グループとアプリケーションのアクセス レビューをアクセス レビューに入力する

  • [アーティクル]

管理者がグループまたはアプリケーションに対するアクセス レビューを作成し、レビュー担当者がアクセス レビューを実行します。 この記事では、アクセス レビューの結果を確認し、その結果を適用する方法について説明します。

注意

この記事は、デバイスまたはサービスから個人データを削除する手順について説明しており、GDPR の下で義務を果たすために使用できます。 GDPR に関する一般情報については、Microsoft Trust Center の GDPR に関するセクションおよび Service Trust Portal の GDPR に関するセクションをご覧ください。

前提条件

  • Microsoft Entra ID P2 または Microsoft Entra ID Governance
  • グループおよびアプリケーションに関するレビューのアクセスを管理するグローバル管理者、ユーザー管理者、または Identity Governance 管理者。 役割の割り当て可能なグループのレビューは、グローバル管理者ロールおよび特権ロール管理者の役割を持つユーザーが管理できます。「Microsoft Entra グループを使用して役割の割り当てを管理する」を参照してください
  • セキュリティ閲覧者に読み取りアクセスがあること。

詳細については、「License requirements ライセンスの要件」を参照してください。

アクセス レビューの状態を表示する

ヒント

この記事の手順は、開始するポータルに応じて若干異なる場合があります。

アクセス レビューが完了したらその進行状況を追跡できます。

  1. Microsoft Entra 管理センターIdentity Governance 管理者以上としてサインインします。

  2. [Identity governance]>[アクセス レビュー] の順に移動します。

  3. 一覧からアクセス レビューを選択します。

    [概要] ページで、レビューの [現在] のインスタンスの進行状況を確認できます。 その時点で開いているアクティブ インスタンスがない場合は、前回のインスタンスに関する情報が表示されます。 ディレクトリのアクセス権は、レビューが完了するまで変更されません。

    Review of All company group

    [現在] にあるすべてのブレードは、各レビュー インスタンスの期間中にのみ表示されます。

    注意

    [現在] のアクセス レビューに表示されるのはアクティブなレビュー インスタンスについての情報のみですが、 [期限付きレビュー] セクションの [Series](シリーズ) では、まだ実施されていないレビューに関する情報を入手できます。

    [結果] ページには、インスタンスでレビュー対象である各ユーザーに関する詳細情報と、結果を停止、リセット、ダウンロードする機能が表示されます。

    Review guest access across Microsoft 365 groups

    複数の Microsoft 365 グループに対するゲスト アクセスをレビューするアクセス レビューを表示している場合、[概要] ブレードにレビュー内の各グループが一覧表示されます。

    review guest access across Microsoft 365 groups

    グループを選択すると、そのグループのレビューの進行状況と、[停止]、[リセット]、[適用]、[削除] が表示されます。

    review guest access across Microsoft 365 groups in detail

  4. 終了予定日の前にアクセス レビューを停止する場合は、[停止] ボタンを選択します。

    レビューを停止すると、レビュー担当者が応答を提供できなくなります。 レビューを停止後に再開することはできません。

  5. そのアクセス レビューが今後必要ない場合は、[削除] をクリックして削除できます。

マルチステージレビューの状態の表示 (プレビュー)

マルチステージアクセスレビューの状態と段階を確認するには、次の手順を実行します。

  1. 状態を確認するマルチステージレビューを選択するか、またはそれがどの段階にあるかを確認します。

  2. [現在] の下にある左側のナビゲーション メニューで [結果] をクリックします。

  3. [結果] ページが表示されたら、[状態] の下に、複数ステージのレビューで現在どのステージが行われているかが表示されます。 レビューの次の段階は、アクセスレビューのセットアップ中に指定された期間が経過するまでアクティブになりません。

  4. 決定が行われていても、このステージのレビュー期間がまだ終了していない場合は、[結果] ページの [Stop current stage](現在のステージを停止) ボタンを選択できます。 これにより、次のレビュー段階が開始されます。

結果の取得

レビューの結果を表示するには、[結果] ページを選択します。 ユーザーのアクセスのみを表示するには、[検索] ボックスに、レビューされたアクセスのユーザーの表示名またはユーザー プリンシパル名を入力します。

Retrieve results for an access review

定期的に実行されているアクセス レビューのうち、完了しているインスタンスの結果を表示するには、[Review history](レビューの履歴) を選択し、完了しているアクセス レビューのインスタンス一覧から、インスタンスの開始日と終了日に基づいて特定のインスタンスを選択します。 このインスタンスの結果は、[結果] ページから取得できます。 リソースへのアクセスの状況は、1 回限りのアクセス レビューよりも高頻度で更新しなければならない場合もあります。そのようなリソースへのアクセスの状況は、定期的なアクセス レビューによって絶えず把握することができます。

進行中または完了したアクセス レビューの両方の結果を取得するには、[ダウンロード] ボタンを選択します。 結果の CSV ファイルは、Excel など、UTF-8 でエンコードされた CSV ファイルを開くことができるプログラムで閲覧できます。

プログラム的に結果の取得

Microsoft Graph または PowerShell を使用してアクセス レビューの結果を取得することもできます。

最初にアクセス レビューのインスタンスを見つける必要があります。 accessReviewScheduleDefinition が定期的なアクセス レビューである場合、インスタンスは各繰り返しを表します。 繰り返されないレビューには、インスタンスが 1 つのみ含まれます。 インスタンスは、スケジュール定義でレビューされる各一意のグループも表します。 スケジュール定義で複数のグループがレビューされる場合、各グループには繰り返しごとに一意のインスタンスが含まれます。 すべてのインスタンスには、レビュー担当者がアクションを実行できる決定事項のリストが含まれています。ID ごとに 1 つの決定事項がレビューされます。

インスタンスを特定したら、Graph を使用して決定を取得するには、Graph API を呼び出してインスタンスからの決定事項をリストします。 これがマルチステージ レビューの場合、Graph API を呼び出してマルチステージのアクセス レビューから決定事項をリストします。 呼び出し元は、委任された AccessReview.Read.All または AccessReview.ReadWrite.All アクセス許可を持つアプリケーション付きの適切なロールのユーザーであるか、AccessReview.Read.All または AccessReview.ReadWrite.All アプリケーションのアクセス許可を持つアプリケーションである必要があります。 詳細については、セキュリティ グループをレビューする方法に関するチュートリアルを参照してください。

ID ガバナンス用の Microsoft Graph PowerShell コマンドレット」モジュールの Get-MgIdentityGovernanceAccessReviewDefinitionInstanceDecision コマンドレットで PowerShell で決定を回収できます。 この API のデフォルトページ サイズは 100 個の決定項目であることに注意してください。

変更の適用

[Auto apply results to resource](リソースへの結果の自動適用) が有効になっていた場合は、[Upon completion settings] (完了時の設定) での選択に基づいて、レビュー インスタンスの完了後、またはレビューを手動で停止した場合にはそれより前に自動適用が実行されます。

レビューの [Auto apply results to resource](リソースへの結果の自動適用) が有効になっていなかった場合は、レビュー期間が終了した後、または早期にレビューが停止した後に、[Series](時系列) の下にある [Review History](レビューの履歴) に移動し、適用するレビューのインスタンスをクリックします。

Apply access review changes

[適用] を選択して変更を手動で適用します。 レビューでアクセス権が拒否されたユーザーについては、[適用] を選択すると、そのメンバーシップまたはアプリケーションの割り当てが Microsoft Entra ID によって削除されます。

Apply access review changes button

レビューの状態は、[完了済み] から [Applying] (適用中) などの中間状態を経由して、最終的には [Result applied](結果を適用済み) 状態になります。 拒否されたユーザーが存在する場合は、それらのユーザーが数分以内にグループ メンバーシップまたはアプリケーション割り当てから削除されることを確認できます。

オンプレミス ディレクトリに由来するグループは、結果を手動または自動で適用しても影響を受けません。 オンプレミス ディレクトリに由来したグループに変更を加える必要がある場合は、結果をダウンロードし、そのディレクトリ内の対応するグループに対して必要な変更を適用してください。

注意

一部の拒否されたユーザーには、結果を適用できません。 該当するシナリオとして、次のような状況が考えられます。

  • 同期されたオンプレミスの Windows Server AD グループのメンバーのレビュー: グループがオンプレミスの Windows Server AD から同期されている場合、グループを Microsoft Entra ID で管理することはできないため、メンバーシップを変更することはできません。
  • 入れ子になったグループが割り当てられているリソース (ロール、グループ、アプリケーション) のレビュー: 入れ子になったグループのメンバーシップを持つユーザーの場合、入れ子になったグループのメンバーシップは削除されないため、レビュー対象のリソースへのアクセスが維持されます。
  • ユーザーが見つからないか、その他のエラー: これらの事象が発生した場合も、結果の適用がサポートされないことがあります。
  • メールが有効なグループのメンバーを確認する: グループは Microsoft Entra ID で管理できないため、メンバーシップを変更できません。
  • グループ割り当てを使用するアプリケーションをレビューすると、それらのグループのメンバーは削除されないため、アプリケーション割り当てのグループ関係から既存のアクセス権が保持されます

アクセス レビューで拒否されたゲスト ユーザーに対して実行されるアクション

アクセス レビューで拒否されたゲスト ユーザーに対する措置は、レビューの作成時に 2 つのオプションから作成者が選択できます。

  • 拒否されたゲスト ユーザーのリソース アクセスを削除します。 既定値です。
  • 拒否されたゲスト ユーザーが 30 日間サインインできないようにし、その後、そのユーザーをテナントから削除します。 その 30 日間は、ゲスト ユーザーのテナントへのアクセスを管理者が復元できます。 30 日が経過しても、ゲスト ユーザーに、リソースへのアクセス権が再度付与されていなければ、そのユーザーはテナントから完全に削除されます。 また、その期間に達していなくても、全体管理者は、MI Entra 管理センターを使用して明示的に、最近削除したユーザーを完全に削除することができます。 ユーザーが完全に削除されると、そのゲスト ユーザーに関するデータは、アクティブなアクセス レビューから削除されます。 監査ログには、削除済みユーザーに関する監査情報が維持されます。

拒否された B2B 直接接続ユーザーに対して実行されるアクション

拒否された B2B 直接接続ユーザーとチームは、チーム内のすべての共有チャネルへのアクセスを失います。

次のステップ