ルールを使用して、Microsoft Entra の一部である Microsoft Entra ID の ID プロパティに基づいてアクセス パッケージの割り当てを決定できます。 エンタイトルメント管理では、アクセス パッケージに複数のポリシーを設定できます。各ポリシーは、ID がアクセス パッケージへの割り当てを取得する方法と期間を確立します。 管理者であるユーザーは、自動的に割り当てを作成および削除するためにエンタイトルメント管理が従うメンバーシップ ルールを指定することで、自動割り当てのポリシーを確立できます。 動的グループと同様に、自動割り当てポリシーが作成されると、ID 属性はポリシーのメンバーシップ ルールとの一致について評価されます。 ID の属性が変更されると、アクセス パッケージ内のこれらの自動割り当てポリシー ルールがメンバーシップの変更に対して処理されます。 その後、ID への割り当ては、規則の条件を満たしているかどうかに応じて追加または削除されます。
注
アクセス パッケージごとに許可される自動割り当てポリシーは 1 つだけです。 複数を構成すると、処理上の問題が発生し、その結果、割り当てられた個人のアクセスに問題が生じます。
この記事では、既存のアクセス パッケージのアクセス パッケージ自動割り当てポリシーを作成する方法について説明します。
開始する前に
アクセスが割り当てられるスコープ内の ID に属性を設定する必要があります。 アクセス パッケージ割り当てポリシーのルール条件で使用できる属性は、 サポートされているプロパティに一覧表示されている属性と、 拡張機能の属性とカスタム拡張プロパティです。 これらの属性は、ユーザー、SuccessFactors、Microsoft Entra Connect クラウド同期、Microsoft Entra Connect Sync などの人事システムに修正プログラムを適用することで、Microsoft Entra ID に取り込むことができます。ルールには、ポリシーごとに最大 15,000 人のユーザーを含めることができます。
ライセンス要件
この機能を使用するには、Microsoft Entra ID Governance または Microsoft Entra スイートのライセンスが必要です。 要件に適したライセンスを見つけるには、 Microsoft Entra ID ガバナンス のライセンスの基礎を参照してください。
自動割り当てポリシーを作成する
アクセス パッケージのポリシーを作成するには、アクセス パッケージの [ポリシー] タブから開始する必要があります。アクセス パッケージの新しい自動割り当てポリシーを作成するには、次の手順に従います。
少なくとも ID ガバナンス管理者として Microsoft Entra 管理センターにサインインします。
注
カタログ所有者とアクセス パッケージ マネージャーは、自動割り当てポリシーを作成できません。
ID ガバナンス>特権管理>アクセス パッケージを参照します。
[ アクセス パッケージ ] ページで、アクセス パッケージを開きます。
[ ポリシー ] を選択し、[ 自動割り当てポリシーの追加] を選択して新しいポリシーを作成します。
最初のタブで、ルールを指定します。 [ 編集] を選択します。
メンバーシップ ルール ビルダーを使用するか、ルール構文テキスト ボックスの [編集] をクリックして、動的メンバーシップ グループのルールを指定します。
注
ルール ビルダーでは、テキスト ボックスに作成された一部のルールを表示できない場合があり、ルールを検証するには、現在、グループ管理者ロールを使用する必要があります。 詳細については、 Microsoft Entra 管理センターのルール ビルダーを参照してください。
[ 保存] を 選択して、動的メンバーシップ グループのルール エディターを閉じます。
既定では、割り当てを自動的に作成または削除するチェック ボックスはオンのままになっているはずです。
ID がスコープ外に出た後も一定期間アクセスを保持する場合は、時間または日数で期間を指定できます。 たとえば、ある社員が営業部門を辞めるとき、その人物が引き続きアクセスを 7 日間維持できるようにすることで、営業アプリを使えるようにし、そのアプリに含まれるリソースの所有権を別の社員に移させたいということがあります。
[ 次へ ] を選択して、[ カスタム拡張機能 ] タブを開きます。
ポリシーがアクセスを割り当てたり削除したりしたときに実行する カスタム拡張機能 がカタログ内にある場合は、その拡張機能をこのポリシーに追加できます。 次に、次を選択して [ 校閲 ] タブを開きます。
ポリシーの名前と説明を入力します。
[ 作成] を選択してポリシーを保存します。
注
現時点では、エンタイトルメント管理によって、スコープ内の ID を評価するために、各ポリシーに対応する動的セキュリティ グループが自動的に作成されます。 このグループは、エンタイトルメント管理自体以外は変更しないでください。 また、このグループはエンタイトルメント管理によって自動的に変更または削除されるので、他のアプリケーションやシナリオではこのグループを使用しないでください。
Microsoft Entra ID は、このルールのスコープ内にある組織内の ID を評価し、アクセス パッケージにまだ割り当てがない ID の割り当てを作成します。 ポリシーには、ルールに最大 15,000 個の ID を含めることができます。 評価が行われるまで数分かかる場合や、ID の属性に対する後続の更新がアクセス パッケージの割り当てに反映されるまでに数分かかる場合があります。
プログラムで自動割り当てポリシーを作成する
プログラムで自動割り当て用のアクセス パッケージ割り当てポリシーを作成するには、2 つの方法 (Microsoft Graph の使用と、Microsoft Graph 用の PowerShell コマンドレットの使用) があります。
Graph を使用してアクセス パッケージ割り当てポリシーを作成する
Microsoft Graph を使用して、ポリシーを作成できます。 委任された EntitlementManagement.ReadWrite.All アクセス許可を持つアプリケーション、またはカタログ ロール内のアプリケーション、または EntitlementManagement.ReadWrite.All アクセス許可を持つ適切なロールの ID は、 create a assignmentPolicy API を呼び出すことができます。
要求ペイロードには、ポリシーのdisplayName、description、specificAllowedTargets、automaticRequestSettings、およびaccessPackageプロパティを含めます。
PowerShell を使用してアクセス パッケージ割り当てポリシーを作成する
Identity Governance モジュール バージョン 1.16.0 以降 の Microsoft Graph PowerShell コマンドレットのコマンドレット を使用して、PowerShell でポリシーを作成することもできます。
以下のスクリプトは、v1.0 プロファイルを使用して、アクセス パッケージに対する自動割り当てのポリシーを作成する方法を示しています。 その他の例については、PowerShell を使用した単一ロールのアプリケーションのエンタイトルメント管理でのassignmentPolicy の作成とアクセス パッケージの作成に関する説明を参照してください。
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"
$pparams = @{
DisplayName = "Sales department users"
Description = "All users from sales department"
AllowedTargetScope = "specificDirectoryUsers"
SpecificAllowedTargets = @( @{
"@odata.type" = "#microsoft.graph.attributeRuleMembers"
description = "All users from sales department"
membershipRule = '(user.department -eq "Sales")'
} )
AutomaticRequestSettings = @{
RequestAccessForAllowedTargets = $true
}
AccessPackage = @{
Id = $apid
}
}
New-MgEntitlementManagementAssignmentPolicy -BodyParameter $pparams