次の方法で共有

エンタイトルメント管理でアクセス パッケージのアクセス レビューを作成する

  • [アーティクル]

古くなったアクセス権のリスクを軽減するには、エンタイトルメント管理で、アクセス パッケージに対するアクティブな割り当てを持つユーザーの定期的レビューを有効にする必要があります。 レビューを有効にできるのは、新しいアクセス パッケージを作成するとき、または既存のアクセス パッケージ割り当てポリシーを編集するときです。 この記事では、アクセス パッケージのアクセス レビューを有効にする方法について説明します。

前提条件

この機能を使用するには、Microsoft Entra ID ガバナンスまたは Microsoft Entra スイートのライセンスが必要です。 要件に適したライセンスを見つけるには、 Microsoft Entra ID ガバナンス のライセンスの基礎を参照してください。

アクセス パッケージのアクセス レビューを作成する

新しいアクセス パッケージを作成するとき、または既存のアクセス パッケージの割り当てポリシー ポリシーを編集するときに、アクセス レビューを有効にすることができます。 複数のポリシーがある場合、アクセスを要求するユーザーのコミュニティごとに、ポリシーごとに独立したアクセス レビュー スケジュールを設定できます。 アクセス パッケージ割り当てのアクセス レビューを有効にするには、次の手順に従います。

  1. 少なくとも ID ガバナンス管理者として Microsoft Entra 管理センターにサインインします。

  2. ID ガバナンス>アクセスレビュー>アクセスパッケージに移動します。

  3. 新しいアクセス ポリシーを作成するには、[ 新しいアクセス パッケージ] を選択します。

  4. 既存のアクセス ポリシーを編集するには、左側のメニューで [ アクセス パッケージ ] を選択し、編集するアクセス パッケージを開きます。 次に、左側のメニューで [ ポリシー] を選択し、編集するライフサイクル設定を含むポリシーを選択します。

  5. アクセス パッケージの割り当てポリシーの [ ライフサイクル ] タブを開き、アクセス パッケージへのユーザーの割り当ての有効期限を指定します。 ユーザーが割り当てを延長できるかどうかを指定することもできます。

  6. [ 有効期限 ] セクションで、[Access パッケージの割り当ての有効期限] を [日付]、[ 日数]、[ 時間数]、[ なし] に設定します。

    [日付] で、将来の有効期限を選択します。

    [ 日数] には、0 ~ 3660 日の数値を指定します。

    [ 時間数] には、時間数を指定します。

    選択内容に基づき、アクセス パッケージに対するユーザーの割り当ては、特定の日付または承認後の特定の日数の経過後に期限切れになるか、または期限切れになりません。

    アクセス パッケージ - ライフサイクルの有効期限の設定

  7. [詳細な有効期限の設定を表示する] を選択して、他の設定を表示します。

  8. ユーザーが自分の割り当てを拡張できるようにするには、[ ユーザーによるアクセスの拡張を許可する][はい] に設定します。

    ポリシーで延長が許可されている場合、アクセス パッケージの割り当ての有効期限が切れる 14 日前と 1 日前にユーザーにメールが送信され、割り当ての延長を求めるメッセージが表示されます。 ユーザーは、延長を求めるときに、引き続きポリシーのスコープ内にいる必要があります。 また、ポリシーで割り当ての明示的な終了日が設定されていて、ユーザーがアクセス権の延長を求める要求を送信する場合、アクセス パッケージへのアクセス権をユーザーに付与する際に使用したポリシーに定義されているように、要求内の延長の日付は割り当ての有効期限が切れる日か、それより前とする必要があります。 たとえば、割り当ての有効期限が 6 月 30 日に切れることがポリシーで示されている場合、ユーザーが要求できる最大の延長は 6 月 30 日です。

    ユーザーのアクセスが延長された場合、そのユーザーは、指定された延長日付 (ポリシーを作成したユーザーのタイムゾーンで設定された日付) より後にアクセス パッケージを要求することはできません。

  9. 拡張機能を付与するために承認を要求するには、[延長を 許可するには承認を要求 する] を [はい] に設定します。

    [要求] タブに指定されたのと同じ承認設定が使用されます。

  10. 次に、[ アクセス レビューを要求する ] トグルを [はい] に移動します。

    アクセス レビューを追加する

  11. [開始日] の横にあるレビューの開始日 を指定します

  12. 次に、[ レビュー 頻度] を [年単位]、[ 年 2 回]、[ 四半期ごと] 、または [月単位] に設定します。 この設定は、アクセス レビューを実行する頻度を決定します。

  13. [期間] を設定して、定期的な系列の各レビューがレビュー担当者からの入力に対して開く日数を定義します。 たとえば、1 月 1 日に始まり、レビューのために 30 日間開いている年次レビューをスケジュールして、レビュー担当者がその月の終わりまで対応できるようにすることができます。

  14. レビュー担当者の横で、ユーザーが自分のアクセス レビューを実行する場合は [自己レビュー] を選択し、レビュー担当者を指定する場合は [特定の校閲者] を選択します。 レビュー担当者 のマネージャー をレビュー担当者に指定する場合は、[マネージャー] を選択することもできます。 このオプションを選択した場合、管理者がシステムで見つからない場合に備えて、レビューを転送するための フォールバック を追加する必要があります。

  15. [特定の校閲者] を選択した場合は、アクセス レビューを実行するユーザーを指定します。

    [レビュー担当者の追加] を選択する

    1. [ レビュー担当者の追加] を選択します
    2. [ 校閲者の選択 ] ウィンドウで、校閲者にするユーザーを検索して選択します。
    3. レビュー担当者を選んだら、選択 ボタンを押します。

    レビュー担当者を指定する

  16. [マネージャー] を選択した場合は、フォールバック レビュー担当者を指定します。

    1. フォールバック レビュー担当者を追加を選択します。
    2. [フォールバック レビュー担当者の選択] ペインで、レビュー担当者のマネージャーのフォールバック レビュー担当者にするユーザーを検索して選択します。
    3. フォールバックレビュー担当者を選んだら、[選択] ボタンを押してください。

    フォールバック レビュー担当者を追加する

  17. 構成できる詳細設定は、他にもあります。 その他の高度なアクセス レビュー設定を構成するには、[ アクセス レビューの詳細設定を表示する] を選択します。

    1. 校閲者が応答しない場合にユーザーのアクセスに対する動作を指定する場合は、[ レビュー担当者が応答しない場合] を選択し、次のいずれかを選択します。

      • ユーザーのアクセスに関する決定を行いたくない場合は変更されません
      • ユーザーのアクセス権を削除したい場合は、「アクセス権を削除」を選択してください。
      • MyAccess からの推奨事項に基づいて決定を行う場合は、推奨事項を実行します。

      アクセス レビューの詳細設定を追加する

    2. システムの推奨事項を表示する場合は、[ レビュー担当者の意思決定ヘルパーの表示] を選択します。 システムの推奨事項は、ユーザーのアクティビティに基づいています。 レビュー担当者には、次のいずれかの推奨事項が表示されます。

      • ユーザーが過去 30 日間に少なくとも 1 回サインインした場合は、レビューを承認します。
      • ユーザーが過去 30 日間サインインしていない場合は、レビューを拒否します。

    3. レビュー担当者が承認決定の理由を共有する場合は、[ レビュー担当者の正当な理由を要求する] を選択します。 理由は、他のレビュー担当者と要求者に表示されます。

  18. 新しいアクセス パッケージを作成する場合は、[ 確認と作成 ] を選択するか 、[次へ ] を選択します。 ページの下部にあるアクセス パッケージを編集する場合は、[ 更新 ] を選択します。

アクセス レビューの状態を表示する

開始日の後、アクセス レビューが [ アクセス レビュー ] セクションに一覧表示されます。 アクセス レビューの状態を表示するには、次の手順に従います。

  1. Identity Governance で、[アクセス パッケージ] を選択し、確認するアクセス レビューの状態を含むアクセス パッケージを選択します。

  2. アクセス パッケージの概要が表示されたら、左側のメニューで [アクセス レビュー ] を選択します。

    アクセス レビューを選択する

  3. アクセス レビューが関連付けられているすべてのポリシーが含まれる一覧が表示されます。 レビューを選択し、そのレポートを表示します。

    アクセス レビューの一覧

  4. レポートを表示すると、レビューされたユーザーの数と、レビュー担当者が行ったアクションが表示されます。

    レビューの状態を表示する

アクセス レビューのメール通知

レビュー担当者を指定することも、ユーザーが自分のアクセスを自分自身で確認することもできます。 既定では、レビューの開始後間もなく、Microsoft Entra ID からレビュー担当者や自己レビュー担当者にメールが送信されます。

このメールには、アクセス パッケージへのアクセスを確認する方法に関する指示が記載されます。 レビューでユーザーが自分のアクセスを確認する場合は、アクセス パッケージのセルフ レビューを実行する方法に関する指示が示されます。

レビュー担当者として割り当てたゲスト ユーザーが Microsoft Entra ゲスト招待を承諾していない場合、彼らはアクセス レビューからのメールを受信しません。 電子メールを受信する前に、まず招待を受け入れて、Microsoft Entra ID でアカウントを作成する必要があります。

レビュー サイクルが開かれている間、レビュー担当者はいつでもアクセス レビューの決定を変更できます。 レビュー担当者が既に決定を行った場合でも、アクセス レビューの途中であれば、アクセス レビュー サイクルがまだ開かれていることを通知するリマインダー メールがレビュー担当者に送信されます。

次のステップ