次の方法で共有

Azure マネージド アプリケーションの Just-In-Time アクセスの構成と承認

マネージド アプリケーションのコンシューマーは、パブリッシャーにマネージド リソース グループへの永続的なアクセス権を付与するのが快適でない場合があります。 マネージド リソースへのアクセスの許可をより詳細に制御できるように、Azure Managed Applications には Just-In-Time (JIT) アクセスと呼ばれる機能が用意されています。 これにより、パブリッシャーがリソース グループにアクセスできるタイミングと期間を承認できます。 パブリッシャーは、その期間中に必要な更新を行うことができますが、その時間が経過すると、パブリッシャーのアクセスは期限切れになります。

アクセス権を付与するためのワークフローは次のとおりです。

  1. パブリッシャーは、マネージド アプリケーションをマーケットプレースに追加し、JIT アクセスが使用可能であることを指定します。

  2. デプロイ時に、マネージド アプリケーションのインスタンスに対して JIT アクセスを有効にします。

  3. デプロイ後、JIT アクセスの設定を変更できます。

  4. パブリッシャーがアクセス要求を送信します。

  5. 要求を承認します。

この記事では、JIT アクセスを有効にして要求を承認するためにコンシューマーが実行するアクションについて説明します。 JIT アクセスを使用してマネージド アプリケーションを発行する方法については、「 Azure Managed Applications で Just-In-Time アクセスを要求する」を参照してください。

Just-In-Time アクセスを使用するには、 Microsoft Entra ID P2 ライセンスが必要です。

デプロイ中に有効にする

  1. Azure portal にサインインします。

  2. JIT が有効になっているマネージド アプリケーションのマーケットプレース エントリを検索します。 を選択してを作成します。

  3. 新しいマネージド アプリケーションの値を指定するときに、 JIT 構成 手順を使用すると、マネージド アプリケーションの JIT アクセスを有効または無効にすることができます。 [JIT アクセスを有効にする] で [はい] を選択します。 このオプションは、マーケットプレースで JIT を有効にして定義されたマネージド アプリケーションに対して既定で選択されます。

    アクセスの構成

    JIT アクセスは、デプロイ中にのみ有効にすることができます。 [いいえ] を選択すると、パブリッシャーはマネージド リソース グループへの永続的なアクセス権を取得します。 JIT アクセスを後で有効にすることはできません。

  4. 既定の承認設定を変更するには、[ JIT 構成のカスタマイズ] を選択します。

    アクセスのカスタマイズ

    既定では、JIT が有効になっているマネージド アプリケーションには、次の設定があります。

    • 承認モード - 自動
    • 最大アクセス時間 - 8 時間
    • 承認者 - なし

    承認モードが 自動に設定されている場合、承認者は要求ごとに通知を受け取りますが、要求は自動的に承認されます。 手動に設定すると、承認者は要求ごとに通知を受け取り、そのうちの 1 人が承認する必要があります。

    アクティブ化の最大期間は、パブリッシャーがマネージド リソース グループへのアクセスを要求できる最大時間を指定します。

    承認者の一覧は、JIT アクセス要求を承認できる Microsoft Entra ユーザーです。 承認者を追加するには、[承認者の 追加 ] を選択し、ユーザーを検索します。

    設定を更新した後、[ 保存] を選択します。

デプロイ後の更新

要求の承認方法の値を変更できます。 ただし、デプロイ中に JIT アクセスを有効にしなかった場合は、後で有効にすることはできません。

デプロイされたマネージド アプリケーションの設定を変更するには:

  1. ポータルで、アプリケーションの管理を選択します。

  2. [JIT 構成] を選択し、必要に応じて設定を変更します。

    アクセス設定を変更する

  3. 操作が完了したら、[保存] をクリックします。

要求の承認

発行元がアクセスを要求すると、要求が通知されます。 JIT アクセス要求は、マネージド アプリケーションを通じて直接承認することも、Microsoft Entra Privileged Identity Management サービスを通じてすべてのマネージド アプリケーション間で承認することもできます。 Just-In-Time アクセスを使用するには、 Microsoft Entra ID P2 ライセンスが必要です。

マネージド アプリケーションを使用して要求を承認するには:

  1. マネージド アプリケーションの JIT アクセス を選択し、[ 要求の承認] を選択します。

    要求を承認する

  2. 承認する要求を選択します。

    要求の選択

  3. フォームで、承認の理由を入力し、[承認] を選択 します

Microsoft Entra Privileged Identity Management を使用して要求を承認するには:

  1. [すべてのサービス] を選択し、Microsoft Entra Privileged Identity Management の検索を開始します。 使用可能なオプションから、それを選択します。

    サービスを検索する

  2. [ 要求の承認] を選択します

    [要求の承認] を選択する

  3. Azure マネージド アプリケーションを選択し、承認する要求を選択します。

    要求の選択

次のステップ

JIT アクセスを使用してマネージド アプリケーションを発行する方法については、「 Azure Managed Applications で Just-In-Time アクセスを要求する」を参照してください。

  • Last updated on