グループとアプリケーションのアクセス レビューをアクセス レビューに入力する
管理者がグループまたはアプリケーションに対するアクセス レビューを作成し、レビュー担当者がアクセス レビューを実行します。 この記事では、アクセス レビューの結果を確認し、その結果を適用する方法について説明します。
注意
この記事は、デバイスまたはサービスから個人データを削除する手順について説明しており、GDPR の下で義務を果たすために使用できます。 GDPR に関する一般情報については、Microsoft Trust Center の GDPR に関するセクションおよび Service Trust Portal の GDPR に関するセクションをご覧ください。
前提条件
- Azure AD Premium P2
- グループおよびアプリケーションに関するレビューのアクセスを管理するグローバル管理者、ユーザー管理者、または Identity Governance 管理者。 ロール割り当て可能なグループのレビューは、グローバル管理者および特権ロール管理者が管理できます。「Azure AD グループを使用してロールの割り当てを管理する」を参照してください。
- セキュリティ閲覧者に読み取りアクセスがあること。
詳細については、「License requirements ライセンスの要件」を参照してください。
アクセス レビューの状態を表示する
アクセス レビューが完了したらその進行状況を追跡できます。
Azure portal にサインインして、[Identity Governance] ページを開きます。
左側のメニューで [アクセス レビュー] をクリックします。
一覧で、アクセス レビューをクリックします。
[概要] ページで、レビューの [現在] のインスタンスの進行状況を確認できます。 その時点でアクティブなインスタンスが開いていない場合は、前回のインスタンスに関する情報が表示されます。 ディレクトリのアクセス権は、レビューが完了するまで変更されません。
[現在] にあるすべてのブレードは、各レビュー インスタンスの期間中にのみ表示されます。
注意
[現在] のアクセス レビューに表示されるのはアクティブなレビュー インスタンスについての情報のみですが、 [期限付きレビュー] セクションの [Series](シリーズ) では、まだ実施されていないレビューに関する情報を入手できます。
[結果] ページには、インスタンスでレビュー対象である各ユーザーに関する詳細情報と、結果を停止、リセット、ダウンロードする機能が表示されます。
複数の Microsoft 365 グループに対するゲスト アクセスをレビューするアクセス レビューを表示している場合、[概要] ブレードにレビュー内の各グループが一覧表示されます。
グループをクリックすると、そのグループのレビューの進行状況と、[停止]、[リセット]、[適用]、[削除] が表示されます。
終了予定日の前にアクセス レビューを停止する場合は、[停止] をクリックします。
レビューを停止すると、レビュー担当者が応答を提供できなくなります。 レビューを停止後に再開することはできません。
そのアクセス レビューが今後必要ない場合は、[削除] をクリックして削除できます。
マルチステージレビューの状態の表示 (プレビュー)
マルチステージアクセスレビューの状態と段階を確認するには、次の手順を実行します。
状態を確認するマルチステージレビューを選択するか、またはそれがどの段階にあるかを確認します。
[現在] の下にある左側のナビゲーションメニューで [結果] をクリックします。
[結果] ページが表示されたら、[状態] の下に、マルチステージレビューがあるステージが表示されます。 レビューの次の段階は、アクセスレビューのセットアップ中に指定された期間が経過するまでアクティブになりません。
決定が行われていても、このステージのレビュー期間がまだ終了していない場合は、[結果] ページの [現在のステージを停止] ボタンを選択できます。 これにより、次のレビュー段階が開始されます。
結果の取得
レビューの結果を取得するには、 [結果] ページをクリックします。 ユーザーのアクセスのみを表示するには、[検索] ボックスに、レビューされたアクセスのユーザーの表示名またはユーザー プリンシパル名を入力します。
定期的に実行されているアクセス レビューのうち、完了しているインスタンスの結果を表示するには、[レビューの履歴] をクリックし、完了しているアクセス レビューのインスタンス一覧から、特定のインスタンスをその開始日と終了日に基づいて選択します。 このインスタンスの結果は、[結果] ページから取得できます。 リソースへのアクセスの状況は、1 回限りのアクセス レビューよりも高頻度で更新しなければならない場合もあります。そのようなリソースへのアクセスの状況は、定期的なアクセス レビューによって絶えず把握することができます。
進行中のアクセス レビューと完了したアクセス レビューの両方の結果を取得するには、 [ダウンロード] をクリックします。 結果の CSV ファイルは、Excel など、UTF-8 でエンコードされた CSV ファイルを開くことができるプログラムで閲覧できます。
変更の適用
[リソースへの結果の自動適用] が有効の場合は、 [設定完了時] での選択に基づいて、レビュー インスタンスの完了後、またはレビューを手動で停止した場合にはそれより前に自動適用が実行されます。
レビューの [リソースへの結果の自動適用] が有効になっていない場合は、レビュー期間が終了した後、または早期にレビューが停止した後に、 [時系列] の下にある [レビューの履歴] に移動し、適用するレビューのインスタンスをクリックします。
[適用] をクリックして変更を手動で適用します。 レビューでアクセス権が拒否されたユーザーについては、[適用] をクリックすると、そのメンバーシップまたはアプリケーションへの割り当てが Azure AD によって削除されます。
レビューの状態は、[完了] から [適用中] などの中間状態を経由して、最終的には [結果を適用済み] 状態になります。 拒否されたユーザーが存在する場合は、それらのユーザーが数分以内にグループ メンバーシップまたはアプリケーション割り当てから削除されることを確認できます。
オンプレミス ディレクトリに由来するグループは、結果を手動または自動で適用しても影響を受けません。 オンプレミス ディレクトリに由来したグループに変更を加える必要がある場合は、結果をダウンロードし、そのディレクトリ内の対応するグループに対して必要な変更を適用してください。
注意
一部の拒否されたユーザーには、結果を適用できません。 該当するシナリオとして、次のような状況が考えられます。
- 同期されたオンプレミスの Windows AD グループのメンバーのレビュー: グループがオンプレミスの Windows AD から同期されている場合、グループを Azure AD で管理することはできません。そのため、メンバーシップを変更することはできません。
- 入れ子になったグループが割り当てられているリソース (ロール、グループ、アプリケーション) のレビュー: 入れ子になったグループのメンバーシップを持つユーザーの場合、入れ子になったグループのメンバーシップは削除されないため、レビュー対象のリソースへのアクセスが維持されます。
- ユーザーが見つからないか、その他のエラー: これらの事象が発生した場合も、結果の適用がサポートされないことがあります。
アクセス レビューで拒否されたゲスト ユーザーに対して実行されるアクション
アクセス レビューで拒否されたゲスト ユーザーに対する措置は、レビューの作成時に 2 つのオプションから作成者が選択できます。
- 拒否されたゲスト ユーザーのリソース アクセスを削除します。 既定値です。
- 拒否されたゲスト ユーザーが 30 日間サインインできないようにし、その後、そのユーザーをテナントから削除します。 その 30 日間は、ゲスト ユーザーのテナントへのアクセスを管理者が復元できます。 30 日が経過しても、ゲスト ユーザーに、リソースへのアクセス権が再度付与されていなければ、そのユーザーはテナントから完全に削除されます。 その期間に達していなくても、グローバル管理者は、Azure portal を使用して明示的に、最近削除したユーザーを完全に削除することができます。 ユーザーが完全に削除されると、そのゲスト ユーザーに関するデータは、アクティブなアクセス レビューから削除されます。 監査ログには、削除済みユーザーに関する監査情報が維持されます。
拒否された B2B 直接接続ユーザーに対して実行されるアクション
拒否された B2B 直接接続ユーザーとチームは、チーム内のすべての共有チャネルへのアクセスを失います。