エンタイトルメント管理でカタログ作成者にアクセス ガバナンスを委任する

  • [アーティクル]

カタログは、リソースとアクセス パッケージのコンテナーです。 関連するリソースとアクセス パッケージをグループ化するときは、カタログを作成します。 既定では、グローバル管理者または ID ガバナンス管理者はカタログを作成することができ、カタログ所有者としてさらにユーザーを追加できます。

組織がカタログを委任できる方法は 3 つあります。

  • パイロット プロジェクトを開始するとき、ID ガバナンス管理者はカタログを作成して管理することができます。 その後、パイロットから運用環境に移行するときに、カタログに所有者として非管理者を割り当てることでカタログを委任できます。こうすることで、それらのユーザーが今後もポリシーを保守できるようになります。
  • 所有者のいないリソースがある場合、管理者はカタログを作成し、それらのリソースを各カタログに追加してから、カタログに所有者として非管理者を割り当てることができます。 こうすることで、管理者ではなく、リソース所有者でもないユーザーが、それらのリソースに対して自分のアクセス ポリシーを管理できるようになります。
  • リソースに所有者がいる場合、管理者は All Employees 動的グループなどのユーザーのコレクションをカタログ作成者ロールに割り当てることができます。これにより、そのグループに属し、リソースを所有するユーザーは、自分のリソースのカタログを作成できます。

この記事では、管理者ではないユーザーに委任して、自分のカタログを作成できるようにする方法について説明します。 このようなユーザーを Microsoft Entra エンタイトルメント管理で定義されたカタログ作成者ロールに追加できます。 個々のユーザーを追加することも、グループを追加することもできます。グループのメンバーはカタログを作成できるようになります。 カタログを作成したら、カタログに所有するリソースを追加できます。 彼らは、アクセス パッケージやポリシー (既存の接続されている組織を参照するポリシーを含む) を作成できます。

委任する既存のカタログがある場合は、リソースのカタログの作成と管理に関する記事に進んでください。

IT 管理者としてカタログ作成者に委任する

ヒント

この記事の手順は、開始するポータルに応じて若干異なる場合があります。

カタログ作成者ロールにユーザーを割り当てるには、これらの手順に従います。

前提条件となるロール: グローバル管理者または ID ガバナンス管理者

  1. Microsoft Entra 管理センターIdentity Governance 管理者以上としてサインインします。

  2. [Identity governance] (ID ガバナンス)>[エンタイトルメント管理]>[設定] の順に移動します。

  3. [編集] を選択します。

    Settings to add catalog creators

  4. [エンタイトルメント管理の委任] セクションで、[カタログ作成者の追加] を選択し、このエンタイトルメント管理ロールを委任するユーザーまたはグループを選択します。

  5. [選択] を選択します。

  6. [保存] を選択します。

委任されたロールに Microsoft Entra 管理センターへのアクセスを許可する

委任されたロール (カタログ作成者、アクセス パッケージ マネージャーなど) がアクセス パッケージを管理するために Microsoft Entra 管理センターにアクセスできるようにするには、管理ポータルの設定を確認する必要があります。

前提条件となるロール: グローバル管理者または ID ガバナンス管理者

  1. Microsoft Entra 管理センターIdentity Governance 管理者以上としてサインインします。

  2. [Identity] (ID)>[ユーザー]>[ユーザー設定] の順に移動します。

  3. [Microsoft Entra 管理ポータルへのアクセスを制限する][いいえ] に設定されていることをご確認ください。

    Microsoft Entra user settings - Administration portal

プログラムでロールの割り当てを管理する

Microsoft Graph を使用して、カタログの作成者と、エンタイトルメント管理のカタログ固有のロール割り当てを表示して、更新することもできます。 委任された EntitlementManagement.ReadWrite.All 権限を持つアプリケーションを使用する適切なロールのユーザーは、Graph API を呼び出して、エンタイトルメント管理のロール定義を一覧表示し、それらのロール定義に対するロール割り当てを一覧表示することができます。

カタログ作成者ロールに割り当てられたユーザーとグループの一覧を取得するには、定義 ID ba92d953-d8e0-4e39-a797-0cbedb0a89e8 を持つロールを使用して Graph クエリを使用します。

GET https://graph.microsoft.com/v1.0/roleManagement/entitlementManagement/roleAssignments?$filter=roleDefinitionId eq 'ba92d953-d8e0-4e39-a797-0cbedb0a89e8'&$expand=principal

次のステップ