PIM で Azure リソースと Microsoft Entra ロールのアクセス レビューを完了する
アクセス レビューが開始されると、特権ロール管理者は特権アクセスの状況を確認できるようになります。 Microsoft Entra ID の Privileged Identity Management (PIM) では、ユーザーに自分のアクセスをレビューするよう求めるメールが自動的に送信されます。 電子メールが届かなかったユーザーがいる場合は、アクセス レビューを実行する方法に関する手順を送信できます。
レビューが作成されたら、この記事の手順に従ってレビューを完了し、結果を確認します。
アクセス レビューを完了する
ヒント
この記事の手順は、開始するポータルに応じて若干異なる場合があります。
いずれかの前提ロールに割り当てられているユーザーとして、Microsoft Entra 管理センターにサインインします。
[ID ガバナンス]>[Privileged Identity Management] に移動します。
Microsoft Entra ロールの場合は、[Microsoft Entra ロール] を選びます。 Azure リソースの場合は [Azure リソース] を選択します
管理するアクセス レビューを選択します。 以下は、Azure リソースと Microsoft Entra ロールの両方のアクセス レビューの概要のスクリーンショットの例です。
詳細ページでは、Azure リソースと Microsoft Entra ロールのレビューを管理するために、次のオプションを使用できます。
アクセス レビューを停止する
すべてのアクセス レビューには終了日が設定されていますが、 [停止] ボタンを使用するとレビューを早期に終了することができます。 [停止] ボタンは、レビュー インスタンスがアクティブになっている場合にのみ選択できます。 レビューを停止した後に再開することはできません。
アクセス レビューをリセットする
レビュー インスタンスがアクティブになっていて、レビュー担当者によって少なくとも 1 つの決定が行われた場合は、 [リセット] ボタンを選択してアクセス レビューをリセットすることで、それに対して行われたすべての決定を削除できます。 アクセス レビューをリセットすると、すべてのユーザーは、再度レビューを行っていないユーザーとしてマークされます。
アクセス レビューを適用する
終了日に達するか手動で停止されたかのいずれかの理由でアクセス レビューが完了した後で、 [適用] ボタンをクリックすると、拒否されたユーザーのロールへのアクセスが削除されます。 レビュー中にユーザーのアクセスが拒否された場合は、この手順により、そのユーザーのロール割り当てが削除されます。 レビューの作成時に [Auto apply]\(自動適用\) 設定が構成されている場合、レビューは手動ではなく自動的に適用されるため、このボタンは常に無効になります。
アクセス レビューを削除する
そのレビューが今後も必要なければ、削除します。 アクセス レビューを Privileged Identity Management サービスから削除するには、 [削除] ボタンを選択します。
重要
この破壊的な変更を確認する必要はありません。そのレビューを削除する必要があるかどうかを確認してください。
結果
[結果] ページで、レビュー結果の一覧の表示とダウンロードが行えます。
![Microsoft Entra ロールのユーザー、結果、理由、レビュー担当者、適用元、適用結果を一覧表示する [結果] ページのスクリーンショット。](media/pim-complete-azure-ad-roles-and-resource-roles-review/rbac-access-review-azure-ad-results.png#lightbox)
Note
Microsoft Entra ロールには、ロールを割り当て可能なグループの概念があり、グループをロールに割り当てることができます。 この場合、グループのメンバーを展開するのではなく、レビューにグループが表示され、レビュー担当者はグループ全体を承認または拒否します。
![Azure リソース ロールのユーザー、結果、理由、レビュー担当者、適用元、適用結果を一覧する [結果] ページのスクリーンショット。](media/pim-complete-azure-ad-roles-and-resource-roles-review/rbac-access-review-azure-resource-results.png#lightbox)
注意
グループが Azure リソース ロールに割り当てられている場合、Azure リソース ロールのレビュー担当者には、入れ子になったグループ内のユーザーの展開された一覧が表示されます。 レビュー担当者が入れ子になったグループのメンバーを拒否した場合、そのユーザーは入れ子になったグループから削除されないため、その拒否結果は正常に適用されません。
レビュー担当者
[レビュー担当者] ページで、既存のアクセス レビューの表示とレビュー担当者の追加を行います。 ここでレビュー担当者にレビューを完了するためのリマインダーを送信することもできます。
注意
選択したレビュー担当者の種類がユーザーまたはグループの場合は、任意の時点でプライマリ レビュー担当者としてさらに多くのユーザーまたはグループを追加できます。 また、いつでもプライマリ レビュー担当者を削除できます。 レビュー担当者の種類がマネージャーである場合は、ユーザーまたはグループをフォールバック レビュー担当者として追加して、管理者がいないユーザーのレビューを完了することができます。 フォールバック レビュー担当者は削除できません。
