【2024/9/18(水)開催】Entra(SC-300)勉強会
問題
次の表に示すオブジェクトを含む Entra テナントがあります。
| 名前 | ID種別 |
|---|---|
| User1 | ユーザー |
| Guest1 | ゲスト |
| Identity1 | マネージドID |
Microsoft Entra Privileged Identity Management (PIM) で、「対象」としてEntra ロールを付与できるIDの種別はどれですか。
- A. User1、Guest1、Identity1
- B. User1、Guest1 のみ
- C. User1のみ
- D. User1、Identity1のみ
正解
B. User1、Guest1 のみ
解説
マネージドID
・App service、Azure VMなど主要なAzureリソースでサポートされているIDの種別
・AzureリソースにマネージドIDを紐づけて使う(人に紐づけるわけではない。人に紐づくIDの種別は、ユーザ/ゲスト)。
・マネージドIDにEntraロールを付与することで、マネージドIDが紐づけられたAzureリソースにEntra関連の操作権限を付与できる。
Microsoft Entra Privileged Identity Management (PIM)
- セキュリティ的には、ロールが常に付与されている状態は望ましくない(24時間365日そのロールを使っている訳ではない)
- 必要な時だけ、ロールを付与するべきだというセキュリティの考え方がある
- ↑ を実現する機能がPIM
PIMにおける2つ割り当ての種類「アクティブ」「対象」の違い
ID①という名前のIDにロールを割り当てる想定で説明します。
■アクティブ
「アクティブ」でID①にロールを割り当てると、ID①には、すぐにそのロールが付与される(ロールがアクティブになる) ※ロールを付与する期間の指定が可能
■対象
「対象」でID①にロールを割り当てると、ID①には、ロールをアクティブ化する権限が付与される。
実際にロールを使い始めるにはアクティブ化の操作(対話型の操作)が必要
→ 対話型操作が可能なID種別(ユーザ/ゲスト)しか、「対象」での割り当ては利用できない(「アクティブ」での割り当ては、ロール利用時に対話型の操作が不要なので、マネージドIDでも利用できる)
デモ
・PIMのEntraロール付与(「対象」)において、マネージドIDを選択