エンタイトルメント管理とは
エンタイトルメント管理は、アクセス要求ワークフロー、アクセス割り当て、レビュー、および期限切れ処理を自動化することで、ID とアクセスのライフサイクルを大規模に管理できる、ID ガバナンス機能です。
組織内の従業員は、各自の仕事を実行するために、さまざまなグループ、アプリケーション、SharePoint Online サイトへのアクセスが必要になります。 要件は変化するため、このアクセスの管理は困難です。 新しいアプリケーションが追加されたり、ユーザーに必要なアクセスが増えたりします。 このシナリオは、外部の組織と共同作業する場合はさらに複雑になります。 他の組織内のだれがこちらの組織のリソースへのアクセスを必要としているかがわからない可能性があり、また向こうも、こちらでどのようなアプリケーション、グループ、またはサイトを使用しているかがわかりません。
エンタイトルメント管理を使用すれば、グループ、アプリケーション、SharePoint Online サイトへのアクセスを、内部ユーザーについてだけでなく、それらのリソースにアクセスする必要がある外部ユーザーについても、より効率的に管理できます。
エンタイトルメント管理を使用する理由
エンタープライズ組織では、リソースに対する従業員のアクセスを管理する際、次のような課題に直面することがよくあります。
- ユーザーが自分に必要なアクセス権を把握できなかったり、把握できたとしても、アクセス権をどの担当者に承認してもらえばよいかがわかりにくい
- ユーザーがリソースへのアクセス権を見つけて取得した後、業務上の目的に必要な期間よりも長くアクセス権を持ち続ける場合がある
これらの問題は、別の組織からアクセスするユーザーがいる場合、さらに複雑になります (サプライ チェーン組織やその他のビジネス パートナーに属する外部ユーザーなど)。 次に例を示します。
- 他社のディレクトリ内のすべての個人を把握する人物がおらず、それらのユーザーを招待できない場合がある
- 招待できたとしても、ユーザー全員のアクセス権を、担当者が一貫性を持って確実に管理できない場合がある
エンタイトルメント管理は、これらの課題への対処に役立ちます。 お客様がエンタイトルメント管理をどのように使用しているかについて詳しくは、Mississippi Division of Medicaid、Storebrand、Avanade のケース スタディを参照してください。 下記のビデオでは、エンタイトルメント管理とそのメリットについて概説しています。
エンタイトルメント管理では何ができますか?
エンタイトルメント管理の機能の一部を次に示します。
- 複数ステージの承認を使用して、だれがアプリケーション、グループ、Teams、SharePoint サイトへのアクセス権を取得できるかを制御し、期間限定の割り当てと繰り返しのアクセス レビューを使用して、ユーザーがアクセス権を無期限に保持できないようにします。
- 部門やコスト センターなどのユーザーのプロパティに基づいて、ユーザーにそれらのリソースへのアクセス権を自動的に付与し、それらのプロパティが変更されたときにユーザーのアクセス権を削除します (プレビュー)。
- アクセス パッケージを作成する権限を、管理者以外の担当者に委任できます。 これらのアクセス パッケージには、ユーザーが要求できるリソースが含まれています。また、委任されたアクセス パッケージ マネージャーは、どのユーザーがアクセス権を要求できるかや、それらのアクセス権を誰が承認できるのか、さらには、アクセス権がいつ失効するのかについてのルールを使用して、ポリシーを定義することができます。
- 接続先の組織を選択して、その組織のユーザーがアクセス権を要求できるようにすることができます。 ディレクトリにまだ存在しないユーザーがアクセス権を要求し、それが承認されると、そのユーザーは自動的にディレクトリに招待され、アクセス権を割り当てられます。 アクセス権の有効期限が切れ、かつ他のアクセス パッケージが割り当てられていない場合には、ディレクトリ内の B2B アカウントを自動的に削除できます。
注意
エンタイトルメント管理を試す準備ができたら、まず、最初のアクセス パッケージを作成する方法のチュートリアルを参照してください。
また、一般的なシナリオや下記のビデオも参考にできます
アクセスパッケージとは何ですか? また、それを使ってどのようなリソースを管理できますか?
エンタイトルメント管理では、アクセス パッケージの概念を導入しています。 アクセス パッケージとは、ユーザーがプロジェクトで作業したりタスクを遂行するために必要となるすべてのリソースと、そのアクセス権をバンドルしたものです。 アクセス パッケージは、内部の従業員、さらには組織外のユーザーのアクセスを管理するために使用します。
エンタイトルメント管理では、次の種類のリソースについて、ユーザーのアクセス権を管理できます。
- Azure AD セキュリティ グループのメンバーシップ
- Microsoft 365 グループとチームのメンバーシップ
- Azure AD エンタープライズ アプリケーションへの割り当て (これには、SaaS アプリケーションのほか、フェデレーションやシングル サインオン、プロビジョニングをサポートしたカスタム統合アプリケーションも含まれます)
- SharePoint Online サイトのメンバーシップ
Azure AD セキュリティ グループまたは Microsoft 365 グループに依存するその他のリソースへのアクセスを制御することもできます。 次に例を示します。
- Microsoft 365 のライセンスをユーザーに付与するには、アクセス パッケージで Azure AD セキュリティ グループを使用し、そのグループのグループベース ライセンスを構成します。
- Azure リソースを管理するためのアクセス権をユーザーに付与するには、アクセス パッケージで Azure AD セキュリティ グループを使用し、そのグループの Azure ロール割り当てを作成します。
- Azure AD ロールを管理するためのアクセス権をユーザーに付与するには、アクセス パッケージで Azure AD ロールに割り当て可能なグループを使用し、そのグループの Azure ロール割り当てを作成します。
誰にアクセス権が付与されるかを制御するにはどうすればよいですか?
管理者や委任されたアクセス パッケージ マネージャーは、アクセス パッケージを使用して、一連のリソース (グループ、アプリ、およびサイト) と、それらのリソースを操作するためにユーザーに必要なロールをリスト化します。
アクセス パッケージには 1 つ以上のポリシーも含まれます。 ポリシーとは、アクセス パッケージにユーザーを割り当てるうえでの規則やガイドラインを定義したものです。 各ポリシーを使用して、適切なユーザーのみにアクセス権が割り当てられ、アクセス権が期限付きであり、更新されない場合は期限切れになることを確実にすることができます。
ユーザーがアクセス権を要求するためのポリシーを設定できます。 管理者やアクセス パッケージ マネージャーは、これらの種類のポリシーで次のことを定義します
- アクセス権を要求する資格のある既存のユーザー (通常は、従業員または既に招待されているゲスト)、あるいは外部ユーザーの取引先組織のどちらか
- 承認プロセスと、アクセス権を承認または拒否できるユーザー
- ユーザーのアクセス権割り当て期間 (承認されてから、割り当てが期限切れになるまでの期間)
また、ユーザーにアクセス権を割り当てるポリシーは、管理者によって、または自動的に設定することもできます。
次の図は、エンタイトルメント管理のさまざまな要素の例を示します。 1 つのカタログと、2 つのアクセス パッケージ例が示されています。
- アクセス パッケージ 1 には、1 つのグループがリソースとして含まれます。 アクセスは、ディレクトリ内のユーザーの集合がアクセスを要求できるようにするポリシーによって定義されます。
- アクセス パッケージ 2 には、グループ、アプリケーション、SharePoint Online サイトがリソースとして含まれます。 アクセスは 2 つの異なるポリシーによって定義されます。 最初のポリシーは、ディレクトリ内のユーザーの集合がアクセスを要求できるようにします。 2 番目のポリシーは、外部ディレクトリのユーザーがアクセスを要求できるようにします。
アクセス パッケージはどのような場合に使用するのですか?
アクセス パッケージは、アクセス権の割り当てに関する他のメカニズムに取って代わるものではありません。 アクセス パッケージは、次のような状況で使用するのに適しています。
- サード パーティのエンタープライズ ロール管理から Azure AD へのアクセス ポリシー定義の移行。
- 特定のタスクのために、従業員に期限付きのアクセス権が必要な場合。 たとえば、グループ ベースのライセンスと動的グループを使用して、すべての従業員に確実に Exchange Online メールボックスが割り当てられるようにした後、従業員にそれ以上のアクセスが必要になった状況でアクセス パッケージを使用することもできます。 たとえば、ある部署のリソースを別の部署から読み取る権限があります。
- アクセス権を、従業員のマネージャーや、その他の指定された個人に承認してもらう必要がある場合。
- 組織の特定の部署の人がその職務に就いている間に自動的に割り当てられる必要があるアクセス権ですが、組織の他の場所やビジネス パートナー組織の人が要求することもできます。
- 特定の部署で、IT チームの手を借りることなく、リソースに対する独自のアクセス ポリシーを管理できるようにする必要がある場合。
- 複数の組織が 1 つのプロジェクトで共同作業を行っている場合に、ある組織の複数のユーザーが、Azure AD B2B を通じて別の組織のリソースにアクセスする必要がある場合。
アクセス権を委任するにはどうすればよいですか?
アクセス パッケージは、カタログと呼ばれるコンテナーに定義されます。 すべてのアクセス パッケージに対して 1 つのカタログを使用することもでき、個人を指定して、そのユーザーが独自のカタログを作成し、所有できるようにすることもできます。 管理者は任意のカタログにリソースを追加できますが、管理者以外のユーザーは、自分が所有しているリソースしかカタログに追加できません。 カタログ所有者は、他のユーザーをカタログの共同所有者として追加したり、アクセス パッケージ マネージャーとして追加したりすることができます。 これらのシナリオについては、エンタイトルメント管理での委任とロールに関する記事で詳しく説明しています。
用語の概要
エンタイトルメント管理とそのドキュメントについてより深く理解するために、次の用語一覧を確認してください。
| 期間 | 説明 |
|---|---|
| アクセス パッケージ | チームまたはプロジェクトが必要とし、ポリシーに準拠しているリソースのバンドル。 アクセス パッケージは常にカタログに含まれています。 新しいアクセス パッケージは、ユーザーがアクセス権を要求する必要がある場合に作成します。 |
| アクセス要求 | アクセス パッケージのリソースへのアクセス要求。 要求は通常、承認ワークフローを通じて処理されます。 承認されると、要求元のユーザーにアクセス パッケージが割り当てられます。 |
| 割り当て | ユーザーにアクセス パッケージを割り当てると、そのユーザーには、そのアクセス パッケージに対応するすべてのリソース ロールが割り当てられます。 通常、アクセス パッケージの割り当てには有効期限があり、期限が切れると失効します。 |
| catalog | 関連リソースとアクセス パッケージのコンテナー。 カタログは委任に使用されます。これにより、管理者以外のユーザーが独自のアクセス パッケージを作成できるようにすることができます。 カタログ所有者は、自分が所有するリソースをカタログに追加できます。 |
| カタログ作成者 | 新しいカタログの作成を許可されている一連のユーザーのことを指します。 カタログ作成者として承認されている管理者以外のユーザーが新しいカタログを作成すると、そのユーザーは自動的にそのカタログの所有者になります。 |
| 接続されている組織 | 自分が関係を持っている、外部の Azure AD ディレクトリまたはドメインのことを指します。 接続された組織のユーザーは、アクセス権の要求を許可されたユーザーとして、ポリシーで指定できます。 |
| policy | アクセス権のライフサイクルを定義する一連のルールのことを指します (ユーザーがどのようにアクセス権を取得するか、誰が承認を実行できるか、割り当てによって付与されたアクセス権がいつ失効するかなど)。 ポリシーはアクセス パッケージにリンクされます。 たとえば、アクセス パッケージに 2 つのポリシーを含めて、1 つは従業員によるアクセス要求、もう 1 つは外部ユーザーによるアクセス要求に使用することもできます。 |
| resource | Office グループ、セキュリティ グループ、アプリケーション、SharePoint Online サイトなどのアセットのことを指します。アクセス許可は、ロールによってユーザーに付与します。 |
| リソース ディレクトリ | 共有する 1 つ以上のリソースがあるディレクトリ。 |
| リソース ロール | リソースに関連付けられ、リソースによって定義されている一連のアクセス許可のことです。 グループには 2 つのロールがあります (メンバーと所有者)。 SharePoint サイトには通常 3 つのロールがありますが、他のカスタム ロールも追加できます。 アプリケーションにはカスタム ロールを設定できます。 |
ライセンスの要件
この機能を使用するには、Azure AD Premium P2 ライセンスが必要です。 ご自分の要件に対して適切なライセンスを探すには、一般提供されている Azure AD の機能比較に関するページをご覧ください。
ライセンスはいくつ必要ですか?
所有する Azure AD Premium P2 ライセンスの数だけ、確実にディレクトリにあるようにします。
- アクセス パッケージを要求できるメンバー ユーザー。
- アクセス パッケージを要求するメンバー ユーザー。
- アクセス パッケージの要求を承認するメンバー ユーザー。
- アクセス パッケージの割り当てをレビューするメンバー ユーザー。
- アクセス パッケージに直接割り当てられている、または自動的に割り当てられているメンバー ユーザー。
ゲスト ユーザーのライセンス要件は、ご使用のライセンス モデルによって異なります。 ただし、次のゲスト ユーザーのアクティビティは、Azure AD Premium P2 の用途と見なされます。
- アクセス パッケージを要求するゲスト ユーザー。
- アクセス パッケージの要求を承認するゲスト ユーザー。
- アクセス パッケージの割り当てをレビューするゲスト ユーザー。
- アクセス パッケージに直接割り当てられているゲスト ユーザー。
Azure AD Premium P2 ライセンスは、次のタスクでは必要ありません。
- 初期カタログ、アクセス パッケージ、ポリシーを設定し、管理タスクを他のユーザーに委任するグローバル管理者ロールを持つユーザーには、ライセンスは必要ありません。
- カタログ作成者、カタログ所有者、アクセス パッケージ マネージャーなどの管理タスクを委任されたユーザーには、ライセンスは必要ありません。
- アクセス パッケージを要求する権限を持っていても、それらを要求することを選択しないゲストには、ライセンスは必要ありません。
ライセンスの詳細については、Azure portal を使用したライセンスの割り当てまたは削除に関するページを参照してください。
ライセンスのシナリオ例
必要なライセンス数の決定に役立つライセンスのシナリオ例をいくつか以下に示します。
| シナリオ | 計算 | ライセンス数 |
|---|---|---|
| Woodgrove Bank のグローバル管理者は初期カタログを作成し、管理タスクを他の 6 人のユーザーに委任します。 ポリシーの 1 つで、すべての従業員 (2,000 の従業員) は特定のアクセス パッケージのセットを要求できることが指定されています。 150 人の従業員がアクセス パッケージを要求します。 | アクセス パッケージを要求できる 2,000 人の従業員 | 2,000 |
| Woodgrove Bank のグローバル管理者は初期カタログを作成し、管理タスクを他の 6 人のユーザーに委任します。 ポリシーの 1 つで、すべての従業員 (2,000 の従業員) は特定のアクセス パッケージのセットを要求できることが指定されています。 別のポリシーでは、パートナー Contoso のユーザー (ゲスト) の一部のユーザーは、承認の対象となる同じアクセス パッケージを要求できることが指定されています。 Contoso には 30,000 人のユーザーがいます。 150 人の従業員がアクセス パッケージを要求し、Contoso の 10,500 人のユーザーがアクセスを要求します。 | 2,000 人の従業員がライセンスを必要とし、ゲスト ユーザーは月間アクティブ ユーザー ベースで課金され、追加のライセンスは必要ありません。 * | 2,000 |
* Azure AD External Identities (ゲスト ユーザー) の価格は、1 か月間に認証アクティビティを行った一意のユーザーの数である、月間アクティブ ユーザー数 (MAU) に基づいています。 このモデルは、テナントの Azure AD Premium ライセンスごとに最大 5 人のゲスト ユーザーが許可されていた 1:5 の比率の課金モデルに代わるものです。 テナントがサブスクリプションにリンクされており、External Identities 機能を使用してゲスト ユーザーと共同作業する場合、MAU ベースの課金モデルを使用して自動的に課金されます。 詳細については、「Azure AD External Identities の課金モデル」を参照してください。
次のステップ
- Azure portal を使用してリソースへのアクセスを管理する方法に関心がある場合は、Azure portal でのリソースへのアクセスの管理に関するチュートリアルを参照してください。
- Microsoft Graph を使用してリソースへのアクセスを管理する方法に関心がある場合は、Microsoft Graph でのリソースへのアクセスの管理に関するチュートリアルを参照してください。
- 一般的なシナリオ