見出し画像
Photo by ピーテル・パウル・ルーベンス / メトロポリタン美術館

Azure ADのPIMを設定する

kobaso

そもそもPIMとは

そもそもPIMとはなんぞや?
という話なんですが、PIMとはAzure ADの機能のうちの1つです。
Azure ADでもなんでも管理者というのが存在するわけで、その権限を情シスなんて存在はよく持っているのですが、いつでも持っているというのはセキュリティ上的にもよろしくないよね?という意味で、必要時のみ割り当てをする機能

最近、プレビューですが、グループを利用したPIM制御もできるようになりました。(後述)

個人に割り当てる方法

とりあえず、個人に権限を割り当てる方法
割り当ては、Identity Governance > Privieged Identity Management から設定ができます。
って書いてるけど、Azure AD周りがちょっと大きく変わったのでまだここにいるか分からん。多分いると思う。多分だけど。見つからなかったら、Azureから直接、Privieged Identity Managementで検索したら出てくるんじゃないかな?知らんけど

ざっくりすぎる割り当ての方法。
1. Azure ADロールから作りたい権限のセットを作成する
2. リソースを選択
3. ロールを選択
4. ユーザーの選択、この時複数人の選択は可能
5. 次へ
6. 割り当ての種類を選択(何が違うかは後述)
7. 割り当ての期間の設定


割り当ての種類について


割り当ての種類は2種ありますが、簡潔にいうと、他のユーザーの承認が必要か必要ないが大きな違いになります。

[対象] 割り当ての場合、このロールのメンバーは、ロールを使用するにはアクションを実行する必要があります。 要求されるアクションには、多要素認証 (MFA) チェックの実行、業務上の妥当性の指定、指定された承認者に対する承認要求などがあります。

[アクティブ] 割り当ての場合、ロールを使用するために何らかのアクションを実行することをメンバーに要求しません。 アクティブ割り当てされたメンバーは、ロールによって提供される特権を常に所有します。

対象を設定した場合は、承認可能なメンバーに承認してもらう必要があります。
承認メンバーグループを作る感じ。これは申請する人とはまた違います。
PIMで権限を申請できる ≠ 承認を行える人
承認は承認で設定しよう(承認者はざっくりすぎる手順の1で設定します)

ここ結構大きな差です。テストには出ないと思うけど


最初の方、これで運用してたけど対象でも通知は行くし理由は書かんとあかんので、わざわざ承認他に頼む必要ある?ってなり、最近、めんどくさすぎて新しくjoinしてくれたメンバーが設定変更してくれたのを機に、やめました。対象に変更して申請内容は書くというフローになています。私は、理由書きつつネタに走ってる文章なのでよく、そのメンバーからSlackで晒されます。監査おじさん対応は理由として何も間違っていない。!

まぁとにかく言えるのは承認願いがメールでしか飛んでこないのはしんどい

しんどいについて記事書いてる
Azure ADのPIM通知をいい感じにSlackに通知させたかったのにそんな現実は甘くなかった話

ユーザーによって、対象にするか・アクティブにするかなどは、変更ができるので、たとえばヘルプデスクというか情シス業務の一部を外部に委託してたりとかする会社で、委託の人は承認を社員が行うようにする。みたいな運用でもいいかもしれない。

今回はグローバル管理者という、最強権限を付与しまいたが、ユーザー毎で割り当てる権限を変えたり、複数割り当てをできたりします。最近はこの運用に変えて色々ごちゃごちゃしてめんどくさいという問題もちらほら

権限の詳しい範囲はこれをみて
Azure AD の組み込みロール


グループにPIMの設定をする


今はプレビュー段階になります。
まぁなんですが基本的には、個人にPIMの付与をするのとあんま変わらない感じ。

グループを作って、それに対してPIMの設定をしていくみたいな。
情シスグループを作って、特権やらなんやらの権限を追加してみたり、アプリケーション開発メンバー用のグループ作って権限付与したりとか

グループでの管理ができることになったメリットは、誰がどの権限を申請できるのかが一目瞭然ということなので、退職したり他の部門に移動になった時にPIM設定をはずしやすいよね〜みたいな。

管理が楽になったという感じです。

ちなみに、これも新しくjoinしてくれたメンバーが設定してくれました、MS強い人は本当にすごい。私はしんどいよ。


てかそれより、Microsoftの権限多すぎ問題


PIMの設定するとわかるですが、権限が細分化されすぎてマジわかんねーwってなります。
だからと言っていつもグローバル管理者というのも、じゃあなんでPIMつかってるのよ?という話になるわけで。
MFAの再設定やセッション削除はユーザー管理者でできるか?って思ったら認証管理者だったり。
もはや、申請しながらMS権限クイズをしてる状態。
自分が利用できる権限一覧のところにヒント書いておいてほしいぜって感じ

グルーピングができるみたいなことを聞いたので、それを検討したい。
じゃないと私は権限の申請でホッピングすることを永遠繰り返すことになる。。。。


ちなみにサムネは、自分がやりたい作業とそれができる権限を確認するマンだなって思ったのでこれにしました。

お昼ご飯代で使います