Azure

Azure PIM (Privileged Identity Management) 完全ガイド|JIT 特権管理・Access Review・運用ベストプラクティス

2026-05-24
NicheeLab編集部

PIM (Privileged Identity Management) は、Microsoft Entra ID Premium P2 の特権 ID 管理機能で、ゼロトラスト戦略の特権アクセス管理 (PAM) の中核です。 管理者ロールを Permanent (常時アクティブ) ではなく Just-in-Time (JIT、必要時のみアクティブ化) で運用する仕組みで、内部不正・侵害アカウント悪用のリスクを大幅削減します。 本記事では、PIM の基本動作・Role Settings・Azure Resource ロール対応・Access Review 連携・運用ベストプラクティスを網羅的に整理します。

PIM の基本動作

状態説明
Eligible (適格)ユーザーがロールを保有しているが現在は非アクティブ、PIM 経由で Activate すれば使用可能
Activeユーザーがロールを使用できる状態、Permanent または Time-bound (期間限定)
Activate (操作)Eligible から Active への遷移、MFA + 理由入力 + (オプション) 承認待ち

標準パターン: 全管理者ロールを Eligible 化、必要時に MFA + 理由入力 + 上司承認で Activate。Active 期間は 1-8 時間で自動的に Eligible に戻る。Permanent Active は緊急アクセス用 Break Glass Account のみ (2 アカウント程度)、それ以外はすべて Eligible 化が PIM のベストプラクティスです。

必須ライセンス

  • Microsoft Entra ID Premium P2 必須
  • Microsoft 365 E5・Microsoft Entra ID Governance・Entra ID P2 単体 で取得可能
  • 対象ユーザー全員に P2 ライセンス割り当てが必要
  • Microsoft 365 E5 は P2 を含むため、E5 全社展開なら追加コスト不要
  • E3 環境では Entra ID P2 単体追加 (ユーザーあたり月 9 USD)

Role Settings の重要項目

Role Settings で構成する重要項目:

  1. Maximum activation duration: 1-24 時間、推奨 1-8 時間
  2. Require MFA on activation: 必須に設定
  3. Require justification on activation: 理由入力必須
  4. Require ticket information: Service Now / Jira チケット番号入力、監査対応
  5. Require approval to activate: 承認者指定 (Global Admin は CISO 承認など)
  6. Activation alert: アクティベーション時に CISO / SOC に通知
  7. Eligible assignment 期間設定: 最大 12 ヶ月、年次レビュー前に強制更新

ロール別推奨設定

ロールActivationMFAJustificationApprovalTicket
Global Administrator1-4 時間必須必須必須 (CISO)必須
Privileged Role Administrator2-4 時間必須必須必須必須
Security Administrator4 時間必須必須推奨推奨
User Administrator4-8 時間必須必須任意任意
Reports Reader8 時間必須任意不要不要

Azure Resource ロールの PIM

PIM は Entra ID ロール (Global Admin など) だけでなく、Azure Resource ロール (Owner・Contributor・User Access Administrator・カスタムロール) も対象です。

適用シーン

  • Subscription / Resource Group / Resource レベルで Eligible 割り当て可能
  • 本番サブスクリプションへの Owner 権限を全エンジニアから剥奪 → Eligible 化
  • 必要時に MFA + 理由入力で Activate (最大 4 時間)
  • 操作完了後自動的に Eligible に戻る

これにより本番環境への永続的な高権限を排除、人的ミス・内部不正・侵害アカウント悪用のリスクを大幅削減。 Azure Resource ロールの PIM 対応は Subscription レベル以上で利用可能、Azure Lighthouse 経由のクロステナント管理にも対応します。

Access Review との連携

PIM + Access Review の組み合わせがゼロトラスト特権管理の完成形です。

定期棚卸しパターン

  • 『過去 X ヶ月で Activate 履歴がないユーザーから Eligible 割り当てを剥奪』
  • 『四半期に 1 回、すべての Eligible ロール保有者を上司レビュー』
  • 『全 Eligible Assignment に 12 ヶ月期限設定 + 期限切れ前に Access Review で更新可否判定』

PIM 単独では Eligible 割り当てが Permanent に残り続けるが、Access Review で『使われていない権限の自動剥奪』が実現可能。 これにより組織の特権 ID が継続的に最小化されます。Access Review の詳細は Entra ID Governance 完全ガイド を参照。

運用ベストプラクティス

  1. Permanent Active は Break Glass Account 2 つのみ、それ以外すべて Eligible 化
  2. Global Admin に上司承認 + チケット番号入力を必須化
  3. Maximum Activation Duration を 4 時間程度に短縮 (8 時間以上は緩い)
  4. Activation Alert を CISO / SOC チームに送信
  5. Eligible Assignment に 12 ヶ月期限、Access Review で更新判定
  6. Microsoft Sentinel に PIM Audit Log を送信、異常 Activate を検知
  7. Just Enough Administration (JEA) と組み合わせて最小権限化
  8. Privileged Access Workstation (PAW) からのみ Activate 許可 (Conditional Access で制御)
  9. 四半期に 1 回 PIM Insights レビュー (使われていないロール特定)
  10. On-call Engineer 向け短期 Eligible 割り当て (1 週間など)

Privileged Access Workstation (PAW) との統合

高セキュリティ環境では PIM + PAW の組み合わせが推奨。PAW は特権作業専用の隔離デバイスで、通常業務には使わない構成。

  • Intune で PAW デバイス Compliance Policy を設定
  • Conditional Access で『PIM Activate は Compliant Device からのみ』を強制
  • PAW から特権操作後、通常 PC に戻って業務継続
  • Microsoft Defender for Endpoint で PAW を厳重監視

Microsoft Sentinel での監視

PIM のすべての操作は Audit Log に記録され、Microsoft Sentinel で異常検知可能です。

AuditLogs
| where TimeGenerated > ago(7d)
| where OperationName == "Add member to role completed (PIM activation)"
| extend ActivatedUser = tostring(InitiatedBy.user.userPrincipalName)
| extend RoleName = tostring(TargetResources[0].displayName)
| summarize ActivateCount = count() by ActivatedUser, RoleName
| order by ActivateCount desc

異常 Activate (深夜・休日・通常頻度を大きく超える) を Sentinel Analytics Rule で検知、Logic App Playbook で CISO 通知が定石パターン。

関連認定試験

よくある質問

PIM (Privileged Identity Management) とは?

PIM (Privileged Identity Management) は、Microsoft Entra ID Premium P2 の特権 ID 管理機能。管理者ロール (Global Administrator・Privileged Role Administrator・Security Administrator など) を Permanent (常時アクティブ) ではなく Just-in-Time (JIT、必要時のみアクティブ化) で運用する仕組み。ユーザーは Eligible (適格) 状態でロールを保有し、必要時に Activate 操作で時限的にアクティブ化 (1-8 時間)。MFA・理由入力・上司承認・チケット番号入力などの追加要件を構成可能で、ゼロトラスト戦略の特権アクセス管理 (PAM) の中核。すべてのアクションが Audit Log に記録され、SOC2 / ISO 27001 のコンプライアンス要件にも対応します。

Eligible / Active / Activate の関係は?

Eligible (適格): ユーザーがロールを保有しているが現在は非アクティブ、PIM 経由で Activate すれば使用可能。Active: ユーザーがロールを使用できる状態、Permanent または Time-bound (期間限定)。Activate: Eligible 状態から Active 状態への遷移操作、MFA + 理由入力 + (オプションで) 承認待ち。標準パターン: 全管理者ロールを Eligible 化、必要時に MFA + 理由入力 + 上司承認 (Global Admin など) で Activate。Active 期間は 1-8 時間で自動的に Eligible に戻る。Permanent Active は緊急アクセス用 Break Glass Account のみ (2 アカウント程度)、それ以外はすべて Eligible 化が PIM のベストプラクティスです。

PIM はどのライセンスが必要?

Microsoft Entra ID Premium P2 ライセンスが必須。Microsoft 365 E5・Microsoft Entra ID Governance・Entra ID P2 単体 で取得可能。対象ユーザー全員に P2 ライセンス割り当てが必要 (例: 100 管理者対象なら 100 P2 ライセンス購入)。Microsoft 365 E5 は P2 を含むため、E5 全社展開なら追加コスト不要。E3 環境では Entra ID P2 単体追加 (ユーザーあたり月 9 USD) or P2 が必要な管理者のみに割り当て。エンタープライズではほぼすべての企業で PIM 必須レベルに位置付けられており、Entra ID P2 投資のメインドライバーの一つです。

PIM のロール設定で重要な項目は?

Role Settings で重要な構成項目: 1) Maximum activation duration (1-24 時間、推奨 1-8 時間)、2) Require MFA on activation (必須に設定)、3) Require justification on activation (理由入力必須)、4) Require ticket information (Service Now / Jira チケット番号入力、監査対応)、5) Require approval to activate (承認者指定、Global Administrator は CISO 承認など)、6) Activation alert (アクティベーション時に CISO / SOC に通知)、7) Eligible assignment の期間設定 (最大 12 ヶ月、年次レビュー前に強制更新)。本番運用では Global Admin・Privileged Role Admin など最重要ロールには上記すべてを構成、Reader 系ロールは MFA のみで簡素化が現実的です。

Access Review との連携は?

PIM + Access Review の組み合わせがゼロトラスト特権管理の完成形。Access Review (Entra ID Governance 機能) で『過去 X ヶ月で Activate 履歴がないユーザーから Eligible 割り当てを剥奪』『四半期に 1 回、すべての Eligible ロール保有者を上司レビュー』のような定期棚卸しを自動化。PIM 単独では Eligible 割り当てが Permanent に残り続けるが、Access Review で『使われていない権限の自動剥奪』が実現可能。Microsoft 推奨パターン: 全 Eligible Assignment に 12 ヶ月期限設定 + 期限切れ前に Access Review で更新可否判定。これにより組織の特権 ID が継続的に最小化されます。

Azure Resource ロールの PIM は?

PIM は Entra ID ロール (Global Admin など) だけでなく、Azure Resource ロール (Owner・Contributor・User Access Administrator・カスタムロール) も対象。Subscription / Resource Group / Resource レベルで Eligible 割り当て可能。代表的なユースケース: 本番サブスクリプションへの Owner 権限を全エンジニアから剥奪 → Eligible 化 → 必要時に MFA + 理由入力で Activate (最大 4 時間)、操作完了後自動的に Eligible に戻る。これにより本番環境への永続的な高権限を排除、人的ミス・内部不正・侵害アカウント悪用のリスクを大幅削減。Azure Resource ロールの PIM 対応は Subscription レベル以上で利用可能、Azure Lighthouse 経由のクロステナント管理にも対応します。

PIM 運用のベストプラクティスは?

重要な施策: 1) Permanent Active は Break Glass Account 2 つのみ、それ以外すべて Eligible 化、2) Global Admin に上司承認 + チケット番号入力を必須化、3) Maximum Activation Duration を 4 時間程度に短縮 (8 時間以上は緩い)、4) Activation Alert を CISO / SOC チームに送信、5) Eligible Assignment に 12 ヶ月期限、Access Review で更新判定、6) Microsoft Sentinel に PIM Audit Log を送信、異常 Activate を検知、7) Just Enough Administration (JEA) と組み合わせて最小権限化、8) Privileged Access Workstation (PAW) からのみ Activate 許可 (Conditional Access で制御)、9) 四半期に 1 回 PIM Insights レビュー (使われていないロール特定)、10) On-call Engineer 向け短期 Eligible 割り当て (1 週間など)。これらの組み合わせで組織の特権アクセス管理が劇的に強化されます。

関連認定試験は?

SC-300 (Identity and Access Administrator Associate) のドメイン 4 (ID ガバナンス 20-25%) で PIM が深く問われる本領域の本命認定。SC-100 (Cybersecurity Architect Expert) でゼロトラスト戦略の特権アクセス管理として、MS-102 (Microsoft 365 Administrator Expert) のドメイン 2 (Identity and Access)、AZ-104 (Administrator) で Azure Resource ロールの PIM、AZ-305 (Solutions Architect Expert) でアーキテクト視点での RBAC 戦略。Microsoft セキュリティ系認定全般で必須の知識領域です。

関連記事・技術深掘り

Microsoft Entra ID Governance 完全ガイド|Entitlement Management・Access Review・Lifecycle Workflows【2026 年版】

Microsoft Entra ID Governance の完全ガイド。Entitlement Management (Access Package)・Access Review・PIM・Lifecycle Workflows・Terms of Use・B2B/B2C を網羅解説。SOC2 / ISO 27001 コンプライアンス対応、JML プロセス自動化、関連認定試験 (SC-300 / SC-100 / MS-102) を日本語で網羅。

SC-300 完全ガイド|Microsoft Identity and Access Administrator Associate 出題範囲・学習リソース・合格戦略【2026 年版】

Microsoft Certified: Identity and Access Administrator Associate (SC-300) の完全ガイド。4 ドメインの出題範囲、Microsoft Entra ID の ユーザー / グループ / アプリ管理、Conditional Access / MFA / PIM / Entra ID Governance の実装、3-4 ヶ月の合格ロードマップ、SC-200 / SC-100 / SC-500 への展開ルートを日本語で網羅。

Microsoft Entra B2B / External ID 完全ガイド|パートナー招待・顧客認証・Cross-tenant Settings【2026 年版】

Microsoft Entra B2B Collaboration (パートナー組織招待) と External ID for customers (顧客認証) の完全ガイド。ゲスト招待フロー・Cross-tenant Access Settings・External Tenant 構成・Entitlement Management 自動化・Conditional Access 統合・関連認定試験 (SC-300 / MS-102 / SC-100) を日本語で網羅。

MS-102 完全ガイド|Microsoft 365 Administrator Expert 出題範囲・学習リソース・合格戦略【2026 年版】

Microsoft Certified: Microsoft 365 Administrator Expert (MS-102) の完全ガイド。4 ドメインの出題範囲、テナント / Entra ID / Defender XDR / Purview を横断的にカバー、SC-300 / SC-200 との重複と差異、Microsoft 365 Developer Program 活用法、3-4 ヶ月の合格ロードマップ、SC-100 / MD-102 への展開ルートを日本語で網羅。

本記事の技術情報は Microsoft Entra Privileged Identity Management Documentation に基づいています。 本記事は Microsoft Corporation の公式商品ではなく、いかなる提携・後援関係もありません。 Microsoft、Azure、Microsoft Entra は Microsoft group of companies の商標です。 情報は 2026 年 5 月 24 日時点の公式公開資料に基づきます。最新情報は必ず公式ページをご確認ください。

この記事で学んだ内容を問題で確認しましょう

16,000問以上の問題で実力チェック

Azure 試験対策ページを見る
この記事の著者

NicheeLab編集部

データエンジニアリング・クラウド資格の専門家。Databricks・Snowflake等の認定資格を保有し、実務経験に基づいた問題作成・解説を行っています。NicheeLab運営。

関連記事
Azure

AZ-900 完全ガイド|Microsoft Azure Fundamentals 出題範囲・学習リソース・合格戦略

Microsoft Azure Fundamentals (AZ-900) の 2026 年 1 月 14 日改訂版に対...

Azure

Azure 認定資格ロードマップ 2026 完全版|全 26 試験の体系と大型再編 (AI-901/AI-103/SC-500)

Microsoft Azure 認定資格 全 26 試験 (現行 23 + 退役 3) の 2026 年版ロードマップ。...

Azure

AI-901 完全ガイド|Azure AI Fundamentals 新試験

Microsoft Certified: Azure AI Fundamentals (AI-901) の出題範囲・Mi...

Azure

Microsoft Entra ID 入門|旧 Azure AD から学ぶ ID 管理 (AZ-900/SC-900/AZ-104 必須知識)

Microsoft Entra ID (旧 Azure Active Directory) の入門解説。2023 年 7...

Azure

DP-900 完全ガイド|Azure Data Fundamentals 出題範囲・学習リソース・合格戦略

Microsoft Azure Data Fundamentals (DP-900) の完全ガイド。4 ドメインの出題範...

Azureの記事一覧 (103件)
© 2026 NicheeLab All rights reserved.