前にEligible user(有資格者)側としてPIMを利用していました。
今回はAdministrator(管理者)側の操作を検証してみます。
やりたいこと
PIMグループを作成して、アクティブ化の承認を実施する。
承認依頼のメールとか、承認完了までの操作をブログに記載したい。
PIMの設定
ユーザー情報
ユーザーは2人設定。
Administrator:ad_tomioka
Eligible user:kottomioka
kottomiokaがPIMのアクティブ化を依頼し、ad_tomiokaが承認します。
現時点でkottomiokaは何も権限を有していません。
権限
リソースグループrg-tomiokaをターゲットに、kottomiokaに対して共同作成者をPIMで割り当てます。
グループ作成
まずはグループを作成します
Azure Portal > Entra IDで検索 > グループ > 新しいグループ
から「PIM-tomioka-共同作成者」のグループを作ります。
所有者にad_tomioka、メンバーにkottomiokaを指定しています。
グループ作成後、アクティビティ>Privileged Identity Management
から「このグループのPIMを有効にする」をクリックします。
これでグループ作成完了です。
PIMの設定
Azure Portal > PIMで検索 >管理 > Azureリソース
からリソースグループrg-tomiokaを指定し、リソースの管理を押します。
管理>割り当て から割り当ての追加を押します。
ロールの選択:共同作成者、選択されたメンバー:PIM-tomioka-共同作成者 を指定します。
これからアクティブ化に承認が必要な設定をします。
PIM-tomioka-共同作成者の画面より、割り当て>設定
からロールのMemberをクリックします。
余談ですがこの画面にいくまで少し苦労しました。
編集画面が出てきて、「アクティブにするには承認が必要です」にチェックを付けて、承認者を設定します。
これでPIMグループ作成完了です。
アクティブ化の承認やってみた
kottomiokaでポータルにログインし、PIMでアクティブ化の申請をします。
そしたらメールが来ました。
ad_tomioka側で承認ボタン押すと、承認者にも理由が求められました。
承認後すぐにkottomiokaに対してアクティブ化されました。
さいごに
ずっとやってみたかったPIMの承認を体験しました。
承認する際にも理由を記載しないといけないことが判明しました。
手作業で承認するので実際の運用では、要求が来るたびに承認するのか、時間を指定して一斉に承認するかの考慮が必要そう。