アクセス レビューを使用して古いゲスト アカウントを監視およびクリーンアップする
ユーザーが外部パートナーとコラボレーションを行うと、時間の経過と共に多くのゲスト アカウントが Microsoft Entra テナントに作成される可能性があります。 コラボレーションが終了し、ユーザーがテナントにアクセスしなくなると、ゲスト アカウントが古くなる可能性があります。 管理者は、非アクティブなゲスト分析情報を使用して、ゲスト アカウントを大規模に監視できます。 管理者は、アクセス レビューを使用して、非アクティブなゲスト ユーザーを自動的にレビューし、サインインをブロックして、ディレクトリから削除することもできます。
Microsoft Entra ID で非アクティブなユーザー アカウントを管理する方法に関する記事を参照してください。
古いゲスト アカウントの監視およびクリーンアップに有効な推奨されるパターンがいくつかあります:
非アクティブなゲスト レポートを使用して、組織内の非アクティブなゲストに対するインテリジェントな分析情報を使用して、ゲスト アカウントを大規模に監視します。 組織のニーズに応じて非アクティブしきい値をカスタマイズし、監視するゲスト ユーザーの範囲を絞り込み、非アクティブなゲスト ユーザーを特定します。
ゲストがまだアクセスが必要かどうかを自己証明するマルチステージ レビューを作成します。 第 2 ステージのレビュー担当者が結果を評価し、最終的な決定を行います。 アクセスが拒否されたゲストは無効になり、後で削除されます。
レビューを作成して、非アクティブな外部ゲストを削除します。 管理者は、非アクティブな時間を日数として定義します。 その時間内にテナントにサインインしなかったゲストを無効にし、後で削除します。 既定では、これは最近作成されたユーザーには影響しません。 非アクティブなアカウントを識別する方法について詳しくは、こちらをご覧ください。
次の手順を使用して、非アクティブなゲスト アカウントの監視を大規模に強化し、これらのパターンに従うアクセス レビューを作成する方法について説明します。 構成に関する推奨事項を検討し、環境に合わせて必要な変更を行います。
ライセンス要件
この機能を使用するには、Microsoft Entra ID Governance または Microsoft Entra スイートのライセンスが必要です。 要件に適したライセンスを見つけるには、「Microsoft Entra ID ガバナンス ライセンスの基礎」をご覧ください。
非アクティブなゲスト分析情報を使用してゲスト アカウントを大規模に監視する
ヒント
この記事の手順は、開始するポータルによって若干異なる場合があります。
Microsoft Entra 管理センターにサインインします。
[Identity governance] (ID ガバナンス)>ダッシュボード の順に移動します。
[Guest access governance] (ゲスト アクセス ガバナンス) カードに移動して非アクティブなゲスト アカウント レポートにアクセスし、[View inactive guests] (非アクティブなゲストの表示) を選びます。
非アクティブなゲスト レポートが表示され、90 日間の非アクティブに基づいて非アクティブなゲスト ユーザーに関する分析情報が提供されます。 しきい値は既定で 90 日に設定されていますが、組織のニーズに基づいて[非アクティブしきい値の編集]を使用して構成できます。
このレポートの一部として、次の分析情報が提供されます:
- ゲスト アカウントの概要(全ゲスト数と、サインインしたことが一度もないゲスト及び少なくとも一度はサインインしたゲストの更なる分類を含む非アクティブ ゲスト数)
- ゲスト非アクティブ分散(前回のサインインからの日数に基づくゲスト ユーザーの割合分布)
- ゲスト非アクティブの概要(非アクティブしきい値を構成するためのゲスト非アクティブ ガイダンス)
- ゲスト アカウントの概要 (エクスポート可能な表形式のビュー。アクティビティの状態に関する分析情報を含む、すべてのゲスト アカウントの詳細が表示されます。アクティビティの状態は、構成されている非アクティビティしきい値に基づいてアクティブまたは非アクティブになります)
非アクティブ日数は、ユーザーが少なくとも 1 回サインインした場合、最後のサインイン日に基づいて計算されます。 サインインしたことがないユーザーについては、非アクティブ日数は作成日に基づいて計算されます。
Note
ゲスト分析情報を含むレポートは、"すべてのデータをダウンロード" を使用してダウンロードできます。 ダウンロードする各アクションは、ゲスト ユーザーの数に応じて時間がかかる場合があります。最大 100 万人のゲスト ユーザーがダウンロードできます。
ゲストが継続的なアクセスを自己証明するためのマルチステージ レビューを作成する
レビューするゲスト ユーザーの動的グループを作成します。 たとえば、 にします。
(user.userType -eq "Guest") and (user.mail -contains "@contoso.com") and (user.accountEnabled -eq true)
動的グループのアクセス レビューを作成するには、Microsoft Entra ID> Identity Governance の >[アクセス レビュー] に移動します。
[新しいアクセス レビュー] を選択します。
レビューの種類を構成します。
プロパティ 値 レビュー対象を選択する チームとグループ レビューの範囲 チームとグループの選択 グループ 動的グループを選択する Scope ゲスト ユーザーのみ (省略可能) 非アクティブなゲストをレビューする [非アクティブ ユーザー (テナント レベル) のみ] のチェック ボックスをオンにします。
非アクティブな時間を構成する日数を入力します。[次へ: レビュー] を選択します。
レビューの構成:
プロパティ 値 第 1 ステージのレビュー 複数ステージのレビュー チェックボックスをオンにします。 レビュー担当者の選択 [ユーザーによる自分のアクセスのレビュー] ステージ期間 (日数) 日数を入力します。 第 2 ステージのレビュー レビュー担当者の選択 グループ所有者 または 選択したユーザーまたはグループ ステージ期間 (日数) 日数を入力します。
(省略可能) フォールバック レビュー担当者を指定します。レビューの繰り返しの指定 レビューの繰り返し ドロップダウンから設定を選択します。 開始日 日付を選択する End 自分の設定を選択する 次のステージに進むレビュー対象者を指定します 次のステージに進むレビュー対象者 レビュー対象者を選択します。 たとえば、自己承認したユーザーまたは "知らない" と返信したユーザーを選択します。 [次へ: 設定] を選択します。
設定の構成:
プロパティ 値 完了時の設定 リソースへの結果の自動適用 チェックボックスをオンにします。 レビュー担当者が応答しない場合 アクセス権を削除する 拒否されたゲスト ユーザーに適用するアクション ユーザーのサインインを 30 日間ブロックした後、テナントからユーザーを削除する (省略可能) レビュー終了時の通知の送信先 通知する他のユーザーまたはグループを指定します。 レビュー担当者の意思決定ヘルパーを有効にする レビュー担当者のメールの追加コンテンツ レビュー担当者向けのカスタム メッセージを追加する その他のすべてのフィールド 残りのオプションについては既定値のままにします。 [Next:確認と作成] を選択します
アクセス レビュー名を入力します。 (省略可能) 説明を入力します。
[作成] を選択します
レビューを作成して、非アクティブな外部ゲストを削除します。
レビューするゲスト ユーザーの動的グループを作成します。 たとえば、 にします。
(user.userType -eq "Guest") and (user.mail -contains "@contoso.com") and (user.accountEnabled -eq true)
動的グループのアクセス レビューを作成するには、Microsoft Entra ID> Identity Governance の >[アクセス レビュー] に移動します。
[新しいアクセス レビュー] を選択します。
レビューの種類を構成します。
プロパティ 値 レビュー対象を選択する チームとグループ レビューの範囲 チームとグループの選択 グループ 動的グループを選択する Scope ゲスト ユーザーのみ 非アクティブなユーザー (テナント レベル) のみ チェックボックスをオンにします。 非アクティブな日数 非アクティブな時間を構成する日数を入力します。 Note
構成した非アクティブな時間は、最近作成されたユーザーには影響しません。 アクセス レビューでは構成された時間にユーザーが作成されたかどうかが検査され、少なくともその時間に存在していなかったユーザーは無視されます。 たとえば、非アクティブ時間を 90 日に設定した場合、作成または招待されてから 90 日未満のゲスト ユーザーは、アクセス レビューの対象範囲外になります。 これにより、ゲストは削除される前に必ず 1 回はサインインできるようになります。
[次へ: レビュー] を選択します。
レビューの構成:
プロパティ 値 レビュー担当者の指定 レビュー担当者の選択 グループの所有者、またはユーザーまたはグループを選択します。
(省略可能) プロセスを自動化したままにするには、アクションを実行しないレビュー担当者を選択します。レビューの繰り返しの指定 期間 (日数) 設定に基づいて値を入力または選択する レビューの繰り返し ドロップダウンから設定を選択します。 開始日 日付を選択する End オプションを選択する。 [次へ: 設定] を選択します。
設定の構成:
プロパティ 値 完了時の設定 リソースへの結果の自動適用 チェックボックスをオンにします。 レビューが応答しない場合 アクセス権を削除する 拒否されたゲスト ユーザーに適用するアクション ユーザーのサインインを 30 日間ブロックした後、テナントからユーザーを削除する レビュー担当者の意思決定ヘルパーを有効にする 30 日間サインインなし チェックボックスをオンにします。 その他のすべてのフィールド 設定に基づいてチェックボックスをオンまたはオフにします。 確認と作成 を選択します。
アクセス レビュー名を入力します。 (省略可能) 説明を入力します。
[作成] を選択します
構成した日数の間テナントにサインインしないゲスト ユーザーは、30 日間無効にされてから削除されます。 削除後、最大 30 日間はゲストを復元できます。その後は、新しい招待が必要になります。
Note
アクセス レビューの決定がまだ適用されていない場合は、API accessReviewInstance: stopApplyDecisions を使用して、アクティブな決定の適用を停止できます。