Microsoft Entra ID Governance とは
Microsoft Entra ID Governance を使うと、セキュリティや従業員の生産性に対する組織のニーズと、適切なプロセスや可視性とのバランスを取ることができます。 適切なリソースに対する適切なアクセス権を適切なユーザーに付与できるようになります。 これらの機能と、関連する Azure AD や Enterprise Mobility + Security の機能を使用すると、従業員とビジネス パートナーの生産性を確保しながら、重要な資産へのアクセスを保護、監視、監査することによってアクセス リスクを軽減できます。
ID Governance は、オンプレミスであれクラウドであれ、従業員とビジネス パートナーとベンダー、そして、サービスとアプリケーションの垣根を越えて組織が次のタスクを実行できるようにします。
- ID ライフサイクルの管理
- アクセスのライフサイクルの管理
- 管理に使用される特権アクセスのセキュリティ保護
具体的には、組織が次の 4 つの重要な問題に対処できるようにすることを目的としています。
- どのユーザーがどのリソースへのアクセス権を持つ必要があるか。
- それらのユーザーはそのアクセス権によって何を実行するか。
- アクセスを管理するための効果的な組織的管理は存在しているか。
- 監査者は管理が機能していることを確認できるか。
ID ライフサイクル
Identity Governance により、組織は、生産性 (従業員が組織に加わったときなどに、必要なリソースへのアクセスできるようになるまでの時間) と セキュリティ (従業員の雇用形態の変更などによって、時間の経過に伴いアクセス権をどのように変更すべきか) とのバランスを取ることができます。 ID ライフサイクル管理は ID 管理の基盤であり、大規模な効果的な管理には、アプリケーションの ID ライフサイクル管理インフラストラクチャの近代化が必要です。
多くの組織では、従業員の ID ライフサイクルは、HCM (ヒューマン キャピタル マネジメント) システムでのそのユーザーの表示に関連付けられています。 Azure Active Directory ユーザー プロビジョニングのためのクラウド人事アプリケーションの計画ガイドで説明されているように、Azure AD Premium のインバウンド プロビジョニングにより、Active Directory と Azure Active Directory の両方の Workday と SuccessFactors に表示されるユーザーのユーザー ID が自動的に維持されます。 Azure AD Premium には Microsoft Identity Manager も含まれていて、SAP HCM、Oracle eBusiness、Oracle PeopleSoft などのオンプレミスの HCM システムからレコードをインポートすることができます。
組織外のユーザーとの共同作業が必要になるシナリオは、ますます増えています。 Azure AD B2B コラボレーションを使用すると、独自の社内データに対するコントロールを維持した状態で、組織のアプリケーションとサービスをゲスト ユーザーや任意の組織の外部パートナーと安全に共有することができます。 Microsoft Entra エンタイトルメント管理を使用すると、組織のユーザーの中で、アクセスを要求して組織のディレクトリに B2B ゲストとして登録することが許可されるユーザーを選択すると共に、アクセスが不要になったらそれらのゲストを確実に削除することができます。
ライフサイクル ワークフローを使うことで、組織は ID ライフサイクル管理プロセスを自動化できます。 ワークフローを作成することで、ユーザーが組織に入る前、組織にいる間に状態が変化したとき、そして組織を離れるときに、自動的にタスクを実行することができます。 たとえば、新しいユーザーのマネージャーに仮パスワードを記載したメールを送信したり、そのユーザーの初日にウェルカム メールを送信するようなワークフローを構成することができます。
アクセスのライフサイクル
組織では、ユーザーの ID の作成時にそのユーザー用に最初にプロビジョニングしたアクセス権を上回るアクセス権を管理するプロセスが必要です。 さらに、企業組織では、アクセス ポリシーと管理を継続的に開発し適用できるように、効率的なスケールが可能でなければなりません。
通常、IT 部門は、アクセス承認の決定を管理職意思決定者に委任します。 さらに、ユーザー自身が IT 部門に関与していることがあります。 たとえば、ヨーロッパで会社のマーケティング アプリケーションで顧客の機密データにアクセスするユーザーは、会社のポリシーを把握している必要があります。 ゲスト ユーザーは、招待されている組織のデータの処理要件を理解していない可能性があります。
組織では、動的グループなどのテクノロジを SaaS アプリまたは SCIM と統合されたアプリと組み合わせて使用して、アクセスのライフサイクル プロセスを自動化することができます。 Microsoft Entra では、AD グループ、他のオンプレミス ディレクトリ または データベース を使用するアプリ、または SAP を含む SOAP or REST API を持つアプリへのアクセスをプロビジョニングすることもできます。 また、組織では、オンプレミス アプリケーションへのアクセス権を持つゲスト ユーザーを制御することもできます。 それにより、Microsoft Entra アクセス レビューを定期的に利用して、これらのアクセス権を定期的にレビューすることができます。 また、Microsoft Entra エンタイトルメント管理を使用することで、グループとチームのメンバーシップ、アプリケーション ロール、SharePoint Online ロールのパッケージ全体で、ユーザーによるアクセス要求の方法を定義することができます。 詳細については、以下の「自動化による ID ガバナンス タスクの簡略化」セクションを参照してアクセス ライフサイクルの自動化シナリオに適した Microsoft Entra 機能を選択してください。
ライフサイクル アクセスは、ワークフローを使って自動化できます。 ワークフローを作成して、アプリケーションとリソースへのアクセスが許可されているグループに、ユーザーを自動的に追加することができます。 また、組織内でのユーザーの状況が変われば別のグループに移動させることや、すべてのグループから完全に削除することもできます。
ユーザーがアプリケーションにアクセスしようとすると、Microsoft Entra は条件付きアクセスポリシーを適用します。 条件付きアクセス ポリシーには、たとえば、使用条件を表示することと、ユーザーがそれらの条件に確実に同意した後でアプリケーションにアクセスできるようになることを含めることができます。 詳細については、環境内のアプリケーションへのアクセスの管理に関するページを参照してください。
特権アクセスのライフサイクル
特権アクセスは、従来は他のベンダーによって ID 管理とは別の機能として説明されていました。 ただし、Microsoft では、特に、これらの管理者権限に関連した誤用が組織にもらたす可能性のある潜在的な問題を考慮した場合、特権アクセスの管理は Identity Governance の重要な部分であると考えています。 管理者権限を引き受ける従業員、ベンダー、および契約社員は、管理する必要があります。
Microsoft Entra Privileged Identity Management (PIM) により、Microsoft Entra、Azure、およびその他の Microsoft オンライン サービスの全体で、リソースに対するアクセス権のセキュリティ保護に合わせた管理を追加することができます。 多要素認証と条件付きアクセスに加え、ジャストイン タイム アクセスと、Microsoft Entra PIM によって提供されるロール変更の通知機能は、会社のリソース (ディレクトリ、Microsoft 365、および Azure リソース ロール) のセキュリティ保護に役立つガバナンス コントロールの包括的なセットを提供します。 他の形式のアクセスと同様、組織では、アクセス レビューを使用して、管理者ロールに属するすべてのユーザーの定期的なアクセス再認定を構成することができます。
その他の Microsoft Entra 機能のガバナンス機能
上記の機能に加えて、ID ガバナンスのシナリオを提供するために頻繁に使用されるその他の Microsoft Entra 機能には、次のものがあります。
| 機能 | シナリオ | 機能 |
|---|---|---|
| ID ライフサイクル (従業員) | 管理者は、Workday または SuccessFactors のクラウド HR またはオンプレミス HR からユーザー アカウント プロビジョニングを有効にすることができます。 | クラウド HR から Azure AD へのユーザー プロビジョニング |
| ID ライフサイクル (ゲスト) | 管理者は、別の Azure AD テナント、直接フェデレーション、ワンタイム パスコード (OTP)、または Google アカウントからのセルフサービス ゲスト ユーザーのオンボードを有効にすることができます。 ゲスト ユーザーは自動的にプロビジョニングされ、ライフサイクル ポリシーに従ってプロビジョニング解除されます。 | B2B を使用したエンタイトルメント管理 |
| エンタイトルメント管理 | リソース所有者は、アプリ、チーム、Azure AD グループと Microsoft 365 グループ、SharePoint Online サイトを含むアクセス パッケージを作成できます。 | エンタイトルメント管理 |
| ライフサイクル ワークフロー | 管理者は、ユーザーの状態に基づいて、ライフサイクル プロセスの自動化を有効にできます。 | ライフサイクル ワークフロー |
| アクセス要求 | エンド ユーザーは、グループのメンバーシップまたはアプリケーションへのアクセスを要求できます。 エンド ユーザー (他の組織のゲストを含む) は、アクセス パッケージへのアクセスを要求できます。 | エンタイトルメント管理 |
| ワークフロー | リソース所有者は、アクセス要求の承認者とエスカレーション承認者、およびロールのアクティブ化要求の承認者を定義できます。 | エンタイトルメント管理と PIM |
| ポリシーとロールの管理 | 管理者は、アプリケーションへの実行時アクセスに対して条件付きアクセス ポリシーを定義できます。 リソース所有者は、アクセス パッケージを使用してユーザーのアクセスに対してポリシーを定義できます。 | 条件付きアクセス ポリシーとエンタイトルメント管理ポリシー |
| アクセス認定 | 管理者は、SaaS アプリ、オンプレミス アプリ、クラウド グループのメンバーシップ、Azure AD または Azure リソース ロールの割り当てに対して定期的なアクセスの再認定を有効にすることができます。 リソース アクセスを自動的に削除し、ゲスト アクセスをブロックして、ゲスト アカウントを削除します。 | アクセス レビュー。PIM にも表示されます |
| フルフィルメントとプロビジョニング | SCIM、LDAP、SQL、SharePoint Online サイトを使用る場合などの、Azure AD 接続されたアプリへの自動プロビジョニングとプロビジョニング解除。 | ユーザー プロビジョニング |
| レポートと分析 | 管理者は、最近のユーザー プロビジョニングおよびサインオン アクティビティの監査ログを取得できます。 アクセス パッケージを使用した Azure Monitor と "アクセス権を持つユーザー" との統合。 | Azure AD レポートと監視 |
| 特権アクセス | Just-In-Time およびスケジュールを指定したアクセス、アラート、Azure AD ロール (カスタム ロールを含む) と Azure リソース ロールの承認ワークフロー。 | Azure AD PIM |
| 監査 | 管理者は、管理者アカウントの作成についてアラートを受けることができます。 | Microsoft Entra PIM アラート |
ライセンスの要件
この機能を使用するには、Microsoft Entra ID ガバナンス ライセンスが必要です。 要件に適したライセンスを見つけるには、「Microsoft Entra ID ガバナンス ライセンスの基礎」をご覧ください。
作業の開始
また、エンタイトルメント管理やアクセス レビューの使用を開始したり、利用規約を確認したりするために、Microsoft Entra 管理センターの Identity Governance の [作業の開始] タブを確認し、一般的なユース ケースを参照してください。
また、エンタイトルメント管理でリソースへのアクセスを管理、承認プロセスを通じて外部ユーザーを Azure AD にオンボーディング、アプリケーションへのアクセス管理、アプリケーションの既存ユーザーの管理 に関するチュートリアルもあります。
Identity Governance 機能についてフィードバックがありましたら、Microsoft Entra 管理センターから [フィードバックがある場合] をクリックしてお寄せください。 お客様からのフィードバックは、チームにて定期的に検討しております。
すべての顧客にとって完璧なソリューションや推奨事項はありませんが、従業員の安全性と生産性を高めるために従うことを Microsoft が推奨するベースライン ポリシーについては、次の構成ガイドでもご覧いただけます。
- ID ガバナンス用に Azure AD を構成するための前提条件
- リソース アクセス ライフサイクルを管理するためのアクセス レビューのデプロイの計画
- ID とデバイスのアクセスの構成
- 特権アクセスのセキュリティ保護
また、デプロイを計画するため、または環境内のアプリケーションやその他のシステムと統合するために、Microsoft のサービスおよび統合パートナーのいずれかを利用することもできます。
自動化による ID ガバナンス・タスクの簡素化
これらの ID ガバナンス機能の使用を開始すると、一般的な ID ガバナンス シナリオを簡単に自動化できます。 次の表に、各シナリオの開始方法を示します。
| シナリオを自動化する | オートメーションガイド |
|---|---|
| 従業員向けの AD ユーザー アカウントと Azure AD ユーザー アカウントの自動的な作成、更新、削除 | クラウド HR から Azure AD へのユーザー プロビジョニングを計画する |
| メンバー ユーザーの属性の変更に基づくグループのメンバーシップの更新 | 動的グループの作成 |
| ライセンスの割り当て | グループベースのライセンス |
| ユーザーの属性変更に基づいて、ユーザーのグループ メンバーシップ、アプリケーション ロール、SharePoint サイトの役割を追加および削除する | エンタイトルメント管理でアクセス パッケージの自動割り当てポリシーを構成する (プレビュー) |
| 特定の日付にユーザーのグループ メンバーシップ、アプリケーション ロール、SharePoint サイトの役割を追加および削除する | エンタイトルメント管理でアクセス パッケージのライフサイクル設定を構成する |
| ユーザーがアクセスを要求または受信したとき、またはアクセスが削除されたときにカスタム ワークフローを実行する | エンタイトルメント管理での Logic Apps のトリガー (プレビュー) |
| Microsoft グループと Teams のゲストのメンバーシップを定期的に確認し、拒否されたゲスト メンバーシップを削除する | アクセス レビューの作成 |
| レビュー担当者によって拒否されたゲストアカウントを削除する | リソース アクセス権を持たない外部ユーザーを確認して削除 |
| アクセス パッケージが割り当てられていないゲスト アカウントを削除する | 外部ユーザーのライフサイクルを管理する |
| 独自のディレクトリまたはデータベースを持つオンプレミスおよびクラウドアプリケーションへのユーザーのプロビジョニング | ユーザー割り当てまたはスコープ フィルターを使用して自動ユーザー プロビジョニングを構成する |
| その他のスケジュール済みタスク | Microsoft.Graph.Identity.Governance PowerShell モジュールを使用して、Azure Automation と Microsoft Graph を使用して ID ガバナンス タスクを自動化する |
付録 - Identity Governance の機能で管理するための最小特権ロール
Identity Governance で管理タスクを実行するには、最小特権ロールを使用するのがベスト プラクティスです。 必要に応じて Microsoft Entra PIM を使用してロールをアクティブ化し、これらのタスクを実行することをお勧めします。 Identity Governance の機能を構成するための最小特権ディレクトリ ロールを次に示します。
| 機能 | 最小特権ロール |
|---|---|
| エンタイトルメント管理 | Identity Governance 管理者 |
| アクセス レビュー | ユーザー管理者 (特権ロール管理者を必要とする Azure または Azure AD ロールのアクセス レビューを除く) |
| Privileged Identity Management | 特権ロール管理者 |
| 使用条件 | セキュリティ管理者または条件付きアクセス管理者 |
注意
エンタイトルメント管理の最小特権ロールは、ユーザー管理者ロールから Identity Governance 管理者ロールに変更されています。