アクセス レビューを使用してゲスト アクセスを管理する
アクセス レビューを利用すると、Microsoft Entra B2B 機能を使用して、組織の境界を越えたコラボレーションを簡単に実現できます。 管理者またはそれ以外のユーザーが他のテナントからゲスト ユーザーを招待できます。 Microsoft アカウントなどのソーシャル ID も、この機能の対象となります。
ゲスト ユーザーに適切なアクセス権を確保することも簡単にできます。 ゲスト自身または意思決定者に対し、アクセス レビューに参加してゲストのアクセス権を再確認 (証明) するよう求めることができます。 レビュー担当者は、Microsoft Entra ID からの提案に基づいて、各ユーザーの継続的なアクセスのニーズを評価できます。 アクセス レビューが完了したら、変更を加え、不要になったアクセス権をゲストから削除することができます。
Note
このドキュメントでは、ゲスト ユーザーのアクセス レビューについて重点的に説明します。 ゲストに限らず全ユーザーのアクセス権をレビューする必要がある場合は、アクセス レビューでユーザー アクセスを管理する方法に関するページを参照してください。 グローバル管理者などの管理者ロールのユーザーのメンバーシップを確認する場合は、Microsoft Entra Privileged Identity Management でアクセス レビューを開始する方法に関するページを参照してください。
前提条件
- Microsoft Entra ID P2 または Microsoft Entra ID Governance
詳細については、「ライセンスの要件」を参照してください。
ゲストのアクセス レビューの作成と実行
まず、次のロールのいずれかが割り当てられている必要があります。
- グローバル管理者
- ユーザー管理者
- (プレビュー) レビュー対象グループの Microsoft 365 または Microsoft Entra セキュリティ グループ所有者
Note
最小特権アクセスに従って、ユーザー管理者を使用するか、このタスクのセキュリティ グループ所有者にすることをお勧めします。
次に、[Identity Governance] ページに移動し、組織がアクセス レビューを使用できる状態であることを確認します。
ゲスト ユーザーのレビューに関して、Microsoft Entra ID はいくつかのシナリオに対応しています。
次の内容を確認できます。
- Microsoft Entra ID 内のグループのメンバーとして 1 人以上のゲストが存在する。
- Microsoft Entra ID に接続済みのアプリケーションに対して 1 人以上のゲスト ユーザーが割り当てられている。
Microsoft 365 グループへのゲストユーザーのアクセスを確認する場合は、各グループに対して個別にレビューを作成するか、すべての Microsoft 365 グループのゲスト ユーザーに対する連続アクセス レビューを自動で有効にすることができます。 次のビデオでは、ゲストユーザーの連続アクセス レビューの詳細について説明しています。
そのうえで、各ゲストに自分自身のアクセスをレビューしてもらうか、各ゲストのアクセスを 1 人以上のユーザーにレビューしてもらうかを決めてください。
これらの各シナリオについて以降の各セクションで説明します。
ゲストに自身のグループ メンバーシップをレビューするよう依頼する
アクセス レビューを使用すると、グループに招待されて追加されていたユーザーが今もアクセス権を必要としていることを確かめることができます。 ゲストに自身のグループ メンバーシップをレビューしてもらうのは簡単です。
グループのアクセス レビューを作成するには、ゲスト ユーザーのメンバーだけをレビュー対象とし、メンバーに自身でレビューしてもらうよう選択します。 詳細については、グループまたはアプリケーションのアクセス レビューの作成に関するページをご覧ください。
各ゲストに自身のメンバーシップをレビューするよう依頼します。 既定では、招待状を受け取った各ゲストには、アクセス レビューへのリンクが記載されたメールが Microsoft Entra ID から届きます。 Microsoft Entra ID のゲスト向けの手順については、グループまたはアプリケーションに対するアクセスのレビューに関するページを参照してください。
レビュー担当者が入力したら、アクセス レビューを停止し、変更を適用します。 詳細については、グループまたはアプリケーションのアクセス レビューの完了に関するページをご覧ください。
アクセス権の継続が不要であると自分で判断したユーザーに加え、回答が得られなかったユーザーも削除した方がよいでしょう。 回答がないユーザーはもうメールを受け取っていないと考えられます。
グループがアクセス管理に使用されていない場合も、招待状が届かなかったことが理由でレビューの対象外となったユーザーを削除した方がよいでしょう。 招待状が届かなかった場合は、招待されたユーザーのメール アドレスに誤りがあった可能性があります。 グループが配布リストとして使用されている場合、連絡先オブジェクトであるためにレビューの対象外となったゲスト ユーザーも存在する可能性があります。
承認されているユーザーにゲストのグループ メンバーシップをレビューするよう依頼する
ゲストのグループ メンバーシップが引き続き必要であるかどうかをレビューするよう、承認されているユーザー (グループの所有者など) に依頼できます。
グループのアクセス レビューを作成するには、ゲスト ユーザー メンバーだけをレビュー対象として選択します。 そのうえで、レビュー担当者を 1 人以上指定します。 詳細については、グループまたはアプリケーションのアクセス レビューの作成に関するページをご覧ください。
レビュー担当者に確認を依頼します。 既定では、それぞれが、アクセス パネルへのリンクが記載されたメールを Microsoft Entra ID から受け取り、そこでグループまたはアプリケーションへのアクセスをレビューします。
レビュー担当者が入力したら、アクセス レビューを停止し、変更を適用します。 詳細については、グループまたはアプリケーションのアクセス レビューの完了に関するページをご覧ください。
ゲストに自身のアプリケーション アクセスをレビューするよう依頼する
アクセス レビューを使用すると、特定のアプリケーションに招待されていたユーザーが今もアクセス権を必要としていることを確かめることができます。 アクセスの必要性をゲスト自身にレビューしてもらうのは簡単です。
アプリケーションのアクセス レビューを作成するには、ゲストだけをレビュー対象とし、ユーザーに自身のアクセス権をレビューしてもらうよう選択します。 詳細については、グループまたはアプリケーションのアクセス レビューの作成に関するページをご覧ください。
各ゲストに自身のアプリケーション アクセスをレビューするよう依頼します。 既定では、招待状を受け取った各ゲストには Microsoft Entra ID からメールが届きます。 そのメールには、組織のアクセス パネル内のアクセス レビューへのリンクが記載されています。 Microsoft Entra ID のゲスト向けの手順については、グループまたはアプリケーションに対するアクセスのレビューに関するページを参照してください。
レビュー担当者が入力したら、アクセス レビューを停止し、変更を適用します。 詳細については、グループまたはアプリケーションのアクセス レビューの完了に関するページをご覧ください。
アクセス権の継続が不要であると自分で判断したユーザーに加え、回答が得られなかったゲスト ユーザーも削除した方がよいでしょう。 回答がないユーザーはもうメールを受け取っていないと考えられます。 また、レビューの対象外となったゲスト ユーザーも、特にそのゲストが最近招待されていないようであれば、削除することをお勧めします。 招待状を受け取っていないようであれば、そのようなユーザーにアプリケーションへのアクセス権はありません。
承認されているユーザーにアプリケーションへのゲスト アクセスをレビューするよう依頼する
ゲストによるアプリケーション アクセスが引き続き必要であるかどうかをレビューするよう、承認されているユーザー (アプリケーションの所有者など) に依頼できます。
アプリケーションのアクセス レビューを作成するには、ゲストだけをレビュー対象として選択します。 そのうえで、レビュー担当者としてユーザーを 1 人以上指定します。 詳細については、グループまたはアプリケーションのアクセス レビューの作成に関するページをご覧ください。
レビュー担当者に確認を依頼します。 既定では、それぞれが、アクセス パネルへのリンクが記載されたメールを Microsoft Entra ID から受け取り、そこでグループまたはアプリケーションへのアクセスをレビューします。
レビュー担当者が入力したら、アクセス レビューを停止し、変更を適用します。 詳細については、グループまたはアプリケーションのアクセス レビューの完了に関するページをご覧ください。
ゲストに全般的なアクセスの必要性をレビューするよう依頼する
組織によっては、ゲストが自分のグループ メンバーシップを把握していないこともあります。
Note
以前のバージョンのポータルでは、UserType が Guest であるユーザーの管理アクセスが認められていませんでした。 ディレクトリの管理者が PowerShell を使ってゲストの UserType の値を Member に変更している場合があります。 過去にそのような変更がご利用のディレクトリで行われていた場合、前述したクエリでは、以前管理アクセス権を持っていたゲスト ユーザーが対象から漏れる場合があります。 その場合は、ゲストの UserType を変更するか、該当するゲストをグループ メンバーシップに手動で追加する必要があります。
ゲストをメンバーとするセキュリティ グループを Microsoft Entra ID に作成します (適切なグループがまだ存在しない場合)。 たとえば、手動で管理されたゲストのメンバーシップを基にグループを作成します。 または、UserType 属性の値が Guest である Contoso テナントのユーザー用に "Guests of Contoso" などの名前の動的グループを作成してもよいでしょう。 効率を高めるために、そのグループが主にゲストで構成されるようにしてください。メンバー ユーザーはレビューが不要なので、メンバー ユーザーを含むグループを選択しないようにしてください。 また、グループのメンバーであるゲスト ユーザーがグループの他のメンバーを表示できる点に注意してください。
そのグループのアクセス レビューを作成するには、メンバー自身をレビュー担当者として選択します。 詳細については、グループまたはアプリケーションのアクセス レビューの作成に関するページをご覧ください。
各ゲストに自身のメンバーシップをレビューするよう依頼します。 既定では、招待状を受け取った各ゲストには、組織のアクセス パネル内のアクセス レビューへのリンクが記載されたメールが Microsoft Entra ID から届きます。 Microsoft Entra ID のゲスト向けの手順については、グループまたはアプリケーションに対するアクセスのレビューに関するページを参照してください。 招待状を受け取っていないゲストは、レビューの結果に [Not Notified](未通知) として表示されます。
レビュー担当者が結果を入力したら、アクセス レビューを停止します。 詳細については、グループまたはアプリケーションのアクセス レビューの完了に関するページをご覧ください。
[Select Team + Groups] (チームとグループの選択) のアクセス レビューを構成する際に、アクセス レビューの一環としてゲスト ユーザーの Microsoft Entra B2B アカウントを自動的に削除できます。 このオプションは、ゲスト ユーザーを有するすべての Microsoft 365 グループで使用できません。
これを行うには、[リソースへの結果の自動適用] を選択します。これにより、リソースからユーザーが自動的に削除されます。 [If reviewer don't respond](レビュー担当者が応答しない場合) を [アクセス権の削除] に設定し、[拒否されたゲスト ユーザーに適用するアクション] を [Block from signing in for 30 days then remove user from the tenant](サインインを 30 日間ブロックした後、テナントからユーザーを削除する) に設定する必要があります。
これにより、ゲスト ユーザー アカウントへのサインインがすぐにブロックされ、30 日後に Microsoft Entra B2B アカウントが自動的に削除されます。