エンタイトルメント管理でリソースのカタログを作成して管理する

この記事では、エンタイトルメント管理でリソースやアクセス パッケージのカタログを作成して管理する方法について説明します。

カタログを作成する

カタログは、リソースとアクセス パッケージのコンテナーです。 関連するリソースとアクセス パッケージをグループ化するときは、カタログを作成します。 管理者はカタログを作成できます。 さらに、カタログ作成者ロールを委任されたユーザーは、自分が所有するリソースのカタログを作成できます。 管理者以外のユーザーがカタログを作成すると、そのユーザーが最初のカタログ所有者になります。 カタログ所有者は、カタログ所有者としてユーザー、ユーザーのグループ、またはアプリケーション サービス プリンシパルを追加できます。

前提条件のロール: グローバル管理者、ID ガバナンス管理者、ユーザー管理者、またはカタログ作成者

注意

ユーザー管理者ロールが割り当てられているユーザーは、カタログを作成したり、所有していないカタログ内のアクセス パッケージを管理したりできなくなります。 組織内のユーザーに、エンタイトルメント管理でカタログ、アクセス パッケージ、またはポリシーを構成するためにユーザー管理者ロールが割り当てられている場合は、代わりに、これらのユーザーに ID ガバナンス管理者ロールを割り当てる必要があります。

カタログを作成するには:

1. Azure portal で、[Azure Active Directory][ID ガバナンス] の準に選択します。

2. 左側のメニューで、 [カタログ] を選択します。

   

3. [新しいカタログ] を選択します。

4. カタログの一意の名前と説明を入力します。

   この情報は、アクセス パッケージの詳細に表示されます。

5. このカタログ内のアクセス パッケージを、作成されたらすぐにユーザーが要求できるようにする場合は、 [有効] を [はい] に設定します。

6. 選択された外部ディレクトリ内のユーザーがこのカタログ内のアクセス パッケージを要求できるようにする場合は、 [Enabled for external users](外部ユーザーに対して有効にする) を [はい] に設定します。

   

7. [作成] を選択してカタログを作成します。

カタログをプログラミングで作成する

プログラムでカタログを作成するには 2 つの方法があります。

Microsoft Graph でカタログを作成する

Microsoft Graph を使用してカタログを作成できます。 委任された EntitlementManagement.ReadWrite.All アクセス許可を持つアプリケーション、またはそのアプリケーション アクセス許可を持つアプリケーションを有する適切なロールのユーザーは、API を呼び出して、EntitlementManagement.ReadWrite.Allことができます。

PowerShell でカタログを作成する

カタログはまた、PowerShell で New-MgEntitlementManagementAccessPackageCatalog モジュール バージョン 1.6.0 以降の New-MgEntitlementManagementAccessPackageCatalog コマンドレットを使用して作成することもできます。

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
Select-MgProfile -Name "beta"
$catalog = New-MgEntitlementManagementAccessPackageCatalog -DisplayName "Marketing"

カタログにリソースを追加する

アクセス パッケージにリソースを含めるには、リソースがカタログ内に存在している必要があります。 カタログに追加できるリソースの種類は、グループ、アプリケーション、および SharePoint Online サイトです。

• グループとしては、クラウドで作成された Microsoft 365 グループ、またはクラウドで作成された Azure AD セキュリティ グループを指定できます。

  • オンプレミスの Active Directory に由来するグループは、その所有者またはメンバー属性を Azure AD で変更できないため、リソースとして割り当てることができません。 AD セキュリティ グループ メンバーシップを使用するアプリケーションへのアクセス権をユーザーに付与するには、Azure AD で新しいセキュリティ グループを作成して AD へのグループの書き戻しを構成し、そのグループの AD への書き込みを有効にして、クラウドで作成されたグループを AD ベースのアプリケーションで使用できるようにします。

  • 配布グループとして Exchange Online に由来するグループも Azure AD で変更できないため、カタログに追加できません。

• アプリケーションとしては、Azure AD エンタープライズ アプリケーションを指定できます。これには、SaaS (サービスとしてのソフトウェア) アプリケーションと、Azure AD と統合された独自のアプリケーションの両方が含まれます。

  • アプリケーションがまだ Azure AD と統合されていない場合は、「環境内のアプリケーションのアクセスを制御する」およびアプリケーションと Azure AD の統合に関するページを参照してください。

  • 複数のロールを持つアプリケーションの適切なリソースを選択する方法の詳細については、「リソース ロールを追加する」を参照してください。

• サイトとしては、SharePoint Online サイトまたは SharePoint Online サイト コレクションを指定できます。

注意

サイト名または正確な URL で SharePoint サイトを検索します。検索ボックスでは大文字と小文字が区別されます。

前提条件のロール: 「カタログにリソースを追加するために必要なロール」を参照してください。

カタログにリソースを追加するには:

1. Azure portal で、[Azure Active Directory][ID ガバナンス] の準に選択します。

2. 左側のメニューで [カタログ] を選択してから、リソースを追加するカタログを開きます。

3. 左側のメニューで、 [リソース] を選択します。

4. [リソースの追加] を選択します。

5. [グループとチーム] 、 [アプリケーション] 、または [SharePoint サイト] のリソースの種類を選択します。

   追加するリソースが表示されない、またはリソースを追加できない場合は、必要な Azure Active Directory ディレクトリ ロールおよびエンタイトルメント管理ロールを持っていることを確認してください。 必要なロールを持つ人物に、カタログへのリソース追加を依頼することが必要な場合があります。 詳細については、リソースをカタログに追加するために必要なロールに関するページを参照してください。

6. カタログに追加する種類の 1 つ以上のリソースを選択します。

   

7. 完了したら、 [追加] を選択します。

   これらのリソースをカタログ内のアクセス パッケージに含めることができるようになりました。

カタログでリソース属性を追加する

属性は、要求元がアクセス要求を送信する前に回答するよう求められる必須フィールドです。 これらの属性への回答は承認者に示されると共に、Azure AD のユーザー オブジェクトにもスタンプされます。

注意

リソースが含まれているアクセス パッケージへの要求を送信するには、その前に、そのリソースに設定されているすべての属性への回答が必要です。 要求元が回答を指定しない場合、その要求は処理されません。

アクセス要求のための属性を必要とするには:

1. 左側のメニューで [リソース] を選択すると、そのカタログ内のリソースの一覧が表示されます。

2. 属性を追加するリソースの横にある省略記号を選択してから、[属性が必要] を選択します。

   

3. 属性の種類を選択します。

   1. [組み込み] には、Azure AD のユーザー プロファイル属性が含まれます。
   2. [ディレクトリ スキーマ拡張] は、Azure AD にユーザー オブジェクトやその他のディレクトリ オブジェクトに関するより多くのデータを格納する方法を提供します。 これには、グループ、テナントの詳細、およびサービス プリンシパルが含まれます。 アプリケーションに対する要求の送信に使用できるのは、ユーザー オブジェクトの拡張機能属性だけです。

4. [組み込み] を選択した場合は、ドロップダウン リストから属性を選択します。 [ディレクトリ スキーマ拡張] を選択した場合は、テキスト ボックスに属性名を入力します。

   注意

   User.mobilePhone 属性は、一部の管理者のみが更新できる機密性の高いプロパティです。 詳細については、機密性の高いユーザー属性を更新できるユーザーに関する記事を参照してください。

5. 要求元がその回答のために使用する回答形式を選択します。 回答形式には、 [短いテキスト] 、 [複数選択] 、 [長いテキスト] が含まれます。

6. 複数選択を選択した場合は、回答のオプションを構成するために [編集とローカライズ] を選択します。

   1. 表示される [質問の表示/編集] ペインで、要求元が質問に回答するときに提供する回答のオプションを [回答値] ボックスに入力します。
   2. 回答のオプションの言語を選択します。 追加の言語を選択した場合は、回答のオプションをローカライズできます。
   3. 必要な数の回答を入力し、 [保存] を選択します。

7. 直接割り当てとセルフサービス要求で属性値を編集可能にする場合は、 [はい] を選択します。

   注意

   

   • [属性値が編集可能である] ボックスで [いいえ] を選択し、属性値 "が空である" 場合、ユーザーはその属性の値を入力できます。 保存した後、この値を編集することはできません。
   • [属性値が編集可能である] ボックスで [いいえ] を選択し、属性値 "が空でない" 場合、ユーザーは、直接割り当てとセルフサービス要求のどちらのときも既存の値を編集できません。

   

8. ローカリゼーションを追加する場合は、 [ローカリゼーションの追加] を選択します。

   1. [質問のローカリゼーションの追加] ペインで、選択された属性に関連する質問をローカライズする言語の言語コードを選択します。

   2. 構成した言語で、 [ローカライズされたテキスト] ボックスに質問を入力します。

   3. 必要なすべてのローカリゼーションを追加したら、 [保存] を選択します。

      

9. [属性が必要] ページですべての属性情報を入力したら、[保存] を選択します。

Multi-Geo SharePoint サイトを追加する

1. SharePoint で Multi-Geo が有効になっている場合は、サイトを選択する環境を選択します。

   

2. 次に、カタログに追加するサイトを選択します。

プログラムでカタログにリソースを追加する

Microsoft Graph を使用して、カタログにリソースを追加することもできます。 委任された EntitlementManagement.ReadWrite.All アクセス許可を持つアプリケーションを有する適切なロールのユーザーまたはカタログおよびリソースの所有者は、API を呼び出して、EntitlementManagement.ReadWrite.Allことができます。 アプリケーションのアクセス許可 EntitlementManagement.ReadWrite.All とリソースを変更するアクセス許可 (Group.ReadWrite.All など) を持つアプリケーションによって、カタログにリソースを追加することもできます。

PowerShell を使用してカタログにリソースを追加する

New-MgEntitlementManagementAccessPackageResourceRequest モジュール バージョン 1.6.0 以降の New-MgEntitlementManagementAccessPackageResourceRequest コマンドレットを使用して、PowerShell でカタログにリソースを追加することもできます。 次の例は、カタログにグループをリソースとして追加する方法を示しています。

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All,Group.ReadWrite.All"
Select-MgProfile -Name "beta"
$g = Get-MgGroup -Filter "displayName eq 'Marketing'"
Import-Module Microsoft.Graph.Identity.Governance
$catalog = Get-MgEntitlementManagementAccessPackageCatalog -Filter "displayName eq 'Marketing'"
$nr = New-Object Microsoft.Graph.PowerShell.Models.MicrosoftGraphAccessPackageResource
$nr.OriginId = $g.Id
$nr.OriginSystem = "AadGroup"
$rr = New-MgEntitlementManagementAccessPackageResourceRequest -CatalogId $catalog.Id -AccessPackageResource $nr
$ar = Get-MgEntitlementManagementAccessPackageCatalog -AccessPackageCatalogId $catalog.Id -ExpandProperty accessPackageResources
$ar.AccessPackageResources

カタログからリソースを削除する

カタログからリソースを削除できます。 カタログからリソースを削除できるのは、それが、そのカタログのどのアクセス パッケージでも使用されていない場合だけです。

前提条件のロール: 「カタログにリソースを追加するために必要なロール」を参照してください。

カタログからリソースを削除するには:

1. Azure portal で、[Azure Active Directory][ID ガバナンス] の準に選択します。

2. 左側のメニューで [カタログ] を選択してから、リソースを削除するカタログを開きます。

3. 左側のメニューで、 [リソース] を選択します。

4. 削除するリソースを選択します。

5. [削除] を選択します。 オプションで、省略記号 ( ... ) を選択してから、 [リソースの削除] を選択します。

カタログ所有者を追加する

カタログを作成したユーザーが最初のカタログ所有者になります。 カタログの管理を委任するには、カタログ所有者ロールにユーザーを追加します。 カタログ所有者を追加すると、カタログ管理の責任を共有するのに役立ちます。

前提条件のロール: グローバル管理者、ID ガバナンス管理者、ユーザー管理者、またはカタログ所有者

カタログ所有者ロールにユーザーを割り当てるには:

1. Azure portal で、[Azure Active Directory][ID ガバナンス] の準に選択します。

2. 左側のメニューで [カタログ] を選択してから、管理者を追加するカタログを開きます。

3. 左側のメニューで、 [ロールと管理者] を選択します。

   

4. [所有者の追加] を選択して、これらのロールのメンバーを選択します。

5. [選択] をクリックすると、これらのメンバーが追加されます。

カタログを編集する

カタログの名前と説明を編集できます。 この情報は、アクセス パッケージの詳細に表示されます。

前提条件のロール: グローバル管理者、ID ガバナンス管理者、ユーザー管理者、またはカタログ所有者

カタログを編集するには:

1. Azure portal で、[Azure Active Directory][ID ガバナンス] の準に選択します。

2. 左側のメニューで [カタログ] を選択してから、編集するカタログを開きます。

3. カタログの [概要] ページで、 [編集] を選択します。

4. カタログの名前、説明、または有効になっている設定を編集します。

   

5. [保存] を選択します。

カタログを削除する

カタログを削除できるのは、そのカタログにどのアクセス パッケージも含まれていない場合に限られます。

前提条件のロール: グローバル管理者、ID ガバナンス管理者、ユーザー管理者、またはカタログ所有者

カタログを削除するには:

1. Azure portal で、[Azure Active Directory][ID ガバナンス] の準に選択します。

2. 左側のメニューで [カタログ] を選択してから、削除するカタログを開きます。

3. カタログの [概要] ページで、 [削除] を選択します。

4. 表示されるメッセージ ボックスで、 [はい] を選択します。

プログラムでカタログを削除する

Microsoft Graph を使用してカタログを削除することもできます。 委任された EntitlementManagement.ReadWrite.All アクセス許可を持つアプリケーションを有する適切なロールのユーザーは、API を呼び出して、EntitlementManagement.ReadWrite.Allことができます。

次のステップ

アクセス パッケージ管理者にアクセス ガバナンスを委任する