展開シナリオは、Microsoft Security の製品とサービスを組み合わせてテストする方法に関するガイダンスです。 機能がどのように連携して生産性を向上させ、セキュリティを強化し、コンプライアンスと規制の要件をより簡単に満たすかについて説明します。
このガイドでは、次の製品とサービスが表示されます。
- Microsoft Entra ID ガバナンス
- Microsoft Entra
- Microsoft Entra ID
- Azure Logic Apps
- アクセス レビュー
- Privileged Identity Manager (PIM) のグループ用
このシナリオを使用して、Microsoft Entra ID ガバナンスが組織のアクセス権を作成して付与する必要性を判断するのに役立ちます。 自動化されたワークフロー、アクセス割り当て、アクセス レビュー、有効期限を使用して従業員のエクスペリエンスを簡素化する方法について説明します。
タイムライン
タイムラインは、配信ステージのおおよその期間を示し、シナリオの複雑さに基づいています。 時間は見積もりであり、環境によって異なります。
- エンタイトルメント管理 - 1 時間
- 自動割り当てポリシー - 1 時間
- カスタム拡張機能 - 2 時間
- アクセス レビュー - 2 時間
アクセス要求: ワークフローと承認
エンタイトルメント管理 は、リソースへの従業員アクセスを管理するための ID ガバナンス機能です。 アクセス要求ワークフロー、アクセス割り当て、アクセス レビュー、有効期限を自動化します。 ユーザーにセルフサービス リソース アクセス要求を提供します。 そのためには、セルフサービス ポリシーとワークフローを定義します。
- マルチステージ承認ワークフロー、職務の分離の強制、および定期的なアクセスの再認定を有効にする
- Azure Logic Apps でアクセス ライフサイクルにカスタム ワークフローを使用する
- 制限付きアクセスを構成する
エンタイトルメント管理をデプロイする
- エンタイトルメント管理でアクセス パッケージを作成するに移動します。
- 手順に従ってアクセス パッケージを作成します。
- 自動割り当てポリシーを作成します。
職務の分離
エンタイトルメント管理では、ユーザー グループとアクセス パッケージのポリシーを構成できます。 逆に、職務の分離により、ユーザーが他のアクセス パッケージに割り当てられている場合、またはユーザーが互換性のないグループのメンバーである場合は、要求を無効にすることができます。 互換性のないアクセス権を持つユーザーのレポートを生成します。 ユーザーにアプリケーションへのアクセス権が付与されたときにアラートを作成します。
アクセス パッケージの職務チェックの分離を構成する方法について説明します。
自動割り当てポリシーを作成する
アクセス ポリシーのこの領域では、 birthright 割り当て とは、ユーザー プロパティに基づいてリソース アクセスを自動的に付与することを指します。 割り当ての作成も同様に機能します。 ユーザー プロパティは、ポリシーのメンバーシップ ルールと一致するか、一致しません。 ルールを使用して、 動的グループと同様に、ユーザー プロパティに基づいてアクセス パッケージの割り当てを決定します。 ルールの条件に基づいて、割り当てを追加または削除します。
次のスクリーンショットでは、[ ポリシーの編集] ダイアログと [ 自動割り当てポリシーの作成 ] タブを参照してください。
![[ポリシーの編集] ダイアログの [自動割り当てポリシーの作成] タブのスクリーンショット。](media/governance-deployment/edit-policy-expanded.png#lightbox)
詳細については、Microsoft Entra ID のグループとアクセス権について学習できます
ポリシーの割り当ての詳細については、次のビデオを参照してください。
Azure Logic Apps を使用したカスタム ワークフロー
ビジュアル デザイナーと事前構築済み操作を使用して、 Azure Logic Apps で自動化されたワークフローを作成して実行します。
ガバナンス ワークフローを拡張するには、Logic Apps とエンタイトルメント管理を統合します。
- アクセス パッケージ要求が作成または承認される
- アクセス パッケージの割り当てが許可または削除される
- 割り当てられたアクセス パッケージが自動的に期限切れになる14日前
- アクセスパッケージの割り当てが自動的に期限切れになる 1 日前
注
カスタム ユース ケースの例
- カスタム電子メール通知を送信する
- Microsoft Teams通知を送信する
- アプリケーションからユーザー情報を取得する
- ユーザー情報を外部システムに書き戻す
- 外部 Web API を呼び出して外部システムでアクションをトリガーする
- Microsoft Planner でタスク セットを作成する
- 一時的なアクセス パスを生成する (TAP)
アクセス パッケージのカスタム拡張機能をデプロイする
注
カスタム拡張機能を検討するには、Azure Logic Apps の機能を理解していることを確認してください。 詳細については、前のセクションを参照してください。
- エンタイトルメント管理のカスタム拡張機能を使用して Azure Logic Apps をトリガーするに移動します。
- 手順を使用して、カスタム拡張機能を作成し、カタログに追加します。
- カスタム拡張機能を編集します。
- アクセス パッケージにカスタム拡張機能を追加します。
Microsoft Entra ID ガバナンスのカスタム機能とアクセス パッケージについては、次のビデオを参照してください。
認証再確認: アクセス確認
アクセスの再認定については、定期的なアクセス レビューを使用してアクセス権を 確認できます。 グループ メンバーシップ、リソース アクセス、ロールの割り当てを管理し、コンプライアンス要件も満たします。
管理者はレビュースコープを決定し、アクセス レビュー、Microsoft Entra エンタープライズ アプリ、 Privileged Identity Management (PIM)、またはエンタイトルメント管理でレビューを作成します。
[ 新しいアクセス レビュー ] ダイアログと [ レビューの種類 ] タブが表示されます。レビューの種類、スコープ、およびその他の構成詳細のオプションを見つけてください。
レビュー担当者
管理者は、アクセス レビューの作成時にプライマリ レビュー担当者とフォールバック レビュー担当者を割り当てます。 保留中のレビューを校閲者に通知するメール。 ユーザーを自己レビューに割り当てたり、リソース所有者を割り当ててリソースをレビューしたりできます。 自己レビューでは、ユーザーが拒否した場合、または応答しない場合に特権を削除できます。
[マイ アクセス] ダッシュボードには、レビュー担当者の保留中の承認と推奨事項が表示されます。
Multistage のレビュー
マルチステージ レビューは、 個々のレビュー担当者の負担を軽減し、レビュー担当者間のコンセンサスを達成するのに役立ちます。 フォールバック レビュー担当者は、未確認の決定を決定するのに役立ちます。 レビュー ステージ構成には、ステージの数を示す情報が含まれます。
[新しいアクセス レビュー] ダイアログと [レビュー] タブを使用して、レビュー ステージ、レビュー担当者、期間などを構成します。
自動決定基準
アクセス レビューの構成中に、レビュー担当者の意思決定ヘルパーなど、さまざまな決定基準を指定できます。 他には次のオプションがあります。
- 応答トリガー
- アカウント停止
- 理由の要件
- アラートと通知
新しいアクセス レビュー ダイアログと 設定 タブには、判断を助けるオプションが強調表示されています。
![[新しいアクセス レビュー] ダイアログと [設定] タブのスクリーンショット。](media/governance-deployment/new-review-settings-expanded.png#lightbox)
非アクティブなユーザー レビュー
指定された期間内にユーザーがテナントにサインインしていない場合、ユーザーは非アクティブと見なされます。 この動作は、アプリケーションの割り当てレビュー、またはアプリでのユーザーの最後のアクティビティに合わせて調整されます。 開始するには、組織にとって非アクティブな意味を定義します。
非アクティブなユーザー アカウントを検出して調査する方法について説明します。
[ 新しいアクセス レビュー ] ダイアログと [ レビューの種類 ] タブ。非アクティブ オプションが強調表示されています。
![[新しいアクセス レビュー] ダイアログと [校閲の種類] タブのスクリーンショット。](media/governance-deployment/new-review-type-expanded.png#lightbox)
推奨事項を確認する
レビュー担当者は、機械学習の派生 推奨事項を 使用して、アクセスの決定に役立てることができます。 レコメンデーションは、レポート構造の近接性に基づいて、ユーザーからグループへの所属を検出します。 グループ メンバーから離れたユーザーの 所属が低い。
注
ディレクトリ内のユーザーに対して、ユーザーからグループへの所属機能が利用可能です。 ただし、600 を超えるユーザーのグループはサポートされていません。 ユーザーがマネージャー属性を持っていることを確認します。
PIM のグループに対するアクセス レビュー
グループの Privileged Identity Management (PIM) を使用して、ユーザーに Just-In-Time (JIT) メンバーシップとグループ所有権を付与できます。 レビューには、アクティブなグループ メンバーと資格のあるメンバーが含まれます。
グループの PIM のアクセス レビューを作成する方法について説明します。
注
アクセス レビューでは、最大 2 年間の非アクティブ状態を判断できます。
[ 新しいアクセス レビュー ] ダイアログと [ レビューの種類 ] ダイアログには、スコープなどのオプションが表示されます。
アクセス レビューの履歴レポート
アクセス レビューを使用すると、承認されたユーザーはダウンロード可能なレビュー履歴レポートを作成して、レビュー担当者の決定、時間枠などの詳細な分析情報を得ることができます。 フィルターを使用して、レビューの種類と結果を含めます。
[レビュー履歴] 領域の [Id ガバナンス] ダイアログで、[レビュー履歴] オプションが強調表示されています。
アクセスレビューを展開する
- Microsoft Entra アクセス レビューの実施を計画します。
- グループの PIM のアクセス レビューを作成します。
- PIM で Azure リソースと Microsoft Entra ID ロールのアクセス レビューを完了します。
- エンタイトルメント管理でアクセス パッケージのアクセス レビューを作成します。
Azure Data Explorer を使用してカスタム レポートを作成する
カスタム レポートを生成できます。 Microsoft Entra ID から Azure Data Explorer にデータをエクスポートし、Kusto クエリ言語 (KQL) を使用してカスタマイズされたビューを作成します。 エンタイトルメント データの分析、分析情報のカスタマイズ、ID ガバナンス レポートの最適化を行うことができます。 次のビデオでは、Azure Data Explorer を使用してカスタム レポートを作成する方法について説明します。
アクセス パッケージを要求する
管理者は 、マイ アクセス ポータル を使用してアクセスを構成し、ユーザーがリソースへのアクセス (リクエスター) を確認または要求できるようにします。 マイ アクセス ポータルでは、承認者は要求者によって送信された回答を変更できます。
アクセス パッケージを要求する方法について説明します。
次のステップ
- Microsoft Entra ID ガバナンス展開ガイドの概要
- シナリオ 1: 従業員のライフサイクルの自動化
- シナリオ 2: 従業員のリソースへのアクセス権を割り当てる
- シナリオ 3: ゲストとパートナーのアクセスを管理する
- シナリオ 4: 特権 ID とそのアクセスを管理する