次の方法で共有


Microsoft Entra ID でグループとアプリケーションのアクセス レビューを作成する

従業員およびゲストに対するグループやアプリケーションへのアクセスは、時間の経過と共に変化します。 アクセスの割り当てが古いことで生じるリスクを軽減するために、管理者は Microsoft Entra ID を使用し、グループ メンバーまたはアプリケーションのアクセスに対するアクセス レビューを作成できます。

Microsoft 365 およびセキュリティのグループ所有者は、少なくとも ID ガバナンス管理者ロールを持つユーザーが [アクセス レビューの設定] ペインでこの設定を有効にしている限り、Microsoft Entra ID を使用してグループ メンバーのアクセス レビューを作成することもできます。 これらのシナリオの詳細については、アクセス レビューの管理に関するページを参照してください。

アクセスレビューの有効化について説明した短いビデオをご覧ください。

この記事では、グループ メンバーまたはアプリケーションのアクセスに対して 1 つ以上のアクセス レビューを作成する方法について説明します。

前提条件

  • Microsoft Entra ID P2 または Microsoft Entra ID Governance ライセンス。
  • ユーザー対グループの所属に関する推奨事項を使って、非アクティブなユーザーについてのレビューを作成するには、Microsoft Entra ID Governance のライセンスが必要です。
  • グループまたはアプリケーションに関するレビューを作成するためのグローバル管理者または ID ガバナンス管理者。
  • 役割の割り当て可能なグループに対するレビューを作成するには、ユーザーがグローバル管理者ロールまたは特権ロール管理者ロールである必要があります。 詳細については、Microsoft Entra グループを使用したロール割り当ての管理に関するページをご覧ください。
  • Microsoft 365 およびセキュリティのグループ所有者。

詳細については、「License requirements ライセンスの要件」を参照してください。

Note

最小限の特権アクセスに従うにあたっては、ID ガバナンス管理者ロールを使用することをお勧めします。

アプリケーションへのアクセスを確認する場合、レビューを作成する前に、「アプリケーションへのユーザーアクセスのアクセス レビューを準備」に関する記事を参照し、テナントでアプリケーションが Microsoft Entra ID と確実に統合されるようにします。

Note

アクセス レビューは、各レビュー インスタンスの開始時点でのアクセスのスナップショットをキャプチャします。 レビュー プロセス中に行われたすべての変更は、後続のレビュー サイクルに反映されます。 基本的に、ユーザー、レビュー対象のリソース、およびそれぞれのレビュー担当者についての関連データは、繰り返しが新しく始まるたびに取得されます。

単一ステージのアクセス レビューを作成する

Scope

  1. Microsoft Entra 管理センターIdentity Governance 管理者以上としてサインインします。

  2. [Identity governance]>[アクセス レビュー] の順に移動します。

  3. [新しいアクセス レビュー] を選択して、新しいアクセス レビューを作成します。

    [ID ガバナンス] の [アクセス レビュー] ペインを示すスクリーンショット。

  4. [レビュー対象を選択する] ボックスで、どのリソースをレビューするかを選択します。

    アクセス レビューの作成を示すスクリーンショット。

  5. [チームとグループ] を選択した場合は、次の 2 つのオプションがあります。

    • [ゲスト ユーザーを含むすべての Microsoft 365 グループ] : このオプションは、組織内のすべての Microsoft Teams および Microsoft 365 グループのすべてのゲスト ユーザーに関する定期的なレビューを作成する場合に選択します。 動的グループとロール割り当て可能なグループは含まれません。 [含めないグループを選択] を選択して個々のグループを除外することも選択できます。

    • [チームとグループの選択] : このオプションは、レビューするチームまたはグループの有限のセットを指定する場合に選択します。 選択できるグループの一覧が右側に表示されます。

      [チームとグループ] の選択を示すスクリーンショット。

  6. [アプリケーション] を選択した場合は、1 つ以上のアプリケーションを選択します。

    グループではなく、アプリケーションを選択した場合に表示されるインターフェイスを示すスクリーンショット。

注意

複数のグループまたはアプリケーションを選択すると、複数のアクセス レビューが作成されます。 たとえば、レビューするグループを 5 つ選択した場合は、5 つの個別のアクセス レビューが作成されます。

  1. 次に、レビューのスコープを選択できます。 オプションは次のとおりです。

    • [ゲスト ユーザーのみ]: このオプションでは、アクセス レビューがディレクトリ内の Microsoft Entra B2B ゲスト ユーザーのみに制限されます。
    • [全員] : このオプションでは、アクセス レビューが、そのリソースに関連付けられているすべてのユーザー オブジェクトにスコープ指定されます。

    注意

    [ゲスト ユーザーを含むすべての Microsoft 365 グループ] を選択した場合は、 [ゲスト ユーザーのみ] のレビューが唯一のオプションになります。

  2. あるいは、グループ メンバーシップ レビューを実行している場合は、グループ内の非アクティブなユーザーに対してのみアクセス レビューを作成できます。 "ユーザー スコープ" セクションで、[非アクティブなユーザー (テナント レベル)] の横にあるチェック ックスをオンにします。 このチェック ボックスをオンにすると、レビューの範囲は非アクティブなユーザー (テナントに対して対話式にも非対話式にもサインインしていないユーザー) のみに絞られます。 次に、[Days inactive](非アクティブ日数) に、730 日 (2 年) までの非アクティブ日数を指定します。 非アクティブな状態が指定の日数に達したグループ内のユーザーのみが、レビューに含まれます。

    注意

    最近作成したユーザーは、非アクティブ時間を構成しても影響を受けません。 アクセス レビューでは構成された時間にユーザーが作成されたかどうかが検査され、少なくともその時間に存在していなかったユーザーは無視されます。 たとえば、非アクティブ時間を 90 日に設定した場合、作成または招待されてから 90 日未満のゲスト ユーザーは、アクセス レビューの対象範囲外になります。 これにより、ユーザーは削除されるまでに少なくとも 1 回サインインできるようになります。

  3. [次へ: レビュー] を選択します。

次へ: レビュー

  1. 単一ステージまたは複数ステージのレビューを作成できます。 単一ステージのレビューについては、こちらに進んでください。 複数ステージのアクセス レビューを作成するには、「複数ステージのアクセス レビューを作成する」の手順に従います。

  2. [レビュー担当者を指定する] セクションの [レビュー担当者を選択する] ボックスで、アクセス レビューの決定を下す 1 人または複数のメンバーを選択します。 次の項目から選択できます。

    • [グループ所有者] : このオプションは、チームまたはグループに関するレビューを実行する場合にのみ使用できます。
    • Selected user(s) or groups(s) (選択したユーザーまたはグループ)
    • [ユーザーによる自分のアクセスのレビュー]
    • [ユーザーの管理者]

    [ユーザーの管理者] または [グループ所有者] のどちらかを選択した場合は、フォールバック レビュー担当者も指定できます。 フォールバック レビュー担当者は、そのユーザーの管理者がディレクトリで指定されていないか、またはそのグループに所有者がいない場合にレビューを実行するよう求められます。

    Note

    チームまたはグループのアクセス レビューでは、(レビュー開始時に) グループ所有者のみがレビュー担当者と見なされます。 レビューの最中にグループ所有者の一覧が更新された場合、新しいグループ所有者はレビュー担当者とは見なされず、古いグループ所有者が引き続きレビュー担当者と見なされます。 ただし、レビューが定期的に行われる場合は、グループ所有者一覧の変更内容がそのレビューの次のインスタンスで考慮されます。

    重要

    グループの PIM (プレビュー) の場合は、グループ所有者を選択する必要があります。 少なくとも 1 人のフォールバック レビュー担当者をレビューに割り当てる必要があります。 レビューでは、レビュー担当者としてアクティブな所有者のみが割り当てられます。 有資格の所有者は含まれません。 レビューの開始時にアクティブな所有者がいない場合は、フォールバック レビュー担当者がレビューに割り当てられます。

    新しいアクセス レビューを示すスクリーンショット。

  3. [レビューの繰り返しの指定] セクションで、次の選択を指定します。

    • [期間 (日数)] : レビューがレビュー担当者からの入力のために開かれている期間。

    • [開始日] : 一連のレビューが開始される日。

    • [終了日] : 一連のレビューが終了する日。 [なし] を選択して、終了しないことを指定できます。 または、 [特定の日付に終了する] または [複数回実行後に終了する] を選択できます。

      レビューが実行される頻度の選択を示すスクリーンショット。

  4. [次へ: 設定] を選択します。

次へ: 設定

  1. [完了時の設定] セクションで、レビューが完了した後の処理を指定できます。

    [完了時の設定] を示すスクリーンショット。

    • [リソースへの結果の自動適用] : 拒否されたユーザーのアクセスがレビュー期間の終了後に自動的に削除されるようにする場合は、このチェックボックスをオンにします。 このオプションが無効になっている場合は、レビューが完了したときに結果を手動で適用する必要があります。 レビューの結果の適用の詳細については、アクセス レビューの管理に関するページを参照してください。

    • [レビュー担当者が応答しない場合] : レビュー期間内に、どのレビュー担当者にもレビューされなかったユーザーに対する処理を指定するには、このオプションを使用します。 この設定は、レビュー担当者によってレビューされたユーザーには影響を与えません。 ドロップダウン リストには、次のオプションが表示されます。

      • [変更なし] : ユーザーのアクセスを変更されないままにします。
      • [アクセス権の削除] : ユーザーのアクセスを削除します。
      • [アクセスを承認する] : ユーザーのアクセスを承認します。
      • [推奨事項の実行] : ユーザーの継続的なアクセスを拒否または承認するために、システムの推奨事項を実行します。

      警告

      [レビュー担当者が応答しない場合] の設定が [アクセス権の削除] または [推奨事項に従う] に設定され、[リソースに結果の自動適用] が有効になっていると、レビュー担当者が応答できなかった場合、このリソースへのすべてのアクセスが取り消される可能性があります。

    • [拒否されたゲスト ユーザーに適用するアクション] : このオプションは、レビュー担当者または [レビュー担当者が応答しない場合] の設定によって拒否されたときのゲスト ユーザーに対する処理を指定するために、アクセス レビューがゲスト ユーザーのみを含むようにスコープ指定されている場合にのみ使用できます。

      • [ユーザーのメンバーシップをリソースから削除します] : このオプションでは、拒否されたゲスト ユーザーのレビュー対象のグループまたはアプリケーションへのアクセスを削除します。 これらのユーザーは、そのテナントに引き続きサインインでき、他のどのアクセスも失いません。
      • [ユーザーのサインインを 30 日間ブロックした後、テナントからユーザーを削除します] : このオプションでは、拒否されたゲスト ユーザーを、他のリソースにアクセスできるかどうかには関係なく、そのテナントへのサインインからブロックします。 このアクションが誤って実行された場合、管理者は、ゲスト ユーザーが無効になってから 30 日以内にそのユーザーのアクセスを再び有効にすることができます。 無効になったゲスト ユーザーに対して 30 日後まで何もアクションが実行されなかった場合、これらのユーザーはテナントから削除されます。

    組織内のリソースにアクセスできなくなったゲスト ユーザーを削除するためのベスト プラクティスの詳細については、Microsoft Entra ID Governance を使用して、リソースへのアクセス権がなくなった外部ユーザーを確認および削除する方法に関するページを参照してください。

    Note

    [拒否されたゲスト ユーザーに適用するアクション] は、ゲスト ユーザーを超える数にスコープ指定されたレビューでは構成できません。 また、ゲスト ユーザーを含むすべての Microsoft 365 グループのレビューを構成することはできません。構成できない場合、リソースからユーザーのメンバーシップを削除する既定のオプションは、拒否されたユーザーに対して使用されます。

  2. 完了の更新を含む通知を他のユーザーまたはグループに送信するには、 [レビュー終了時の通知の送信先] オプションを使用します。 この機能により、レビュー作成者以外の利害関係者も、通知を受け取ってレビューの進行状況を把握できます。 この機能を使用するには、 [ユーザーまたはグループの選択] を選択し、完了の状態を受信するようにする別のユーザーまたはグループを追加します。

  3. [レビュー担当者の意思決定ヘルパーを有効にする] セクションで、レビュー担当者がレビュー プロセス中に推奨事項を受信するようにするかどうかを選択します。

    1. [30 日間サインインなし] を選択した場合は、過去 30 日の期間中にサインインしたユーザーが承認のために推奨されます。 過去 30 日間にサインインしていないユーザーは拒否するよう推奨されます。 この 30 日間の間隔は、サインインが双方向だったかどうかは関係ありません。 また、指定したユーザーの最終サインイン日も推奨事項と共に表示されます。
    2. ユーザー対グループの所属を選択すると、レビュー担当者は、組織のレポート構造におけるユーザーの平均距離に基づいて、ユーザーのアクセスを承認または拒否するための推奨事項を得ることができます。 グループ内の他のすべてのユーザーから離れているユーザーは、"所属度が低い" と見なされ、グループ アクセス レビューで拒否の推奨事項が表示されます。

    注意

    アプリケーションに基づいてアクセス レビューを作成する場合、その推奨事項は、ユーザーがテナントにではなく、アプリケーションにいつ最後にサインインしたかに応じた 30 日の期間に基づきます。

    [レビュー担当者の意思決定ヘルパーを有効にする] オプションを示すスクリーンショット。

  4. [詳細設定] セクションで、次のオプションを選択できます。

    • [正当な理由が必要] : レビュー担当者が承認または拒否の理由を指定する必要があるようにするには、このチェックボックスをオンにします。

    • [電子メール通知]: アクセス レビューの開始時はレビュー担当者に、レビューの完了時は管理者に Microsoft Entra ID から電子メール通知を送信するようにするには、このチェックボックスをオンにします。

    • [リマインダー]: 進行中のアクセス レビューのリマインダーを Microsoft Entra ID からすべてのレビュー担当者に送信するようにするには、このチェックボックスをオンにします。 レビュー担当者は、レビューを完了しているかどうかには関係なく、レビューの途中でリマインダーを受信します。

    • [レビュー担当者のメールの追加コンテンツ] : レビュー担当者に送信される電子メールのコンテンツは、レビュー名、リソース名、期限などのレビューの詳細に基づいて自動生成されます。 詳細情報を伝える必要がある場合は、指示や連絡先情報などの詳細をボックスに指定できます。 入力する情報は招待に含まれ、割り当てられたレビュー担当者にリマインダー電子メールが送信されます。 次の画像で強調表示されているセクションは、この情報が表示される場所を示しています。

      レビュー担当者の追加コンテンツを示すスクリーンショット。

  5. 確認と作成 を選択します。

    [レビューと作成] タブを示すスクリーンショット。

次へ: 確認および作成

  1. アクセス レビューに名前を付けます。 必要に応じて、そのレビューに説明を加えます。 その名前と説明がレビュアーに示されます。

  2. 情報を確認し、 [作成] を選択します。

複数ステージのアクセス レビューを作成する

複数ステージのレビューでは、管理者が 2 組または 3 組のレビュー担当者を定義して、次々にレビューを完了することができます。 単一ステージのレビューでは、すべてのレビュー担当者が同じ期間内に決定を行い、最後に決定を行ったレビュー担当者の決定が適用されます。 複数ステージのレビューでは、2 つまたは 3 つの独立したレビュー担当者のグループがそれぞれ、独自のステージ内で決定を行います。 ステージはシーケンシャルであり、次のステージは前のステージで決定が記録されるまで発生しません。 複数ステージのレビューは、後のステージのレビュー担当者の負担を軽減するため、レビュー担当者のエスカレーションを可能にするため、または独立したレビュー担当者のグループが決定に合意するために使うことができます。

Note

マルチステージアクセスレビュー*に含まれるユーザー*のデータ*は、レビューの開始時に監査*レコード*の一部となります。 管理者*は、マルチステージアクセスレビュー*シリーズを削除することで、いつでもデータ*を削除できます。 GDPR* に関する一般情報については、Microsoft Trust Center の GDPR* に関するセクションおよび Service Trust Portal の GDPR に関するセクションをご覧ください。

  1. レビューのリソースとスコープを選んだら、[レビュー] タブに移動します。

  2. [Multi-stage review](複数ステージのレビュー) の横にあるチェックボックスをオンにします。

  3. [First stage review] (最初のステージのレビュー) の下にある [Select reviewers] (レビュー担当者の選択) の横のドロップダウン メニューからレビュー担当者を選びます。

  4. [Group owner(s)] (グループ所有者) または [Managers of Users] (ユーザーの管理者) を選んだ場合、予備のレビュー担当者を追加するオプションがあります。 代替を追加するには、[Select fallback reviewers] (代替レビュー担当者の選択) をクリックし、代替レビュー担当者にするユーザーを追加します。

    有効になっている [複数ステージのレビュー] と [複数ステージのレビュー] の設定を示すスクリーンショット。

  5. 最初のステージの期間を追加します。 期間を追加するには、[Stage duration (in days)] (ステージ期間 (日数)) の横のフィールドに数値を入力します。 これは、最初のステージのレビュー担当者が決定を下すために最初のステージを開く日数です。

  6. [Second stage review] (2 つ目のステージのレビュー) の下にある [Select reviewers] (レビュー担当者の選択) の横のドロップダウン メニューからレビュー担当者を選びます。 これらのレビュー担当者は、最初のステージのレビュー期間が終了した後にレビューを求められます。

  7. 必要に応じて、予備のレビュー担当者を追加します。

  8. 2 つ目のステージの期間を追加します。

  9. 複数ステージのレビューを作成すると、既定では 2 つのステージが表示されます。 ただし、最大 3 つのステージを追加することができます。 3 つ目のステージを追加する場合は、[+ Add a stage] (ステージの追加) を選択し、必要なフィールドに入力します。

  10. 2 つ目、3 つ目のステージのレビュー担当者に前のステージで下された決定を見せるか決定できます。 前のステージで下された決定を見せる場合は、[レビュー結果の公開] の下にある [前のステージの決定を後のステージのレビュー担当者に見せる] の横のボックスを選択します。 レビュー担当者が個別にレビューするようにする場合は、この設定を無効にするためにボックスをオフのままにします。

    [複数ステージのレビュー] で有効になっている期間と前のステージの表示の設定を示すスクリーンショット。

  11. 各繰り返しの期間は、各ステージで指定した期間の日数の合計に設定されます。

  12. [Review recurrence] (レビューの繰り返し)、レビューの [開始日][終了日] を指定します。 繰り返しの種類は、繰り返しの継続期間以上の長さのものである必要があります (つまり、週ごとのレビューの繰り返しの最小継続期間は 7 日間です)。

  13. 次のステージに進むレビュー対象者を指定するには、[Specify reviewees to go to next stage] (次のステージに進むレビュー対象者を指定する) の横にある次のオプションのうち、1 つまたは複数を選びます。レビュー対象者の指定と複数ステージのレビューのオプションを示すスクリーンショット。

    1. [Approved reviewees] (承認されたレビュー対象者) - 承認されたレビュー対象者のみが次のステージに進みます。
    2. [Denied reviewees] (拒否されたレビュー対象者) - 承認されたレビュー対象者のみが次のステージに進みます。
    3. [Not reviewed reviewees] (レビューされていないレビュー対象者) - レビューされていないレビュー対象者のみが次のステージに進みます。
    4. [Reviewees marked as "Don't Know"] ("不明" とマークされているレビュー対象者) - "不明" とマークされているレビュー対象者のみが次のステージに進みます。
    5. [すべて]: すべてのステージのレビュー担当者に決定を下してもらう場合は、全員が次のステージに進みます。
  14. [設定] タブに進み、残りの設定を完了し、レビューを作成します。 「次へ: 設定」の手順に従います。

Teams 共有チャネルにアクセスしている B2B の直接接続ユーザーとチームをアクセス レビューに含める

B2B 直接接続ユーザーのアクセス レビューを、Microsoft Teams の共有チャネルを介して作成できます。 外部との共同作業を行う場合は、Microsoft Entra アクセス レビューを使用して、共有チャネルへの外部アクセスの最新状況を確認することができます。 共有チャネルの外部ユーザーは、B2B 直接接続ユーザーと呼ばれます。 Teams Shared Channels および B2B 直接接続ユーザーの詳細については、「B2B 直接接続」に関する記事を参照してください。

共有チャネルを使用してチームのアクセス レビューを作成すると、レビュー担当者は、共有チャネル内の外部ユーザーおよびチームの継続的なアクセスの必要を確認できます。 同じレビューで、B2B 接続ユーザーと他のサポートされている B2B コラボレーション ユーザー、そして B2B 以外の内部ユーザーのアクセスを確認できます。

注意

現在、B2B 直接接続のユーザーとチームは、単一ステージのレビューにのみ含まれています。 複数ステージのレビューが有効になっている場合、B2B 直接接続のユーザーとチームはアクセス レビューに含まれません。

B2B 直接接続のユーザーとチームは、共有チャネルが含まれている Teams 対応 Microsoft 365 グループのアクセス レビューに含まれます。 レビューを作成するには、少なくともユーザー管理者または ID ガバナンス管理者のロールが必要です。

共有チャネルのチームについてアクセス レビューを作成するには、次の手順に従います。

  1. Microsoft Entra 管理センターIdentity Governance 管理者以上としてサインインします。

  2. [Identity governance]>[アクセス レビュー] の順に移動します。

  3. [+ 新しいアクセス レビュー] を選択します。

  4. [Teams + Groups](チームとグループ) を選択し、[Select teams + groups](チームとグループの選択) をクリックして [Review scope](レビュー範囲) を設定します。 B2B 直接接続のユーザーとチームは、ゲスト ユーザーを含むすべての Microsoft 365 グループのレビューには含まれません。

  5. 1 つ以上の B2B 直接接続のユーザーまたはチームと共有している共有チャネルを持つチームを選択します。

  6. [スコープ] を設定します。

    レビュー スコープの共有チャネルのレビューへの設定を示すスクリーンショット。

    • 以下を含む [すべてのユーザー] を選択します。
      • すべての内部ユーザー
      • チームのメンバーである B2B コラボレーション ユーザー
      • B2B 直接接続ユーザー
      • 共有チャネルにアクセスするチーム
    • または、[ゲストユーザーのみ] を選択して、B2B 直接接続のユーザーと チーム、および B2B コラボレーション ユーザーのみを含めます。
  7. 続いて、[レビュー] タブに進み、レビューを作成するレビュー担当者を選択してから、[期間] と [レビューの繰り返し] を指定します。

    注意

    • [レビュー担当者を選択する] を [ユーザーによる自分のアクセス レビュー] または [ユーザーの管理者] に設定した場合、B2B 直接接続のユーザーとチームはテナント内の自分たちのアクセスをレビューできません。 レビューでのチームの所有者には、B2B 直接接続のユーザーとチームのレビューを依頼するメールが送られます。
    • [ユーザーの管理者] を選択した場合、ホーム テナントに管理者がいないときは、選択された代替レビュー担当者があらゆるユーザーをレビューします。 管理者がいない場合、これには、B2B 直接接続のユーザーとチームが含まれます。
  8. 続けて [設定] タブで追加の設定を行います。 次に、[レビューと作成] タブに移動して、アクセス レビューを開始します。 レビューの作成と構成設定の詳細については、「単一ステージのアクセス レビューの作成」を参照してください。

グループ所有者が自分のグループのアクセス レビューを作成および管理できるようにする

ヒント

この記事の手順は、開始するポータルに応じて若干異なる場合があります。

  1. Microsoft Entra 管理センターIdentity Governance 管理者以上としてサインインします。

  2. [Identity governance]>[アクセス レビュー]>[設定] の順に移動します。

  3. [アクセス レビューを作成および管理できるユーザーの委任] ページで、[グループ所有者は、所有するグループのアクセス レビューを作成および管理できます][はい] に設定します。

    グループ所有者がレビューできるようにする方法を示すスクリーンショット。

    注意

    既定では、この設定は [いいえ] に設定されています。 グループ所有者がアクセス レビューを作成および管理できるようにするには、この設定を [はい] に変更します。

アクセス レビューをプログラム的に作成

Microsoft Graph または PowerShell を使用し、アクセス レビューを作成することもできます。

Graph を使用してアクセス レビューを作成するには、Graph API を呼び出してアクセス レビュー スケジュール定義を作成します。 呼び出し元は、委任された AccessReview.ReadWrite.All アクセス許可を持つアプリケーション付きの適切なロールのユーザーであるか、AccessReview.ReadWrite.All アプリケーションのアクセス許可を持つアプリケーションである必要があります。 詳細については、「アクセス レビュー API の概要」と、セキュリティ グループのメンバーの確認、または Microsoft 365 グループ のゲストの確認の方法に関するチュートリアルを参照してください。

ID ガバナンス用の Microsoft Graph PowerShell コマンドレット」モジュールの New-MgIdentityGovernanceAccessReviewDefinition コマンドレットで PowerShell でアクセス レビューを作成することができます。 詳細については、 を参照してください。

アクセス レビューの開始時

アクセス レビューの設定を指定して作成したら、アクセス レビューとその状態のインジケーターが一覧に表示されます。

アクセス レビューとその状態の一覧を示すスクリーンショット。

既定では、1 回限りのレビューまたは定期的なレビューの繰り返しが開始された直後に、Microsoft Entra ID はレビュー担当者にメールを送信します。 Microsoft Entra ID からメールを送信しないように選択した場合は、アクセス レビューが実行待ちになっていることを必ずレビュー担当者に伝えてください。 レビュー担当者には、グループまたはアプリケーションへのアクセスをレビューする手順を案内することができます。 レビュー対象がゲストで、自分のアクセスをレビューしてもらう場合は、グループまたはアプリケーションへの自身のアクセス権をレビューする手順を案内します。

ゲストがレビュー担当者として割り当てられていても、テナントへの招待を受け入れていない場合、そのゲストはアクセス レビューからの電子メールを受信しません。 ゲストがレビューを開始するには、まず招待を受け入れる必要があります。

アクセス レビューを更新する

1 つ以上のアクセス レビューが開始された後、既存のアクセス レビューの設定を変更または更新することもできます。 考慮すべきいくつかの一般的なシナリオを次に示します。

  • 設定またはレビュー担当者を更新する: アクセス レビューが定期的である場合は、 [現在][シリーズ] の下に個別の設定があります。 [現在] で設定またはレビュー担当者を更新すると、その変更は現在のアクセス レビューにのみ適用されます。 [シリーズ] で設定を更新すると、今後のすべての繰り返しの設定が更新されます。

    アクセス レビューの設定の更新を示すスクリーンショット。

  • レビュー担当者を追加および削除する: アクセス レビューを更新するとき、プライマリ レビュー担当者に加えて、フォールバック レビュー担当者を追加することも選択できます。 プライマリ レビュー担当者は、アクセス レビューを更新したときに削除される可能性があります。 フォールバック レビュー担当者は、設計上削除できません。

    注意

    フォールバック レビュー担当者は、レビュー担当者の種類が管理者またはグループ所有者である場合にのみ追加できます。 レビュー担当者の種類が選択されたユーザーである場合は、プライマリ レビュー担当者を追加できます。

  • レビュー担当者に通知する: アクセス レビューを更新するとき、 [詳細設定][リマインダー] オプションを有効にすることも選択できます。 その場合、ユーザーはレビューを完了しているかどうかには関係なく、レビュー期間の途中で電子メール通知を受信します。

    レビュー担当者への通知を示すスクリーンショット。

Note

アクセス レビューが開始されたら、contactedReviewers API 呼び出しを使用して、通知されたすべてのレビュー担当者、または通知がオフになっている場合のユーザーの一覧を、アクセス レビュー用のメールで確認できます。 これらのユーザーに通知された日時のタイムスタンプも提供されます。

次のステップ