Microsoft Entra ID でグループの PIM のアクセス レビューを作成する (プレビュー)
この記事では、グループの PIM のアクセス レビューを 1 つ以上作成する方法について説明します。これには、グループのアクティブ メンバーと有資格メンバーが含まれます。 レビューは、グループのアクティブなメンバー、レビューの作成時にアクティブなメンバー、グループの有資格のメンバーの両方に対して実行できます。
前提条件
- Microsoft Entra ID Governance ライセンス。
- グローバル管理者ロール、ID ガバナンス管理者ロール、または特権ロール管理者ロールのユーザーのみが、グループの PIM に関するレビューを作成できます。 詳細については、Microsoft Entra グループを使用したロール割り当ての管理に関するページをご覧ください。
詳細については、「License requirements ライセンスの要件」を参照してください。
グループの PIM のアクセス レビューを作成する
ヒント
この記事の手順は、開始するポータルに応じて若干異なる場合があります。
範囲
Microsoft Entra 管理センターに Identity Governance 管理者以上としてサインインします。
[Identity governance]>[アクセス レビュー]>[レビューの履歴] の順に移動します。
[新しいアクセス レビュー] を選択して、新しいアクセス レビューを作成します。
[レビュー対象を選択する] ボックスで、[チームとグループ] を選択します。
[チームとグループ] を選択し、[チームとグループの選択] を [範囲の確認] で選択します。 選択できるグループのリストが画面に表示されます。
Note
グループの PIM が選択されている場合、グループのレビュー対象ユーザーには、そのグループ内のすべての有資格ユーザーとアクティブ ユーザーが含まれます。
次に、レビューのスコープを選択できます。 オプションは次のとおりです。
- [ゲスト ユーザーのみ]: このオプションでは、アクセス レビューがディレクトリ内の Microsoft Entra B2B ゲスト ユーザーのみに制限されます。
- [全員] : このオプションでは、アクセス レビューが、そのリソースに関連付けられているすべてのユーザー オブジェクトにスコープ指定されます。
グループ メンバーシップのレビューを実行する場合は、グループ内の非アクティブなユーザーに対してのみアクセス レビューを作成できます。 "ユーザー スコープ" セクションで、[非アクティブなユーザー (テナント レベル)] の横にあるチェック ックスをオンにします。 このチェック ボックスをオンにすると、レビューの範囲は非アクティブなユーザー (テナントに対話形式でも非対話形式でもサインインしていないユーザー) のみに絞られます。 次に、[Days inactive](非アクティブ日数) に、730 日 (2 年) までの非アクティブ日数を指定します。 非アクティブな状態が指定の日数に達したグループ内のユーザーのみが、レビューに含まれます。
注意
最近作成したユーザーは、非アクティブ時間を構成しても影響を受けません。 アクセス レビューでは構成された時間にユーザーが作成されたかどうかが検査され、少なくともその時間に存在していなかったユーザーは無視されます。 たとえば、非アクティブ時間を 90 日に設定した場合、作成または招待されてから 90 日未満のゲスト ユーザーは、アクセス レビューの対象範囲外になります。 これにより、ユーザーは削除されるまでに少なくとも 1 回サインインできるようになります。
- [次へ: レビュー] を選択します。
この手順に達したら、「グループまたはアプリケーションのアクセス レビューを作成する」記事の「次へ: レビュー」に概要が記載されている手順に従って、アクセス レビューを完了できます。
Note
PIM for Groups (プレビュー) のアクセス レビューでは、レビュー担当者としてグループ所有者を選択する場合は、少なくとも 1 人のフォールバック レビュー担当者を割り当てる必要があります。 レビューでは、レビュー担当者としてアクティブな所有者のみが割り当てられます。 有資格の所有者は含まれません。 レビューの開始時にアクティブな所有者がいない場合は、フォールバック レビュー担当者がレビューに割り当てられます。