Microsoft Entra のエンタイトルメント管理を使って外部アクセスを管理する
エンタイトルメント管理機能を使用して、ID とアクセスのライフサイクルを管理します。 アクセス要求ワークフロー、アクセス割り当て、レビュー、および失効処理を自動化できます。 委任された非管理者は、エンタイトルメント管理を使用して、他の組織の外部ユーザーがアクセスを要求できるアクセス パッケージを作成します。 単一または複数ステージの承認ワークフローを構成して要求を評価し、定期的なレビューを伴う期間限定のアクセス権をユーザーにプロビジョニングすることができます。 エンタイトルメント管理を使用すると、外部アカウントに対してポリシーベースのプロビジョニングとプロビジョニング解除を実施できます。
詳細情報:
開始する前に
この記事は、10 個の記事シリーズのうち 6 番目です。 記事を順番に確認することをお勧めします。 シリーズ全体を確認するには、[次のステップ] セクションに移動してください。
エンタイトルメント管理を有効にする
エンタイトルメント管理について理解するには、次の重要な概念を押さえることが重要です。
アクセス パッケージ
アクセス パッケージはエンタイトルメント管理の基礎であり、ユーザーがプロジェクトで共同作業したり、他のタスクを実行したりするために、ポリシーによって管理されたリソースをグループ化したものです。 たとえば、アクセス パッケージには次のようなものを含めることができます。
- SharePoint サイトへのアクセス権
- カスタムの社内アプリケーションや、Salesforce などのサービスとしてのソフトウェア (SaaS) アプリを含むエンタープライズ アプリケーション。
- Microsoft Teams
- Microsoft 365 グループ
カタログ
アクセス パッケージは カタログ内に存在します。 関連するリソースとアクセス パッケージをグループ化し、それらの管理を委任する際は、カタログを作成します。 まずはカタログにリソースを追加します。その後、リソースをアクセス パッケージに追加できます。 たとえば、財務カタログを作成し、その管理を財務チームのメンバーに委任できます。 そのユーザーは、リソースを追加し、アクセス パッケージを作成し、アクセス承認を管理できるようになります。
詳細情報:
次の図は、アクセス パッケージに対するアクセス権を外部ユーザーに期限付きで付与する場合の、一般的なガバナンス ライフサイクルを示したものです。
セルフサービスの外部アクセス
Microsoft Entra のマイ アクセス ポータルを通じて、アクセス パッケージの利用が可能になります。これにより、外部ユーザーがアクセスを要求できるようになります。 アクセス パッケージを要求できるユーザーは、ポリシーによって決定されます。 「エンタイトルメント管理でアクセス パッケージへのアクセスを要求する」を参照してください。
アクセス パッケージの要求を許可するユーザーは、以下にオプションによって指定します。
- 接続済み組織
- 「エンタイトルメント管理で接続されている組織を追加する」を参照してください
- 構成済みの接続された組織
- 組織のユーザー
- テナントに参加しているメンバーまたはゲスト ユーザー
承認
アクセス パッケージには、アクセスに対する必須の承認を含めることができます。 承認は単一または複数ステージにすることができ、ポリシーで決定されます。 内部ユーザーと外部ユーザーが同じパッケージにアクセスする必要がある場合は、接続されている組織のカテゴリや、内部ユーザーごとにアクセス ポリシーを設定できます。
重要
外部ユーザーについては、承認プロセスを実装するようにしてください。
有効期限
アクセス パッケージには、有効期限またはアクセス可能に設定する日数を含めることができます。 アクセス パッケージの有効期限が切れてアクセスが終了すると、そのユーザーを表す B2B ゲスト ユーザー オブジェクトを削除するか、サインインをブロックすることができます。 外部ユーザーについては、アクセス パッケージへの有効期限の設定を必須にすることをお勧めします。 アクセス パッケージには、必ずしも有効期限が設定されるわけではありません。
重要
有効期限のないパッケージについては、定期的なアクセス レビューを実行してください。
アクセス レビュー
アクセス パッケージについては、定期的なアクセス レビューを義務付けることができます。その場合、パッケージの所有者、または指名を受けた担当者は、ユーザーのアクセスが引き続き必要であることを立証する必要があります。 「アクセス レビューを使用してゲスト アクセスを管理する」を参照してください。
レビューを設定する前に、次の条件を決定してください。
- 対象者
- アクセスを継続するための条件
- レビュー担当者
- 頻度
- 組み込みのオプションとしては、月単位、四半期ごと、半年ごと、毎年があります
- 外部アクセスをサポートしているパッケージについては、四半期ごとか、それ以上の頻度でレビューすることをお勧めします
重要
アクセス パッケージ レビューでは、エンタイトルメント管理を通じて付与されたアクセス権のみが確認されます。 エンタイトルメント管理外の外部ユーザーのアクセスについては、別途レビュー プロセスを設定してください。
「Microsoft Entra アクセス レビューの展開を計画する」を参照してください。
エンタイトルメント管理の自動化の使用
- Microsoft Entra のエンタイトルメント管理 API の操作
accessPackageリソースの種類- Microsoft Entra アクセス レビュー
connectedOrganizationリソースの種類entitlementManagementSettingsリソースの種類
外部アクセス ガバナンスに関する推奨事項
ベスト プラクティス
エンタイトルメント管理で外部アクセスを管理するには、次の方法をお勧めします。
- 1 社以上のビジネス パートナーが存在するプロジェクトでは、リソースをオンボードしたり、リソースへのアクセス権をプロビジョニングするために、アクセス パッケージを作成し、使用します。
- ディレクトリに B2B ユーザーがいる場合、そのユーザーにアクセス パッケージを割り当てることができます。
- アクセスは、Azure portal か、または Microsoft Graph を使用して割り当てることができます
Identity Governance - Settings (ID ガバナンス - 設定)
[Identity Governance - Settings](ID ガバナンス - 設定) を使用して、アクセス パッケージが期限切れになったときにディレクトリからユーザーを削除します。 エンタイトルメント管理を使用してオンボードされたユーザーには、次の設定が適用されます。
カタログとパッケージの管理を委任する
どのユーザーにアクセス権が必要かをよく知っているビジネス所有者に、カタログとパッケージの管理を委任できます。 「エンタイトルメント管理の委任とロール」を参照してください
アクセス パッケージの有効期限を適用する
外部ユーザーにアクセスの有効期限を適用できます。 「エンタイトルメント管理でアクセス パッケージのライフサイクル設定を変更する」を参照してください。
- プロジェクトベースのアクセス パッケージの終了日については、[日付] を使用して日付を設定します。
- それ以外の場合は、有効期限を 365 日以内にすることをお勧めします (ただし、複数年のプロジェクトの場合を除く)
- ユーザーがアクセス権を延長できるようにします
- 延長に際しては、承認の取得を必須条件とします
ゲストアクセス パッケージ レビューを実施する
ゲストアクセス パッケージ レビューを実施して、ゲストへの不適切なアクセス権付与を回避できます。 「アクセス レビューを使用してゲスト アクセスを管理する」を参照してください。
- 四半期ごとのレビューを実施する
- コンプライアンス関連のプロジェクトについては、外部ユーザーの自己レビューではなく、レビュー担当者を設定します。
- レビュー担当者としてアクセス パッケージ マネージャーを使用できます
- 機密性の低いプロジェクトについては、ユーザーが自己レビューを行うことで、組織に所属していないユーザーのアクセス権を削除する負担が軽減されます。
「エンタイトルメント管理で外部ユーザーのアクセスを管理する」を参照してください
次の手順
リソースへの外部アクセスのセキュリティ保護について詳しくは、次の記事シリーズを参照してください。 一覧表示されている順序に従うことをお勧めします。