Microsoft Entra アクセス レビューの展開を計画する

組織で Microsoft Entra アクセス レビューを利用してリソース アクセス ライフサイクルを管理すると、ネットワークをより安全に保つことができます。 アクセス レビューでは、次のことができます。

  • 定期的なレビューをスケジュールするか、アドホック レビューを行って、アプリケーションやグループなどの特定のリソースにアクセスできるユーザーを確認します。

  • 分析情報、コンプライアンス、またはポリシー上の理由のレビューを追跡します。

  • 継続的なアクセスの必要性を自己証明できる特定の管理者、ビジネス オーナー、またはユーザーにレビューを委任します。

  • 分析情報を使用して、ユーザーに引き続きアクセスを許可してもよいかどうかを効率的に判断します。

  • リソースに対するユーザーのアクセス権の削除など、レビュー結果に基づく処理を自動化します。

    アクセス レビュー フローを示す図。

アクセス レビューは Microsoft Entra Identity Governance の機能です。 その他の機能には、エンタイトルメント管理Privileged Identity Management (PIM)使用条件などがあります。 これらの機能によって、次の 4 つの疑問を解決できます。

  • どのユーザーがどのリソースへのアクセス権を持つ必要があるか。
  • それらのユーザーはそのアクセス権によって何を実行するか。
  • アクセスを管理するための効果的な組織的管理は存在しているか。
  • 監査者は管理が機能していることを確認できるか。

アクセス レビューのデプロイを計画することは、組織内のユーザーに対する望ましいガバナンス戦略を確実に実現するために不可欠です。

主な利点

アクセス レビューを有効にする主な利点は次のとおりです。

  • コラボレーションの制御: アクセス レビューを使用すると、ユーザーが必要とするすべてのリソースへのアクセスを管理できます。 ユーザーが情報を共有して共同作業を行うときに、許可されているユーザーのみが情報にアクセスできることを保証できます。
  • リスクの管理: アクセス レビューは、データとアプリケーションへのアクセスをレビューし、データの漏洩や流出のリスクを減らすための手段となります。 外部パートナーによる企業リソースへのアクセスを定期的にレビューする機能が手に入ります。
  • コンプライアンスとガバナンスへの対応: アクセス レビューを使用して、グループ、アプリ、サイトへのアクセス ライフサイクルを管理および再認定できます。 コンプライアンスまたはリスクに敏感な、組織に固有のアプリケーションに対するレビューを制御および追跡できます。
  • コストの削減: アクセス レビューはクラウドに組み込まれ、グループ、アプリケーション、アクセス パッケージなどのクラウド リソースとネイティブに連携します。 アクセス レビューを使用すれば、独自のツールを構築したり、オンプレミスのツールセットをアップグレードしたりするよりもコストを抑えられます。

トレーニング リソース

以下のビデオは、アクセス レビューの学習に役立ちます。

ライセンス

アクセス レビューを作成または実行する、グローバル管理者またはユーザー管理者以外のユーザーごとに、有効な Azure AD Premium (P2) ライセンスが必要です。 詳細については、アクセス レビューのライセンス要件に関するページを参照してください。

エンタイトルメント ライフサイクル管理や PIM など、Identity Governance のその他の機能も必要になる場合があります。 その場合、関連するライセンスも必要になることがあります。 詳細については、「Azure Active Directory の価格」をご覧ください。

アクセス レビューのデプロイ プロジェクトの計画

組織のニーズを考慮して、環境にアクセス レビューをデプロイするための戦略を決定します。

適切な関係者を関わらせる

テクノロジ プロジェクトが失敗した場合、その原因は通常、影響、結果、および責任に対する想定の不一致です。 これらの落とし穴を回避するには、適切な関係者が担当していることを確認し、またそのプロジェクトの役割が明確になっていることを確認します。

アクセス レビューの場合は、組織内の次のチームの代表者を含めることが考えられます。

  • IT 管理は、IT インフラストラクチャ、クラウドへの投資、サービスとしてのソフトウェア (SaaS) アプリを管理します。 このチームは次のことを行います。

    • Microsoft 365 や Azure AD などのインフラストラクチャとアプリへの特権アクセスをレビューします。
    • 例外リストまたは IT パイロット プロジェクトの管理に使用するアクセス レビューをグループに対してスケジュールおよび実行し、最新のアクセス リストを管理します。
    • サービス プリンシパル経由の、プログラム (スクリプト) によるリソースへのアクセスが管理およびレビューされることを保証します。
  • 開発チームは、組織のアプリケーションを構築および管理します。 このチームは次のことを行います。

    • 開発されたソリューションを構成する SaaS、サービスとしてのプラットフォーム (PaaS)、サービスとしてのインフラストラクチャ (IaaS) の各リソース内のコンポーネントにアクセスして管理できるユーザーを制御します。
    • 内部アプリケーション開発用のアプリケーションとツールにアクセスできるグループを管理します。
    • 顧客に代わってホストしている運用環境のソフトウェアまたはソリューションにアクセスできる特権 ID を要求します。
  • ビジネス ユニットは、プロジェクトと独自のアプリケーションを管理します。 このチームは次のことを行います。

    • 内部および外部ユーザー向けのグループやアプリケーションへのアクセスをレビューし、承認または拒否します。
    • 従業員による、またビジネス パートナーなどの外部 ID による継続的なアクセスを証明するためのレビューをスケジュールし、実行します。
  • コーポレート ガバナンスは、組織で内部ポリシーに従い、規制を遵守していることを保証します。 このチームは次のことを行います。

    • 新しいアクセス レビューを要求またはスケジュールします。
    • コンプライアンスのための文書と記録の保存など、アクセスをレビューするためのプロセスと手順を評価します。
    • 最も重要なリソースについて、過去のレビューの結果をレビューします。

注意

手動での評価が必要なレビューについては、ポリシーとコンプライアンスのニーズを満たす適切なレビュー担当者とレビュー サイクルを計画します。 レビュー サイクルが頻繁すぎたり、レビュー担当者が少なすぎたりすると、レビューの質が低下し、アクセスを許可するユーザーを不当に多く、または少なくしてしまう可能性があります。

連絡を計画する

コミュニケーションは、新しいビジネス プロセスの成功に必要不可欠です。 エクスペリエンスがいつ、どのように変わるのかについて、ユーザーに事前に連絡します。 問題が発生した場合にサポートを受ける方法を伝えます。

アカウンタビリティの変更の連絡

アクセス レビューは、継続的なアクセスのレビューと必要な対応の責務をビジネス オーナーに移管するプロセスを支援します。 アクセスに関する決定を IT 部門から切り離すことで、より正確な決定が可能になります。 このシフトによって、リソース所有者の説明責任と責務の文化が変わります。 この変更を事前に伝えて、リソース所有者がトレーニングを受けられるよう、また、分析情報を用いて適切な決定を行えるようにします。

インフラストラクチャ関連のアクセスに関わるすべての決定と、特権ロールの割り当てについて、IT 部門は制御を手放したくありません。

メールによるコミュニケーションのカスタマイズ

レビューをスケジュールするときは、このレビューを行うユーザーを指名します。 これらのレビュー担当者は、新しいレビューが割り当てられたことの通知と、割り当てられたレビューの期限が切れる前のリマインダーをメールで受け取ります。

レビュー担当者に送信するメールをカスタマイズし、レビューへの対応を促す短いメッセージを含めることができます。 テキストを追加して、次のことを行います。

  • コンプライアンスまたは IT 部門が差出人であることがわかるよう、レビュー担当者宛ての個人的なメッセージを含めます。

  • レビューで何を見てもらいたいかという関係者内部の情報を提供し、追加的な参考文献または教材を紹介する。

    レビュー担当者のメールを示すスクリーンショット。

[レビューの開始] を選択すると、レビュー担当者は、グループとアプリケーションのアクセス レビューを行うためのマイ アクセス ポータルに誘導されます。 このポータルでは、レビュー対象のリソースにアクセスできるすべてのユーザーの概要と、最後のサインインおよびアクセスの情報に基づいたシステムからの推奨事項が表示されます。

パイロットを計画する

少人数のグループと重要でないリソースを対象にした、パイロットのアクセス レビューから始めることを推奨します。 パイロットに基づいて、プロセスやコミュニケーションを必要に応じて調整することができます。 これは、セキュリティとコンプライアンスの要件を満たすためのユーザーとレビュー担当者の能力を高めるのに役立ちます。

パイロットでは次のようにすることをお勧めします。

  • 結果が自動的に適用されず、影響を制御できるレビューから始めます。
  • すべてのユーザーが、Azure AD に登録された有効なメール アドレスを持っていることを確認します。 適切な対応を促すメール通知を受け取れることを確認します。
  • すぐに復元できるよう、パイロットの途中で削除したアクセスを文書に残しておきます。
  • 監査ログを監視し、すべてのイベントが適切に監査されていることを確認します。

詳細については、「パイロットのベスト プラクティス」を参照してください。

アクセス レビューの概要

このセクションでは、レビューを計画する前に知っておく必要があるアクセス レビューの概念について説明します。

レビューが可能なリソースの種類は?

組織のリソース (ユーザー、アプリケーション、グループなど) を Azure AD に統合したら、それらを管理およびレビューできます。

一般的なレビュー対象は次のとおりです。

アクセス レビューを作成および管理するのは誰か?

アクセス レビューの作成、管理、または読み取りに必要な管理者ロールは、レビューするリソースの種類によって異なります。 次の表に、必要なロールをリソースの種類ごとに示します。 Microsoft Authorization/* 権限を持つカスタム ロールでは、任意のリソースの種類のレビューを作成および管理できます。また、少なくとも Microsoft Authorization/*/read 権限を持つカスタム ロールでは、任意のリソースの種類のレビューを読み取ることができます。

リソースの種類 アクセス レビューの作成と管理 (作成者) アクセス レビュー結果の読み取り
グループまたはアプリケーション 全体管理者

ユーザー管理者

Identity Governance 管理者

特権ロール管理者 (Azure AD ロール割り当て可能グループのレビューのみを行います)

グループ所有者 (管理者によって有効にされている場合)

全体管理者

グローバル閲覧者

ユーザー管理者

Identity Governance 管理者

特権ロール管理者

セキュリティ閲覧者

グループ所有者 (管理者によって有効にされている場合)

Azure AD ロール 全体管理者

特権ロール管理者

全体管理者

グローバル閲覧者

ユーザー管理者

特権ロール管理者

セキュリティ閲覧者

Azure リソース ロール ユーザー アクセス管理者 (リソースの)

リソース所有者

ユーザー アクセス管理者 (リソースの)

リソース所有者

閲覧者 (リソースの)

アクセス パッケージ 全体管理者

ユーザー管理者

Identity Governance 管理者

カタログ所有者 (アクセス パッケージの場合)

アクセス パッケージ マネージャー (アクセス パッケージの場合)

全体管理者

グローバル閲覧者

ユーザー管理者

Identity Governance 管理者

カタログ所有者 (アクセス パッケージの場合)

アクセス パッケージ マネージャー (アクセス パッケージの場合)

セキュリティ閲覧者

詳細については、Azure AD での管理者ロールのアクセス許可に関する記事を参照してください。

リソースへのアクセスをレビューするのは誰か?

誰がレビューを行うかは、アクセス レビューの作成者が作成時に決定します。 この設定は、レビューが開始した後は変更できません。 レビュー担当者は、次のもので表されます。

  • リソースのビジネス オーナーであるリソース所有者。
  • アクセス レビューの管理者によって個別に選択された委任。
  • 継続的なアクセスの必要性を各自で自己証明するユーザー。
  • マネージャーは、直属の部下によるリソースへのアクセスをレビューします。

アクセス レビューを作成するとき、管理者は 1 人以上のレビュー担当者を選択できます。 すべてのレビュー担当者が、レビューを開始および実行し、リソースに継続的にアクセスするユーザーを選択または削除することができます。

アクセス レビューのコンポーネント

アクセス レビューを実装する前に、組織に関係するレビューの種類を計画します。 そのためには、レビューする対象と、レビューに基づいて実行するアクションについてビジネス上の意思決定を行う必要があります。

アクセス レビューのポリシーを作成するには、次の情報が必要です。

  • 確認するリソースは?

  • アクセスをレビューする対象のユーザーは?

  • レビューの実行頻度は?

  • レビューを行うのは誰か?

    • レビュー担当者への通知方法は?
    • レビューの期限は?
  • レビューに基づいて実行する自動アクションは?

    • レビュー担当者が期限を守らなかった場合の対応は?
  • レビューに基づいた結果として、どのような手動アクションを実行するか?

  • 実行されたアクションに基づいてどのような通知を送信するか?

アクセス レビュー計画の例

コンポーネント
レビューするリソース Microsoft Dynamics へのアクセス。
レビュー頻度 月単位。
誰がレビューを行うか Dynamics ビジネス グループのプログラム マネージャー。
Notification レビューの開始時に、Dynamics-Pms というエイリアスにメールが送信されます。

レビュー担当者の確実な対応を促すカスタム メッセージを含めます。

タイムライン 通知から 48 時間。
自動アクション セキュリティ グループ dynamics-access からユーザーを削除することにより、90 日以内に対話形式のサインインがないアカウントからアクセスを削除します。

期限内にレビューが行われなかった場合、上記のアクションを実行。

手動アクション レビュー担当者は必要に応じて、自動アクションの前に削除の承認を行うことができます。

アクセス レビューに基づくアクションの自動化

[結果をリソースに自動適用] オプションを [有効] に設定して、アクセスを自動的に削除することを選択できます。

アクセス レビューの計画を示すスクリーンショット。

レビューが完了して終了した後、レビュー担当者に承認されなかったユーザーは自動的にリソースから削除されるか、アクセスを継続できるかのどちらかです。 オプションは、グループ メンバーシップやアプリケーションの割り当ての削除、または特権ロールに昇格する権利の取り消しを意味する場合があります。

レコメンデーションに従う

レビュー中、レコメンデーションがレビュー担当者に表示され、ユーザーによるテナントへの最終サインインまたはアプリケーションへの最終アクセスを示します。 この情報は、レビュー担当者がアクセスに関して適切な決定を下すのに役立ちます。 [推奨事項の実行] を選択すると、アクセス レビューによる推奨事項に従います。 レビュー担当者が対応しなかったユーザーには、アクセス レビューの終了時に、これらのレコメンデーションがシステムによって自動的に適用されます。

レコメンデーション内容はアクセス レビューの基準に基づいています。 たとえば、対話形式で 90 日間サインインしていないアクセスを削除するようにレビューを構成している場合、その基準に一致するすべてのユーザーを削除するように推奨されます。 Microsoft では、レコメンデーション内容の改善に継続的に取り組んでいます。

ゲスト ユーザーのアクセスのレビュー

アクセス レビューを使用して、外部組織のコラボレーション パートナーの ID をレビューおよびクリーンアップします。 パートナーごとのレビューを構成して、コンプライアンス要件を満たすことができます。

企業リソースへのアクセスを外部 ID に許可することができます。 連絡先として指定できるもの:

  • グループに追加された。
  • Teams に招待された。
  • エンタープライズ アプリケーションまたはアクセス パッケージに割り当てられた。
  • Azure AD または Azure サブスクリプションで特権ロールを割り当てられた。

詳しくは、サンプル スクリプトをご覧ください。 このスクリプトは、テナントに招待された外部 ID が使用される場所を示します。 外部ユーザーの Azure AD におけるグループ メンバーシップ、ロールの割り当て、アプリケーションの割り当てを確認できます。 このスクリプトにより、SharePoint リソースへの直接の権利割り当て (グループは使用しない) など、Azure AD の外部での割り当てが示されることはありません。

グループまたはアプリケーションのアクセス レビューを作成するときは、アクセス権を持つ全員またはゲスト ユーザーのみのどちらかにレビュー担当者を注目させることができます。 [ゲスト ユーザーのみ] を選択すると、レビュー担当者には、リソースにアクセスできる Azure AD B2B (企業間) の外部 ID だけのリストが提示されます。

ゲスト ユーザーのレビューを示すスクリーンショット。

重要

これには、userTypemember の外部メンバーは含まれ "ません"。 また、この一覧には Azure AD B2B コラボレーションの外部で招待されたユーザーも含まれ "ません"。 たとえば、SharePoint 経由で共有コンテンツに直接アクセスできるユーザーなどです。

アクセス パッケージのアクセス レビューを計画する

アクセス パッケージは、ガバナンスとアクセス レビューの戦略を大幅に簡素化できます。 アクセス パッケージとは、ユーザーがプロジェクトで作業したりタスクを行ったりするために必要となるすべてのリソースと、そのアクセス権をバンドルしたものです。 たとえば、組織内の開発者に必要なすべてのアプリケーションや、外部ユーザーがアクセスできる必要があるすべてのアプリケーションを含むアクセス パッケージを作成できます。 その後、管理者または委任されたアクセス パッケージ マネージャーは、リソース (グループまたはアプリ) と、それらのリソースを操作するためにユーザーに必要なロールをグループ化します。

アクセス パッケージを作成するときに、ユーザーがアクセス パッケージを要求できる条件、承認プロセスの内容、ユーザーがアクセスを再要求する必要がある頻度やアクセス レビューを受ける頻度を設定する 1 つ以上のアクセス パッケージ ポリシーを作成できます。 アクセス レビューは、これらのアクセス パッケージ ポリシーの作成または編集中に構成されます。

[ライフサイクル] タブを選択し、アクセス レビューまで下にスクロールします。

[ライフサイクル] タブを示すスクリーンショット。

グループのアクセス レビューを計画する

アクセス パッケージに加えて、グループ メンバーシップのレビューは、アクセスを管理する最も効果的な方法です。 セキュリティ グループまたは Microsoft 365 グループを使用して、リソースへのアクセス権を割り当てます。 アクセスできるようにするには、それらのグループにユーザーを追加します。

1 つのグループに、すべての適切なリソースへのアクセスを許可できます。 グループ アクセスは、個々のリソースに、またはアプリケーションと他のリソースをグループ化するアクセス パッケージに割り当てることができます。 この方法では、各アプリケーションへの個人のアクセスではなくグループへのアクセスをレビューできます。

グループ メンバーシップは、次の方法でレビューできます。

  • 管理者。
  • グループ所有者。
  • レビュー作成時にレビュー機能を委任された、選択されたユーザー。
  • 自己証明するグループのメンバー。
  • 直属の部下によるアクセスをレビューするマネージャー。

グループ所有権

メンバーシップのレビューは、アクセスが必要なユーザーを最もよく知る立場にあるグループの所有者が行います。 グループの所有権は、グループの種類によって異なります。

  • Microsoft 365 と Azure AD で作成されたグループには、明確に定義された 1 人以上の所有者がいます。 ほとんどの場合、これらの所有者は、どのユーザーにアクセス権を付与するのが適切であるかを知っているため、グループのレビュー担当者として最適です。

    たとえば、Microsoft Teams では、基になる承認モデルとして Microsoft 365 グループを使用して、SharePoint、Exchange、OneNote、またはその他の Microsoft 365 サービスにあるリソースへのアクセスがユーザーに許可されます。 チームの作成者は自動的に所有者になり、そのグループのメンバーシップを証明する責任を負います。

  • Azure AD ポータルで手動で、または Microsoft Graph 経由でスクリプトによって作成されたグループには、所有者が定義されていない場合があります。 Azure AD ポータルでグループの [所有者] セクションから、または Microsoft Graph から所有者を定義します。

  • オンプレミスの Active Directory から同期されるグループは、Azure AD に所有者を持つことができません。 そのようなグループのアクセス レビューを作成するときは、グループのメンバーシップを判断するのに最適なユーザーを選択します。

注意

グループの所有権と、メンバーシップの定期的なレビューの説明責任を明確にするために、グループの作成方法を定義するビジネス ポリシーを定義します。

条件付きアクセス ポリシーの除外グループのメンバーシップをレビューする

除外グループのメンバーシップをレビューする方法については、「Microsoft Entra アクセス レビューを使用して、条件付きアクセス ポリシーから除外されているユーザーを管理する」をご覧ください。

ゲスト ユーザーのグループ メンバーシップをレビューする

ゲスト ユーザーのグループ メンバーシップをレビューする方法については、「Microsoft Entra のアクセス レビューによるゲスト アクセスの管理」をご覧ください。

オンプレミス グループへのアクセスのレビュー

アクセス レビューでは、オンプレミスから Azure AD Connect と同期するグループのグループ メンバーシップは変更できません。 この制限は、権限ソースがオンプレミスであるためです。

それでも、アクセス レビューを使用して、オンプレミス グループの定期的なレビューをスケジュールおよび管理することはできます。 その後、レビュー担当者がオンプレミス グループでアクションを実行します。 この戦略により、アクセス レビューはすべてのレビューのためのツールであり続けます。

オンプレミス グループに対するアクセス レビューの結果を用い、次のいずれかの方法で処理を進めることができます。

  • アクセス レビューから CSV レポートをダウンロードして、手動でアクションを実行します。
  • Microsoft Graph を使用して、完了したアクセス レビューの結果と決定にプログラムからアクセスします。

たとえば、Windows AD で管理されるグループの結果にアクセスするには、この PowerShell サンプル スクリプトを使用します。 このスクリプトは、必要な Microsoft Graph 呼び出しの概要を示し、必要な変更を行うための Windows AD-PowerShell コマンドをエクスポートします。

アプリケーションのアクセス レビューを計画する

アプリケーションへのアクセスをレビューするときは、従業員と外部 ID による、アプリケーション内の情報とデータへのアクセスをレビューします。 特定のアプリケーションにアクセスできるユーザーを知る必要がある場合は、アクセス パッケージやグループではなくアプリケーションのレビューを選択します。

以下のシナリオでは、次のときにアプリケーションのレビューを計画します。

  • ユーザーが (グループまたはアクセス パッケージの外部で) アプリケーションへの直接アクセスを許可されている。
  • 重要な情報や秘匿性の高い情報をアプリケーションが公開する。
  • 証明が必要な特定のコンプライアンス要件がアプリケーションにある。
  • 不適切なアクセスが疑われる。

アプリケーションのアクセス レビューを作成するには、 [ユーザーの割り当てが必要ですか?] オプションを [はい] に設定します。 [いいえ] に設定した場合、外部 ID を含むディレクトリ内のすべてのユーザーがアプリケーションにアクセスでき、アプリケーションへのアクセスをレビューできません。

アプリの割り当ての計画を示すスクリーンショット。

次に、アクセスをレビューするユーザーとグループを割り当てます

方法について詳しくは、「アプリケーションへのユーザーのアクセスのアクセス レビューを準備する」をご覧ください。

アプリケーションのレビュー担当者

アクセス レビューは、アプリケーションに割り当てられているグループのメンバーまたはユーザーを対象とすることができます。 Azure AD のアプリケーションには所有者がいるとは限らないため、アプリケーションの所有者をレビュー担当者として選ぶことはできません。 すべてのアクセスをレビューするのではなく、レビューの範囲を絞り込んで、アプリケーションに割り当てられたゲスト ユーザーのみをレビューすることができます。

Azure AD と Azure リソースのロールのレビューの計画

Privileged Identity Management を使用すると、企業が Azure AD 内のリソースへの特権アクセスを管理する方法が簡略化されます。 PIM を使用すると、Azure ADAzure リソースで特権ロールのリストが大幅に縮小されます。 また、ディレクトリの全体的なセキュリティも強化されます。

アクセス レビューを利用すると、レビュー担当者は、ユーザーが引き続きロールに所属する必要があるかどうかを証明できます。 アクセス パッケージのアクセス レビューと同様に、Azure AD ロールおよび Azure リソースのレビューは PIM の管理者ユーザーの操作に統合されています。

次のロールの割り当てを定期的にレビューします。

  • 全体管理者
  • ユーザー管理者
  • 特権認証管理者
  • 条件付きアクセス管理者
  • セキュリティ管理者
  • すべての Microsoft 365 と Dynamics のサービス管理ロール

レビューするロールには、永続的および臨時に割り当てたものが含まれます。

[レビュー担当者] セクションで、全ユーザーをレビューする担当者 (複数可) を選びます。 または、 [メンバー (セルフ)] を選択して、メンバーに自分のアクセス権をレビューしてもらうことができます。

レビュー担当者の選択を示すスクリーンショット。

アクセス レビューのデプロイ

Azure AD と統合されたリソースのアクセスをレビューする戦略と計画を準備したら、以下のリソースを使用してレビューをデプロイおよび管理します。

アクセス パッケージのレビュー

古くなったアクセスのリスクを軽減するために、管理者は、アクセス パッケージに対するアクティブな割り当てを持つユーザーの定期的なレビューを有効にすることができます。 表に記載されている記事の手順に従います。

ハウツー記事 説明
アクセス レビューを作成する アクセス パッケージのレビューを有効にします。
アクセス レビューを行う アクセス パッケージに割り当てられている他のユーザーのアクセス レビューを行います。
割り当てられたアクセス パッケージを自己レビューする 割り当てられたアクセス パッケージの自己レビューを行います。

注意

自己レビューを行い、アクセスが不要になったと申告したユーザーは、すぐにアクセス パッケージから削除されるわけではありません。 レビューが終了するか、管理者がレビューを停止すると、アクセス パッケージから削除されます。

グループとアプリのレビュー

従業員やゲストによるグループやアプリケーションへのアクセスのニーズは、時間の経過と共に変化する可能性があります。 アクセスの割り当てが古いことで生じるリスクを軽減するために、管理者は、グループ メンバーまたはアプリケーションのアクセスに対するアクセス レビューを作成することができます。 表に記載されている記事の手順に従います。

ハウツー記事 説明
アクセス レビューを作成する グループ メンバーまたはアプリケーションのアクセスに対して 1 つ以上のアクセス レビューを作成します。
アクセス レビューを行う アプリケーションにアクセスするユーザーまたはグループのメンバーに対するアクセス レビューを行います。
アクセスの自己レビュー グループまたはアプリケーションに対する自身のアクセス権をメンバーがレビューできるようにします。
アクセス レビューを完了する アクセス レビューを表示して結果を適用します。
オンプレミスのグループに対してアクションを実行する オンプレミス グループのアクセス レビューに対して動作するサンプル PowerShell スクリプトを使用します。

Azure AD ロールのレビュー

ロールの割り当てが古いことで生じるリスクを軽減するために、Azure AD の特権ロールのアクセスを定期的にレビューします。

Azure AD ロールの [レビューのメンバーシップ] リストを示すスクリーンショット。

表に記載されている記事の手順に従います。

ハウツー記事 説明
アクセス レビューを作成する PIM で Azure AD の特権ロールのアクセス レビューを作成します。
アクセスの自己レビュー 管理者ロールが割り当てられている場合に、ロールへのアクセスを承認または拒否します。
アクセス レビューを完了する アクセス レビューを表示して結果を適用します。

Azure リソースのロールのレビュー

ロールの割り当てが古いことで生じるリスクを軽減するために、Azure リソースの特権ロールのアクセスを定期的にレビューします。

Azure AD ロールのレビューを示すスクリーンショット。

表に記載されている記事の手順に従います。

ハウツー記事 説明
アクセス レビューを作成する PIM で Azure リソースの特権ロールのアクセス レビューを作成します。
アクセスの自己レビュー 管理者ロールが割り当てられている場合に、ロールへのアクセスを承認または拒否します。
アクセス レビューを完了する アクセス レビューを表示して結果を適用します。

アクセス レビュー API の使用

レビュー可能なリソースを操作および管理するには、Microsoft Graph API のメソッドおよびロールとアプリケーションのアクセス許可の承認チェックに関するページを参照してください。 Microsoft Graph API のアクセス レビュー関連のメソッドは、アプリケーションとユーザー両方のコンテキストで使用できます。 アプリケーション コンテキストでスクリプトを実行する場合、API の実行に使用するアカウント (サービス プリンシパル) には、アクセス レビュー情報をクエリするための AccessReview.Read.All アクセス許可が付与されている必要があります。

アクセス レビュー用の Microsoft Graph API を使用して自動化するアクセス レビューのタスクで一般的なものは次のとおりです。

  • アクセス レビューを作成して開始する。
  • スケジュールされた終了よりも前にアクセス レビューを手動で終了する。
  • 実行中のすべてのアクセス レビューとその状態を一覧表示する。
  • 一連のレビューの履歴と、各レビューで実行された決定およびアクションを確認する
  • アクセス レビューから決定を収集する。
  • 完了したレビューのうち、システムの推奨と異なる決定をレビュー担当者が下したレビューから決定を収集する。

オートメーション用に新しい Microsoft Graph API クエリを作成する場合は、Graph エクスプローラーを使用して、スクリプトやコードに配置する前に Microsoft Graph クエリをビルドして探索します。 このステップでは、求めている正確な結果が得られるよう、スクリプトのコードを変更することなくクエリをすばやく反復できます。

アクセス レビューの監視

アクセス レビューのアクティビティは記録され、Azure AD の監査ログから確認できます。 カテゴリ、アクティビティの種類、日付範囲で監査データをフィルター処理できます。 クエリの例を次に示します。

カテゴリ ポリシー
アクティビティの種類 アクセス レビューの作成
アクセス レビューの更新
終了したアクセス レビュー
アクセス レビューの削除
決定の承認
決定の拒否
決定のリセット
決定の適用
期間 7 日間

アクセス レビューのより高度なクエリと分析のために、またレビューの変更と完了を追跡するために、Azure AD 監査ログを Azure Log Analytics または Azure Event Hubs にエクスポートします。 監査ログが Log Analytics に格納されていると、強力な分析言語を使用したり、独自のダッシュボードを構築したりできます。

次の手順

以下の関連テクノロジについて理解します。