特権 ID管理：グループ、条件付きアクセスとの統合

Microsoft Entra Privileged Identity Managiment（PIM）に追加された２つの統合機能が一般提供と発表されていました。
　・グループ用 PIM
　・条件付きアクセスと PIM の統合
Just-in-time access to groups and Conditional Access integration in Privileged Identity Management - Microsoft Community Hub

グループの PIM を使用した特権ロールへの Just-In-Time Access

PIM は、Microsoft Entra ID Governance および Microsoft Entra ID P2 の一部機能です。
PIM により、必要な期間だけ特権ロールを付与するよう Just-In-Time Access を管理できます。

新しい Just-In-Time グループメンバーシップ機能を使用すると、セキュリティグループや Microsoft 365 グループを PIM の管理下に登録し、最小の特権アクセスを管理できます。
これは、Microsoft Entra ロール、Azure リソースロール、Microsoft Intune、Microsoft以外のアプリケーションロールやサービスなど、幅広いロールに適用できます。
グループの PIM では、以下がサポートされています。
　・グループメンバーシップ所有者が、グループプロパティを管理できる
　・テナント単位で、PIM で管理可能なグループ数 500 までの制限がなくなった
　　（ただし、ロール割り当て可能なグループは、最大 500 グループまで）
　・セキュリティグループと Microsoft 365 グループが対象
（参考）
Groups のための Privileged Identity Management (PIM) - Microsoft Entra | Microsoft Learn

なお、ロール割り当て可能なグループに他のグループを入れ子にすることはできません。
（参考）
Groups のための Privileged Identity Management (PIM) - Microsoft Entra | Microsoft Learn

条件付きアクセスと PIM の統合

条件付きアクセスの「認証コンテキスト」を使用し、PIM と条件付きアクセスを組み合わせることで、特権ロールのアクティブ化に特定要件を追加し、セキュリティを強化できるようになりました。
例えば、強度の高い認証方法を求めたり、準拠したデバイス、ネームドロケーションによる位置の確認、ID Protection での危険なユーザーの認証ブロックなど、PIM で特権ロールを付与する際に条件付きアクセスによる追加条件を付加できます。
この統合機能は、ロール、Azure リソース、グループ、それぞれの PIM で利用できます。

設定方法は、以前ご紹介した「保護されたアクション」の条件付きアクセスと同じく、以下のような順序になるようです。
　１）認証コンテキストを作成
　　　　※ 認証コンテキストは 25個まで
　２）条件付きアクセスポリシーを作成し、認証コンテキストを割り当てる
　３） PIM のアクティブ化の設定で、その認証コンテキストを指定する

３）の設定は、Microsoft Entra 管理センターの以下で行います。
　（例）アプリケーション管理者ロールに設定する場合

　・「Identity Governance」＞「Privileged Identity Management」を開く
　・「Azure AD ロール」＞「ロール」を開く
　・「アプリケーション管理者」を選択し、「設定」、「編集」を開く