エンタイトルメント管理でアクセス パッケージの承認と要求元情報の設定を変更する

  • [アーティクル]

ユーザーにアクセスを割り当てるには、各アクセス パッケージに 1 つ以上のアクセス パッケージ割り当てポリシーが設定されている必要があります。 アクセス パッケージが Microsoft Entra 管理センターで作成されると、Microsoft Entra 管理センターによって、そのアクセス パッケージの最初のアクセス パッケージ割り当てポリシーが自動的に作成されます。 このポリシーによって、アクセスを要求できるユーザーと、アクセスを承認する必要があるユーザー (存在する場合) が決定されます。

アクセス パッケージ マネージャーは、既存のポリシーを編集するか、またはアクセスを要求するための新しいポリシーを追加することによって、アクセス パッケージの承認や要求元情報の設定をいつでも変更できます。

この記事では、アクセス パッケージのポリシーを使用して、既存のアクセス パッケージの承認および要求元情報設定を変更する方法について説明します。

承認

[承認] セクションで、ユーザーがこのアクセス パッケージを要求したときに承認が必要かどうかを指定します。 承認の設定は次のように機能します。

  • 1 段階の承認の場合、選択した承認者またはフォールバック承認者のうち 1 人だけが要求を承認する必要があります。
  • 要求を次の段階に進めるための複数段階の承認では、各段階から選択された承認者のうち 1 人だけが、要求を承認する必要があります。
  • ある段階で、選択された承認者の 1 人が、別の承認者が要求を承認する前に要求を拒否した場合、または誰も承認しない場合、要求は終了し、ユーザーにアクセス権が与えられません。
  • ポリシーによるアクセス管理の対象が誰であるかによって、承認者は、指定されたユーザー、グループのメンバー、要求元のマネージャ、内部スポンサー、または外部スポンサーが可能です。

要求ポリシーに承認者を追加する方法のデモについては、次のビデオをご覧ください。

要求ポリシーに複数段階の承認を追加する方法のデモについては、次のビデオをご覧ください。

既存のアクセス パッケージの割り当てポリシー承認設定を変更する

ヒント

この記事の手順は、開始するポータルに応じて若干異なる場合があります。

ポリシーを使用してアクセス パッケージの要求承認設定を指定するには、次の手順に従います。

前提条件となるロール: グローバル管理者、ID ガバナンス管理者、カタログ所有者、またはアクセス パッケージ マネージャー

  1. Microsoft Entra 管理センターIdentity Governance 管理者以上としてサインインします。

  2. [Identity governance] (ID ガバナンス)>[エンタイトルメント管理]>[アクセス パッケージ] の順に移動します。

  3. [アクセス パッケージ] ページで、アクセス パッケージを開きます。

  4. 編集するポリシーを選択するか、またはアクセス パッケージに新しいポリシーを追加します。

    1. 新しいポリシーを作成する場合は、[ポリシー][ポリシーの追加] の順に選択します。
    2. 編集するポリシーを選んでから、[編集] を選択します。

  5. [要求] タブに移動します。

  6. 選択されたユーザーからの要求に対して承認を要求するには、 [承認を要求する] トグルを [はい] に設定します。 または、要求を自動的に承認するには、トグルを [いいえ] に設定します。 自組織に属さない外部ユーザーからのアクセス要求をポリシーで許可している場合は、どのようなユーザーが組織のディレクトリに追加されるかを監視できるよう、承認を必須にしてください。

  7. アクセス パッケージを要求する理由を入力することをユーザーに求めるには、 [要求者の理由を要求する] トグルを [はい] に設定します。

  8. 次に、要求で必要なのが、単一段階の承認であるか複数段階の承認であるかどうかを決定します。 [ステージの数] を、承認で必要な段階の数に設定します。

    Access package - Requests - Approval settings

次の手順を使用して、必要なステージの数を選択した後で承認者を追加します。

1 段階の承認

  1. 最初の承認者を追加します。

    ディレクトリ内のユーザーのアクセスを管理するようにポリシーが設定されている場合は、 [承認者としてのマネージャー] を選択できます。 または、ドロップダウン メニューから [特定の承認者の選択] を選択した後、[承認者の追加] を選んで特定のユーザーを追加します。

    Access package - Requests - For users in directory - First Approver

    ディレクトリ内にいないユーザーのアクセスを管理するようにこのポリシーが設定されている場合は、 [外部スポンサー] または [内部スポンサー] を選択できます。 または、[特定の承認者の選択] で、 [承認者の追加] をクリックして特定のユーザーを追加するか、グループを追加します。

    Access package - Requests - For users out of directory - First Approver

  2. 最初の承認者として [マネージャー] を選択した場合は、[フォールバックの追加] を選択して、フォールバック承認者として指定する、ディレクトリ内のユーザーまたはグループを 1 つ以上選択します。 エンタイトルメント管理でアクセスを要求しているユーザーのマネージャーが見つからなかった場合、フォールバック承認者が要求を受け取ります。

    エンタイトルメント管理でのマネージャーの検索には、Manager 属性が使用されます。 属性は、Microsoft Entra ID のユーザーのプロファイルにあります。 詳細については、「Microsoft Entra ID を使用してユーザーのプロファイル情報を追加または更新する」を参照してください。

  3. [特定の承認者の選択] を選択した場合は、[承認者の追加] を選択して、承認者として指定する、ディレクトリ内のユーザーまたはグループを 1 つ以上選択します。

  4. [決定は何日以内に行わなければなりませんか?] の下のボックスには、承認者がこのアクセス パッケージの要求を確認する必要がある日数を指定します。

    要求は、この期間内に承認されない場合、自動的に拒否されます。 ユーザーは、このアクセス パッケージに対して別の要求を送信する必要があります。

  5. 判断の理由を入力することを承認者に求める場合は、[Require approver justification](承認者の理由が必要) を [はい] に設定します。

    理由は、要求者と他の承認者に表示されます。

複数段階の承認

複数段階の承認を選択した場合は、追加する各段階の承認者を追加する必要があります。

  1. 2 番目の承認者を追加します。

    ユーザーがディレクトリ内にいる場合は、[特定の承認者の選択] の下にある [承認者の追加] を選んで、2 番目の承認者として特定のユーザーを追加します。

    Access package - Requests - For users in directory - Second Approver

    ユーザーがディレクトリ内にいない場合は、2 番目の承認者として [内部スポンサー] または [外部スポンサー] を選択します。 承認者を選択した後、フォールバック承認者を追加します。

    Access package - Requests - For users out of directory - Second Approver

  2. [決定は何日以内に行わなければなりませんか?] の下のボックスで、2 番目の承認者が要求を承認しなければならない日数を指定します。

  3. [承認者からの理由が必要] トグルを [はい] または [いいえ] に設定します。

    また、3 段階の承認プロセスのためにステージを追加することもできます。 たとえば、従業員のマネージャーをアクセス パッケージの第 1 段階の承認者にすることができます。 ただし、アクセス パッケージ内のリソースの 1 つには機密情報が含まれています。 この場合は、リソース所有者を 2 番目の承認者として、セキュリティ レビューアーを 3 番目の承認者として指定できます。 これにより、セキュリティ チームは、プロセスを監視することができます。また、たとえば、リソース所有者に知られていないリスク基準に基づいて、要求を拒否することができます。

  4. 3 番目の承認者 を追加します。

    ユーザーがディレクトリ内にいる場合は、[特定の承認者の選択] の下にある [承認者の追加] をクリックして、3 番目の承認者として特定のユーザーを追加します。

    ユーザーがディレクトリ内にいない場合は、3 番目の承認者として、[内部スポンサー] または [外部スポンサー] を選択することができます。 承認者を選択した後、フォールバック承認者を追加します。

    注意

      2 番目のステージと同様に、ユーザーがディレクトリにいて、承認の最初または 2 番目のステージで [承認者としてのマネージャー] が選択されている場合は、承認の 3 番目のステージに対して特定の承認者を選択するオプションだけが表示されます。
      マネージャーを 3 番目の承認者として指定する場合は、それ以前の承認ステージで選択内容を調整して、[承認者としてのマネージャー] が選択されないようにすることができます。 この場合、[承認者としてのマネージャー] がオプションとしてドロップダウンに表示されます。
      ユーザーがディレクトリに存在せず、[内部スポンサー] または [外部スポンサー] を以前のステージの承認者として選択していない場合は、これらが [3 番目の承認者] のオプションとして表示されます。 それ以外の場合は、[特定の承認者の選択] のみを選択できます。

  5. [決定は何日以内に行わなければなりませんか?] の下のボックスで、3 番目の承認者が要求を承認しなければならない日数を指定します。

  6. [承認者からの理由が必要] トグルを [はい] または [いいえ] に設定します。

代理承認者

各段階で要求を承認できるプライマリ承認者を指定するのと同じように、代理承認者を指定できます。 代理承認者を指定することにより、有効期限が切れる (タイムアウト) 前に要求が承認または拒否されることを保証できます。 各段階のプライマリ承認者と共に代替承認者を一覧表示できます。

段階の代理承認者を指定すると、プライマリ承認者が要求を承認または拒否できなかった場合、保留中の要求は、ポリシーの設定時に指定した転送スケジュールに従って、代理承認者に転送されます。 彼らは、保留中の要求を承認または拒否するための電子メールを受信します。

要求が代理承認者に転送された後でも、プライマリ承認者は引き続き要求を承認または拒否できます。 代理承認者は、最初の承認者または 2 番目の承認者と同じマイ アクセス サイトを使用して、保留中の要求を承認または拒否します。

承認者と代理承認者となる個人またはグループを一覧表示できます。 最初の承認者、2 番目の承認者、代理承認者には、必ず別のメンバー セットを指定してください。 たとえば、Alice と Bob を第 1 段階の承認者として指定した場合、代理承認者には Carol と Dave を指定します。 次の手順を使用して、アクセス パッケージに代理承認者を追加します。

  1. 段階の承認者の下の [要求の詳細設定を表示する] を選択します。

    Access package - Policy - Show advanced request settings

  2. [アクションが実行されない場合は、別の承認者に転送しますか?] トグルを [はい] に設定します。

  3. [別の承認者の追加] を選択して、一覧から代理承認者を選択します。

    Access package - Policy - Add Alternate Approvers

    [最初の承認者] として [承認者としてのマネージャー] を選択した場合は、別の承認者フィールドで選択できる追加オプション [別の承認者としての第 2 レベルのマネージャー] を使用できます。 このオプションを選択した場合は、システムが第 2 レベルのマネージャーを見つけられない場合に、要求の転送先のフォールバック承認者を追加する必要があります。

  4. [Forward to alternate approver(s) after how many days](別の承認者へ転送するまでの日数) ボックスに、承認者が要求を承認または拒否する必要がある日数を入力します。 要求期間内に承認者が要求を承認または拒否しなかった場合、要求の有効期限が切れ (タイムアウト)、ユーザーはアクセス パッケージに対する別の要求を送信する必要が生じます。

    要求が開始された翌日以降からのみ、代理承認者へ要求を転送できるようになります。 別の承認を使用するには、要求のタイムアウトを 4 日以上にする必要があります。

要求の有効化

  1. アクセス パッケージを要求ポリシー内のユーザーが要求のためにすぐに利用できるようにするには、有効トグルを [はい] に設定します。

    アクセス パッケージの作成が完了した後は、これをいつでも有効にすることができます。

    [None (administrator direct assignments only)](なし (管理者直接割り当てのみ)) を選択し、有効化を [いいえ] に設定した場合、管理者はこのアクセス パッケージを直接割り当てることはできません。

    Access package - Policy- Enable policy setting

  2. [次へ] を選択します。

承認するための追加の要求元情報を収集する

ユーザーが適切なアクセス パッケージへのアクセスを確実に取得できるように、要求元に、要求の時点でカスタム テキスト フィールドまたは複数選択の質問に回答するよう要求することができます。 これらの質問はその後、承認者に示され、承認者の意思決定に役立ちます。

  1. [要求元情報] タブに移動し、[質問] サブタブを選択します。

  2. 要求元に質問する内容 (表示文字列とも呼ばれます) を [質問] ボックスに質問として入力します。

    Access package - Policy- Enable Requestor information setting

  3. アクセス パッケージへのアクセスが必要になるユーザーのコミュニティの一部に共通の優先言語がない場合は、myaccess.microsoft.com で、アクセスを要求するユーザーのエクスペリエンスを向上させることができます。 エクスペリエンスを向上させるには、異なる言語に対して代わりの表示文字列を表示できます。 たとえば、ユーザーの Web ブラウザーがスペイン語に設定され、スペイン語の表示文字列が構成されている場合は、これらの文字列が要求するユーザーに表示されます。 要求のためのローカリゼーションを構成するには、[ローカリゼーションの追加] を選びます。

    1. [質問のローカリゼーションの追加] ペインで、質問をローカライズする言語の [言語コード] を選択します。
    2. 構成した言語で、Localized Text\(ローカライズされたテキスト) ボックスに質問を入力します。
    3. 必要なすべてのローカライズを追加したら、[保存] を選択します。

    Access package - Policy- Configure localized text

  4. 要求元が回答する回答形式を選択します。 回答形式には、[短いテキスト][複数選択][長いテキスト] が含まれます。

    Access package - Policy- Select Edit and localize multiple choice answer format

  5. 複数選択を選択した場合は、[編集とローカライズ] ボタンを選択して回答のオプションを構成します。

    1. [編集とローカライズ] を選択すると、 [質問の表示/編集] ペインが開きます。
    2. 質問の回答時に要求元に指定する回答のオプションを、 [Answer values](回答の値) ボックスに入力します。
    3. 必要な数の回答を入力します。
    4. 複数選択オプションに対して独自のローカリゼーションを追加する場合は、特定のオプションをローカライズする言語用の [オプションの言語コード] を選択します。
    5. 構成した言語で、[ローカライズされたテキスト] ボックスにオプションを入力します。
    6. 複数選択の各オプションに必要なローカリゼーションをすべて追加したら、[保存] を選択します。

    Access package - Policy- Enter multiple choice options

  6. 質問に対するテキスト回答の構文チェックを含める場合、カスタム正規表現パターンを指定することもできます。
    Screenshot of the add regex localization policy.質問に対するテキスト回答の構文チェックを含める場合、カスタム正規表現パターンを指定することもできます。

  7. アクセス パッケージへのアクセスの要求時に要求元にこの質問への回答を要求するには、[必須] の下にあるチェック ボックスをオンにします。

  8. ニーズに基づいて、残りのタブ ([ライフサイクル] など) に入力します。

アクセス パッケージのポリシーで要求元情報を構成したら、質問への要求元の回答を表示できます。 要求元情報の表示に関するガイダンスについては、質問に対する要求元の回答の表示に関するページを参照してください。

次のステップ