この記事では、グループの PIM のアクセス レビューを 1 つ以上作成する方法について説明します。これには、グループのアクティブ メンバーと有資格メンバーが含まれます。 レビューは、グループのアクティブなメンバー、レビューの作成時にアクティブなメンバー、グループの有資格のメンバーの両方に対して実行できます。
前提条件
この機能を使用するには、Microsoft Entra ID ガバナンスまたは Microsoft Entra スイートのライセンスが必要です。 要件に適したライセンスを見つけるには、「Microsoft Entra ID ガバナンス ライセンスの基礎」を参照してください。
グループに対する PIM のアクセスレビューを設定する
範囲
Microsoft Entra 管理センターに Identity Governance 管理者以上としてサインインします。
ID ガバナンス>アクセス レビュー>Review 履歴を参照します。
[新しいアクセス レビュー] を選択して、新しいアクセス レビューを作成します。
![[ID ガバナンス] の [アクセス レビュー] ペインを示すスクリーンショット。](media/create-access-review/access-reviews.png)
[レビュー対象を選択する] ボックスで、[チームとグループ] を選択します。
[チームとグループ] を選択し、[チームとグループの選択] を [範囲の確認] で選択します。 選択できるグループのリストが画面に表示されます。
![[チームとグループ] の選択を示すスクリーンショット。](media/create-access-review/create-pim-review.png)
メモ
グループの PIM が選択されている場合、グループのレビュー対象のユーザーには、そのグループ内のすべての対象ユーザーとアクティブ ユーザーが含まれます。
次に、レビューのスコープを選択できます。 オプションは次のとおりです。
- [ゲスト ユーザーのみ]: このオプションでは、アクセス レビューがディレクトリ内の Microsoft Entra B2B ゲスト ユーザーのみに制限されます。
- [全員] : このオプションでは、アクセス レビューが、そのリソースに関連付けられているすべてのユーザー オブジェクトにスコープ指定されます。
グループ メンバーシップのレビューを実行する場合は、グループ内の非アクティブなユーザーに対してのみアクセス レビューを作成できます。 "ユーザー スコープ" セクションで、[非アクティブなユーザー (テナント レベル)] の横にあるチェック ックスをオンにします。 このチェック ボックスをオンにすると、レビューの範囲は非アクティブなユーザー (テナントに対話形式でも非対話形式でもサインインしていないユーザー) のみに絞られます。 次に、[非アクティブな日数] に最大 730 日 (2 年) の非アクティブ日数を指定します。 非アクティブな状態が指定の日数に達したグループ内のユーザーのみが、レビューに含まれます。
メモ
最近作成されたユーザーは、非アクティブ時間を構成しても影響を受けません。 アクセス レビューでは、構成された時間枠内にユーザーが作成されているかどうかを確認し、少なくともその期間存在していないユーザーを無視します。 たとえば、非アクティブ時間を 90 日に設定し、ゲスト ユーザーが作成または招待されてから 90 日未満の場合、ゲスト ユーザーはアクセス レビューの対象になりません。 これにより、ユーザーは削除されるまでに少なくとも 1 回サインインできるようになります。
- [次へ: レビュー] を選択します。
この手順に達したら、「グループまたはアプリケーションのアクセス レビューを作成する」記事の「次へ: レビュー」に概要が記載されている手順に従って、アクセス レビューを完了できます。
メモ
グループの PIM のアクセス レビュー (プレビュー) の場合、レビュー担当者としてグループ所有者を選択するときは、少なくとも 1 人のフォールバック レビュー担当者を割り当てる必要があります。 レビューでは、レビュー担当者としてアクティブな所有者のみが割り当てられます。 対象となる所有者は含まれません。 レビュー開始時にアクティブな所有者がいない場合、フォールバック レビュー担当者がレビューに割り当てられます。