PIM で Azure リソース ロールと Microsoft Entra ロールのアクセス レビューを作成する
ユーザーによる特権 Azure リソース ロールと Microsoft Entra ロールへのアクセスの必要性は、時間の経過に伴って変化します。 古くなったロールの割り当てに関連するリスクを軽減するために、アクセスを定期的に確認する必要があります。 Microsoft Entra Privileged Identity Management (PIM) を使用して、Azure リソースと Microsoft Entra ロールへの特権アクセスのアクセス レビューを作成できます。 自動的に実行される定期的なアクセス レビューを構成することもできます。 この記事では、1 つ以上のアクセス レビューを作成する方法について説明します。
前提条件
Privileged Identity Management を使用するにはライセンスが必要です。 ライセンスの詳細については、「Microsoft Entra ID ガバナンス ライセンスの基礎」を参照してください。
PIM のライセンスの詳細は「Privileged Identity Management を使用するためのライセンスの要件」をご覧ください。
Azure リソースのアクセス レビューを作成するには、Azure リソースのロールの所有者またはユーザー アクセス管理者に割り当てられている必要があります。 Microsoft Entra ロール用のアクセス レビューを作成するには、少なくとも特権ロール管理者ロールが割り当てられている必要があります。
サービス プリンシパルのアクセス レビューを使うには、Microsoft Entra ID P2 または Microsoft Entra ID Governance のライセンスに加えて、Microsoft Entra Workload ID Premium プランが必要です。
- Workload Identities Premium ライセンス: Microsoft Entra 管理センターの [ワークロード ID] ブレードでライセンスを表示および取得できます。
Note
アクセス レビューは、各レビュー インスタンスの開始時点でのアクセスのスナップショットをキャプチャします。 レビュー プロセス中に行われたすべての変更は、後続のレビュー サイクルに反映されます。 基本的に、新しい繰り返しの開始のたびに、ユーザー、レビュー対象のリソース、およびそれぞれのレビュー担当者に関する関連データが取得されます。
アクセス レビューを作成する
前提条件ロールのいずれかに割り当てられているユーザーとして、Microsoft Entra 管理センター にサインインします。
[ID ガバナンス]>[Privileged Identity Management] に移動します。
Microsoft Entra ロールの場合は、[Microsoft Entra ロール] を選びます。 Azure リソースの場合は [Azure リソース] を選択します
![Microsoft Entra 管理センターで [Identity Governance] を選択するスクリーンショット。](media/pim-create-azure-ad-roles-and-resource-roles-review/identity-governance.png)
Microsoft Entra ロール の場合は、[管理] で [Microsoft Entra ロール] を選択します。 Azure リソースの場合、管理するサブスクリプションを選択します。
[管理] の下で [アクセス レビュー] を選択し、次に [新規] を選択して新しいアクセス レビューを作成します。
![Microsoft Entra ロール - すべてのレビューの状態を示す [アクセス レビュー] スクリーンショット。](media/pim-create-azure-ad-roles-and-resource-roles-review/access-reviews.png)
アクセス レビューに名前を付けます。 必要に応じて、そのレビューに説明を加えます。 その名前と説明がレビュアーに示されます。
[開始日] を設定します。 既定では、アクセス レビューは 1 回行われます。 作成時に開始され、1 か月で終了します。 この開始日と終了日を変更することで、アクセス レビューを後で開始し、必要な日数を好きなだけ確保することができます。
アクセス レビューを繰り返すには、 [頻度] 設定を [1 回] から [毎週] 、 [毎月] 、 [四半期に 1 回] 、 [毎年] 、 [Semi-annually](半年に 1 回) に変更します。 [期間] スライダーまたはテキスト ボックスを使用して、レビュー期間を指定します。 たとえば、レビューの重複を避けるために、月 1 回のレビューに設定できる最大期間は 27 日です。
[終了] の設定を使用して、アクセス レビューの繰り返し系列を終了する方法を指定します。 シリーズは、3 つの方法で終了できます。それは連続してレビューを無期限に開始する場合、特定の日付まで続ける場合、または指定された回数が完了した後に終了する場合です。 レビューを管理できる管理者は、 [設定] で日付を変更することによって作成後に系列を停止し、それがその日付に終了するようにできます。
[ユーザーのスコープ] セクションで、レビューのスコープを選択します。 Microsoft Entra ロールの場合、最初のスコープ オプションは [ユーザーとグループ] です。 この選択には、直接割り当てられたユーザーと ロール割り当て可能なグループ が含まれます。 Azure リソース ロール の場合、最初のスコープは [ユーザー] です。 Azure リソース ロールに割り当てられたグループは、この選択によってレビューで推移的なユーザーの割り当てを表示するように展開されます。 また、[サービス プリンシパル] を選択して、Azure リソース ロールまたは Microsoft Entra ロールに直接アクセスできるコンピューター アカウントをレビューすることもできます。
または、アクティブでないユーザーに対してのみアクセス レビューを作成することもできます。 [ユーザー スコープ] セクションで、[非アクティブ ユーザー (テナント レベル) のみ] を [はい] に設定します。 トグルが true 設定されている場合、レビューの範囲は非アクティブなユーザーのみに焦点を当てます。 次に、[非アクティブな日数] を指定します。 最大 730 日 (2 年間) を指定できます。 指定した日数だけ非アクティブなユーザーは、レビューの唯一のユーザーです。
[ロール メンバーシップをレビュー] で、レビューする特権 Azure リソース ロールまたは Microsoft Entra ロールを選択します。
Note
複数のロールを選択すると、複数のアクセス レビューが作成されます。 たとえば、5 つのロールを選択すると、5 つの別々のアクセス レビューが作成されます。
[割り当ての種類] で、プリンシパルがロールに割り当てられた方法によってレビューの範囲を指定します。 (レビューが作成されたときのアクティブ化の状態に関係なく) 対象の割り当てをレビューする場合は [対象の割り当てのみ] 、アクティブな割り当てをレビューする場合は [アクティブな割り当てのみ] を選択します。 種類に関係なくすべての割り当てをレビューするには、 [アクティブおよび対象のすべての割り当て] を選択します。
[レビュー担当者] セクションで、全ユーザーをレビューする担当者 (複数可) を選びます。 メンバー自身にそのアクセス権をレビューしてもらうことができます。
- 選択したユーザー - レビューを実行する特定のユーザーを指定するには、このオプションを使用します。 このオプションはレビューの範囲に関係なく使用でき、選択したレビュー担当者はユーザー、グループ、およびサービス プリンシパルをレビューできます。
- メンバー (セルフ) - ユーザーに自分のロール割り当てを確認してもらう場合は、このオプションを使用します。 このオプションは、レビューのスコープが [ユーザーとグループ] または [ユーザー] に設定されている場合にのみ使用できます。 Microsoft Entra ロールの場合、このオプションを選択しても、ロール割り当て可能なグループはレビューの一部ではありません。
- マネージャー – ユーザーのマネージャーにロールの割り当てをレビューしてもらうには、このオプションを使用します。 このオプションは、レビューのスコープが [ユーザーとグループ] または [ユーザー] に設定されている場合にのみ使用できます。 マネージャーを選択すると、フォールバック レビュー担当者を指定することもできます。 フォールバック レビュー担当者は、ディレクトリにマネージャーが指定されていない場合に、ユーザーをレビューするように求められます。 Microsoft Entra ロールの場合は、ロール割り当て可能なグループが選択されていれば、フォールバック レビュー担当者によるレビューが行われます。
![Microsoft Entra 管理センターで [Identity Governance] を選択するスクリーンショット。](media/pim-create-azure-ad-roles-and-resource-roles-review/identity-governance.png#lightbox)
完了時の設定
レビュー完了後の動作を指定するには、 [設定完了時] セクションを展開します。
![適用を自動化するための [設定完了時] および [レビュー担当者からの応答なし] 選択を示すスクリーンショット。](media/pim-create-azure-ad-roles-and-resource-roles-review/upon-completion-settings.png)
拒否されたユーザーのアクセスを自動的に削除する場合は、 [リソースへの結果の自動適用] を [有効] に設定します。 レビューが完了したときに結果を手動で適用する場合は、スイッチを [無効] に設定します。
レビュー担当者が応答しない場合 リストを使用して、レビュー期間内にレビュー担当者によってレビューされないユーザーの動作を指定します。 この設定は、既にレビューされたユーザーには影響しません。
- [変更なし] - ユーザーのアクセスをそのまま変更しないでおきます
- [アクセスの削除] - ユーザーのアクセスを削除します
- [アクセスを承認する] - ユーザーのアクセスを承認します
- [推奨事項の実行] - ユーザーの継続的なアクセスの拒否または承認に関するシステムの推奨事項を実行します
[拒否されたゲスト ユーザーに適用するアクション] リストを使用して、ゲスト ユーザーが拒否された場合の動作を指定します。 この設定は、現時点では Microsoft Entra ID と Azure リソース ロール レビューでは編集できません。ゲスト ユーザーは、すべてのユーザーと同様に、拒否されると常にリソースへのアクセスを失います。
他のユーザーまたはグループに通知を送信して、レビュー完了の更新を受け取ることができます。 この機能により、レビュー作成者以外の利害関係者も、通知を受け取ってレビューの進行状況を把握できます。 この機能を使用するには、[ユーザーまたはグループの選択] 選択し、完了ステータス通知を受信するユーザーまたはグループを追加します。
詳細設定
その他の設定を構成するには、[詳細設定] セクションを展開します。
![推奨事項の表示、承認理由の必須化、メール通知、およびリマインダーのための [詳細設定] のスクリーンショット。](media/pim-create-azure-ad-roles-and-resource-roles-review/advanced-settings.png)
ユーザーの情報に基づくシステムの推奨事項をレビュー担当者に表示するには、 [推奨事項を表示] を [有効] に設定します。 推奨事項は、30 日間の間隔に基づいています。 過去 30 日間にログインしたユーザーは、アクセスの推奨承認を得て表示されますが、ログインしていないユーザーは、推奨されるアクセス拒否で表示されます。 これらのサインインは、対話型だったかどうかに関係ありません。 ユーザーの最終サインインも、推奨事項と共に表示されます。
レビュー担当者による承認理由の指定を必須にするには、 [承認時に理由が必要] を [有効] に設定します。
アクセス レビュー開始時に Microsoft Entra ID からレビュー担当者にメール通知を送信し、レビュー完了時に管理者にメール通知を送信するには、[メール通知] を [有効] に設定します。
[リマインダー] を [有効] に設定して、レビューを完了していないレビュー担当者宛てに進行中のアクセス レビューのリマインダーが Microsoft Entra ID から送信されるようにします。
レビュー担当者に送信された電子メールの内容は、レビュー名、リソース名、期限などのレビューの詳細に基づいて自動生成されます。 詳細な手順や連絡先情報などの追加情報を伝える方法が必要な場合は、割り当てられた校閲者に送信される招待メールとリマインダー メールに含まれるレビュー担当者の電子メール の追加コンテンツ で、これらの詳細を指定できます。 強調表示されたセクションでは、この情報が表示されます。
アクセスレビューを管理する
アクセス レビューの [概要] ページでは、レビュー担当者が完了したレビューの進捗状況を追跡できます。 ディレクトリのアクセス権は、レビューが完了するまで変更されません。
アクセス レビューの後、「Azure リソースおよび Microsoft Entra ロールのアクセス レビューを完了する」の手順に従い、結果を確認して適用します。
一連のアクセス レビューを管理している場合は、アクセス レビューに移動し、スケジュールされたレビューで今後発生する予定を見つけ、終了日を編集するか、それに応じてレビュー担当者を追加または削除します。
[Upon completion](完了時) 設定での選択に基づいて、レビューの終了日の後、またはレビューを手動で停止したときに自動適用が実行されます。 レビューの状態は、完了 から、適用中 などの中間状態を経て、最終的に 適用済み状態に変わります。 拒否されたユーザーが存在する場合は、それらのユーザーが数分以内にロールから削除されることを確認できます。
アクセス レビューで Microsoft Entra ロールと Azure リソース ロールに割り当てられたグループの影響
Microsoft Entra ロールの場合、ロール割り当て可能なグループを使用し、ロール割り当て可能なグループをロールに割り当てることができます。 ロール割り当て可能なグループが割り当てられた Microsoft Entra ロールでレビューが作成されると、グループ メンバーシップを展開せずに、グループ名がレビューに表示されます。 レビュー担当者は、ロールへのグループ全体のアクセスを承認または拒否できます。 レビュー結果が適用されると、拒否されたグループはロールへの割り当てを失います。
• Azure リソース ロールの場合、任意のセキュリティ グループをロールに割り当てることができます。 セキュリティ グループが割り当てられた Azure リソース ロールでレビューが作成されると、ロールレビュー担当者はグループのメンバーシップの完全に拡張されたビューを表示できます。 レビュー担当者がセキュリティ グループを介してロールに割り当てられたユーザーを拒否した場合、そのユーザーはグループから削除されません。 これは、グループが他の Azure または Azure 以外のリソースと共有される可能性があるためです。 管理者は、アクセス拒否に起因する変更を実装する必要があります。
Note
セキュリティ グループには他のグループを割り当てることができます。 この場合、ロールに割り当てられているセキュリティ グループに直接割り当てられたユーザーのみがロールのレビューに表示されます。
アクセス レビューを更新する
1 つ以上のアクセス レビューが開始された後、既存のアクセス レビューの設定を変更または更新したい場合があります。 考慮する必要があるいくつかの一般的なシナリオを次に示します。
レビュー担当者の追加と削除 - アクセス レビューを更新するときに、プライマリ レビュー担当者に加えて、フォールバック レビュー担当者を追加することができます。 プライマリ レビュー担当者は、アクセス レビューを更新するときに削除される可能性があります。 ただし、フォールバック レビュー担当者は、設計上、取り外し可能ではありません。
Note
フォールバック レビュー担当者は、レビュー担当者の種類がマネージャーの場合にのみ追加できます。 レビュー担当者の種類が選択されたユーザーの場合は、プライマリ レビュー担当者を追加できます。
レビュー担当者へのリマインダー - アクセス レビューを更新するときに、[詳細設定] タブでリマインダー オプションを有効にすることを選択できます。 有効にすると、ユーザーはレビュー期間の途中で電子メール通知を受け取ります。 レビュー担当者は、レビューが完了したかどうかに関係なく通知を受け取ります。
設定の更新 - アクセス レビューが定期的な場合は、[現在] と [シリーズ] の下に別々の設定があります。 [現在] の設定を更新すると、現在のアクセス レビューに対する変更だけが適用され、[シリーズ] の設定を更新すると、今後のすべての定期的発生の設定が更新されます。
