Azure Active Directory アクセスレビューを使用してユーザーアクセスを管理する

8 分

従業員とゲストのグループとアプリケーションへのアクセスは、時間の経過とともに変化します。失効したアクセス割り当てに関連するリスクを軽減するために、管理者は Azure Active Directory (Azure AD) を使用して、グループメンバーまたはアプリケーションアクセスのアクセスレビューを作成できます。アクセスレビューを使用するいくつかのシナリオを次に示します。

特権ロールのユーザーが多すぎる
オートメーションが使えない場合
グループを新しい目的で使用する場合
ビジネス上重要なデータアクセス
ポリシーの例外一覧を管理する方法
グループの所有者がグループにゲストをまだ必要としていることを確認する
定期的なレビューを行う

Azure Active Directory (Azure AD) アクセスレビューを使用し、組織は管理上の監視を必要とせずにグループメンバーシップを効率的に管理できます。ユーザーとゲストが適切にアクセスできるようにすることができます。アクセスレビューを使用すると、次のことができます。

定期的なレビューをスケジュールするか、アドホックレビューを実行して、アプリケーションやグループなどの特定のリソースに誰がアクセスできるかを確認する
分析情報、コンプライアンス、またはポリシー上の理由でレビューを追跡する
継続的なアクセスの必要性を自己証明できる特定の管理者、ビジネスオーナー、またはエンドユーザーにレビューを委任する
分析情報を使用して、ユーザーが引き続きアクセスできるかどうかを効率的に判断する
リソースへのユーザーのアクセスを削除するなど、レビュー結果を自動化する
メンバーとして 1 人以上のゲストが存在する Azure AD のレビューグループを自動化します。
1 人以上のゲストユーザーが割り当てられている Azure AD に接続されたレビューアプリケーションを自動化します。

アクセスレビューフローを示す図。

主な利点

アクセスレビューを有効にする主な利点は次のとおりです。

コラボレーションの制御 - アクセスレビューにより、組織はユーザーが必要とするすべてのリソースへのアクセスを管理できます。ユーザーが共有およびコラボレーションする場合、組織は、情報が許可されたユーザーのみにあることを保証できます。
リスクの管理 - アクセスレビューは、データとアプリケーションへのアクセスをレビューする方法を組織に提供し、データ漏洩とデータ流出のリスクを低減します。これには、外部パートナーの企業リソースへのアクセスを定期的に確認する機能が含まれます。
コンプライアンスとガバナンスへの対応 - アクセスレビューを使用すると、グループ、アプリ、およびサイトへのアクセスライフサイクルを管理および再認証できます。組織に固有のコンプライアンスまたはリスクに敏感なアプリケーションの追跡レビューを制御できます。
コストの削減 - アクセスレビューはクラウドに組み込まれており、グループ、アプリケーション、アクセスパッケージなどのクラウドリソースとネイティブに連携します。アクセスレビューを使用すると、独自のツールを構築したり、オンプレミスのツールセットをアップグレードしたりするよりもコストがかかりません。

グループメンバーのアクセスレビューを作成する

前提条件

Azure AD Premium P2
グローバル管理者またはユーザー管理者
Microsoft 365 およびセキュリティグループの所有者 (プレビュー)

1 つ以上のアクセスレビューを作成する

Azure portal にログインして、[Identity Governance] ページを開きます。
[アクセスレビュー] > [新しいアクセスレビュー] の順に選択して、新しいアクセスレビューを作成します。
レビューする内容を選択する セクションで、[チーム + グループ] を選択します。
[範囲の確認] セクションで、次の 2 つのオプションのいずれかを選択します。
- ゲストユーザーがいるすべての Microsoft 365 グループ - 組織内のすべてのMicrosoftTeamsおよび Microsoft 365 グループのすべてのゲストに対して定期的なレビューを作成する場合は、このオプションを選択します。 [除外するグループを選択] を選択して、特定のグループを除外することを選択できます。
- チーム + グループの選択 - レビューするチームやグループの有限セットを指定する場合は、このオプションを選択します。このオプションを選択すると、右側に選択可能なグループのリストが表示されます。
[範囲] セクションで、レビューの範囲を選択できます。選択肢は以下のとおりです。
- ゲストユーザーのみ - このオプションを選択すると、アクセスレビューがディレクトリ内の Azure AD B2B ゲストのみに制限されます。
- すべてのユーザー - このオプションを選択すると、リソースに関連付けられているすべてのユーザーオブジェクトにアクセスレビューのスコープが設定されます。
ゲストを含むすべての Microsoft 365 グループを選択した場合、唯一のオプションはゲストを確認することです。
次へ: レビュー を選択します。
[レビュー担当者の選択] セクションで、アクセスレビューを実行する人を 1 人以上選択します。次の項目から選択できます。
- グループの所有者 (チームまたはグループでレビューを実行する場合にのみ使用可能)
- 選択したユーザーまたはグループ
- ユーザーが自分のアクセスを確認する
- ユーザーの管理者。 [ユーザーの管理者] または [グループ所有者] のいずれかを選択した場合は、フォールバックレビュー担当者を指定することもできます。フォールバックレビュー担当者は、ユーザーにディレクトリに管理者が指定されていない場合、またはグループに所有者が存在しない場合にレビューを行うよう求めるメッセージが表示されます。
[レビューの繰り返し指定] セクションで、週単位、月単位、四半期単位、半期単位、年次単位 など、頻度を指定できます。次に、レビュー担当者からの入力に対してレビューを開く期間を定義する期間を指定します。たとえば、レビューが重複しないようにするため、月次レビューに設定できる最大期間は 27 日間です。レビュー担当者がより早く適用されるように、期間を短縮することをお勧めします。次に、[開始日] と [終了日] を選択できます。
ページの下端にある [次へ: 設定] ボタンを選択します。
[完了時] 設定で、レビューが完了した後の処理を指定できます。

拒否されたユーザーのアクセスを自動的に削除する場合は、[リソースに結果を自動適用する] を [有効] に設定します。レビューの完了時に手動で結果を適用する場合は、スイッチを [無効] に設定します。

[レビュー担当者が応答しない場合] リストを使用して、レビュー期間中にレビュー担当者によってレビューされないユーザーに対して何が起こるかを指定します。この設定は、レビュー担当者が手動でレビューしたユーザーには影響しません。最終的なレビューアーの決定が [拒否] の場合、ユーザーのアクセスは削除されます。
- 変更なし - ユーザーのアクセスを変更しない
- アクセスの削除 - ユーザーのアクセスを削除する
- アクセスの承認 - ユーザーのアクセスを承認する
- 推奨事項を取得する - ユーザーの継続的なアクセスの拒否または承認に関するシステムの推奨事項を取得する
アクションを使用して、拒否された ゲスト ユーザーに適用し、ゲストが拒否された場合にゲストに何が起こるかを指定します。
- リソースからユーザーのメンバーシップを削除する は、レビュー中のグループまたはアプリケーションへの拒否されたユーザーのアクセスを削除しますが、引き続きテナントにサインインできます。
- ユーザーのサインインを 30 日間ブロックしてから、テナントからユーザーを削除すると、他のリソースにアクセスできるかどうかに関係なく、拒否されたユーザーのテナントへのサインインがブロックされます。間違いがあった場合、または管理者がアクセスを再度有効にすることを決定した場合、ユーザーが無効にされてから 30 日以内にそれを行うことができます。障害のあるユーザーに対して何の措置も取られていない場合、それらのユーザーはテナントから削除されます。
他のユーザーまたはグループに通知を送信して、レビュー完了の更新を受け取ることができます。この機能により、レビュー作成者以外の利害関係者がレビューの進行状況を更新できます。この機能を使用するには、[ユーザーまたはグループの選択] を選択し、完了ステータスを受け取るユーザーまたはグループを追加します。
[レビュー決定ヘルパーを有効にする] で、レビュープロセス中にレビュー担当者が推奨事項を受け取るようにするかどうかを選択します。
[詳細設定] セクションで、次を選択できます。
- [必要な位置合わせ] を [有効] に設定して、レビューアーに承認の理由を指定する必要があります。
- [メール通知] を [有効] に設定すると、アクセスレビューの開始時に Azure AD がレビュー担当者に、レビューの完了時に管理者にメール通知を送信するようになります。
- リマインダー を [有効] に設定すると、Azure AD は、レビューを完了していないレビュー担当者に進行中のアクセスレビューのリマインダーを送信します。これらのリマインダーは、レビュー期間の途中で送信されます。
- レビュー担当者に送信される電子メールの内容は、レビュー名、リソース名、期日、その他の詳細などのレビューの詳細に基づいて自動生成されます。他の指示や連絡先情報などの他の情報を伝達する方法が必要な場合は、[レビュー担当者のメール用の追加コンテンツ] セクションでこれらの詳細を指定できます。入力した情報は、割り当てられたレビュー担当者に送信される招待メールとリマインダーメールに含まれています。次の画像で強調表示されているセクションは、この情報が表示される場所を示しています。
[次へ: レビュー+作成] を選択して、次のページに移動します。
アクセスレビューに名前を付けます。必要に応じて、レビューに説明を付けます。名前と説明がレビューアに表示されます。
情報を確認し、[作成] を選択します。

グループの所有者がアクセスレビューを作成および管理できるようにする (プレビュー)

前提条件の役割: グローバルまたはユーザー管理者

Azure portal にログインして、[Identity Governance] ページを開きます。
左側のメニューの [アクセスレビュー] の下の [設定]。
アクセスレビューを作成および管理できる代理人ページで、(プレビュー)グループ所有者が所有するグループのアクセスレビューを作成および管理できる 設定を [はい] に設定します。

グループへのアクセスを確認する

アクセスレビューの設定を指定したら、[開始] を選択します。アクセスレビューは、そのステータスのインジケーターとともにリストに表示されます。

既定では、Azure ADは、レビューの開始直後にレビュー担当者にメールを送信します。 Azure AD にメールを送信させないことを選択した場合は、アクセスレビューが完了するのを待っていることをレビュー担当者に必ず通知してください。

アクセスレビュープロセスは、通知メールから開始するか、サイト https://myapps.microsoft.com に直接アクセスして開始できます。アクセスを承認または拒否する方法は 2 つあります。

ユーザーの要求ごとに適切なアクションを選択することにより、1 人以上のユーザーのアクセスを「手動で」承認または拒否できます。
システムの推奨事項を受け入れることができます。

Azure Active Directory の監査ログ

管理者は、アクセスレビューに加えて、次のようなコンプライアンスに関するシステムアクティビティのレコードを確認するために監査ログを使用できます。

ユーザー中心のビュー

ユーザーに適用されている更新プログラムの種類は何ですか?
変更されたユーザーは何人いますか?
変更されたパスワードはいくつありますか?
管理者はディレクトリで何をしましたか?

グループ中心のビュー

どのグループが追加されましたか?
メンバーシップが変更されたグループはありますか?
グループの所有者は変更されましたか?
グループまたはユーザーにはどのライセンスが割り当てられましたか?

アプリケーション中心のビュー

どのアプリケーションが追加または更新されましたか?
どのアプリケーションが削除されましたか?
アプリケーションのサービスプリンシパルは変更されましたか?
アプリケーションの名前は変更されましたか?
どのユーザーがアプリケーションに同意しましたか?

Azure Active Directory 管理センターの [監視] セクションから監査ログにアクセスし、フィルターを使用して情報を見つけることができます。

詳細については、「Azure Active Directory の監査ログ」を参照してください。

続行

Azure Active Directory アクセス レビューを使用してユーザー アクセスを管理する