チュートリアル - 承認プロセスを通じて Microsoft Entra ID に外部ユーザーをオンボードする
エンタイトルメント管理は、外部ユーザーをオンボードする手段として使用できます。 この機能を使用すると、外部ユーザーが一連のリソースへのアクセスを要求でき、その場合、ディレクトリにアクセスできるようにする前に承認を設定できます。 エンタイトルメントを通じてオンボードされた外部ユーザーについては、アクセス パッケージを使用してライフサイクルを管理できます。 最後のアクセス パッケージの有効期限が切れると、ディレクトリから削除されます。
このチュートリアルでは、あなたは WoodGrove Bank の IT 管理者として勤務しているとします。 あなたは、ご自身のビジネス グループが連携している外部組織のパートナーをオンボードするアクセス パッケージの作成を求められました。 彼らは、外部コラボレーションという Teams グループにアクセスする必要があります。 組織のコラボレーションには、内部スポンサーによる承認が必要です。 また、パートナーのアクセス権を 60 日後に期限切れにする必要があるということも知らされています。 エンタイトルメント管理を使用するには、次のいずれかのライセンスが必要です。
- Microsoft Entra ID P2 または Microsoft Entra ID Governance
- Enterprise Mobility + Security (EMS) E5 ライセンス
詳細については、「License requirements ライセンスの要件」を参照してください。
手順 1: 基本情報を構成する
ヒント
この記事の手順は、開始するポータルに応じて若干異なる場合があります。
Microsoft Entra 管理センターに Identity Governance 管理者以上としてサインインします。
ヒント
このタスクを完了できる他の最小特権ロールには、カタログ所有者、ユーザー管理者、アクセス パッケージ マネージャーがあります。
[Identity Governance]>[エンタイトルメント管理]>[アクセス パッケージ] の順に移動します。
アクセス パッケージを選ぶときに、"アクセスが拒否されました" と表示される場合は、Microsoft Entra ID P2 または Microsoft Entra ID Governance ライセンスがディレクトリに存在することを確認します。
[新しいアクセス パッケージ] を選択します。
[基本情報] タブで、名前「外部ユーザー パッケージ」と説明「承認待ちの外部ユーザーのアクセス」を入力します。
[カタログ] ドロップダウン リストは [標準] に設定したままでかまいません。
手順 2: リソースを構成する
[次へ] をクリックして、[リソース ロール] タブを開きます。
このタブでは、アクセス パッケージに含めるリソースとリソース ロールを選択します。
[グループとチーム] を選択し、グループの外部コラボレーションを検索します。
手順 3: 要求を構成する
[次へ] を選択して、[要求] タブを開きます。
このタブでは、要求ポリシーを作成します。 ポリシーにより、アクセス パッケージにアクセスするための規則またはガードレールを定義します。 リソース ディレクトリ内の特定のユーザーがこのアクセス パッケージを要求することを許可するポリシーを作成します。
[アクセス権を要求できるユーザー] セクションで、[自分のディレクトリ内以外のユーザーの場合] を選択し、[すべてのユーザー (すべての接続済み組織 + 新しい外部ユーザー)] を選択します。
ディレクトリにまだ存在していないユーザーであれば、このアクセス パッケージの要求を表示して送信できるので、[承認が必要] 設定は [はい] となっている必要があります。
次の設定を使用すると、外部ユーザーに対する承認の動作を構成できます。
[要求者の理由を要求する] は、 [はい] のままにします。
[ステージの数] は [1] のままにします。
承認者シナリオで、[内部スポンサー] を選択します。 このオプションは、構成済みの接続された組織から取得されます。ここで、連携している特定の組織のスポンサーになることができます。 これにより、ご自身の組織内から接続された組織で指定されたユーザーを承認者として設定できます。
[決定は何日以内に行わなければなりませんか?] は、 [14] のままにします。
[承認者からの理由が必要] は、 [はい] のままにします。
[新しい要求と割り当ての有効化] を [はい] に設定して、このアクセス パッケージを作成されたらすぐに要求できるようにします。
手順 4: 要求者情報を構成する
[次へ] を選択して [要求元情報] タブを開きます
この画面では、追加の情報を要求元から収集するために、さらに質問をすることができます。 これらの質問は要求フォームに表示され、必須または省略可能に設定できます。 ここでは、これらは空のままでかまいません。
手順 5: ライフサイクルを構成する
[次へ] を選択して [ライフサイクル] タブを開きます
[有効期限] セクションで、 [Access package assignments expire](アクセス パッケージの割り当ての有効期限) を [日数] に設定します。
[Assignments expire after](割り当ての有効期限) を [60] 日に設定します。 このフィールドでは、ゲスト ユーザーがいつアクセス権を更新する必要があるかを決定します。
[Access Reviews](アクセス レビュー) を構成することもできます。これにより、ゲストに引き続きアクセス パッケージへのアクセス権が必要かどうかを定期的に確認できます。 レビューを自己レビューにすることも、このタスクに特定のレビューを設定することもできます。 詳しくは、アクセス レビューに関する記事を参照してください。
手順 6: アクセス パッケージを確認して作成する
[次へ] を選択して [確認と作成] タブを開きます。
この画面では、アクセス パッケージを作成する前にその構成を確認できます。 問題がある場合は、これらのタブを使用して作成エクスペリエンスの特定のポイントに移動し、編集を行います。
選択内容を確認したら、[作成] を選択します。 しばらくすると、アクセス パッケージが正常に作成されたという通知が表示されます。
作成が完了すると、そのアクセス パッケージの [概要] ページに移動されます。 [マイ アクセス ポータルのリンク] を見つけて、ここで値をコピーできます。 このリンクを共有された外部ユーザーはこのパッケージを要求できるようになり、コラボレーションを開始できます。
手順 7: リソースをクリーンアップする
この手順では、外部ユーザー パッケージ アクセス パッケージを削除できます。
Microsoft Entra 管理センターに Identity Governance 管理者以上としてサインインします。
ヒント
このタスクを完了できる他の最小特権ロールには、アクセス パッケージ マネージャーがあります。
[Identity Governance]>[エンタイトルメント管理]>[アクセス パッケージ] の順に移動します。
外部ユーザー パッケージ アクセス パッケージを開きます。
[リソース ロール] を選択します。
このアクセス パッケージに追加した [外部コラボレーション] グループを選択し、 [詳細] ウィンドウで [リソース ロールの削除] を選択します。 表示されるメッセージで、 [はい] を選択します。
アクセス パッケージの一覧を開きます。
外部ユーザー パッケージで省略記号を選択し、 [削除] を選択します。 表示されるメッセージで、 [はい] を選択します。
次のステップ
アプリケーションやサイトなどの他の種類のリソースへのアクセスを管理するための、アクセス パッケージの作成について説明します。 チュートリアル: エンタイトルメント管理でリソースへのアクセスを管理する