Microsoft Entra ID の新しいロールベースのアクセス制御機能である「制限付き管理単位(Restricted management administrative units)」がパブリックプレビュー公開されました。
Introducing Restricted Management Administrative Units in Microsoft Entra ID - Microsoft Community Hub
この制限付き管理単位を利用すると、特定のユーザー、セキュリティグループ、デバイスに対して特定の管理者を設定でき、テナントレベルの管理者にも変更を許可しない場合にも対応できるようになります。
想定される利用シーンとしては、
- 経営陣など機密性の高いユーザーに対し、一般のヘルプデスク管理者がパスワードや多要素認証設定を変更できないように保護する。
- 特定の国の特定のユーザーアカウント、セキュリティグループ、デバイスを、その国の指定された管理者のみが変更できるようにする。
- 機密データにアクセスできる特定のセキュリティグループについて、メンバー変更できるユーザーを少数の管理者のみに制限する。
機密オブジェクトを制限付き管理単位に配置すると、テナントレベルの管理者もそれらを変更できなくなり、明示的に割り当てた管理者のみが変更できます。
これは、テナント内のすべてのロール割り当てからスコープ設定するよりも、機密オブジェクトを保護がはるかに簡単です。
制限付き管理単位を使用する方法は、まず Microsoft Entra ポータルで ID のメニューから「役割と管理者」>「管理単位」を開き、「追加」で管理単位を作成します。
名前を入力し、「制限付き管理の管理単位」を「はい」に設定して次へ進みます。
ビルトインのロールを選択して開きます。(例:ヘルプデスク管理者)
ユーザーを選択して追加します。
内容を確認して、作成します。
作成した管理単位をクリックして開き、ユーザーやセキュリティグループ等の管理対象を追加します。
なお、オンラインドキュメントによると、この制限付き管理の管理単位内のグループは、PIM(Privileged Identity Management)では管理できません。
また、各管理単位の管理者には Azure AD Premium P1 ライセンスが必要です。
Azure Active Directory での制限付き管理の管理単位 (プレビュー) - Microsoft Entra | Microsoft Learn