エンタイトルメント管理でアクセス パッケージの要求設定を変更する

  • [アーティクル]

アクセス パッケージの管理者は、アクセス パッケージ 割り当て要求のポリシーを編集するか新しいポリシーをアクセス パッケージに追加することで、アクセス パッケージを要求できるユーザーをいつでも変更できます。 この記事では、既存のアクセス パッケージ割り当てポリシーの要求設定を変更する方法について説明します。

1 つまたは複数のポリシーを選択する

アクセス パッケージを要求できるユーザーを指定するには、ポリシーを使用します。 アクセス パッケージで新しいポリシーを作成したり、既存のポリシーを編集したりする前に、アクセス パッケージに必要なポリシーの数を決定する必要があります。

アクセス パッケージを作成するときは、アクセス パッケージの最初のポリシーに格納される要求、承認、ライフサイクルの設定を指定できます。 ほとんどのアクセス パッケージは、アクセスを要求するユーザー用に 1 つのポリシーを持ちますが、1 つのアクセス パッケージに複数のポリシーを設定することもできます。 異なるユーザーのセットに異なる要求と承認が設定された割り当てを付与できるようにしたい場合は、アクセス パッケージ用の複数のポリシーを作成します。

1 つのポリシーを使用して、内部ユーザーと外部ユーザーを同じアクセス パッケージに割り当てることはできません。 ただし、同じアクセス パッケージ内に 2 つのポリシー (内部ユーザー用のポリシーと外部ユーザー用のポリシー) を作成することができます。 要求するユーザーに適用されるポリシーが複数ある場合は、要求時に、割り当てが必要なポリシーを選択するよう求められます。 次の図は、2 つのポリシーがあるアクセス パッケージを示しています。

Diagram that illustrates multiple policies, along with multiple resource roles, can be contained within an access package.

ユーザーがアクセスを要求するためのポリシーに加えて、自動割り当てのポリシーと、管理者またはカタログ所有者による直接割り当てのポリシーを設定することもできます。

必要なポリシーの数

シナリオ ポリシーの数
ディレクトリのユーザー全員に対して、アクセス パッケージの要求と承認の設定を同じにしたい 1 つ
特定の接続された組織のユーザー全員がアクセス パッケージを要求できるようにしたい 1 つ
ディレクトリのユーザーだけでなくディレクトリ外のユーザーもアクセス パッケージを要求できるようにしたい 2 つ
一部のユーザーに対して異なる承認設定を指定したい ユーザーのグループごとに 1 つ
アクセス パッケージの割り当てに有効期限があるユーザーと、アクセス権を自分で延長できるユーザーを分けたい ユーザーのグループごとに 1 つ
あるユーザーにはアクセス権を要求してもらい、他のユーザーには管理者がアクセス権を割り当ててほしい 2 つ
組織内のあるユーザーには自動的にアクセス権を受け取ってもらい、組織内の他のユーザーには要求できるようにし、他のユーザーには管理者からアクセス権を割り当ててほしい 3

複数のポリシーが適用されるときに使用される優先度ロジックについては、複数のポリシーを参照してください。

既存のアクセス パッケージを開き、異なる要求設定の新しいポリシーを追加します

ヒント

この記事の手順は、開始するポータルに応じて若干異なる場合があります。

異なる要求と承認の設定を持つことが望ましいユーザーのセットがある場合、おそらく新しいポリシーを作成する必要があります。 既存のアクセス パッケージに新しいポリシーを追加するには、次の手順に従います。

前提条件となるロール: グローバル管理者、ID ガバナンス管理者、カタログ所有者、またはアクセス パッケージ マネージャー

  1. Microsoft Entra 管理センターIdentity Governance 管理者以上としてサインインします。

  2. [Identity Governance]>[エンタイトルメント管理]>[アクセス パッケージ] の順に移動します。

  3. [アクセス パッケージ] ページで、編集したいアクセス パッケージを開きます。

  4. [ポリシー][ポリシーの追加] の順に選択します。

  5. [基本] タブで、ポリシーの名前と説明を入力します。

    Create policy with name and description

  6. [次へ] を選択して、[要求] タブを開きます。

  7. [アクセス権を要求できるユーザー] 設定を変更します。 次のセクションの手順を使用して、設定を次のいずれかのオプションに変更します。

ディレクトリ内のユーザーの場合

ディレクトリ内のユーザーがこのアクセス パッケージを要求できるようにする場合は、次の手順に従います。 要求ポリシーを定義するときは、個々のユーザーの指定を行うことも、より一般的なユーザー グループの指定を行うこともできます。 たとえば、組織にはすべての従業員のようなグループが既に存在している場合があります。 アクセスを要求できるユーザーに対するポリシーにそのグループが追加されている場合、そのグループのすべてのメンバーがアクセスを要求できます。

  1. [Users who can request access](アクセスを要求できるユーザー) セクションで、 [For users in your directory](ディレクトリ内のユーザー) をクリックします。

    このオプションを選択すると、ディレクトリ内でこのアクセス パッケージを要求できるユーザーをさらに絞り込むための新しいオプションが表示されます。

    Access package - Requests - For users in your directory

  2. 以下のオプションの 1 つを選択します。

    説明
    特定のユーザーとグループ 指定したディレクトリ内のユーザーとグループのみがこのアクセス パッケージを要求できるようにする場合は、このオプションを選択します。
    All members (excluding guests) (すべてのメンバー (ゲストを除く)) ディレクトリ内のすべてのメンバー ユーザーがこのアクセス パッケージを要求できるようにする場合は、このオプションを選択します。 このオプションには、ディレクトリに招待したゲスト ユーザーは含まれません。
    All users (including guests) (すべてのユーザー (ゲストを含む)) ディレクトリ内のすべてのメンバー ユーザーとゲスト ユーザーがこのアクセス パッケージを要求できるようにする場合は、このオプションを選択します。

    ゲスト ユーザーとは、Microsoft Entra B2B でディレクトリに招待された外部ユーザーのことです。 メンバー ユーザーとゲスト ユーザーの違いについて詳しくは、「Microsoft Entra ID の既定のユーザー アクセス許可とは」をご覧ください。

  3. [特定のユーザーとグループ] を選択した場合は、 [ユーザーとグループの追加] をクリックします。

  4. [ユーザーとグループの選択] ウィンドウで、追加するユーザーとグループを選択します。

    Access package - Requests - Select users and groups

  5. [選択] をクリックしてユーザーとグループを追加します。

  6. 承認を要求する場合は、「エンタイトルメント管理でアクセス パッケージの承認設定を変更する」の手順を使用して、承認設定を構成します。

  7. [要求の有効化] セクションに移動します。

ディレクトリ内にいないユーザーの場合

ディレクトリ内にいないユーザーとは、別の Microsoft Entra ディレクトリまたはドメイン内のユーザーのことです。 これらのユーザーは、ディレクトリにまだ招待されていない可能性があります。 Microsoft Entra ディレクトリは、[コラボレーションの制限] で招待を許可するように構成されている必要があります。 詳細については、外部コラボレーション設定の構成を参照してください。

注意

要求が承認されるか自動承認される、ディレクトリ内にまだ存在しないユーザーについて、ゲスト ユーザー アカウントが作成されます。 ゲストは招待されますが、招待メールは届きません。 その代わりに、自分のアクセス パッケージの割り当てが配信されるときに電子メールを受け取ります。 既定では、最後の割り当てが期限切れになったかキャンセルされたことが原因でそのゲスト ユーザーにアクセス パッケージの割り当てがなくなった場合、そのゲスト ユーザー アカウントはサインインがブロックされ、その後で削除されます。 アクセス パッケージの割り当てがない場合でも、ゲスト ユーザーがディレクトリ内に無期限に残るようにしたい場合は、エンタイトルメント管理構成の設定を変更できます。 ゲスト ユーザー オブジェクトについて詳しくは、「Microsoft Entra B2B コラボレーション ユーザーのプロパティ」をご覧ください。

ディレクトリ内にいないユーザーがこのアクセス パッケージを要求できるようにする場合は、次の手順に従います。

  1. [アクセス権を要求できるユーザー] セクションで、 [For users in your directory](ディレクトリ内のユーザー) をクリックします。

    このオプションを選択すると、新しいオプションが表示されます。

    Access package - Requests - For users not in your directory

  2. アクセスを要求できるユーザーが、既存の接続されている組織に所属している必要があるか、インターネット上の誰でも良いのかかを選択します。 接続された組織とは、自分が既存のリレーションシップを持つ組織であり、外部の Microsoft Entra ディレクトリまたは別の ID プロバイダーを持っている可能性があります。 以下のオプションの 1 つを選択します。

    説明
    Specific connected organizations (特定の接続済み組織) 管理者が以前に追加した組織の一覧から選択する場合は、このオプションを選択します。 選択された組織のすべてのユーザーは、このアクセス パッケージを要求できます。
    構成済みの接続されたすべての組織 構成済みのすべての接続済み組織のすべてのユーザーがこのアクセス パッケージを要求できるようにする場合は、このオプションを選択します。 構成済みの接続された組織のユーザーのみがアクセス パッケージを要求できるため、既存の接続された組織に関連付けられている Microsoft Entra テナント、ドメイン、または ID プロバイダーからのユーザーではない場合、要求を行うことはできません。
    すべてのユーザー (すべての接続済み組織 + 新しい外部ユーザー) インターネット上のすべてのメンバー ユーザーがこのアクセス パッケージを要求できるようにする場合は、このオプションを選択します。 ディレクトリ内の接続された組織に属していない場合は、パッケージを要求すると、接続された組織が自動的に作成されます。 自動的に作成された接続組織は、提案された状態になります。 提案された状態の詳細については、「接続された組織の状態プロパティ」を参照してください。

  3. [Specific connected organizations](特定の接続済み組織) を選択した場合は、 [Add directories](ディレクトリの追加) をクリックして、管理者が以前に追加した、接続済み組織の一覧から選択します。

  4. 以前に接続されていた組織を検索するには、名前またはドメイン名を入力します。

    Access package - Requests - Select directories

    共同作業したい組織が一覧にない場合、接続済み組織としてそれを追加することを管理者に依頼することができます。 詳細については、接続されている組織の追加に関する記事を参照してください。

  5. すべての接続済み組織を選択したら、 [選択] をクリックします。

    注意

    選択した接続済み組織のすべてのユーザーは、このアクセス パッケージを要求できます。 Microsoft Entra ディレクトリを持つ接続された組織の場合、Microsoft Entra ディレクトリに関連付けられているすべての検証済みドメインのユーザーは、それらのドメインが Azure B2B の許可リストまたは拒否リストでブロックされていない限り、要求することができます。 詳細については、「B2B ユーザーに対する特定組織からの招待を許可またはブロックする」を参照してください。

  6. 次に、「エンタイトルメント管理のアクセス パッケージの承認設定の変更」の手順を使用して、承認設定を構成し、自分の組織に含まれていないユーザーからの要求を誰が承認するかを指定します。

  7. [要求の有効化] セクションに移動します。

なし (管理者直接割り当てのみ)

アクセス要求をバイパスし、管理者が特定のユーザーをこのアクセス パッケージに直接割り当てることを許可する場合は、次の手順に従います。 ユーザーは、アクセス パッケージを要求する必要はありません。 ライフサイクルの設定を行うこともできますが、要求の設定はありません。

  1. [アクセス権を要求できるユーザー] セクションで、[None (administrator direct assignments only)]\(なし (管理者直接割り当てのみ)\) をクリックします。

    Access package - Requests - None administrator direct assignments only

    アクセス パッケージを作成した後は、そのアクセス パッケージに特定の内部および外部ユーザーを直接割り当てることができます。 外部ユーザーを指定する場合、ゲスト ユーザー アカウントがディレクトリ内に作成されます。 ユーザーの直接割り当てについては、アクセス パッケージに対する割り当ての表示、追加、削除に関する記事を参照してください。

  2. [要求の有効化] セクションまでスキップします。

注意

ユーザーをアクセス パッケージに割り当てる際、管理者は、そのユーザーが既存のポリシー要件に基づいてそのアクセス パッケージの対象となっていることを確認する必要があります。 そうしない場合、ユーザーはアクセス パッケージに正常に割り当てられません。 ユーザー リクエストの承認を必要とするポリシーがアクセス パッケージに含まれている場合、指定された承認者による必要な承認を得ずに、ユーザーを直接アクセス パッケージに割り当てることはできません。

既存ポリシーの要求設定を開いて編集する

アクセス パッケージの要求と承認の設定を変更するには、それらの設定を含む対応するポリシーを開く必要があります。 次の手順を実行して、アクセス パッケージ割り当てポリシーの要求設定を開いて編集します。

前提条件となるロール: グローバル管理者、ID ガバナンス管理者、カタログ所有者、またはアクセス パッケージ マネージャー

  1. Microsoft Entra 管理センターIdentity Governance 管理者以上としてサインインします。

  2. [Identity Governance]>[エンタイトルメント管理]>[アクセス パッケージ] の順に移動します。

  3. [アクセス パッケージ] ページで、ポリシー要求設定を編集したいアクセス パッケージを開きます。

  4. [ポリシー] を選択してから、編集したいポリシーをクリックします。

    ページの下部で [ポリシーの詳細] ウィンドウが開きます。

    Access package - Policy details pane

  5. [編集] を選択してポリシーを編集します。

    Access package - Edit policy

  6. [要求] タブを選択して、要求設定を開きます。

  7. 前のセクションの手順を使用して、要求設定を必要に応じて変更します。

  8. [要求の有効化] セクションに移動します。

要求の有効化

  1. アクセス パッケージを要求ポリシー内のユーザーが要求のためにすぐに利用できるようにするには、有効トグルを [はい] に設定します。

    アクセス パッケージの作成が完了した後は、これをいつでも有効にすることができます。

    [None (administrator direct assignments only)](なし (管理者直接割り当てのみ)) を選択し、有効化を [いいえ] に設定した場合、管理者はこのアクセス パッケージを直接割り当てることはできません。

    Access package - Policy- Enable policy setting

  2. [次へ] を選択します。

  3. アクセス パッケージへのアクセスを要求するときに、追加情報を提供するように要求元に要求する場合、「エンタイトルメント管理でアクセス パッケージの承認および要求元情報設定を変更する」の手順を使用して、要求元情報を構成します。

  4. ライフサイクルの設定を構成します。

  5. ポリシーを編集する場合は、[更新] を選択します。 新しいポリシーを追加する場合は、[作成] を選択します。

プログラムでアクセス パッケージ割り当てポリシーを作成する

プログラムでアクセス パッケージ割り当てポリシーを作成するには、2 つの方法 (Microsoft Graph の使用と、Microsoft Graph 用の PowerShell コマンドレットの使用) があります。

Graph を使用してアクセス パッケージ割り当てポリシーを作成する

Microsoft Graph を使用して、ポリシーを作成できます。 委任された EntitlementManagement.ReadWrite.All アクセス許可を持つアプリケーション、またはカタログ ロール内のアプリケーションや EntitlementManagement.ReadWrite.All アクセス許可を持つアプリケーションを有する適切なロールのユーザーは、assignmentPolicy の作成 API を呼び出すことができます。

PowerShell を使用してアクセス パッケージ割り当てポリシーを作成する

PowerShell で Identity Governance 用の Microsoft Graph PowerShell コマンドレットモジュール バージョン 2.1.x 以降のコマンドレットを使って、アクセス パッケージを作成することもできます。

以下のスクリプトは、アクセス パッケージに対する直接割り当てのポリシーを作成する方法を示しています。 このポリシーでは、管理者のみがアクセス権を割り当てることができ、承認やアクセス レビューはありません。 自動割り当てポリシーを作成する方法の例については、「自動割り当てポリシーを作成する」を参照し、その他の例については「assignmentPolicy の作成」に関する記事を参照してください。

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$apid = "cdd5f06b-752a-4c9f-97a6-82f4eda6c76d"

$params = @{
    displayName = "New Policy"
    description = "policy for assignment"
    allowedTargetScope = "notSpecified"
    specificAllowedTargets = @(
    )
    expiration = @{
        endDateTime = $null
        duration = $null
        type = "noExpiration"
    }
    requestorSettings = @{
        enableTargetsToSelfAddAccess = $false
        enableTargetsToSelfUpdateAccess = $false
        enableTargetsToSelfRemoveAccess = $false
        allowCustomAssignmentSchedule = $true
        enableOnBehalfRequestorsToAddAccess = $false
        enableOnBehalfRequestorsToUpdateAccess = $false
        enableOnBehalfRequestorsToRemoveAccess = $false
        onBehalfRequestors = @(
        )
    }
    requestApprovalSettings = @{
        isApprovalRequiredForAdd = $false
        isApprovalRequiredForUpdate = $false
        stages = @(
        )
    }
    accessPackage = @{
        id = $apid
    }
}

New-MgEntitlementManagementAssignmentPolicy -BodyParameter $params

互換性のないアクセス権を持つユーザーからの要求を防ぐ

要求可能なユーザーのポリシー チェックに加えて、グループや別のアクセス パッケージによって既に何らかのアクセス権を持っているユーザーが過度なアクセス権を取得しないように、さらにアクセスを制限する場合があります。

既に別のアクセス パッケージを割り当てられているか、グループのメンバーであるユーザーがアクセス パッケージを要求できないように構成するには、アクセス パッケージに対する職務の分離の確認を構成する方法の手順を使用してください。

次の手順