アクセス レビューとは

Azure Active Directory (Azure AD) のアクセス レビューは Microsoft Entra の一部であり、組織はこれを使用することで、グループ メンバーシップ、エンタープライズ アプリケーションへのアクセス、ロールの割り当てを効率的に管理できます。 ユーザーのアクセスを定期的にレビューし、適切なユーザーのみが継続的なアクセス権を持っていることを確認できます。

次のビデオでは、アクセス レビューの簡単な概要を説明します。

アクセス レビューが重要である理由

Azure AD を使用すると、組織内のユーザーおよび外部ユーザーと共同作業できます。 ユーザーは、グループへの参加、ゲストの招待、クラウド アプリへの接続、作業用や個人用のデバイスからのリモート作業を行うことができます。 セルフ サービスを利用する便利さゆえ、よりよいアクセス管理機能が必要になっています。

• 新しい従業員が参加するとき、生産性のために必要なアクセス権をどのようにして確実に付与しますか。
• ユーザーがチームを移動したり会社を辞めたりするとき、どのようにして古いアクセス権を確実に削除しますか。
• アクセス権が過剰であると、侵害が行われる可能性があります。
• 過剰なアクセス権は、アクセス権を制御できていないことを示すため、監査所見で指摘される可能性もあります。
• リソースの所有者と事前に連絡を取り、リソースへのアクセス権を持つユーザーを定期的にレビューしていることを確認する必要があります。

アクセス レビューを使用すべきとき

• 特権ロールのユーザーが多すぎるとき: 管理者アクセス権を持っているユーザーの数、その内で全体管理者の数、管理タスクに割り当てられた後で削除されていない招待ゲストまたはパートナーがいるかどうかを確認するのはよいことです。 Microsoft Entra Privileged Identity Management (PIM) エクスペリエンスでは、グローバル管理者などの Azure AD ロールまたはユーザー アクセス管理者などの Azure リソース ロールでロール割り当てユーザーを認定できます。
• 自動化が不可能なとき: セキュリティ グループまたは Microsoft 365 のグループで動的メンバーシップに対するルールを作成できますが、HR データが Azure AD 内にない場合や、ユーザーがグループを離れた後で後任のトレーニングのためにアクセスする必要がある場合はどうしますか。 そのようなときは、そのグループに対してレビューを作成し、まだアクセスを必要とするユーザーが継続的アクセス権を持っていることを確認することができます。
• グループが新しい目的に使用されるとき: Azure AD に同期されるグループがある場合、または営業チーム グループの全員に対して Salesforce アプリケーションを有効にする場合は、異なるリスク コンテンツでグループを使用する前にグループ メンバーシップを確認するようグループ所有者に依頼するとよいことがあります。
• ビジネス クリティカルなデータ アクセス:ビジネス クリティカルなアプリケーションなど、特定のリソースについては、コンプライアンス プロセスの一環として、継続的なアクセスが必要な理由を定期的に再確認し、妥当性を示すようにユーザーに求める必要があります。
• ポリシーの例外リストを維持するため: 理想的な世界では、すべてのユーザーが、組織のリソースへのアクセスをセキュリティで保護するアクセス ポリシーに従っているでしょう。 ただし、ビジネス ケースには、例外を認める必要がある場合もあります。 IT 管理者は、このタスクを管理し、ポリシー例外の見落としを防ぎ、これらの例外が定期的にレビューされている証明を監査者に提供することができます。
• グループのゲストがまだ必要であることを確認するようグループの所有者に依頼するため: 一部のオンプレミス ID およびアクセス管理 (IAM) では従業員のアクセスは自動化される場合がありますが、招待されたゲストではされません。 グループでビジネスの重要なコンテンツへのアクセス権をゲストに付与する場合、ゲストにアクセスに対する正当なビジネス ニーズがまだあることを確認するのは、グループ所有者の責任です。
• 定期的にレビューを繰り返す場合: 毎週、毎月、毎四半期、毎年などの設定された周期でユーザーのアクセス レビューを繰り返すよう設定することができ、レビュー担当者は各レビューの開始時に通知されます。 レビュー担当者は、使いやすいインターフェイスとスマートな推奨事項の助けを借りてアクセスを承認または拒否することができます。

注意

アクセス レビューを試す準備ができたら、グループまたはアプリケーションのアクセス レビューの作成に関するページを参照してください

レビューを作成する場所

レビューする必要がある内容に応じて、アクセス レビュー、Azure AD エンタープライズ アプリ (プレビュー段階)、PIM、またはエンタイトルメント管理でアクセス レビューを作成します。

ユーザーのアクセス権	レビュー担当者になれるユーザー	レビューが作成される場所	レビュー担当者のエクスペリエンス
セキュリティ グループ メンバー Office グループ メンバー	指定されたレビュー担当者 グループの所有者 自己レビュー	アクセス レビュー Azure AD グループ	アクセス パネル
接続されたアプリに割り当て	指定されたレビュー担当者 自己レビュー	アクセス レビュー Azure AD エンタープライズ アプリ (プレビュー段階)	アクセス パネル
Azure AD ロール	指定されたレビュー担当者 自己レビュー	PIM	Azure portal
Azure リソース ロール	指定されたレビュー担当者 自己レビュー	PIM	Azure portal
アクセス パッケージの割り当て	指定されたレビュー担当者 グループ メンバーの 自己レビュー	エンタイトルメント管理	アクセス パネル

ライセンスの要件

この機能を使用するには、Azure AD Premium P2 ライセンスが必要です。 ご自分の要件に対して適切なライセンスを探すには、一般提供されている Azure AD の機能の比較に関するページをご覧ください。

次のステップ

• アプリケーションへのユーザーのアクセスのアクセス レビューを準備する
• グループまたはアプリケーションのアクセス レビューを作成する
• Azure AD 管理者ロールに含まれるユーザーのアクセス レビューを作成する
• グループまたはアプリケーションへのアクセスのレビュー
• グループまたはアプリケーションのアクセス レビューを完了する