アクセス レビューを使用してユーザーとゲスト ユーザーのアクセスを管理する

アクセス レビューを使うと、簡単かつ確実にユーザーまたはゲストに適切なアクセス権を付与できます。 ユーザー自身または意思決定者に対し、アクセス レビューに参加してユーザーのアクセス権を再確認 (証明) するよう求めることができます。 レビュー担当者は、Microsoft Entra ID からの提案に基づいて、各ユーザーの継続的なアクセスのニーズを評価できます。 アクセス レビューが完了したら、変更を加え、不要になったアクセス権をユーザーから削除できます。

注意

この記事では、ユーザーとアプリケーションのアクセス レビューを実施する方法について説明します。 アクセス パッケージ内の複数のリソースに対するアクセス レビューを実施する方法については、「Microsoft Entra エンタイトルメント管理でのアクセス パッケージのアクセスのレビュー」を参照してください。 Microsoft Entra ID または Azure リソース ロールへのユーザーまたはサービス プリンシパルのアクセス権を確認する場合は、「Microsoft Entra Privileged Identity Management でアクセス レビューを開始する」を参照してください。

前提条件

  • Microsoft Entra ID P2 または Microsoft Entra ID Governance

詳細については、「License requirements ライセンスの要件」を参照してください。

ユーザー アクセス レビューを作成して実行する

まず、次のロールのいずれかが割り当てられている必要があります。

  • 全体管理者
  • ユーザー管理者
  • Identity Governance 管理者
  • 特権ロール管理者 (ロール割り当て可能グループのレビューのみ)
  • (プレビュー) レビュー対象グループの Microsoft 365 または Microsoft Entra セキュリティ グループ所有者

次に、[Identity Governance] ページに移動し、組織がアクセス レビューを使用できる状態であることを確認します。

1 人または複数のユーザーをアクセス レビューのレビュー担当者にできます。

  1. Microsoft Entra ID でメンバーがいるグループを選択します。 または、Microsoft Entra ID に接続され、1 人以上のユーザーが割り当てられているアプリケーションを選択します。

  2. 各ユーザーが自分自身のアクセスを確認するか、1 人以上のユーザーがすべてのユーザーのアクセスを確認するかを決定します。

  3. 上に示したロールのいずれかで、[IDentity ガバナンス] ページにアクセスします。

  4. アクセス レビューを作成します。 詳細については、グループまたはアプリケーションのアクセス レビューの作成に関するページをご覧ください。

  5. アクセス レビューの開始時には、レビュー担当者に入力するよう依頼してください。 既定では、それぞれが、アクセス パネルへのリンクが記載されたメールを Microsoft Entra ID から受け取り、そこでグループまたはアプリケーションへのアクセスをレビューします。

  6. レビュー担当者がまだ入力していない場合は、そのレビュー担当者に通知を送信するよう Microsoft Entra ID を設定できます。 既定では、終了日まであと半分になった時点で、Microsoft Entra ID はすべてのレビュー担当者に自動的に通知が送信されます。

  7. レビュー担当者が入力したら、アクセス レビューを停止し、変更を適用します。 詳細については、グループまたはアプリケーションのアクセス レビューの完了に関するページをご覧ください。

Microsoft Entra アクセス レビューを使ってゲスト アクセスを管理する

Microsoft Entra ID を使うと、組織の境界を越えたコラボレーションを Microsoft Entra B2B 機能で簡単に実現できます。 管理者またはそれ以外のユーザーが他のテナントからゲスト ユーザーを招待できます。 Microsoft アカウントなどのソーシャル ID も、この機能の対象となります。

ゲストのアクセス レビューの作成と実行

ユーザーのアクセス レビューを作成するために必要なのと同じロールも、ゲストのアクセス レビューを作成する必要があります。 詳細については、「ユーザー アクセス レビューを作成して実行する」をご覧ください。

ゲスト ユーザーのレビューに関して、Microsoft Entra ID はいくつかのシナリオに対応しています。

次の内容を確認できます。

  • Microsoft Entra ID 内のグループのメンバーとして 1 人以上のゲストが存在する。
  • Microsoft Entra ID に接続済みのアプリケーションに対して 1 人以上のゲスト ユーザーが割り当てられている。

Microsoft 365 グループへのゲストユーザーのアクセスを確認する場合は、各グループに対して個別にレビューを作成するか、すべての Microsoft 365 グループのゲスト ユーザーに対する連続アクセス レビューを自動で有効にすることができます。 次のビデオでは、ゲストユーザーの連続アクセス レビューの詳細について説明しています。

そのうえで、各ゲストに自分自身のアクセスをレビューしてもらうか、各ゲストのアクセスを 1 人以上のユーザーにレビューしてもらうかを決めてください。

これらの各シナリオについて以降の各セクションで説明します。

ゲストに自身のグループ メンバーシップをレビューするよう依頼する

アクセス レビューを使用すると、グループに招待されて追加されていたユーザーが今もアクセス権を必要としていることを確かめることができます。 ゲストに自身のグループ メンバーシップをレビューしてもらうのは簡単です。

  1. グループのアクセス レビューを作成するには、ゲスト ユーザーのメンバーだけをレビュー対象とし、メンバーに自身でレビューしてもらうよう選択します。 詳細については、グループまたはアプリケーションのアクセス レビューの作成に関するページをご覧ください。

  2. 各ゲストに自身のメンバーシップをレビューするよう依頼します。 既定では、招待状を受け取った各ゲストには、アクセス レビューへのリンクが記載されたメールが Microsoft Entra ID から届きます。 Microsoft Entra ID のゲスト向けの手順については、グループまたはアプリケーションに対するアクセスのレビューに関するページを参照してください。

  3. レビュー担当者が入力したら、アクセス レビューを停止し、変更を適用します。 詳細については、グループまたはアプリケーションのアクセス レビューの完了に関するページをご覧ください。

  4. アクセス権の継続が不要であると自分で判断したユーザーに加え、回答が得られなかったユーザーも削除した方がよいでしょう。

  5. グループがアクセス管理に使用されていない場合も、招待状が届かなかったことが理由でレビューの対象外となったユーザーを削除した方がよいでしょう。 招待状が届かなかった場合は、招待されたユーザーのメール アドレスに誤りがあった可能性があります。 グループが配布リストとして使用されている場合、連絡先オブジェクトであるためにレビューの対象外となったゲスト ユーザーも存在する可能性があります。

責任者にゲストのグループ メンバーシップをレビューするよう依頼する

ゲストのグループ メンバーシップが引き続き必要であるかどうかをレビューするよう責任者 (グループの所有者など) に依頼することができます。

  1. グループのアクセス レビューを作成するには、ゲスト ユーザー メンバーだけをレビュー対象として選択します。 そのうえで、レビュー担当者を 1 人以上指定します。 詳細については、グループまたはアプリケーションのアクセス レビューの作成に関するページをご覧ください。

  2. レビュー担当者に確認を依頼します。 既定では、それぞれが、アクセス パネルへのリンクが記載されたメールを Microsoft Entra ID から受け取り、そこでグループまたはアプリケーションへのアクセスをレビューします。

  3. レビュー担当者が入力したら、アクセス レビューを停止し、変更を適用します。 詳細については、グループまたはアプリケーションのアクセス レビューの完了に関するページをご覧ください。

注意

外部 ID がテナントにサインインするのをブロックし、30 日後にテナントから外部 ID を削除することができます。 この期間中は、現在のレビューの下にある設定、結果、レビュー担当者または監査ログを表示したり、構成したりすることはできません。 詳細については、「Microsoft Entra アクセス レビューを使用して外部 ID の無効化および削除を行う」を参照してください。

ゲストに自身のアプリケーション アクセスをレビューするよう依頼する

アクセス レビューを使用すると、特定のアプリケーションに招待されていたユーザーが今もアクセス権を必要としていることを確かめることができます。 アクセスの必要性をゲスト自身にレビューしてもらうのは簡単です。

  1. アプリケーションのアクセス レビューを作成するには、ゲストだけをレビュー対象とし、ユーザーに自身のアクセス権をレビューしてもらうよう選択します。 詳細については、グループまたはアプリケーションのアクセス レビューの作成に関するページをご覧ください。

  2. 各ゲストに自身のアプリケーション アクセスをレビューするよう依頼します。 既定では、招待状を受け取った各ゲストには Microsoft Entra ID からメールが届きます。 そのメールには、組織のアクセス パネル内のアクセス レビューへのリンクが記載されています。 Microsoft Entra ID のゲスト向けの手順については、グループまたはアプリケーションに対するアクセスのレビューに関するページを参照してください。

  3. レビュー担当者が入力したら、アクセス レビューを停止し、変更を適用します。 詳細については、グループまたはアプリケーションのアクセス レビューの完了に関するページをご覧ください。

  4. アクセス権の継続が不要であると自分で判断したユーザーに加え、回答が得られなかったゲスト ユーザーも削除した方がよいでしょう。 また、レビューの対象外となったゲスト ユーザーも、特にそのゲストが最近招待されていないようであれば、削除することをお勧めします。 招待状を受け取っていないようであれば、そのようなユーザーにアプリケーションへのアクセス権はありません。

責任者にアプリケーションへのゲスト アクセスをレビューするよう依頼する

ゲストによるアプリケーション アクセスが引き続き必要であるかどうかをレビューするよう責任者 (アプリケーションの所有者など) に依頼することができます。

  1. アプリケーションのアクセス レビューを作成するには、ゲストだけをレビュー対象として選択します。 そのうえで、レビュー担当者としてユーザーを 1 人以上指定します。 詳細については、グループまたはアプリケーションのアクセス レビューの作成に関するページをご覧ください。

  2. レビュー担当者に確認を依頼します。 既定では、それぞれが、アクセス パネルへのリンクが記載されたメールを Microsoft Entra ID から受け取り、そこでグループまたはアプリケーションへのアクセスをレビューします。

  3. レビュー担当者が入力したら、アクセス レビューを停止し、変更を適用します。 詳細については、グループまたはアプリケーションのアクセス レビューの完了に関するページをご覧ください。

ゲストに全般的なアクセスの必要性をレビューするよう依頼する

組織によっては、ゲストが自分のグループ メンバーシップを把握していないこともあります。

  1. ゲストをメンバーとするセキュリティ グループを Microsoft Entra ID に作成します (適切なグループがまだ存在しない場合)。 たとえば、手動で管理されたゲストのメンバーシップを基にグループを作成します。 または、UserType 属性の値が Guest である Contoso テナントのユーザー用に "Guests of Contoso" などの名前の動的グループを作成してもよいでしょう。 グループのメンバーであるゲスト ユーザーがグループの他のメンバーを表示できる点に注意してください。

  2. そのグループのアクセス レビューを作成するには、メンバー自身をレビュー担当者として選択します。 詳細については、グループまたはアプリケーションのアクセス レビューの作成に関するページをご覧ください。

  3. 各ゲストに自身のメンバーシップをレビューするよう依頼します。 既定では、招待状を受け取った各ゲストには、組織のアクセス パネル内のアクセス レビューへのリンクが記載されたメールが Microsoft Entra ID から届きます。 Microsoft Entra ID のゲスト向けの手順については、グループまたはアプリケーションに対するアクセスのレビューに関するページを参照してください。

  4. レビュー担当者が結果を入力したら、アクセス レビューを停止します。 詳細については、グループまたはアプリケーションのアクセス レビューの完了に関するページをご覧ください。

  5. 拒否されたゲスト、レビューが完了していないゲスト、招待状を受け取っていないゲストについては、ゲスト アクセスを削除します。 レビューの対象として選ばれた連絡先がゲストの中に存在する場合や、ゲストが過去に招待状を受け取っていない場合は、そのアカウントは、Microsoft Entra 管理センターまたは PowerShell を使って無効にしてかまいません。 そのゲストがアクセス権をもう必要としておらず、連絡先でもない場合は、ゲスト ユーザー オブジェクトを削除するために、該当するユーザー オブジェクトを Microsoft Entra 管理センターまたは PowerShell を使ってディレクトリから削除してください。

次のステップ

グループまたはアプリケーションのアクセス レビューを作成する