組織のロール モデルを Microsoft Entra ID Governance に移行してアクセスを管理する
ロールベースのアクセス制御 (RBAC) により、ユーザーと IT リソースを分類するためのフレームワークが提供されます。 このフレームワークにより、それらの間の関係と、その分類に応じた適切なアクセス権を明示できます。 たとえば、ユーザーの役職とプロジェクトの割り当てを指定する属性をユーザーに割り当てることで、ユーザーのジョブに必要なツールと、特定のプロジェクトの作業に必要なデータへのアクセスを、ユーザーに許可することができます。 ユーザーが別のジョブとプロジェクト割り当てを担当する場合は、ユーザーの役職とプロジェクトを指定する属性を変更すると、前の役職だけに必要だったリソースへのアクセスが自動的にブロックされます。
Microsoft Entra ID では、ロール モデルをいくつかの方法で使用して、ID ガバナンスを通じて大規模にアクセスを管理できます。
- アクセス パッケージを使用して、"営業担当者" のような組織内のロールを表すことができます。 組織のロールを表すアクセス パッケージには、複数のリソースにわたって営業担当者が一般的に必要とする可能性があるすべてのアクセス権が含まれます。
- アプリケーションでは独自のロールを定義できます。 たとえば、営業アプリケーションがあり、そのアプリケーションではマニフェストにアプリ ロール "salesperson" が含まれていた場合、アプリ マニフェストのそのロールをアクセス パッケージに含めることができます。 ユーザーがアプリケーション固有の複数のロールを同時に持っている可能性があるシナリオでも、アプリケーションにはセキュリティ グループを使用できます。
- ロールを使用して管理アクセスを委任できます。 営業に必要なすべてのアクセス パッケージのカタログがある場合、カタログ固有のロールを割り当てることによって、任意のユーザーをそのカタログの責任者に任命することができます。
この記事では、エンタイトルメント管理アクセス パッケージを使用して組織のロールをモデル化し、ロールの定義を Microsoft Entra ID に移行してアクセスを強制する方法について説明します。
組織のロール モデルの移行
次の表は、他の製品でよく知られている組織のロール定義の概念が、エンタイトルメント管理の機能にどのように対応しているかを示しています。
| 組織のロール モデリングの概念 | エンタイトルメント管理での表現 |
|---|---|
| 委任されたロールの管理 | カタログ作成者への委任 |
| 1 つ以上のアプリケーションにわたるアクセス許可のコレクション | リソース ロールを使用してアクセス パッケージを作成する |
| ロールが提供するアクセス期間を制限する | アクセス パッケージのポリシー ライフサイクル設定に有効期限を設定する |
| ロールへの個別の割り当て | アクセス パッケージへの直接割り当てを作成する |
| プロパティ (部署など) に基づくユーザーへのロールの割り当て | アクセス パッケージへの自動割り当てを確立する |
| ユーザーはロールを要求して承認を受けることができる | アクセス パッケージを要求できるユーザーのポリシー設定を構成する |
| ロール メンバーのアクセスの再認定 | アクセス パッケージ ポリシーで定期的なアクセス レビュー設定を設定する |
| ロール間の職務の分離 | 2 つ以上のアクセス パッケージを互換性なしとして定義する |
たとえば、組織に次の表のような既存の組織のロール モデルがあるとします。
| ロール名 | ロールが提供するアクセス許可 | ロールへの自動割り当て | ロールへの要求ベースの割り当て | 職務の分離チェック |
|---|---|---|---|---|
| Salesperson | Sales チームのメンバー | はい | いいえ | なし |
| Sales Solution Manager | Salesperson のアクセス許可、および Sales アプリケーションでの Solution manager アプリのロール | なし | salesperson は要求でき、マネージャーの承認と四半期ごとのレビューが必要 | 要求者を Sales Account Manager にすることはできない |
| Sales Account Manager | Salesperson のアクセス許可、および Sales アプリケーションでの Account manager アプリのロール | なし | salesperson は要求でき、マネージャーの承認と四半期ごとのレビューが必要 | 要求を Sales Solution Manager にすることはできない |
| Sales Support | Salesperson と同じアクセス許可 | なし | salesperson 以外が要求でき、マネージャーの承認と四半期ごとのレビューが必要 | 要求者を Salesperson にすることはできない |
これは、Microsoft Entra ID Governance では、4 つのアクセス パッケージを含むアクセス パッケージ カタログとして表すことができます。
| アクセス パッケージ | リソース ロール | ポリシー | 互換性のないアクセス パッケージ |
|---|---|---|---|
| Salesperson | Sales チームのメンバー | 自動割り当て | |
| Sales Solution Manager | Sales アプリケーションでのSolution manager アプリのロール | 要求ベース | Sales Account Manager |
| Sales Account Manager | Sales アプリケーションでのAccount manager アプリのロール | 要求ベース | Sales Solution Manager |
| Sales Support | Sales チームのメンバー | 要求ベース | Salesperson |
以降のセクションでは、Microsoft Entra ID および Microsoft Entra ID Governance 成果物を作成して、組織のロール モデルと同等のアクセスを実装する移行プロセスの概要を説明します。
アクセス許可が組織のロールで参照されているアプリを Microsoft Entra ID に接続する
組織のロールを使用して、Microsoft 以外の SaaS アプリ、オンプレミス アプリ、または独自のクラウド アプリへのアクセスを制御するアクセス許可を割り当てる場合は、アプリケーションを Microsoft Entra ID に接続する必要があります。
複数のロールを持ち、SCIM などの最新の標準をサポートするアプリケーションの場合、組織のロールを表すアクセス パッケージがアプリケーションのロールをロールに含めるアクセス許可として参照できるようにするには、そのアプリケーションを Microsoft Entra ID と統合し、アプリケーションのロールがアプリケーション マニフェストに一覧表示されるようにする必要があります。
アプリケーションに 1 つのロールしかない場合でも、アプリケーションを Microsoft Entra ID と統合する必要があります。 SCIM をサポートしていないアプリケーションの場合、Microsoft Entra ID では、アプリケーションの既存のディレクトリまたは SQL データベースにユーザーを書き込むか、AD ユーザーを AD グループに追加することができます。
アプリで使用される Microsoft Entra スキーマと、組織のロールのユーザー スコープ ルールを設定する
ロールの定義に "これらの属性値を持つすべてのユーザーがロールに自動的に割り当てられる" または "これらの属性値を持つユーザーが要求を許可される" という形式のステートメントが含まれている場合は、それらの属性が Microsoft Entra ID に存在することを確認する必要があります。
Microsoft Entra スキーマを拡張し、オンプレミス AD、Microsoft Entra ID Connect 経由、または Workday や SuccessFactors などの人事システムからこれらの属性を設定できます。
委任用のカタログを作成する
ロールの継続的なメンテナンスが委任されている場合は、委任先の組織の各部分のカタログを作成して、アクセス パッケージの管理を委任できます。
作成するカタログが複数ある場合は、PowerShell スクリプトを使用して各カタログを作成できます。
アクセス パッケージの管理を委任する予定がない場合は、アクセス パッケージを 1 つのカタログに保持できます。
カタログにリソースを追加する
カタログを特定したら、組織のロールを表すアクセス パッケージに含まれるアプリケーション、グループ、またはサイトをカタログに追加します。
リソースが多い場合は、PowerShell スクリプトを使用して各リソースをカタログに追加できます。
組織のロールの定義に対応するアクセス パッケージを作成する
各組織のロールの定義は、そのカタログ内のアクセス パッケージで表すことができます。
PowerShell スクリプトを使用して、カタログにアクセス パッケージを作成できます。
アクセス パッケージを作成したら、カタログ内のリソースの 1 つ以上のロールをアクセス パッケージにリンクします。 これは、組織のロールのアクセス許可を表します。
さらに、アクセス パッケージの一部として、直接割り当てのポリシーを作成すると、個々の組織のロールの割り当てを既に持っているユーザーを追跡するために使用できます。
既存の個々の組織ロールの割り当てに対するアクセス パッケージの割り当てを作成する
一部のユーザーが組織のロール メンバーシップを既に持っていて、自動割り当てでは受け取れない場合は、それらのユーザーに対応するアクセス パッケージへの直接の割り当てを作成する必要があります。
割り当てが必要なユーザーが多数いる場合は、PowerShell スクリプトを使用して各ユーザーをアクセス パッケージに割り当てることができます。 これにより、ユーザーが直接割り当てポリシーにリンクされます。
自動割り当て用にこれらのアクセス パッケージにポリシーを追加する
組織のロールの定義に、ユーザーの属性に基づいて自動的にアクセスを割り当てたり削除したりする属性に基づくルールが含まれている場合は、自動割り当てポリシーを使用してこれを表すことができます。 アクセス パッケージには、最大 1 つの自動割り当てポリシーを含めることができます。
それぞれがロールの定義を持つロールの定義が多数ある場合は、PowerShell スクリプトを使用して、各アクセス パッケージに それぞれの自動割り当てポリシーを作成できます。
職務の分離用にアクセス パッケージを互換性なしとして設定する
ユーザーが既に別のロールを持っている場合、ある組織のロールを引き受けることができないようにする職務の分離の制約がある場合は、それらのアクセス パッケージの組み合わせを互換性なしとしてマークすることで、ユーザーがエンタイトルメント管理でアクセスを要求できないようにすることができます。
別のアクセス パッケージと互換性なしとしてマークされるアクセス パッケージごとに、PowerShell スクリプトを使用してアクセス パッケージを互換性なしとして構成できます。
ユーザーが要求できるように、アクセス パッケージにポリシーを追加する
組織のロールをまだ持っていないユーザーが要求を許可され、ロールを引き受けることが承認された場合は、ユーザーがアクセス パッケージを要求できるようにエンタイトルメント管理を構成することもできます。 アクセス パッケージに追加のポリシーを追加し、各ポリシーで、要求できるユーザーと承認する必要があるユーザーを指定できます。
アクセス パッケージの割り当てポリシーでアクセス レビューを構成する
組織のロールでメンバーシップの定期的なレビューを必要な場合は、要求ベースの直接割り当てポリシーで定期的なアクセス レビューを構成できます。