Microsoft Entra ID でグループの PIM のアクセス レビューを作成する (プレビュー)
この記事では、グループの PIM のアクセス レビューを 1 つ以上作成する方法について説明します。これには、グループのアクティブ メンバーと有資格メンバーが含まれます。 レビューは、グループのアクティブなメンバー、レビューの作成時にアクティブなメンバー、グループの有資格のメンバーの両方に対して実行できます。
前提条件
この機能を使用するには、Microsoft Entra ID ガバナンスまたは Microsoft Entra Suite ライセンスが必要です。 要件に適したライセンスを見つけるには、「Microsoft Entra ID Governance licensing fundamentals
グループの PIM のアクセス レビューを作成する
ヒント
この記事の手順は、開始するポータルに応じて若干異なる場合があります。
範囲
Microsoft Entra 管理センターに Identity Governance 管理者以上としてサインインします。
[Identity governance]>[アクセス レビュー]>[レビューの履歴] の順に移動します。
[新しいアクセス レビュー] を選択して、新しいアクセス レビューを作成します。
[レビュー対象を選択する] ボックスで、[チームとグループ] を選択します。
[チームとグループ] を選択し、[チームとグループの選択] を [範囲の確認] で選択します。 選択できるグループのリストが画面に表示されます。
Note
グループの PIM が選択されている場合、グループのレビュー対象ユーザーには、そのグループ内のすべての有資格ユーザーとアクティブ ユーザーが含まれます。
次に、レビューのスコープを選択できます。 オプションは次のとおりです。
- [ゲスト ユーザーのみ]: このオプションでは、アクセス レビューがディレクトリ内の Microsoft Entra B2B ゲスト ユーザーのみに制限されます。
- [全員] : このオプションでは、アクセス レビューが、そのリソースに関連付けられているすべてのユーザー オブジェクトにスコープ指定されます。
グループ メンバーシップのレビューを実行する場合は、グループ内の非アクティブなユーザーに対してのみアクセス レビューを作成できます。 "ユーザー スコープ" セクションで、[非アクティブなユーザー (テナント レベル)] の横にあるチェック ックスをオンにします。 このチェック ボックスをオンにすると、レビューの範囲は非アクティブなユーザー (テナントに対話形式でも非対話形式でもサインインしていないユーザー) のみに絞られます。 次に、[非アクティブな日数] に最大 730 日 (2 年) の非アクティブ日数を指定します。 非アクティブな状態が指定の日数に達したグループ内のユーザーのみが、レビューに含まれます。
Note
最近作成したユーザーは、非アクティブ時間を構成しても影響を受けません。 アクセス レビューでは構成された時間にユーザーが作成されたかどうかが検査され、少なくともその時間に存在していなかったユーザーは無視されます。 たとえば、非アクティブ時間を 90 日に設定した場合、作成または招待されてから 90 日未満のゲスト ユーザーは、アクセス レビューの対象範囲外になります。 これにより、ユーザーは削除されるまでに少なくとも 1 回サインインできるようになります。
- [次へ: レビュー] を選択します。
この手順に達したら、「グループまたはアプリケーションのアクセス レビューを作成する」記事の「次へ: レビュー」に概要が記載されている手順に従って、アクセス レビューを完了できます。
Note
PIM for Groups (プレビュー) のアクセス レビューでは、レビュー担当者としてグループ所有者を選択する場合は、少なくとも 1 人のフォールバック レビュー担当者を割り当てる必要があります。 レビューでは、レビュー担当者としてアクティブな所有者のみが割り当てられます。 有資格の所有者は含まれません。 レビュー開始時にアクティブな所有者がいない場合、フォールバック レビュー担当者がレビューに割り当てられます。