エンタイトルメント管理でアクセス パッケージのアクセス レビューを作成する
古くなったアクセス権のリスクを軽減するには、エンタイトルメント管理で、アクセス パッケージに対するアクティブな割り当てを持つユーザーの定期的レビューを有効にする必要があります。 レビューを有効にできるのは、新しいアクセス パッケージを作成するとき、または既存のアクセス パッケージ割り当てポリシーを編集するときです。 この記事では、アクセス パッケージのアクセス レビューを有効にする方法について説明します。
前提条件
アクセス パッケージのレビューを有効にするには、アクセス パッケージを作成するための前提条件を満たしている必要があります。
- Microsoft Entra ID P2 または Microsoft Entra ID Governance
- グローバル管理者、ID ガバナンス管理者、カタログ所有者、またはアクセス パッケージ マネージャー
Note
最小限の特権アクセスの後は、ID ガバナンス管理者、カタログ所有者、またはアクセス パッケージ マネージャーロールを使用することをお勧めします。
詳細については、「License requirements ライセンスの要件」を参照してください。
アクセス パッケージのアクセス レビューを作成する
ヒント
この記事の手順は、開始するポータルに応じて若干異なる場合があります。
アクセス レビューを有効にできるのは、新しいアクセス パッケージの作成時または 既存のアクセス パッケージ割り当てポリシーの編集時です。 複数のポリシーがある場合、アクセスを要求するユーザーのコミュニティごとに、ポリシーごとに独立したアクセス レビュー スケジュールを設定できます。 アクセス パッケージ割り当てのアクセス レビューを有効にするには、次の手順に従います。
Microsoft Entra 管理センターに Identity Governance 管理者以上としてサインインします。
[Identity governance] (ID ガバナンス)>[Access reviews] (アクセス レビュー)>[アクセス パッケージ] の順に移動します。
新しいアクセス ポリシーを作成するには、[New access] (新しいアクセス) パッケージを選択します。
既存のアクセス ポリシーを編集するには、左側のメニューで [アクセス パッケージ] を選択し、編集するアクセス パッケージを開きます。 次に、左側のメニューで [ポリシー] を選択し、編集するライフサイクル設定が含まれているポリシーを選択します。
アクセス パッケージ割り当てポリシーの [ライフサイクル] タブを開き、アクセス パッケージへのユーザー割り当ての有効期限を指定します。 ユーザーが割り当てを延長できるかどうかを指定することもできます。
[有効期限] セクションで、[Access package assignments expires](アクセス パッケージ割り当ての有効期限) を [日付]、[日数]、[時間数] または [無期限] に設定します。
[日付] の場合、将来の有効期限の日付を選択します。
[日数] の場合、0 日から 3660 日までの数値を指定します。
[時間数] には、時間数を指定します。
選択内容に基づき、アクセス パッケージに対するユーザーの割り当ては、特定の日付または承認後の特定の日数の経過後に期限切れになるか、または期限切れになりません。
[詳細な有効期限の設定を表示する] を選択して、他の設定を表示します。
ユーザーが割り当てを延長できるようにするには、 [Allow users to extend access](ユーザーがアクセスを延長できるようにする) を [はい] に設定します。
ポリシーで延長が許可されている場合、アクセス パッケージの割り当ての有効期限が切れる 14 日前と 1 日前にユーザーにメールが送信され、割り当ての延長を求めるメッセージが表示されます。 ユーザーは、延長を求めるときに、引き続きポリシーのスコープ内にいる必要があります。 また、ポリシーで割り当ての明示的な終了日が設定されていて、ユーザーがアクセス権の延長を求める要求を送信する場合、アクセス パッケージへのアクセス権をユーザーに付与する際に使用したポリシーに定義されているように、要求内の延長の日付は割り当ての有効期限が切れる日か、それより前とする必要があります。 たとえば、割り当ての有効期限が 6 月 30 日に切れることがポリシーで示されている場合、ユーザーが要求できる最大の延長は 6 月 30 日です。
ユーザーのアクセスが延長された場合、そのユーザーは、指定された延長日付 (ポリシーを作成したユーザーのタイムゾーンで設定された日付) より後にアクセス パッケージを要求することはできません。
延長を許可するための承認を要求するには、[Require approval to grant extension](延長許可の承認を要求する) を [はい] に設定します。
[要求] タブに指定されたのと同じ承認設定が使用されます。
次に、 [アクセス レビューが必要] を [はい] に切り替えます。
[開始日時] の横でレビューが開始される日付を指定します。
次に、[レビュー頻度] を [毎年]、[半年毎]、[四半期に 1 回]、または [月 1 回] に設定します。 この設定は、アクセス レビューを実行する頻度を決定します。
[期間] を設定して、繰り返しの系列の各レビューでレビュー担当者からの入力を受け付ける日数を定義します。 たとえば、1 月 1 日に始まり、レビューのために 30 日間開いている年次レビューをスケジュールして、レビュー担当者がその月の終わりまで対応できるようにすることができます。
ユーザーに独自のアクセス レビューを実行させたい場合は、[レビューアー] の横にある [セルフレビュー] を選択し、レビュー担当者を指定したい場合は、[特定のレビュー担当者] を選択します。 レビュー担当者のマネージャーをレビュー担当者に指定する場合は、[マネージャー] も選択できます。 このオプションを選択した場合は、システムでマネージャーが見つからない場合にレビューの転送先となるフォールバックを追加する必要があります。
[特定のレビュー担当者] を選択した場合、どのユーザーがアクセス レビューを行うか指定します。
- [レビュー担当者の追加] を選択します。
- [レビュー担当者を選択する] ペインで、レビュー担当者にするユーザーを検索して選択します。
- レビュー担当者を選択したら、[選択] ボタンを選択します。
[マネージャー] を選択した場合は、フォールバック レビュー担当者を指定します。
- [フォールバック レビュー担当者の追加] を選択します。
- [フォールバック レビュー担当者の選択] ペインで、レビュー担当者のマネージャーのフォールバック レビュー担当者にするユーザーを検索して選択します。
- フォールバック レビュー担当者を選択したら、[選択] ボタンを選択します。
構成できる詳細設定は、他にもあります。 その他のアクセス レビュー詳細設定を構成するには、[詳細なアクセス レビューの設定を表示する] を選択します。
レビュー担当者が応答しない場合にユーザーのアクセスの処理を指定する場合は、[レビュー担当者が応答しない場合] を選択して、次のうちいずれかを選択します。
- [変更なし] ユーザーのアクセス権に対して決定を行いたくない場合。
- [アクセス権の削除] ユーザーのアクセス権を削除したい場合。
- [推奨事項の実行] MyAccess からの推奨事項に基づいて決定を行いたい場合。
システムの推奨事項を表示する場合は、[Show reviewer decision helpers] (レビュー担当者の意思決定ヘルパーの表示) を選択します。 システムの推奨事項は、ユーザーのアクティビティに基づいています。 レビュー担当者には、次のいずれかの推奨事項が表示されます。
- 過去 30 日間にユーザーが 1 回以上サインインした場合は、レビューを承認します。
- 過去 30 日間にユーザーがサインインしていない場合は、レビューを拒否します。
承認を決定した理由をレビュー担当者と共有する場合は、[Require reviewer justification] (レビュー担当者からの理由が必要) を選択します。 理由は、他のレビュー担当者と要求者に表示されます。
[確認と作成] を選択するか、新しいアクセス パッケージを作成する場合は [次へ] を選択します。 アクセス パッケージを編集している場合は、ページの最下部にある [更新] を選択します。
アクセス レビューの状態を表示する
開始日の後、アクセス レビューは [アクセス レビュー] セクションに一覧表示されます。 アクセス レビューの状態を表示するには、次の手順に従います。
[Identity Governance]で、[アクセス パッケージ] を選択してから、アクセス レビューの状態を調べたいアクセス パッケージを選択します。
アクセス パッケージの概要が表示されたら、左側のメニューの [アクセス レビュー] を選択します。
アクセス レビューが関連付けられているすべてのポリシーが含まれる一覧が表示されます。 レビューを選択し、そのレポートを表示します。
レポートを表示すると、レビューされたユーザーの数と、レビュー担当者が行ったアクションが表示されます。
アクセス レビューのメール通知
レビュー担当者を指定することも、ユーザーが自分のアクセスを自分自身で確認することもできます。 既定では、レビューの開始後間もなく、Microsoft Entra ID からレビュー担当者や自己レビュー担当者にメールが送信されます。
このメールには、アクセス パッケージへのアクセスを確認する方法に関する指示が記載されます。 レビューでユーザーが自分のアクセスを確認する場合は、アクセス パッケージのセルフ レビューを実行する方法に関する指示が示されます。
レビュー担当者として割り当てたゲスト ユーザーが Microsoft Entra ゲスト招待を承諾していない場合、彼らはアクセス レビューからのメールを受信しません。 電子メールを受信する前に、まず招待を受け入れて、Microsoft Entra ID でアカウントを作成する必要があります。
Note
レビュー サイクルが開かれている間、レビュー担当者はいつでもアクセス レビューの決定を変更できます。 レビュー担当者が既に決定を行った場合でも、アクセス レビューの途中であれば、アクセス レビュー サイクルがまだ開かれていることを通知するリマインダー メールがレビュー担当者に送信されます。