エンタイトルメント管理機能を使用して、ID とアクセスのライフサイクルを管理します。 アクセス要求ワークフロー、アクセス割り当て、レビュー、および失効処理を自動化できます。 委任された非管理者は、エンタイトルメント管理を使用して、他の組織の外部ユーザーがアクセスを要求できるアクセス パッケージを作成します。 1 つの複数ステージ承認ワークフローは、要求を評価し、定期的なレビューを使用して時間制限付きアクセスのためにユーザーをプロビジョニングするように構成できます。 エンタイトルメント管理を使用すると、外部アカウントに対してポリシーベースのプロビジョニングとプロビジョニング解除を実施できます。
詳細情報:
開始する前に
この記事は、10 個の記事シリーズのうち 6 番目です。 記事を順番に確認することをお勧めします。 [次の ステップ ] セクションに移動して、シリーズ全体を確認します。
エンタイトルメント管理を有効にする
エンタイトルメント管理について理解するには、次の重要な概念を押さえることが重要です。
アクセス パッケージ
アクセス パッケージはエンタイトルメント管理の基礎であり、ユーザーがプロジェクトで共同作業したり、他のタスクを実行したりするために、ポリシーによって管理されたリソースをグループ化したものです。 たとえば、アクセス パッケージには次のようなものを含めることができます。
- SharePoint サイトへのアクセス権
- カスタムの社内アプリケーションやサービスとしてのソフトウェア (SaaS) アプリ (Salesforce など) を含むエンタープライズ アプリケーション
- Microsoft Teams
- Microsoft 365 グループ
カタログ
アクセス パッケージは カタログ内に存在します。 関連するリソースとアクセス パッケージをグループ化し、それらの管理を委任する際は、カタログを作成します。 まずはカタログにリソースを追加します。その後、リソースをアクセス パッケージに追加できます。 たとえば、財務カタログを作成し、その管理を財務チームのメンバーに委任できます。 そのユーザーは、リソースを追加し、アクセス パッケージを作成し、アクセス承認を管理できるようになります。
詳細情報:
次の図は、アクセス パッケージに対するアクセス権を外部ユーザーに期限付きで付与する場合の、一般的なガバナンス ライフサイクルを示したものです。
セルフサービスの外部アクセス
Microsoft Entra のマイ アクセス ポータルを通じて、アクセス パッケージを利用できるようにすることができます。これにより、外部ユーザーがアクセスを要求できるようになります。 アクセス パッケージを要求できるユーザーは、ポリシーによって決定されます。 「エンタイトルメント管理でアクセス パッケージへのアクセスを要求する」を参照してください。
アクセス パッケージの要求を許可するユーザーは、以下にオプションによって指定します。
- すべての接続済み組織
- 「エンタイトルメント管理で接続されている組織を追加する」を参照してください
- 構成済みの接続された組織
- 組織のユーザー
- テナントに参加しているメンバーまたはゲスト ユーザー
承認
アクセス パッケージには、アクセスに対する必須の承認を含めることができます。 承認は単一または複数ステージにすることができ、ポリシーによって決定されます。 内部ユーザーと外部ユーザーが同じパッケージにアクセスする必要がある場合は、接続されている組織のカテゴリや、内部ユーザーごとにアクセス ポリシーを設定できます。
重要
外部ユーザーについては、承認プロセスを実装するようにしてください。
有効期限
アクセス パッケージには、有効期限またはアクセス可能に設定する日数を含めることができます。 アクセス パッケージの有効期限が切れ、アクセスが終了すると、ユーザーを表す B2B ゲスト ユーザー オブジェクトを削除したり、サインインをブロックしたりすることができます。 外部ユーザーについては、アクセス パッケージへの有効期限の設定を必須にすることをお勧めします。 アクセス パッケージには、必ずしも有効期限が設定されるわけではありません。
重要
有効期限のないパッケージについては、定期的なアクセス レビューを実行してください。
アクセス権レビュー
アクセス パッケージには、定期的なアクセス レビューが必要になる場合があります。このレビューでは、ユーザーのアクセスの継続的な必要性を証明するために、パッケージの所有者または設計担当者が必要になります。 「アクセス レビューを使用してゲスト アクセスを管理する」を参照してください。
レビューを設定する前に、次の条件を決定してください。
- 担当者
- アクセスを継続するための条件
- レビュー担当者
- 頻度
- 組み込みオプションは、月単位、四半期ごと、半年ごと、または年単位です
- 外部アクセスをサポートしているパッケージについては、四半期ごとか、それ以上の頻度でレビューすることをお勧めします
重要
アクセス パッケージ レビューでは、エンタイトルメント管理を通じて付与されたアクセス権のみが確認されます。 エンタイトルメント管理外の外部ユーザーのアクセスについては、別途レビュー プロセスを設定してください。
「Microsoft Entra アクセス レビューの展開を計画する」を参照してください。
エンタイトルメント管理の自動化の使用
- Microsoft Entra のエンタイトルメント管理 API の操作
-
accessPackageリソースの種類: - Microsoft Entra アクセス レビュー
-
connectedOrganizationリソースの種類: -
entitlementManagementSettingsリソースの種類:
外部アクセス ガバナンスに関する推奨事項
ベスト プラクティス
エンタイトルメント管理で外部アクセスを管理するには、次の方法をお勧めします。
- 1 社以上のビジネス パートナーが存在するプロジェクトでは、リソースをオンボードしたり、リソースへのアクセス権をプロビジョニングするために、アクセス パッケージを作成し、使用します。
- ディレクトリに B2B ユーザーがいる場合、そのユーザーにアクセス パッケージを割り当てることができます。
- アクセスは、Azure portal か、または Microsoft Graph を使用して割り当てることができます
ID ガバナンス - 制御構成
アクセス パッケージの有効期限が切れたときにディレクトリからユーザーを削除するには、[制御構成] の [外部ユーザーのライフサイクル ] 設定を選択します。 エンタイトルメント管理を使用してオンボードされたユーザーには、次の設定が適用されます。
![[外部ユーザーのライフサイクルを管理する] の設定とエントリのスクリーンショット。](media/secure-external-access/6-manage-external-lifecycle.png)
カタログとパッケージの管理を委任する
どのユーザーにアクセス権が必要かをよく知っているビジネス所有者に、カタログとパッケージの管理を委任できます。 「エンタイトルメント管理の委任とロール」を参照してください
![[ロールと管理者] のオプションとエントリのスクリーンショット。](media/secure-external-access/6-catalog-management.png)
アクセス パッケージの有効期限を適用する
外部ユーザーにアクセスの有効期限を適用できます。 「エンタイトルメント管理でアクセス パッケージのライフサイクル設定を変更する」を参照してください。
![[有効期限] のオプションとエントリのスクリーンショット。](media/secure-external-access/6-access-package-expiration.png)
- プロジェクトベースのアクセス パッケージの終了日については、[日付] を使用して日付を設定します。
- 複数年のプロジェクトでない限り、有効期限を365日を超えないようにすることをお勧めします。
- ユーザーがアクセス権を延長できるようにします
- 延長に際しては、承認の取得を必須条件とします
ゲストアクセス パッケージ レビューを実施する
ゲストアクセス パッケージ レビューを実施して、ゲストへの不適切なアクセス権付与を回避できます。 「アクセス レビューを使用してゲスト アクセスを管理する」を参照してください。
![[新しいアクセス パッケージ] のオプションとエントリのスクリーンショット。](media/secure-external-access/6-new-access-package.png)
- 四半期ごとのレビューを実施する
- コンプライアンス関連のプロジェクトについては、外部ユーザーの自己レビューではなく、レビュー担当者を設定します。
- レビュー担当者としてアクセス パッケージ マネージャーを使用できます
- 機密性の低いプロジェクトについては、ユーザーが自己レビューを行うことで、組織に所属していないユーザーのアクセス権を削除する負担が軽減されます。
「エンタイトルメント管理で外部ユーザーのアクセスを管理する」を参照してください
次のステップ
リソースへの外部アクセスのセキュリティ保護について詳しくは、次の記事シリーズを参照してください。 一覧表示されている順序に従うことをお勧めします。