チュートリアル: エンタイトルメント管理でリソースへのアクセスを管理する
グループ、アプリケーション、サイトなど、従業員が必要とするすべてのリソースに対するアクセスを管理することは、組織にとって重要な機能の 1 つです。 従業員に生産性の向上に必要となる適切なレベルのアクセス権を付与し、必要なくなったらそれらのアクセス権を削除する必要があります。
このチュートリアルでは、あなたは Woodgrove Bank の IT 管理者として勤務しています。 あなたは、内部ユーザーがセルフサービスの要求に使用できるマーケティング キャンペーン用のリソースのパッケージを作成するように依頼されました。 要求に承認は必要なく、ユーザーのアクセス権は 30 日後に有効期限が切れます。 このチュートリアルでは、マーケティング キャンペーンのリソースは 1 つのグループ内のメンバーシップにすぎませんが、グループ、アプリケーション、または SharePoint Online サイトのコレクションである場合もあります。
このチュートリアルでは、以下の内容を学習します。
- グループをリソースとしてアクセス パッケージを作成する
- ディレクトリ内のユーザーがアクセスを要求することを許可する
- 内部ユーザーがどのようにしてアクセス パッケージを要求できるかを示す
最初のアクセス パッケージの作成などの、Microsoft Entra のエンタイトルメント管理をデプロイするプロセスの順を追ったデモンストレーションについては、次のビデオを参照してください。
この記事の残りの部分では、Microsoft Entra 管理センターを使用してエンタイトルメント管理を構成しデモンストレーションします。
前提条件
エンタイトルメント管理を使用するには、次のいずれかのライセンスが必要です。
- Microsoft Entra ID P2 または Microsoft Entra ID Governance
- Enterprise Mobility + Security (EMS) E5 ライセンス
詳細については、「License requirements ライセンスの要件」を参照してください。
手順 1:ユーザーとグループを設定する
ヒント
この記事の手順は、開始するポータルに応じて若干異なる場合があります。
リソース ディレクトリには、共有する 1 つ以上のリソースがあります。 この手順では、Woodgrove Bank ディレクトリ内に、エンタイトルメント管理のターゲット リソースである Marketing resources という名前のグループを作成します。 また、内部要求者も設定します。
Microsoft Entra 管理センターに Identity Governance 管理者以上としてサインインします。
[Identity governance] (ID ガバナンス)>[エンタイトルメント管理]>[アクセス パッケージ] の順に移動します。
2 人のユーザーを作成します。 次の名前または別の名前を使用します。
名前 ディレクトリ ロール Admin1 少なくとも ID ガバナンス管理者。 このユーザーは、現在サインインしているユーザーでかまいません。 Requestor1 User メンバーシップの種類が [割り当て済み] である Marketing resources という名前の Microsoft Entra セキュリティ グループ を作成します。 このグループは、エンタイトルメント管理のターゲット リソースになります。 開始するグループのメンバーは空である必要があります。
手順 2:アクセス パッケージを作成します。
アクセス パッケージは、チームまたはプロジェクトが必要とし、ポリシーで管理されるリソースのバンドルです。 アクセス パッケージは、カタログと呼ばれるコンテナーに定義されます。 この手順では、 [標準] カタログ内に Marketing Campaign アクセス パッケージを作成します。
Microsoft Entra 管理センターに Identity Governance 管理者以上としてサインインします。
ヒント
このタスクを完了できる他の最小特権ロールには、カタログ所有者とアクセス パッケージ マネージャーがあります。
[Identity Governance]>[エンタイトルメント管理]>[アクセス パッケージ] の順に移動します。
[アクセス パッケージ] ページで、アクセス パッケージを開きます。
アクセス パッケージを開くときに、アクセスが拒否されました と表示される場合は、Microsoft Entra ID P2 または Microsoft Entra ID Governance ライセンスがディレクトリに存在することを確認します。
[新しいアクセス パッケージ] を選択します。
[基本] タブで、「Marketing Campaign」というアクセス パッケージの名前と「キャンペーン用のリソースへのアクセス」という説明を入力します。
[カタログ] ドロップダウン リストは [標準] に設定したままにします。
[次へ] を選択して [リソース ロール] タブを開きます。このタブで、アクセス パッケージに含めるリソースとリソース ロールを選択します。 グループとチーム、アプリケーション、SharePoint Online サイトへのアクセスを管理することを選択できます。 このシナリオでは、[グループとチーム] を選択します。
[グループの選択] ペインで、前に作成した [Marketing resources] グループを見つけて選択します。
既定では、[標準] カタログ内のグループが表示されます。 [すべて表示] チェック ボックスをオンにすると表示される、[標準] カタログ外のグループを選択すると、それが [標準] カタログに追加されます。
[選択] を選択して、そのグループを一覧に追加します。
[ロール] ドロップダウン リストで [メンバー] を選択します。 所有者ロールを選択すると、ユーザーが他のメンバーまたは所有者を追加または削除できるようになります。 リソースに適したロールの選択方法の詳細については、リソース ロールの追加に関する記事を参照してください。
重要
アクセス パッケージに追加されたロール割り当て可能なグループは、サブタイプ [ロールに割り当て可能] を使用して示されます。 詳細については、ロール割り当て可能なグループの作成に関する記事を確認してください。 役割を割り当て可能なグループがアクセス パッケージ カタログに表示されると、エンタイトルメント管理で管理できる管理ユーザー (グローバル管理者ロールのユーザー、ID ガバナンス管理者ロールのユーザー、このカタログのカタログ所有者など) は、カタログ内のアクセス パッケージを制御できるようになり、それらのグループに追加できるユーザーを選択できるようになることを覚えておいてください。 追加したい、ロールを割り当て可能なグループが表示されない場合、またはそれを追加できない場合は、この操作を実行するのに必要な Microsoft Entra ロールおよびエンタイトルメント管理ロールを確実に用意してください。 必要なロールを持つ人物に、カタログへのリソース追加を依頼することが必要な場合があります。 詳細については、リソースをカタログに追加するために必要なロールに関するページを参照してください。
Note
動的メンバーシップ グループを使用している場合、所有者以外には、利用できる他のロールが表示されません。 これは仕様です。
[次へ] を選択して [要求] タブを開きます。[要求] タブで、要求ポリシーを作成します。 ポリシーにより、アクセス パッケージにアクセスするための規則またはガードレールを定義します。 リソース ディレクトリ内の特定のユーザーがこのアクセス パッケージを要求することを許可するポリシーを作成します。
[アクセス権を要求できるユーザー] セクションで、[ディレクトリ内のユーザーが対象]、[特定のユーザーとグループ] の順に選択します。
[ユーザーとグループの追加] を選択します。
[ユーザーとグループを選択] ウィンドウで、前に作成した Requestor1 ユーザーを選択します。
[選択] を選択して、そのユーザーを一覧に追加します。
[承認] と [要求の有効化] のセクションまで下へスクロールします。
[承認を要求する] を [いいえ] に設定されたのままにします。
[要求の有効化] では、[はい] を選択して、このアクセス パッケージが作成されたらすぐにそれを要求できるようにします。
組織が検証済み ID を受信するように設定されている場合は、要求元に検証済み ID を提供するようにアクセス パッケージを構成するオプションがあります。 詳しくは、「エンタイトルメント管理でアクセス パッケージの検証済み ID 設定を構成する (プレビュー)」をご覧ください
[次へ] を選択して [要求元情報] タブを開きます。
[要求元情報] タブでは、要求元からさらに情報を収集するために質問を行うことができます。 質問は要求フォームに表示され、必須または省略可能のいずれかにできます。 また、従業員のマネージャーが代わりに要求できるかどうかを指定したり、その場合に承認が必要かどうかを指定したりすることもできます。 マネージャーが従業員に代わって要求することをポリシーで許可する場合、その従業員ではなく、マネージャーが従業員の代わりに質問に回答することになります。 このオプションの詳細については、「他のユーザーに代わってのアクセス パッケージを要求する (プレビュー)」をご覧ください。 このシナリオでは、アクセス パッケージの要求元情報を含めることは要求されていないため、これらのボックスを空のままにすることができます。 [次へ] を選択して [ライフサイクル] タブを開きます。
[ライフサイクル] タブでは、アクセス パッケージに対するユーザーの割り当ての有効期限を指定します。 ユーザーが割り当てを延長できるかどうかを指定することもできます。 [有効期限] セクションで、次の操作を行います。
- [アクセス パッケージの割り当ての有効期限] を [日数] に設定します。
- [割り当てが期限切れになるまでの日数] を [30] 日に設定します。
- [ユーザーは特定のタイムラインを要求できる] を既定値の [はい] のままにします。
- [アクセス レビューが必要] を [いいえ] に設定します。
[カスタム拡張機能] の手順をスキップします。
[次へ] を選択して [確認と作成] タブを開きます。
[確認と作成] タブで、[作成] を選択します。 しばらくすると、アクセス パッケージが正常に作成されたという通知が表示されます。
[Marketing Campaign] アクセス パッケージの左側のメニューで、[概要] を選択します。
[My Access portal link](マイ アクセス ポータルのリンク) をコピーします。
このリンクは次の手順で使用します。
手順 3:アクセスの要求
この手順では、内部要求者として手順を実行し、アクセス パッケージへのアクセスを要求します。 要求者は、マイ アクセス ポータルと呼ばれるサイトを使用して要求を送信します。 マイ アクセス ポータルを使用すると、要求者は、アクセス パッケージの要求の送信、既にアクセス権を持つアクセス パッケージの参照、要求の履歴の表示ができます。 新しいゲストが MyAccess でアクセス パッケージを要求すると、要求時に MyAccess ブラウザーの言語に基づいて優先言語がスタンプされます。 これにより、新しいゲストは、理解できる言語で電子メール通信を受信できます。
事前に必要なロール: 内部要求者
Microsoft Entra 管理センターからサインアウトします。
新しいブラウザー ウィンドウで、前の手順でコピーしたマイ アクセス ポータルのリンクに移動します。
マイ アクセス ポータルに Requestor1 としてサインインします。
Marketing Campaign アクセス パッケージが表示されます。
[業務上の正当な理由] ボックスに、正当な理由として「新しいマーケティング キャンペーンで作業している」と入力します。
[Submit](送信) をクリックします。
左側のメニューで、[要求の履歴] を選択して、要求が送信されたことを確認します。 詳細を表示するには、[表示] を選択します。
手順 4:アクセス権が割り当てられていることを検証する
この手順では、内部要求者にアクセス パッケージが割り当てられ、そのユーザーが Marketing resources グループのメンバーになっていることを確認します。
マイ アクセス ポータルからサインアウトします。
Admin1、つまり少なくとも ID ガバナンス管理者としてとして Microsoft Entra 管理センターにサインインします。
ヒント
このタスクを完了できるその他の最小限の特権ロールには、カタログ所有者とアクセス パッケージ マネージャーが含まれます。
[Identity governance] (ID ガバナンス)>[エンタイトルメント管理]>[アクセス パッケージ] の順に移動します。
[Marketing Campaign] アクセス パッケージを見つけて選択します。
左側のメニューで、[要求] を選択します。
Requestor1 と初期のポリシーが [配信済み] の状態で表示されます。
この要求を選択して、要求の詳細を確認します。
左側のナビゲーションで、[ID] を選択します。
[グループ] を選択し、[Marketing resources] グループを開きます。
[メンバー] を選択します。
Requestor1 がメンバーとして一覧表示されます。
手順 5:リソースをクリーンアップする
この手順では、行った変更を削除し、Marketing Campaign アクセス パッケージを削除します。
Microsoft Entra 管理センターで、少なくとも ID ガバナンス管理者として、[ID ガバナンス] を選択します。
Marketing Campaign アクセス パッケージを開きます。
[割り当て] を選択します。
[Requestor1] では、省略記号 (...) を選択してから [アクセス権の削除] を選択します。 表示されるメッセージで、 [はい] を選択します。
しばらくすると、状態が [配信済み] から [有効期限切れ] に変化します。
[リソース ロール] を選択します。
[Marketing resources] では、省略記号 (...) を選択してから [リソース ロールの削除] を選択します。 表示されるメッセージで、 [はい] を選択します。
アクセス パッケージの一覧を開きます。
[Marketing Campaign] では、省略記号 (...) を選択してから [削除] を選択します。 表示されるメッセージで、 [はい] を選択します。
[ID] で、Requestor1、Admin1 などの、作成したユーザーをすべて削除します。
Marketing resources グループを削除します。
次のステップ
次の記事に進み、エンタイトルメント管理の一般的なシナリオの手順を確認してください。