エンタイトルメント管理で新しいアクセス パッケージを作成する

  • [アーティクル]

アクセス パッケージを使用すると、リソースとポリシーを 1 回だけ設定して、アクセス パッケージの存続期間中にアクセスを自動的に管理できます。 この記事では、新しいアクセス パッケージの作成方法について説明します。

概要

すべてのアクセス パッケージは、カタログという名前のコンテナーに配置する必要があります。 カタログは、アクセス パッケージに追加できるリソースを定義します。 カタログを指定しない場合、アクセス パッケージは一般カタログに格納されます。 現時点では、既存のアクセス パッケージを別のカタログに移動することはできません。

アクセス パッケージを使うと、カタログにある複数のリソースのロールにアクセスを割り当てることができます。 管理者またはカタログ所有者であれば、アクセス パッケージの作成時にリソースをカタログに追加することができます。 アクセス パッケージ マネージャーの場合は、所有しているカタログにリソースを追加することはできません。 カタログで利用可能なリソースの使用に制限されます。 カタログにリソースを追加する必要がある場合は、カタログ所有者に問い合わせてください。

すべてのアクセス パッケージには、ユーザーをアクセス パッケージに割り当てるためのポリシーが少なくとも 1 つ必要です。 ポリシーは、アクセス パッケージを要求できるユーザーを指定するほか、承認とライフサイクルの設定も指定します。 新しいアクセス パッケージを作成するときに、ディレクトリ内のユーザー、ディレクトリ内にいないユーザー、および管理者直接割り当てのみに対する初期ポリシーを作成することも、後でポリシーを作成することもできます。

アクセス パッケージを作成します。

新しいアクセス パッケージを作成する手順の概要を次に示します。

  1. [Identity Governance] で、新しいアクセス パッケージを作成するプロセスを開始します。

  2. アクセス パッケージを作成するカタログを選択します。

  3. カタログ内のリソースからリソース ロールをアクセス パッケージに追加します。

  4. アクセスを要求できるユーザーの初期ポリシーを指定します。

  5. 承認設定を指定します。

  6. ライフサイクルの設定を指定します。

新しいアクセス パッケージを開始する

必要なロール: グローバル管理者、ID ガバナンス管理者、ユーザー管理者、カタログ所有者、またはアクセス パッケージ マネージャー

  1. Azure portal にサインインします。

  2. [Azure Active Directory][ID ガバナンス] の順に選択します。

  3. 左側のメニューで、 [アクセス パッケージ] を選択します。

  4. [新しいアクセス パッケージ] を選択します。

    Azure portal でのエンタイトルメント管理

基本

[基本] タブでは、アクセス パッケージの名前を指定し、アクセス パッケージを作成するカタログを指定します。

  1. アクセス パッケージの表示名と説明を入力します。 ユーザーがアクセス パッケージの要求を送信するときに、この情報が表示されます。

  2. [カタログ] ドロップダウン リストで、アクセス パッケージを作成するカタログを選択します。 たとえば、要求できるすべてのマーケティング リソースを管理するカタログ所有者が存在するとします。 この場合、マーケティング カタログを選択できます。

    アクセス パッケージを作成する権限を持つカタログのみが表示されます。 アクセス パッケージを既存のカタログ内に作成するには、グローバル管理者、ID ガバナンス管理者、ユーザー管理者、そのカタログ内のカタログ所有者またはアクセス パッケージ マネージャーのいずれかである必要があります。

    [アクセス パッケージ] - [基本]

    グローバル管理者、ID ガバナンス管理者、ユーザー管理者、カタログ作成者が、一覧表示されていない新しいカタログにアクセス パッケージを作成する場合は、[新規作成] を選択します。 カタログの名前と説明を入力し、[作成] を選択します。

    作成するアクセス パッケージとそれに含まれるすべてのリソースが、新しいカタログに追加されます。 また、後でカタログ所有者を追加し、カタログに追加したリソースに属性を追加することもできます。 特定のカタログ リソースの属性の一覧や前提条件となるロールを編集する方法の詳細については、「カタログにリソース属性を追加する」を参照してください。

  3. [次へ] を選択します。

リソース ロール

[リソース ロール] タブでは、アクセス パッケージに含めるリソースを選択します。 アクセス パッケージを要求して受け取るユーザーは、そのアクセス パッケージ内のすべてのリソース ロール (グループ メンバーシップなど) を受け取ります。

含めるリソース ロールがわからない場合、アクセス パッケージの作成時にはリソース ロールの追加を省略し、アクセス パッケージの作成後にリソース ロールを追加することができます。

  1. 追加するリソースの種類を選択します ([Groups and Teams](Groups と Teams)[アプリケーション]、または [SharePoint サイト])。

  2. 表示される選択ウィンドウで、一覧から 1 つまたは複数のリソースを選択します。

    アクセス パッケージ - リソース ロール

    一般カタログまたは新しいカタログにアクセス パッケージを作成する場合は、自分が所有するディレクトリから任意のリソースを選択できます。 少なくともグローバル管理者、ユーザー管理者、またはカタログ作成者である必要があります。

    既存のカタログにアクセス パッケージを作成する場合は、カタログ内に既にある任意のリソースを、それを所有していなくても選択できます。

    グローバル管理者、ユーザー管理者、またはカタログ所有者の場合は、まだカタログに存在しないが自分が所有するリソースを選択する追加のオプションがあります。 選択されたカタログ内に現在存在しないリソースを選択した場合、それらのリソースも、他のカタログ管理者がアクセス パッケージの構築に使用できるようにカタログに追加されます。 カタログに追加できるすべてのリソースを表示するには、[選択] ペインの上部にある [すべて表示] チェック ボックスをオンにします。 選択したカタログに現在あるリソースのみを選択する場合は、チェック ボックス [すべて表示] をオフのままにします (既定の状態)。

  3. リソースを選択したら、[ロール] 一覧で、リソースに対してユーザーに割り当てるロールを選択します。 リソースに適したロールの選択方法の詳細については、リソース ロールの追加に関する記事を参照してください。

    [アクセス パッケージ] - リソース ロールの選択

  4. [次へ] を選択します。

注意

動的なグループは、カタログおよびアクセス パッケージに追加できます。 ただし、アクセス パッケージで動的グループ リソースを管理する場合は、所有者ロールのみを選択できます。

Requests

[Requests] タブで、アクセス パッケージと承認設定を要求できるユーザーを指定する最初のポリシーを作成します。 その後、要求ポリシーをさらに作成して、追加のユーザー グループがアクセス パッケージに独自の承認設定を要求できるようにすることができます。

[アクセス パッケージ] - [Requests] タブ

このアクセス パッケージを要求できるようにするユーザーに応じて、次のいずれかのセクションの手順を行います。

ディレクトリ内のユーザーの場合

ディレクトリ内のユーザーがこのアクセス パッケージを要求できるようにする場合は、次の手順に従います。 要求ポリシーを定義するときは、個々のユーザーの指定を行うことも、より一般的なユーザー グループの指定を行うこともできます。 たとえば、組織にはすべての従業員のようなグループが既に存在している場合があります。 アクセスを要求できるユーザーに対するポリシーにそのグループが追加されている場合、そのグループのすべてのメンバーがアクセスを要求できます。

  1. [Users who can request access](アクセスを要求できるユーザー) セクションで、[For users in your directory](ディレクトリ内のユーザー) を選択します。

    このオプションを選択すると、ディレクトリ内でこのアクセス パッケージを要求できるユーザーをさらに絞り込むための新しいオプションが表示されます。

    アクセス パッケージ - 要求 - ディレクトリ内のユーザー

  2. 以下のオプションの 1 つを選択します。

    説明
    特定のユーザーとグループ 指定したディレクトリ内のユーザーとグループのみがこのアクセス パッケージを要求できるようにする場合は、このオプションを選択します。
    All members (excluding guests) (すべてのメンバー (ゲストを除く)) ディレクトリ内のすべてのメンバー ユーザーがこのアクセス パッケージを要求できるようにする場合は、このオプションを選択します。 このオプションには、ディレクトリに招待したゲスト ユーザーは含まれません。
    All users (including guests) (すべてのユーザー (ゲストを含む)) ディレクトリ内のすべてのメンバー ユーザーとゲスト ユーザーがこのアクセス パッケージを要求できるようにする場合は、このオプションを選択します。

    ゲスト ユーザーは、Azure AD B2B でディレクトリに招待された外部ユーザーを指します。 メンバー ユーザーとゲスト ユーザーの違いについて詳しくは、「Azure Active Directory の既定のユーザー アクセス許可とは」を参照してください。

  3. [特定のユーザーとグループ] を選択した場合は、[ユーザーとグループの追加] を選択します。

  4. [ユーザーとグループの選択] ウィンドウで、追加するユーザーとグループを選択します。

    アクセス パッケージ - 要求 - ユーザーとグループの選択

  5. [選択] を選択して、ユーザーとグループを追加します。

  6. [承認] セクションまでスキップします。

ディレクトリ内にいないユーザーの場合

ディレクトリ内にいないユーザーとは、別の Azure AD ディレクトリまたはドメイン内のユーザーのことを指します。 これらのユーザーは、ディレクトリにまだ招待されていない可能性があります。 Azure AD ディレクトリは、[コラボレーションの制限] で招待を許可するように構成する必要があります。 詳細については、外部コラボレーション設定の構成を参照してください。

注意

要求が承認されるか自動承認される、ディレクトリ内にまだ存在しないユーザーについて、ゲスト ユーザー アカウントが作成されます。 ゲストは招待されますが、招待メールは届きません。 その代わりに、自分のアクセス パッケージの割り当てが配信されるときに電子メールを受け取ります。 既定では、最後の割り当てが期限切れになったかキャンセルされたことが原因でそのゲスト ユーザーにアクセス パッケージの割り当てがなくなった場合、そのゲスト ユーザー アカウントはサインインがブロックされ、その後で削除されます。 アクセス パッケージの割り当てがない場合でも、ゲスト ユーザーがディレクトリ内に無期限に残るようにしたい場合は、エンタイトルメント管理構成の設定を変更できます。 ゲスト ユーザー オブジェクトの詳細については、「Azure Active Directory B2B コラボレーション ユーザーのプロパティ」を参照してください。

ディレクトリ内にいないユーザーがこのアクセス パッケージを要求できるようにする場合は、次の手順に従います。

  1. [Users who can request access](アクセスを要求できるユーザー) セクションで、[For users not in your directory](ディレクトリ内にいないユーザー) を選択します。

    このオプションを選択すると、新しいオプションが表示されます。

    アクセス パッケージ - 要求 - ディレクトリ内にいないユーザー

  2. 以下のオプションの 1 つを選択します。

    説明
    Specific connected organizations (特定の接続済み組織) 管理者が以前に追加した組織の一覧から選択する場合は、このオプションを選択します。 選択された組織のすべてのユーザーは、このアクセス パッケージを要求できます。
    All connected organizations (すべての接続済み組織) すべての接続済み組織のすべてのユーザーがこのアクセス パッケージを要求できるようにする場合は、このオプションを選択します。
    すべてのユーザー (すべての接続済み組織 + 新しい外部ユーザー) このオプションは、すべての接続済み組織のすべてのユーザーがこのアクセス パッケージを要求できる場合に選択し、しかも新しい外部ユーザーに対して B2B 許可またはブロックリストの設定が優先されます。

    接続されている組織とは、ご自身と関係のある外部 Azure AD ディレクトリまたはドメインです。

  3. [Specific connected organizations](特定の接続済み組織) を選択した場合は、[Add directories](ディレクトリの追加) を選択して、管理者が以前に追加した、接続済み組織の一覧から選択します。

  4. 以前に接続されていた組織を検索するには、名前またはドメイン名を入力します。

    アクセス パッケージ - 要求 - ディレクトリの選択

    共同作業したい組織が一覧にない場合、接続済み組織としてそれを追加することを管理者に依頼することができます。 詳細については、接続されている組織の追加に関する記事を参照してください。

  5. すべての接続済み組織を選択したら、[選択] を選択します。

    注意

    選択した接続済み組織のすべてのユーザーは、このアクセス パッケージを要求できます。 これには、組織に関連付けられている Azure AD 内のすべてのサブドメインのユーザーが含まれます。ただし、それらのドメインが Azure B2B の許可リストまたはブロック リストによってブロックされている場合を除きます。 詳細については、「B2B ユーザーに対する特定組織からの招待を許可またはブロックする」を参照してください。

  6. [承認] セクションまでスキップします。

なし (管理者直接割り当てのみ)

アクセス要求をバイパスし、管理者が特定のユーザーをこのアクセス パッケージに直接割り当てることを許可する場合は、次の手順に従います。 ユーザーは、アクセス パッケージを要求する必要はありません。 ライフサイクルの設定を行うこともできますが、要求の設定はありません。

  1. [Users who can request access](アクセスを要求できるユーザー) セクションで、[None (administrator direct assignments only)](なし (管理者直接割り当てのみ)) を選択します。

    アクセス パッケージ - 要求 - なし (管理者直接割り当てのみ)

    アクセス パッケージを作成した後は、そのアクセス パッケージに特定の内部および外部ユーザーを直接割り当てることができます。 外部ユーザーを指定する場合、ゲスト ユーザー アカウントがディレクトリ内に作成されます。 ユーザーの直接割り当てについては、アクセス パッケージに対する割り当ての表示、追加、削除に関する記事を参照してください。

  2. [Enable requests](要求の有効化) セクションまでスキップします。

承認

[承認] セクションで、ユーザーがこのアクセス パッケージを要求したときに承認が必要かどうかを指定します。 承認の設定は次のように機能します。

  • 1 段階の承認の場合、選択した承認者またはフォールバック承認者のうち 1 人だけが要求を承認する必要があります。
  • 2 段階の承認の場合、各ステージで、選択した承認者のうち 1 人だけが要求を承認する必要があります。
  • 承認者は、ポリシーでアクセスを管理しているユーザーに応じて、マネージャー、内部スポンサー、または外部スポンサーになります。
  • 1 段階または 2 段階の承認では、選択したすべての承認者から承認を受ける必要はありません。
  • 承認の決定は、最初に要求をレビューする承認者に基づいて行われます。

要求ポリシーに承認者を追加する方法のデモについては、次のビデオをご覧ください。

要求ポリシーに複数段階の承認を追加する方法のデモについては、次のビデオをご覧ください。

次の手順に従って、アクセス パッケージの要求の承認設定を指定します。

  1. 選択されたユーザーからの要求に対して承認を要求するには、 [承認を要求する] トグルを [はい] に設定します。 または、要求を自動的に承認するには、トグルを [いいえ] に設定します。

  2. アクセス パッケージを要求する理由を入力することをユーザーに求めるには、 [要求者の理由を要求する] トグルを [はい] に設定します。

  3. 次に、要求で 1 段階または 2 段階の承認を必要とするかどうかを決定します。 [ステージの数] トグルを、1 段階の承認の場合は [1] に設定し、2 段階の承認の場合は [2] に設定します。

    アクセス パッケージ - 要求 - 承認の設定

次の手順を使用して、必要なステージの数を選択した後で承認者を追加します。

1 段階の承認

  1. 最初の承認者を追加します。

    ポリシーが [ディレクトリ内のユーザーの場合] に設定されている場合は、[承認者としてのマネージャー] を選択できます。 または、ドロップダウン メニューから [特定の承認者の選択] を選択した後、 [承認者の追加] をクリックして特定のユーザーを追加します。

    アクセス パッケージ - 要求 - ディレクトリ内のユーザー - 最初の承認者

    このポリシーが [自分のディレクトリ内以外のユーザーの場合] に設定されている場合は、[外部スポンサー] または [内部スポンサー] を選択できます。 または、[特定の承認者の選択] で、 [承認者の追加] をクリックして特定のユーザーを追加するか、グループを追加します。

    アクセス パッケージ - 要求 - ディレクトリ内にいないユーザー - 最初の承認者

  2. 最初の承認者として [マネージャー] を選択した場合は、[フォールバックの追加] を選択して、フォールバック承認者として指定する、ディレクトリ内のユーザーまたはグループを 1 つ以上選択します。 エンタイトルメント管理でアクセスを要求しているユーザーのマネージャーが見つからなかった場合、フォールバック承認者が要求を受け取ります。

    エンタイトルメント管理でのマネージャーの検索には、Manager 属性が使用されます。 この属性は、Azure AD のユーザーのプロファイルにあります。 詳細については、「Azure Active Directory を使用してユーザーのプロファイル情報を追加または更新する」を参照してください。

  3. [特定の承認者の選択] を選択した場合は、[承認者の追加] を選択して、承認者として指定する、ディレクトリ内のユーザーまたはグループを 1 つ以上選択します。

  4. [決定は何日以内に行わなければなりませんか?] の下のボックスには、承認者がこのアクセス パッケージの要求を確認する必要がある日数を指定します。

    要求は、この期間内に承認されない場合、自動的に拒否されます。 ユーザーは、このアクセス パッケージに対して別の要求を送信する必要があります。

  5. 判断の理由を入力することを承認者に求める場合は、[Require approver justification](承認者の理由が必要) を [はい] に設定します。

    理由は、要求者と他の承認者に表示されます。

2 段階の承認

2 段階の承認を選択した場合は、2 番目の承認者を追加する必要があります。

  1. 2 番目の承認者を追加します。

    ユーザーがディレクトリ内にいる場合は、[特定の承認者の選択] の下にある [承認者の追加] をクリックして、2 番目の承認者として特定のユーザーを追加します。

    アクセス パッケージ - 要求 - ディレクトリ内のユーザー - 2 番目の承認者

    ユーザーがディレクトリ内にいない場合は、2 番目の承認者として [内部スポンサー] または [外部スポンサー] を選択します。 承認者を選択した後、フォールバック承認者を追加します。

    アクセス パッケージ - 要求 - ディレクトリ内にいないユーザー - 2 番目の承認者

  2. [決定は何日以内に行わなければなりませんか?] の下のボックスで、2 番目の承認者が要求を承認しなければならない日数を指定します。

  3. [承認者からの理由が必要] トグルを [はい] または [いいえ] に設定します。

代理承認者

要求を承認できる最初の承認者と 2 番目の承認者を指定するのと同様に、代理承認者を指定できます。 代理承認者を指定することにより、有効期限が切れる (タイムアウト) 前に要求が承認または拒否されることを保証できます。 2 段階の承認の場合、最初の承認者と 2 番目の承認者の代理承認者を指定できます。

代理承認者を指定するとき、最初の承認者または 2 番目の承認者が要求を承認または拒否できなかった場合、保留中の要求は代理承認者に転送されます。 要求は、ポリシーの設定時に指定した転送スケジュールに従って送信されます。 彼らは、保留中の要求を承認または拒否するための電子メールを受信します。

要求が代理承認者に転送された後でも、最初の承認者または 2 番目の承認者は引き続き要求を承認または拒否できます。 代理承認者は、最初の承認者または 2 番目の承認者と同じマイ アクセス サイトを使用して、保留中の要求を承認または拒否します。

承認者および代理承認者には、個人またはグループを指定できます。 最初の承認者、2 番目の承認者、代理承認者には、必ず別のメンバー セットを指定してください。 たとえば、アリスとボブを最初の承認者として指定した場合は、代理承認者にはキャロルとデイブを指定します。 次の手順を使用して、アクセス パッケージに代理承認者を追加します。

  1. 最初の承認者、2 番目の承認者、またはその両方で、[Show advanced request settings](詳細な要求の設定を表示する) を選択します。

    アクセス パッケージ - ポリシー - 要求の詳細設定

  2. [アクションが実行されない場合は、別の承認者に転送しますか?] トグルを [はい] に設定します。

  3. [別の承認者の追加] を選択して、一覧から代理承認者を選択します。

    アクセス パッケージ - ポリシー - 別の承認者の追加

    [最初の承認者] として [承認者としてのマネージャー] を選択した場合は、別の承認者フィールドで選択できる追加オプション [別の承認者としての第 2 レベルのマネージャー] を使用できます。 このオプションを選択した場合は、システムが第 2 レベルのマネージャーを見つけられない場合に、要求の転送先のフォールバック承認者を追加する必要があります。

  4. [Forward to alternate approver(s) after how many days](別の承認者へ転送するまでの日数) ボックスに、承認者が要求を承認または拒否する必要がある日数を入力します。 要求期間内に承認者が要求を承認または拒否しなかった場合、要求の有効期限が切れます (タイムアウト)。 その場合、ユーザーはアクセス パッケージに対する別の要求を送信する必要が生じます。

    要求を別の承認者に転送できるのは、要求期間が半分に達した日の翌日になります。また、メインの承認者の決定は、少なくとも 4 日後にタイムアウトになる必要があります。 要求のタイムアウトが 3 以下の場合は、要求を別の承認者に転送するのに十分な時間がありません。 この例では、要求の期間は 14 日です。 そして、要求期間が半分に達するのは 7 日目になります。 そのため、8 日目以降にしか要求を転送することはできません。 また、要求期間の最終日にも、要求を転送することはできません。 そのため、例では、最後に要求を転送できる日は 13 日目です。

要求の有効化

  1. アクセス パッケージを要求ポリシー内のユーザーが要求のためにすぐに利用できるようにするには、有効トグルを [はい] に設定します。

    アクセス パッケージの作成が完了した後は、これをいつでも有効にすることができます。

    [None (administrator direct assignments only)](なし (管理者直接割り当てのみ)) を選択し、有効化を [いいえ] に設定した場合、管理者はこのアクセス パッケージを直接割り当てることはできません。

    新しい要求と割り当てを有効にするためのオプションを示しているスクリーンショット。

  2. アクセス パッケージに確認済み ID 要件を追加する方法を確認するには、「確認済み ID 要件」セクションを参照してください。 その以外の場合は、 [次へ] を選択します。

確認済み ID 要件を追加する (プレビュー)

注意

アクセス パッケージに確認済み ID 要件を追加するには、グローバル管理者ロールが必要です。 ID ガバナンス管理者、ユーザー管理者、カタログ所有者、または アクセス パッケージ マネージャーは、まもなくアクセス パッケージに確認済み ID 要件を追加できるようになります。

アクセス パッケージ ポリシーに確認済み ID 要件を追加する場合は、次の手順に従います。 アクセス パッケージへのアクセスを要求するユーザーが要求を正常に送信するには、必要な確認済み ID を提示する必要があります。 Microsoft Entra Verified ID サービスを使用してテナントを構成する方法の詳細については、こちらを参照してください。

  1. [+ 発行者の追加] をクリックし、Entra Verified ID ネットワークから発行者を選択します。 ユーザーに独自の資格情報を発行する場合は、その実行方法について、こちらの手順を参照してください。 アクセス パッケージの [発行者の選択]。
  2. 要求プロセス中にユーザーに提示を求める資格情報の種類を選択します。 アクセス パッケージの資格情報の選択。

    注意

    1 つの発行者から複数の資格情報の種類を選択すると、ユーザーは選択したすべての種類の資格情報の提示を求められます。 同様に、複数の発行者を含めると、ユーザーはポリシーに含めた各発行者の資格情報の提示を求められます。 さまざまな発行者の異なる資格情報を提示するオプションをユーザーに提供するには、受け入れる発行者/資格情報の種類ごとに別個のポリシーを構成します。

  3. [追加] をクリックして、アクセス パッケージ ポリシーに確認済み ID 要件を追加します。

アクセス パッケージに要求元の情報を追加する

  1. [要求元情報] タブに移動し、[質問] サブタブを選択します。

  2. 要求元に質問する内容 (表示文字列とも呼ばれます) を [質問] ボックスに質問として入力します。

    アクセス パッケージ - ポリシー - 要求元情報設定を有効にする

  3. 独自のローカライズ オプションを追加する場合は、[add localization](ローカリゼーションの追加) を選択します。

    1. [質問のローカリゼーションの追加] ペインで、質問をローカライズする言語の [言語コード] を選択します。
    2. 構成した言語で、Localized Text\(ローカライズされたテキスト) ボックスに質問を入力します。
    3. 必要なすべてのローカライズを追加したら、[保存] を選択します。

    アクセス パッケージ - ポリシー - ローカライズされたテキストの構成

  4. 要求元が回答する回答形式を選択します。 回答形式には、[短いテキスト][複数選択][長いテキスト] が含まれます。

    アクセス パッケージ - ポリシー - 複数選択の回答形式の表示と編集の選択

  5. 複数選択を選択した場合は、[編集とローカライズ] ボタンを選択して回答のオプションを構成します。

    1. [編集とローカライズ] を選択すると、[質問の表示/編集] ペインが開きます。
    2. 質問の回答時に要求元に指定する回答のオプションを、 [Answer values](回答の値) ボックスに入力します。
    3. 回答のオプションの言語を選択します。 追加の言語を選択した場合は、回答のオプションをローカライズできます。
    4. 必要な数の回答を入力し、[保存] を選択します。

    アクセス パッケージ - ポリシー - 複数選択オプションの入力

  6. アクセス パッケージへのアクセスの要求時に要求元にこの質問への回答を要求するには、[必須] の下にあるチェック ボックスをオンにします。

  7. [属性] サブタブを選択して、アクセス パッケージに追加されたリソースに関連付けられている属性を表示します。

    注意

    アクセス パッケージのリソースの属性を追加または更新するには、 [カタログ] に移動し、そのアクセス パッケージに関連付けられているカタログを見つけます。 特定のカタログ リソースの属性の一覧や前提条件となるロールを編集する方法の詳細については、「カタログにリソース属性を追加する」を参照してください。

  8. [次へ] を選択します

ライフサイクル

[ライフサイクル] タブでは、アクセス パッケージに対するユーザーの割り当ての有効期限を指定します。 ユーザーが割り当てを延長できるかどうかを指定することもできます。

  1. [有効期限] セクションで、[Access package assignments expires](アクセス パッケージ割り当ての有効期限)[日付][日数][時間数] または [無期限] に設定します。

    • [日付] の場合、将来の有効期限の日付を選択します。
    • [日数] の場合、0 日から 3660 日までの数値を指定します。
    • [時間数] には、時間数を指定します。

    選択内容に基づき、アクセス パッケージに対するユーザーの割り当ては、特定の日付または承認後の何日か後に期限切れになるか、期限切れになりません。

  2. アクセス権について特定の開始日と終了日をユーザーに要求するようにする場合は、[ユーザーは特定のタイムラインを要求できる] トグルの横にある [はい] を選択します。

  3. [詳細な有効期限の設定を表示する] を選択して、他の設定を表示します。

    アクセス パッケージ - ライフサイクル有効期限の設定

  4. ユーザーが割り当てを延長できるようにするには、 [Allow users to extend access](ユーザーがアクセスを延長できるようにする)[はい] に設定します。

    ポリシーで延長が許可されている場合、アクセス パッケージの割り当ての有効期限が切れる 14 日前と 1 日前にユーザーにメールが送信され、割り当ての延長を求めるメッセージが表示されます。 ユーザーは、延長を求めるときに、引き続きポリシーのスコープ内にいる必要があります。 また、ポリシーで割り当ての明示的な終了日が設定されていて、ユーザーがアクセス権の延長を求める要求を送信する場合、アクセス パッケージへのアクセス権をユーザーに付与する際に使用したポリシーに定義されているように、要求内の延長の日付は割り当ての有効期限が切れる日か、それより前とする必要があります。 たとえば、割り当ての有効期限が 6 月 30 日に切れることがポリシーで示されている場合、ユーザーが要求できる最大の延長は 6 月 30 日です。

    ユーザーのアクセスが延長された場合、そのユーザーは、指定された延長日付 (ポリシーを作成したユーザーのタイムゾーンで設定された日付) より後にアクセス パッケージを要求することはできません。

  5. 延長を許可するための承認を要求するには、[Require approval to grant extension](延長許可の承認を要求する)[はい] に設定します。

    [要求] タブに指定されたのと同じ承認設定が使用されます。

  6. [次へ] または [更新] を選択します。

確認と作成

[Review + create](確認と作成) タブでは、設定の確認と検証エラーのチェックを行うことができます。

  1. アクセス パッケージの設定を確認します

    [アクセス パッケージ] - [ポリシーを有効にする] 設定

  2. [作成] を選択してアクセス パッケージを作成します。

    新しいアクセス パッケージがアクセス パッケージの一覧に表示されます。

プログラムでアクセス パッケージを作成する

プログラムでアクセス パッケージを作成するには、2 つの方法 (Microsoft Graph の使用と、Microsoft Graph 用の PowerShell コマンドレットの使用) があります。

Microsoft Graph を使用してアクセス パッケージを作成する

Microsoft Graph を使用してアクセス パッケージを作成できます。 委任された EntitlementManagement.ReadWrite.All アクセス許可を持つアプリケーションを有する適切なロールのユーザーは、API を呼び出して、次のことを行うことができます

  1. カタログ内の accessPackageResources を一覧表示し、カタログにまだ存在しないすべてのリソースに対して accessPackageResourceRequest を作成します。
  2. accessPackageCatalog 内の各 accessPackageResource の accessPackageResourceRoles を一覧表示します。 このロールの一覧は、後で accessPackageResourceRoleScope を作成するときにロールを選択するために使用されます。
  3. accessPackage を作成します
  4. アクセス パッケージ内で必要なリソース ロールごとに accessPackageResourceRoleScope を作成します。
  5. アクセス パッケージで必要となるポリシーごとに accessPackageAssignmentPolicy を作成します

Microsoft PowerShell を使用してアクセス パッケージを作成する

PowerShell で Identity Governance 用の Microsoft Graph PowerShell コマンドレット モジュール バージョン 1.16.0 以降のコマンドレットを使って、アクセス パッケージを作成することもできます。 このスクリプトは、Graph beta プロファイルの使用方法を示すものです。

まず、次のようなスクリプトを使って、アクセス パッケージに含めるカタログと、そのカタログ内のリソースとそのロールの ID を取得します。

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
Select-MgProfile -Name "beta"
$catalog = Get-MgEntitlementManagementAccessPackageCatalog -Filter "displayName eq 'Marketing'"

$rsc = Get-MgEntitlementManagementAccessPackageCatalogAccessPackageResource -AccessPackageCatalogId $catalog.Id -Filter "resourceType eq 'Application'" -ExpandProperty "accessPackageResourceScopes"
$filt = "(originSystem eq 'AadApplication' and accessPackageResource/id eq '" + $rsc[0].Id + "')"
$rr = Get-MgEntitlementManagementAccessPackageCatalogAccessPackageResourceRole -AccessPackageCatalogId $catalog.Id -Filter $filt -ExpandProperty "accessPackageResource"

次に、アクセス パッケージを作成します。

$params = @{
	CatalogId = $catalog.id
	DisplayName = "sales reps"
	Description = "outside sales representatives"
}

$ap = New-MgEntitlementManagementAccessPackage -BodyParameter $params

アクセス パッケージが作成されたら、リソース ロールをアクセス パッケージに割り当てます。 たとえば、先ほど返された最初のリソースの 2 番目のリソース ロールを新しいアクセス パッケージのリソース ロールとして含める場合は、次のようなスクリプトを使用します。

$rparams = @{
	AccessPackageResourceRole = @{
	   OriginId = $rr[2].OriginId
	   DisplayName = $rr[2].DisplayName
	   OriginSystem = $rr[2].OriginSystem
	   AccessPackageResource = @{
	      Id = $rsc[0].Id
	      ResourceType = $rsc[0].ResourceType
	      OriginId = $rsc[0].OriginId
	      OriginSystem = $rsc[0].OriginSystem
	   }
	}
	AccessPackageResourceScope = @{
	   OriginId = $rsc[0].OriginId
	   OriginSystem = $rsc[0].OriginSystem
	}
}
New-MgEntitlementManagementAccessPackageResourceRoleScope -AccessPackageId $ap.Id -BodyParameter $rparams

最後に、ポリシーを作成します。 このポリシーでは、管理者のみがアクセス権を割り当てることができ、アクセス レビューはありません。 その他の例については、PowerShell を使用した割り当てポリシーの作成accessPackageAssignmentPolicy の作成に関する記事を参照してください。


$pparams = @{
	AccessPackageId = $ap.Id
	DisplayName = "direct"
	Description = "direct assignments by administrator"
	AccessReviewSettings = $null
	RequestorSettings = @{
		ScopeType = "NoSubjects"
		AcceptRequests = $true
		AllowedRequestors = @(
		)
	}
	RequestApprovalSettings = @{
		IsApprovalRequired = $false
		IsApprovalRequiredForExtension = $false
		IsRequestorJustificationRequired = $false
		ApprovalMode = "NoApproval"
		ApprovalStages = @(
		)
	}
}
New-MgEntitlementManagementAccessPackageAssignmentPolicy -BodyParameter $pparams

次の手順