次の方法で共有


エンタイトルメント管理でアクセス パッケージのリソース ロールを変更する

アクセス パッケージ マネージャーは、新規のリソースへのユーザーのアクセスのプロビジョニングや以前のリソースからのアクセスの削除について心配することなく、アクセス パッケージ内のリソースをいつでも変更できます。 この記事では、既存のアクセス パッケージのリソース ロールを変更する方法について説明します。

このビデオでは、アクセス パッケージを変更する方法の概要について説明しています。

リソースのカタログの確認

ヒント

この記事の手順は、開始するポータルに応じて若干異なる場合があります。

アクセス パッケージにリソースを追加する必要がある場合は、必要なリソースがアクセス パッケージのカタログで利用可能かどうかを確認する必要があります。 アクセス パッケージ マネージャーの場合は、所有していても、カタログにリソースを追加することはできません。 カタログで利用可能なリソースの使用に制限されます。

  1. Microsoft Entra 管理センターIdentity Governance 管理者以上としてサインインします。

    ヒント

    このタスクを完了できる他の最小特権ロールには、カタログ所有者とアクセス パッケージ マネージャーがあります。

  2. [Identity Governance]>[エンタイトルメント管理]>[アクセス パッケージ] の順に移動します。

  3. [アクセス パッケージ] ページで、確認するアクセス パッケージを開き、カタログに必要なリソースがあることを確かめます。

  4. 左側のメニューで [カタログ] を選択し、カタログを開きます。

  5. 左側のメニューで、[リソース] を選択して、このカタログ内のリソースの一覧を表示します。

    カタログ内のリソースの一覧

  6. リソースがまだカタログに存在せず、管理者かカタログ所有者である場合は、カタログにリソースを追加できます。 追加できるリソースの種類は、グループ、ディレクトリに統合されたアプリケーション、および SharePoint Online サイトです。 次に例を示します。

    • グループとしては、クラウドで作成された Microsoft 365 グループ、またはクラウドで作成された Azure AD セキュリティ グループを指定できます。 オンプレミスの Active Directory に由来するグループは、その所有者またはメンバー属性を Microsoft Entra ID で変更できないため、リソースとして割り当てることができません。 AD セキュリティ グループ メンバーシップを使用するアプリケーションへのアクセス権をユーザーに付与するには、Microsoft Entra ID で新しいグループを作成し、AD へのグループの書き戻しを構成し、そのグループの AD への書き込みを有効にします。 配布グループとして Exchange Online に由来するグループも Microsoft Entra ID で変更できません。
    • アプリケーションとしては、Microsoft Entra エンタープライズ アプリケーションを指定できます。これには、SaaS (サービスとしてのソフトウェア) アプリケーション、別のディレクトリまたはデータベースを使用するオンプレミス アプリケーション、Microsoft Entra ID と統合された独自のアプリケーションが含まれます。 アプリケーションがまだ Microsoft Entra ID と統合されていない場合は、「環境内のアプリケーションのアクセスを制御する」およびアプリケーションと Microsoft Entra ディレクトリの統合に関するページを参照してください。
    • サイトとしては、SharePoint Online サイトまたは SharePoint Online サイト コレクションを指定できます。
  7. あなたがアクセス パッケージ マネージャーで、カタログにリソースを追加する必要がある場合は、カタログ所有者にそれらを追加するよう依頼できます。

アクセス パッケージに含めるリソース ロールを決定する

リソース ロールは、リソースに関連付けられ、定義付けられたアクセス許可を集めたものです。 カタログの各リソースからリソース ロールをアクセス パッケージに追加すれば、ユーザーがリソースを割り当てられるようになります。 グループ、チーム、アプリケーション、および SharePoint サイトによって提供されるリソース ロールを追加できます。 ユーザーがアクセス パッケージへの割り当てを受け取ると、アクセス パッケージのすべてのリソース ロールに追加されます。

アクセス パッケージの割り当てが失われると、アクセス パッケージ内のすべてのリソース ロールから削除されます。

Note

エンタイトルメント管理外のリソースに追加されたユーザーが、後でアクセス パッケージの割り当てを受け取り、それらのアクセス パッケージの割り当ての有効期限が切れた場合でも、アクセスを維持する必要がある場合は、アクセス パッケージにリソース ロールを追加しないでください。

一部のユーザーが他のユーザーとは異なるリソース ロールを受け取るようにしたい場合は、カタログ内に複数のアクセス パッケージを作成し、各リソース ロールに個別のアクセス パッケージを割り当てる必要があります。 また、アクセス パッケージを相互に互換なしとマークすることで、必要以上のアクセス権を付与するようなアクセス パッケージへのアクセスをユーザーが要求できないようにすることもできます。

特に、アプリケーションは複数のアプリ ロールを持つことができます。 アプリケーションのアプリ ロールをリソース ロールとしてアクセス パッケージに追加するとき、そのアプリケーションが複数のアプリ ロールを持つ場合は、アクセス パッケージでそれらのユーザーに対して適切なロールを指定する必要があります。

Note

アプリケーションに複数のロールがあり、そのアプリケーションの複数のロールがアクセス パッケージ内にある場合、ユーザーはそれらのアプリケーションのロールをすべて受け取ります。 その代わりに、ユーザーに一部のアプリケーションのロールのみを持たせたい場合は、カタログに複数のアクセス パッケージを作成し、各アプリケーション ロールに対して個別のアクセス パッケージを作成する必要があります。

さらに、アプリケーションは、アクセス許可を表すためにセキュリティ グループに依存することもできます。 たとえば、アプリケーションに 1 つのアプリ ロール User があり、Ordinary Users グループと Administrative Access グループの 2 つのグループのメンバーシップもチェックする場合があります。 アプリケーションのユーザーは、これら 2 つのグループのうちの 1 つだけのメンバーである必要があります。 ユーザーがいずれかのアクセス許可を要求できるように構成する場合は、アプリケーション、グループ Ordinary Users 、グループ Administrative Access の 3 つのリソースをカタログに配置します。 次に、そのカタログに 2 つのアクセス パッケージを作成し、各アクセス パッケージが他のアクセス パッケージと互換性がないことを示します。

  • アプリケーションのアプリ ロール User とグループのメンバーシップ Ordinary Users という 2 つのリソース ロールを持つ最初のアクセス パッケージ
  • アプリケーションのアプリ ロール User とグループのメンバーシップ Administrative Access という 2 つのリソース ロールを持つ 2 つ目のアクセス パッケージ

エンド ユーザーが既にリソース ロールに割り当てられているかどうかを確認します。

管理者によってリソース ロールがアクセス パッケージに追加されると、そのリソース ロールに既に属しているがアクセス パッケージへの割り当てがないユーザーはリソース ロールに残りますが、アクセス パッケージには割り当てられなくなります。 たとえば、あるユーザーがグループのメンバーであり、その後アクセス パッケージが作成され、そのグループのメンバー ロールがアクセス パッケージに追加された場合、そのユーザーは自動的にアクセス パッケージへの割り当てを受け取ることはありません。

リソース ロール メンバーシップを持つユーザーもアクセス パッケージに割り当てられるようにする場合は、Microsoft Entra 管理センターを使って、アクセス パッケージに直接ユーザーを割り当てるか、Graph や PowerShell を使って一括で割り当てることができます。 アクセス パッケージに割り当てられたユーザーは、アクセス パッケージ内の他のリソース ロールへのアクセス権も受け取ります。 ただし、リソース ロールに属していたユーザーは、アクセス パッケージに追加される前に既にアクセス権を持っていたため、アクセス パッケージの割り当てが削除されると、そのリソース ロールから削除されます。

リソースのロールの追加

  1. Microsoft Entra 管理センターIdentity Governance 管理者以上としてサインインします。

    ヒント

    このタスクを完了できる他の最小特権ロールには、カタログ所有者とアクセス パッケージ マネージャーがあります。

  2. [Identity Governance]>[エンタイトルメント管理]>[アクセス パッケージ] の順に移動します。

  3. [アクセス パッケージ] ページで、リソース ロールを追加するアクセス パッケージを開きます。

  4. 左側のメニューで、[リソース ロール] を選択します。

  5. [リソース ロールの追加] を選択して、[リソースのロールをアクセス パッケージに追加する] ページを開きます。

    アクセス パッケージ - リソース ロールの追加

  6. リソース ロールを追加するのが、グループまたはチームのメンバーシップ、アプリケーションへのアクセス、SharePoint サイト、Microsoft Entra ロール (プレビュー) のどれなのかに応じて、次のいずれかのセクションの手順を行います。

グループまたはチームのリソース ロールを追加する

ユーザーにアクセス パッケージが割り当てられているときは、エンタイトルメント管理で自動的にユーザーをグループまたは Microsoft Teams のチームに追加することができます。

  • グループまたはチームのメンバーシップがアクセス パッケージの一部であるリソース ロールであり、ユーザーがそのアクセス パッケージに割り当てられている場合、そのユーザーは、まだ存在しなければ、そのグループまたはチームにメンバーとして追加されます。
  • ユーザーのアクセス パッケージの割り当てが期限切れになると、ユーザーはグループまたはチームから削除されます。ただし、現時点で同じグループまたはチームが含まれる別のアクセス パッケージへの割り当てがある場合は削除されません。

任意の Microsoft Entra セキュリティ グループまたは Microsoft 365 グループを選択できます。 グループを管理できる管理者ロールのユーザーは、カタログにグループを追加することができます。カタログ所有者は、グループの所有者である場合、カタログにグループを追加することができます。 グループを選択する際は、次の Microsoft Entra の制約に注意してください。

  • メンバーとしてグループまたはチームに追加されたユーザー (ゲストを含む) は、そのグループまたはチームの他のすべてのメンバーを表示できます。
  • Microsoft Entra ID では、Microsoft Entra Connect を使用して Windows Server Active Directory から同期されたグループ、または Exchange Online で配布グループとして作成されたグループのメンバーシップを変更できません。 AD セキュリティ グループを使用するアプリケーションへのアクセスを管理する場合は、エンタイトルメント管理を使用して「グループ ライトバックを設定する方法」を参照してください。
  • 動的メンバーシップ グループはメンバーの追加または削除によって更新することはできないため、エンタイトルメント管理での使用には適していません。
  • Microsoft 365 グループには、管理者の Microsoft 365 グループの概要に記載されている追加の制約があります。たとえば、グループあたりの所有者数が 100 であり、グループ会話に同時にアクセスできるメンバーの数に制限があり、メンバーごとのグループ数は 7,000 です。

詳細については、「グループを比較する」と「Microsoft 365 グループおよび Microsoft Teams」を参照してください。

  1. [リソースのロールをアクセス パッケージに追加する] ページで、[グループとチーム] を選択して [グループの選択] ペインを開きます。

  2. アクセス パッケージに含めるグループとチームを選択します。

    アクセス パッケージ - リソース ロールの追加 - グループの選択

  3. [選択] を選択します。

    グループまたはチームを選択すると、[サブ タイプ] 列に次のいずれかのサブタイプが表示されます。

    サブタイプ 説明
    セキュリティ リソースにアクセスを付与するために使用されます。
    Distribution ユーザー グループに通知を送信するために使用されます。
    Microsoft 365 Teams が有効になっていない Microsoft 365 グループ。 社内と社外の両方でユーザー間の共同作業に使用されます。
    チーム Teams が有効になっている Microsoft 365 グループ。 社内と社外の両方でユーザー間の共同作業に使用されます。
  4. [ロール] 一覧で [所有者] または [メンバー] を選択します。

    通常は [メンバー] ロールを選択します。 所有者ロールを選択すると、ユーザーはグループの所有者になり、他のメンバーまたは所有者を追加または削除できます。

    アクセス パッケージ - グループまたはチームのリソース ロールの追加

  5. [追加] を選択します。

    追加されると、アクセス パッケージへの既存の割り当てがあるユーザーは、自動的にこのグループまたはチームのメンバー (または所有者) になります。 詳細については、「変更が適用されるタイミング」を参照してください。

アプリケーションのリソース ロールを追加する

Microsoft Entra ID では、ユーザーにアクセス パッケージを割り当てるときに、そのユーザーに自動的に Microsoft Entra エンタープライズ アプリケーション (SaaS アプリケーション、オンプレミスのアプリケーション、および Microsoft Entra ID と統合されている組織のアプリケーションを含む) へのアクセス権を割り当てることができます。 フェデレーション シングル サインオンを使用して Microsoft Entra ID と統合されるアプリケーションの場合は、Microsoft Entra ID により、そのアプリケーションに割り当てられたユーザーに対してフェデレーション トークンが発行されます。

アプリケーションがまだ Microsoft Entra ID と統合されていない場合は、「環境内のアプリケーションのアクセスを制御する」およびアプリケーションと Microsoft Entra ディレクトリの統合に関するページを参照してください。

アプリケーションは、マニフェストで定義された複数のアプリ ロールを持つことができ、アプリ ロール UI を通じて管理できます。 アプリケーションのアプリロースをリソース ロールとしてアクセス パッケージに追加するとき、そのアプリケーションが複数のロールを持つ場合は、アクセス パッケージでそれらのユーザーに対して適切なアプリ ロールを指定する必要があります。 アプリケーションを開発する場合、これらのロールをアプリケーションに追加する方法の詳細については、「エンタープライズ アプリケーションの SAML トークン内に発行されるロール要求を構成する方法」を参照してください。 Microsoft 認証ライブラリを使用している場合、アプリ ロールを使用してアクセスの制御を行う方法のコード サンプルもあります。

Note

アプリケーションに複数のロールがあり、そのアプリケーションの複数のロールがアクセス パッケージ内にある場合、ユーザーはそれらのアプリケーションのロールをすべて受け取ります。 その代わりに、ユーザーに一部のアプリケーションのロールのみを持たせたい場合は、カタログに複数のアクセス パッケージを作成し、各アプリケーション ロールに対して個別のアクセス パッケージを作成する必要があります。

アプリロールがアクセスパッケージのリソースになると、次のようになります。

  • ユーザーがそのアクセス パッケージに割り当てられると、まだ存在しない場合は、ユーザーがそのグループに追加されます。 アプリケーションに属性が必要な場合は、要求から収集された属性の値がユーザーに書き込まれます。
  • ユーザーのアクセス パッケージの割り当てが期限切れになると、ユーザーがそのアプリケーション ロールが含まれている別のアクセス パッケージへの割り当てを持っている場合を除き、ユーザーのアクセス権はそのアプリケーションから削除されます。 アプリケーションで必要な属性の場合、それらの属性はユーザーから削除されます。

アプリケーションを選択する際は、次の点を考慮します。

  • アプリケーションでは、アプリ ロールにグループを割り当てることもできます。 アクセス パッケージ内のアプリケーション ロールの代わりにグループを追加することができます。ただし、そのアプリケーションは、ユーザーにはマイ アクセス ポータルでアクセス パッケージの一部として表示されません。
  • Microsoft Entra 管理センターでは、アプリケーションとして選択できないサービスのサービス プリンシパルを表示することもできます。 特に、Exchange OnlineSharePoint Online はサービスであり、ディレクトリにリソース ロールがあるアプリケーションではないため、アクセス パッケージに含めることはできません。 代わりに、グループ ベースのライセンスを使用して、それらのサービスへのアクセスを必要とするユーザーに対して適切なライセンスを確立します。
  • 認証に関して個人用の Microsoft アカウント ユーザーのみをサポートし、ディレクトリ内の組織アカウントをサポートしないアプリケーションは、アプリケーション ロールを持たず、アクセス パッケージ カタログに追加することはできません。
  1. [リソースのロールをアクセス パッケージに追加する] ページで、[アプリケーション] を選択して [アプリケーションの選択] ペインを開きます。

  2. アクセス パッケージに含めるアプリケーションを選択します。

    アクセス パッケージ - リソース ロールの追加 - アプリケーションの選択

  3. [選択] を選択します。

  4. [ロール] 一覧でアプリケーション ロールを選択します。

    アクセス パッケージ - アプリケーションのリソース ロールの追加

  5. [追加] を選択します。

    アクセス パッケージへの既存の割り当てがあるユーザーは、追加されると自動的にこのアプリケーションへのアクセス権が付与されます。 詳細については、「変更が適用されるタイミング」を参照してください。

SharePoint サイトのリソース ロールを追加する

Microsoft Entra ID では、ユーザーにアクセス パッケージを割り当てるときに、そのユーザーに自動的に SharePoint Online サイトまたは SharePoint Online サイト コレクションへのアクセス権を割り当てることができます。

  1. [リソースのロールをアクセス パッケージに追加する] ページで、[SharePoint サイト] を選択して [SharePoint Online サイトの選択] ペインを開きます。

    アクセス パッケージ - リソース ロールの追加 - SharePoint サイトの選択 - ポータル ビュー

  2. アクセス パッケージに含める SharePoint Online サイトを選択します。

    アクセス パッケージ - リソース ロールの追加 - SharePoint Online サイトの選択

  3. [選択] を選択します。

  4. [ロール] の一覧で、SharePoint Online サイトのロールを選択します。

    アクセス パッケージ - SharePoint Online サイトのリソース ロールの追加

  5. [追加] を選択します。

    アクセス パッケージへの既存の割り当てがあるユーザーは、追加されると自動的に SharePoint Online サイトへのアクセス権が付与されます。 詳細については、「変更が適用されるタイミング」を参照してください。

Microsoft Entra のロール割り当てを追加する

ユーザーが組織のリソースにアクセスするために追加のアクセス許可が必要な場合、アクセス パッケージを通じて Microsoft Entra ロールを割り当てることで、それらのアクセス許可を管理できます。 エンタイトルメント管理を使用して、Microsoft Entra ロールを従業員やゲストに割り当てることで、ユーザーのエンタイトルメントを確認して、どのロールがそのユーザーに割り当てられているかをすぐに判断できます。 Microsoft Entra ロールをアクセス パッケージのリソースとして含める場合、そのロールの割り当てが "有資格" か"アクティブ" かを指定することもできます。

アクセス パッケージを通じて Microsoft Entra ロールを割り当てることで、大規模なロールの割り当てを効率的に管理し、ロール割り当てライフサイクルを改善することができます。

Note

Privileged Identity Management を使用して、高度な権限が必要なタスクを実行するための Just-In-Time アクセスをユーザーに提供することをお勧めします。 これらの権限は、「Microsoft Entra の組み込みロール」ドキュメントに "特権" としてタグ付けされた Microsoft Entra ロールを通じて提供されます。 エンタイトルメント管理は、ジョブの実行に必要な、Microsoft Entra ロールを含めることができるリソースのバンドルをユーザーに割り当てる場合に適しています。 アクセス パッケージに割り当てられているユーザーは、より長期間リソースにアクセスできる傾向があります。 Privileged Identity Management を通じて高特権ロールを管理することをお勧めしますが、エンタイトルメント管理のアクセス パッケージ経由でこれらのロールの資格を設定できます。

次の手順に従って、Microsoft Entra ロールをリソースとしてアクセス パッケージに含めます。

  1. Microsoft Entra 管理センターIdentity Governance 管理者以上としてサインインします。

  2. [Identity governance] (ID ガバナンス)>[エンタイトルメント管理]>[アクセス パッケージ] の順に移動します。

  3. [アクセス パッケージ] ページで、リソース ロールを追加するアクセス パッケージを開き、[リソース ロール] を選択します。

  4. [リソースのロールをアクセス パッケージに追加する] ページで、[Microsoft Entra ロール (プレビュー)] を選択して、[Microsoft Entra ロールの選択] ペインを開きます。

  5. アクセス パッケージに含める Microsoft Entra ロールを選択します。 アクセス パッケージのロールの選択を示すスクリーンショット。

  6. [ロール] 一覧で、[有資格メンバー] または [アクティブ メンバー] を選択します。 アクセス パッケージでのリソース ロールのロールの選択を示すスクリーンショット。

  7. [追加] を選択します。

Note

[有資格] を選択した場合、ユーザーにそのロールの資格が付与され、Microsoft Entra 管理センターの Privileged Identity Management を使用して割り当てをアクティブにすることができます。 [アクティブ] を選択した場合、ユーザーはアクセス パッケージにアクセスできなくなるまで、アクティブなロール割り当てがあります。 "特権" とタグ付けされている Entra ロールの場合は、[有資格] のみを選択できます。 特権を持つロールの一覧は、次で見つけることができます: 「Microsoft Entra の組み込みロール」。

Microsoft Entra ロールをプログラムで追加するには、次を参照してください: 「プログラムでアクセス パッケージのリソースとして Microsoft Entra ロールを追加する」。

プログラムによるリソース ロールの追加

アクセス パッケージにリソース ロールをプログラムで追加するには、Microsoft Graph を使う方法と、Microsoft Graph 用の PowerShell コマンドレットを使う方法の 2 つがあります。

Microsoft Graph を使ってアクセス パッケージにリソース ロールを追加する

Microsoft Graph を使って、アクセス パッケージにリソース ロールを追加することができます。 委任された EntitlementManagement.ReadWrite.All アクセス許可を持つアプリケーションを有する適切なロールのユーザーは、API を呼び出して、次のことを行うことができます。

  1. カタログ内のリソースを一覧表示し、カタログにまだ存在しないすべてのリソースに対して accessPackageResourceRequest を作成します。
  2. カタログ内の各リソースのロールとスコープを取得します。 このロールの一覧は、後で resourceRoleScope を作成するときにロールを選択するために使用されます。
  3. アクセス パッケージ内で必要なリソース ロールごとに resourceRoleScope を作成します。

Microsoft PowerShell を使ってアクセス パッケージにリソース ロールを追加する

ID ガバナンス用の Microsoft Graph PowerShell コマンドレットモジュール バージョン 2.1.x 以降のコマンドレットを使って、PowerShell のアクセス パッケージにリソース ロールを追加することもできます。

まず、アクセス パッケージに含めるカタログ の ID、そのカタログ内のリソース、およびそのスコープとロールの ID を取得します。 次の例のようなスクリプトを使用します。 これは、カタログに 1 つのアプリケーション リソースがあることを前提としています。

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Marketing'" -All
if ($catalog -eq $null) { throw "catalog not found" }
$rsc = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter "originSystem eq 'AadApplication'" -ExpandProperty scopes
if ($rsc -eq $null) { throw "resource not found" }
$filt = "(id eq '" + $rsc.Id + "')"
$rrs = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter $filt -ExpandProperty roles,scopes

次に、そのリソースからアクセス パッケージにリソース ロールを割り当てます。 たとえば、先ほど返されたリソースの 1 番目のリソース ロールをアクセス パッケージのリソース ロールとして含める場合は、次のようなスクリプトを使います。

$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"

$rparams = @{
    role = @{
        id =  $rrs.Roles[0].Id
        displayName =  $rrs.Roles[0].DisplayName
        description =  $rrs.Roles[0].Description
        originSystem =  $rrs.Roles[0].OriginSystem
        originId =  $rrs.Roles[0].OriginId
        resource = @{
            id = $rrs.Id
            originId = $rrs.OriginId
            originSystem = $rrs.OriginSystem
        }
    }
    scope = @{
        id = $rsc.Scopes[0].Id
        originId = $rsc.Scopes[0].OriginId
        originSystem = $rsc.Scopes[0].OriginSystem
    }
}

New-MgEntitlementManagementAccessPackageResourceRoleScope -AccessPackageId $apid -BodyParameter $rparams

詳細については、「PowerShell を使用してアプリケーションのエンタイトルメント管理内に 1 つのロールを持つアクセス パッケージを作成する」を参照してください。

リソース ロールを削除する

  1. Microsoft Entra 管理センターIdentity Governance 管理者以上としてサインインします。

    ヒント

    このタスクを完了できる他の最小特権ロールには、カタログ所有者とアクセス パッケージ マネージャーがあります。

  2. [Identity Governance]>[エンタイトルメント管理]>[アクセス パッケージ] の順に移動します。

  3. [アクセス パッケージ] ページで、リソース ロールを削除するアクセス パッケージを開きます。

  4. 左側のメニューで、[リソース ロール] を選択します。

  5. リソース ロールの一覧で、削除するリソース ロールを見つけます。

  6. 省略記号 (...) を選択してから、[リソース ロールの削除] を選択します。

    アクセス パッケージへの既存の割り当てがあるユーザーは、削除されると自動的にこのリソース ロールへのアクセス権が取り消されます。

変更が適用される場合

エンタイトルメント管理では、Microsoft Entra ID により、アクセス パッケージ内の割り当てとリソースの一括変更が 1 日に数回処理されます。 そのため、割り当てを行ったりアクセス パッケージのリソース ロールを変更したりする場合は、Microsoft Entra ID でその変更を行うのに最大 24 時間かかる可能性があり、それに加えてそれらの変更を他の Microsoft Online Services や接続されている SaaS アプリケーションに伝達する時間がかかる可能性があります。 変更がほんの一部のオブジェクトにしか影響しない場合は、変更が Microsoft Entra ID で適用された後、Microsoft Entra の他のコンポーネントがその変更を検出して SaaS アプリケーションを更新するまでに数分しかかからない可能性があります。 変更が何千ものオブジェクトに影響する場合、変更にはさらに長い時間がかかります。 たとえば、2 つのアプリケーションと 100 のユーザー割り当てを含むアクセス パッケージがあり、そのアクセス パッケージに SharePoint サイトのロールを追加する場合は、すべてのユーザーがその SharePoint サイトのロールに含められるまで遅延が発生する場合があります。 Microsoft Entra 監査ログ、Microsoft Entra プロビジョニング ログ、および SharePoint サイトの監査ログで、進行状況を監視することができます。

チームのメンバーを削除すると、Microsoft 365 グループからも削除されます。 チームのチャット機能から削除されるタイミングは遅れる場合があります。 詳細については、「グループ メンバーシップ」を参照してください。

次のステップ