アクセス許可の要求を作成または承認する
この記事では、Microsoft Entra Permissions Management の [Remediation] (修復) ダッシュボードでアクセス許可の要求を作成または承認する方法について説明します。 アマゾン ウェブ サービス (AWS)、Microsoft Azure、または Google Cloud Platform (GCP) 認可システムに対する要求を作成および承認できます。
[Remediation](修復) ダッシュボードには、使用できる 2 つのオンデマンド特権 (POD) ワークフローがあります。
- 新しい要求: ユーザーが、指定した期間のアクセス許可の要求を作成するために使用するワークフロー。
- 承認者: 承認者がユーザーのアクセス許可要求を確認して承認する、または拒否するために使用するワークフロー。
Note
[Remediation](修復) ダッシュボードを表示するには、[Viewer](閲覧者)、[Controller](コントローラー)、または [Administrator](管理者) のアクセス許可が必要です。 このタブで変更を行うには、[Controller](コントローラー) または [Administrator](管理者) のアクセス許可が必要です。 これらのアクセス許可を持っていない場合は、システム管理者に連絡してください。
アクセス許可の要求を作成する
Permissions Management のホーム ページで、[修復] タブを選択し、次に [My Requests](個人の要求) サブタブを選択します。
[My Requests](マイ要求) サブタブには、次のオプションが表示されます。
- [Pending](保留中): ユーザーによって行われたが、まだ確認されていない要求の一覧。
- [Approved](承認済み): 承認者によって確認および承認されている要求の一覧。 これらの要求は既にアクティブになっているか、アクティブ化中です。
- [Processed](処理済み): 作成して承認された (完了した) または拒否された要求、および取り消された要求の概要。
アクセス許可の要求を作成するには、[New Request](新しい要求) を選択します。
[Roles/Tasks]\(ロール/タスク) ページで、次の操作を実行します。
[Authorization System Type](認可システムの種類) ドロップダウンから、アクセスする認可システムの種類として [AWS]、[Azure]、または [GCP] を選択します。
[Authorization System](承認システム) ドロップダウンから、アクセスするアカウントを選択します。
[Identity](ID) ドロップダウンから、アクセスを要求しているユーザーの ID を選択します。
選択した ID が Security Assertions Markup Language (SAML) ユーザーの場合、SAML ユーザーはロールを引き受けることによってシステムにアクセスするので、[Role](ロール) でユーザーのロールを選択します。
選択した ID がローカル ユーザーの場合は、必要なポリシーを選択するために次を実行します。
- [Request Policy(s)](ポリシーの要求) を選択します。
- [Available Policies](使用可能なポリシー) で、必要なポリシーを選択します。
- 特定のポリシーを選択するには、プラス記号を選択し、必要なポリシーを見つけて選択します。
選択したポリシーが [Selected policies](選択済みポリシー) ボックスに表示されます。
選択した ID がローカル ユーザーの場合は、タスクを選択するために次を実行します。
- [Request Task(s)](要求タスク) を選択します。
- [Available Tasks](使用可能なタスク) で、目的のタスクを選択します。
- 特定のタスクを選択するには、プラス記号を選択し、目的のタスクを選択します。
選択したタスクが [Selected Tasks](選択済みタスク) ボックスに表示されます。
ユーザーが既に既存のポリシーを持っている場合は、[Existing Policies](既存のポリシー) に表示されます。
[次へ] を選択します。
[AWS] を選択した場合は、[Scope](スコープ) ページが表示されます。
- [Select Scope]\(スコープの選択\) で、次を選択します。
- [All Resources](すべてのリソース)
- [Specific Resources](特定のリソース)。その後、必要なリソースを選択します。
- [No Resources](リソースなし)
- [Request Conditions]\(要求の条件\) で、次を実行します。
- [JSON] を選択して、JSON コード ブロックを追加します。
- 入力したコードを受け入れる場合は [Done](完了) を選択し、入力したものを削除して、もう一度開始するには [Clear](クリア) を選択します。
- [Effect](効果) で、[Allow](許可) または [Deny](拒否) を選択します。
- [次へ] を選択します。
- [Select Scope]\(スコープの選択\) で、次を選択します。
[Confirmation](確認) ページが表示されます。
[Request Summary](要求の概要) に、要求の概要を入力します。
省略可能: [Note](注記) に、承認者の注記を入力します。
[Schedule](スケジュール) で、要求を処理するタイミング (どれくらい早く) を選択します。
- ASAP (できるだけ早く)
- 1 回。
- [Create Schedule](スケジュールの作成) で、[Frequency](頻度)、[Date](日付)、[Time](時刻)、および[For](期間) (必要な期間) を選択し、[Schedule](スケジュール) を選択します。
- 毎日
- 週次
- 毎月
[Submit](送信) をクリックします。
「Your Request Has Been Successfully Submitted.(要求が正常に送信されました。)」というメッセージが表示されます。
これで、送信した要求が [Pending Requests](保留中の要求) に一覧表示されます。
要求の作成時の頻度の種類ごとの制限時間を次に示します。
| 頻度タイプ | 制限時間 (時間単位) |
|---|---|
| ASAP (できるだけ早く) | 24 |
| 1 回。 | 2160 |
| 毎日 | 23 |
| 週単位 | 23 |
| 月単位 | 672 |
アクセス許可の要求を承認または拒否する
Permissions Management のホーム ページで、[修復] タブを選択し、次に [My Requests](個人の要求) サブタブを選択します。
まだ確認されていない要求の一覧を表示するには、[Pending Requests](保留中の要求) を選択します。
[Request Summary](要求の概要) 一覧で、要求の右側にある省略記号 (…) メニューを選択し、次を選択します。
- [Details](詳細)。要求の詳細を表示します。
- [Approve](承認)。要求を承認します。
- [Reject](拒否)。要求を拒否します。
(省略可能) 要求者への注記を追加し、[Confirm](確認) を選択します。
[Approved](承認済み) サブタブに、承認者によって確認および承認された要求の一覧が表示されます。 これらの要求は既にアクティブになっているか、アクティブ化中です。 [Processed](処理済み) サブタブには、承認または拒否された要求、および取り消された要求の概要が表示されます。
次のステップ
- アマゾン ウェブ サービス (AWS) ID のアクセス許可をアタッチおよびデタッチする方法については、AWS ID のポリシーのアタッチとデタッチに関する記事を参照してください。
- Microsoft Azure と Google Cloud Platform (GCP) ID のロールとタスクを追加および削除する方法については、Azure と GCP ID のロールとタスクの追加と削除に関する記事を参照してください。
- Microsoft Azure と Google Cloud Platform (GCP) ID に対して高リスクや未使用のタスクを取り消す方法、または読み取り専用状態を割り当てる方法については、Azure と GCP ID に対する高リスクおよび未使用のタスクの取り消しまたは読み取り専用状態の割り当てに関する記事を参照してください。