Microsoft Entra ID でグループの PIM のアクセス レビューを作成する (プレビュー)
この記事では、グループの PIM のアクセス レビューを 1 つ以上作成する方法について説明します。これには、グループのアクティブ メンバーと有資格メンバーが含まれます。 レビューは、グループのアクティブなメンバー、レビューの作成時にアクティブなメンバー、グループの有資格のメンバーの両方に対して実行できます。
前提条件
- Microsoft Entra ID Governance ライセンス。
- グローバル管理者ロールと特権ロール管理者ロールのユーザーのみが、グループの PIM に関するレビューを作成できます。 詳細については、Microsoft Entra グループを使用したロール割り当ての管理に関するページをご覧ください。
詳細については、「License requirements ライセンスの要件」を参照してください。
グループの PIM のアクセス レビューを作成する
ヒント
この記事の手順は、開始するポータルに応じて若干異なる場合があります。
範囲
Microsoft Entra 管理センターに Identity Governance 管理者以上としてサインインします。
[Identity governance]>[アクセス レビュー]>[レビューの履歴] の順に移動します。
[新しいアクセス レビュー] を選択して、新しいアクセス レビューを作成します。
[レビュー対象を選択する] ボックスで、[チームとグループ] を選択します。
[チームとグループ] を選択し、[チームとグループの選択] を [範囲の確認] で選択します。 選択できるグループの一覧が右側に表示されます。
Note
グループの PIM が選択されている場合、グループのレビュー対象ユーザーには、そのグループ内のすべての有資格ユーザーとアクティブ ユーザーが含まれます。
次に、レビューのスコープを選択できます。 オプションは次のとおりです。
- [ゲスト ユーザーのみ]: このオプションでは、アクセス レビューがディレクトリ内の Microsoft Entra B2B ゲスト ユーザーのみに制限されます。
- [全員] : このオプションでは、アクセス レビューが、そのリソースに関連付けられているすべてのユーザー オブジェクトにスコープ指定されます。
グループ メンバーシップのレビューを実行する場合は、グループ内の非アクティブなユーザーに対してのみアクセス レビューを作成できます。 "ユーザー スコープ" セクションで、[非アクティブなユーザー (テナント レベル)] の横にあるチェック ックスをオンにします。 このチェック ボックスをオンにすると、レビューの範囲は非アクティブなユーザー (テナントに対して対話式にも非対話式にもサインインしていないユーザー) のみに絞られます。 次に、[Days inactive](非アクティブ日数) に、730 日 (2 年) までの非アクティブ日数を指定します。 非アクティブな状態が指定の日数に達したグループ内のユーザーのみが、レビューに含まれます。
注意
最近作成したユーザーは、非アクティブ時間を構成しても影響を受けません。 アクセス レビューでは構成された時間にユーザーが作成されたかどうかが検査され、少なくともその時間に存在していなかったユーザーは無視されます。 たとえば、非アクティブ時間を 90 日に設定した場合、作成または招待されてから 90 日未満のゲスト ユーザーは、アクセス レビューの対象範囲外になります。 これにより、ユーザーは削除されるまでに少なくとも 1 回サインインできるようになります。
- [次へ: レビュー] を選択します。
この手順に達したら、「グループまたはアプリケーションのアクセス レビューを作成する」記事の「次へ: レビュー」に概要が記載されている手順に従って、アクセス レビューを完了できます。
Note
グループの PIM のレビューでは、レビュー担当者として、アクティブな所有者のみが割り当てられます。 有資格の所有者は含まれません。 グループの PIM のレビューには、少なくとも 1 人のフォールバック レビュー担当者が必要です。 レビューの開始時にアクティブな所有者がいない場合は、フォールバック レビュー担当者がレビューに割り当てられます。