティブなロールを表示します。 終了時刻が元々構成した時刻と異なることに気づいた場合は、ページの上部の [更新] キーを選択します (更新には数分かかる場合があります)。
  13. 左側のナビゲーション パネルで [ホーム] を選んで、Microsoft Entra 管理センターのホーム ページに戻ります。
  14. Microsoft Entra ID ユーザー管理者であるあなたは、ユーザーとグループの作成、ライセンスの管理などを行うことができます。 左側のナビゲーション パネルで、[ID] を展開し、[ユーザー] を選択します。
  15. ユーザーの一覧から、[Bianca Pisani] を選択します。
  16. 左ナビゲーション パネルで、[グループ] を選択します。
  17. Bianca が既に割り当てられているグループに注目してください。 ページの上部で、[+ メンバーシップ] を選択します。
  18. グループの一覧から [Mark 8 Project Team] を選択します。
  19. ページの下部で、[選択] を選択します。
  20. [グループ] ページで、Mark 8 Project Team グループが一覧に追加されていることがわかります (一覧にすぐに表示されない場合は、[更新] ボタンを選択します)。
  21. 画面の右上隅のメール アドレスの隣の [ユーザー] アイコンを選択し、[サインアウト] を選択してサインアウトします。次に、すべてのブラウザー ウィンドウを閉じます。
  22. ユーザー管理者ロールの期間は、構成した時間に制限されます。

確認

このラボでは、PIM について詳細を確認しました。 管理者として、指定された期間、ユーザー管理者特権を使用して Diego を構成しました。 そして、Diego として、ユーザー管理者特権と、グループに対しユーザーをアクティブ化するプロセスを行いました。 PIM には Microsoft Entra ID Premium P2 ライセンスが必要であることに注意してください。