エンタイトルメント管理でリソースのカタログを作成して管理する

[アーティクル]
07/15/2024

この記事では、エンタイトルメント管理でリソースやアクセスパッケージのカタログを作成して管理する方法について説明します。

カタログを作成する

カタログは、リソースとアクセスパッケージのコンテナーです。関連するリソースとアクセスパッケージをグループ化するときは、カタログを作成します。管理者はカタログを作成できます。さらに、カタログ作成者ロールに委任されたユーザーは、自分が所有するリソースのカタログを作成できます。管理者以外のユーザーがカタログを作成すると、そのユーザーが最初のカタログ所有者になります。カタログ所有者は、カタログ所有者としてユーザー、ユーザーのグループ、またはアプリケーションサービスプリンシパルを追加できます。

カタログを作成するには:

Microsoft Entra 管理センターに Identity Governance 管理者以上としてサインインします。

ヒント

このタスクを完了できる他の最小特権ロールには、カタログ作成者があります。ユーザー管理者ロールが割り当てられているユーザーは、カタログを作成したり、所有していないカタログ内のアクセスパッケージを管理したりできなくなります。組織内のユーザーに、エンタイトルメント管理でカタログ、アクセスパッケージ、またはポリシーを構成するためにユーザー管理者ロールが割り当てられている場合は、代わりに、これらのユーザーに ID ガバナンス管理者ロールを割り当てる必要があります。
[ID ガバナンス]> [エンタイトルメント管理]>[カタログ] の順に移動します。
[新しいカタログ] を選択します。
カタログの一意の名前と説明を入力します。

この情報は、アクセスパッケージの詳細に表示されます。
このカタログ内のアクセスパッケージを、作成されたらすぐにユーザーが要求できるようにする場合は、 [有効] を [はい] に設定します。
接続されている組織の外部ディレクトリ内のユーザーがこのカタログ内のアクセスパッケージを要求できるようにする場合は、[外部ユーザーに有効] を [はい] に設定します。アクセスパッケージには、接続された組織のユーザーが要求できるようにするポリシーも必要です。このカタログ内のアクセスパッケージがディレクトリの既存ユーザーのみを対象としている場合は、[外部ユーザーに有効] を [いいえ] に設定します。
[作成] を選択してカタログを作成します。

カタログをプログラミングで作成する

プログラムでカタログを作成するには 2 つの方法があります。

Microsoft Graph でカタログを作成する

Microsoft Graph を使用してカタログを作成できます。委任された EntitlementManagement.ReadWrite.All アクセス許可を持つアプリケーション、または EntitlementManagement.ReadWrite.All アプリケーションアクセス許可を持つアプリケーションを有する適切なロールのユーザーは、API を呼び出して、カタログを作成することができます。

PowerShell でカタログを作成する

カタログはまた、PowerShell で Identity Governance 用の Microsoft Graph PowerShell コマンドレットモジュールバージョン 2.2.0 以降の New-MgEntitlementManagementCatalog コマンドレットを使用して作成することもできます。

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$catalog = New-MgEntitlementManagementCatalog -DisplayName "Marketing"

カタログにリソースを追加する

アクセスパッケージにリソースを含めるには、リソースがカタログ内に存在している必要があります。カタログに追加できるリソースの種類は、グループ、アプリケーション、および SharePoint Online サイトです。

グループとしては、クラウドで作成された Microsoft 365 グループ、またはクラウドで作成された Azure AD セキュリティグループを指定できます。
- オンプレミスの Active Directory に由来するグループは、その所有者またはメンバー属性を Microsoft Entra ID で変更できないため、リソースとして割り当てることができません。 AD セキュリティグループメンバーシップを使用するアプリケーションへのアクセス権をユーザーに付与するには、Microsoft Entra ID で新しいセキュリティグループを作成して AD へのグループの書き戻しを構成し、そのグループの AD への書き込みを有効にして、クラウドで作成されたグループを AD ベースのアプリケーションで使用できるようにします。
- 配布グループとして Exchange Online に由来するグループも Microsoft Entra ID で変更できないため、カタログに追加できません。
アプリケーションとしては、Microsoft Entra エンタープライズアプリケーションを指定できます。これには、SaaS (サービスとしてのソフトウェア) アプリケーション、および Microsoft Entra ID と統合された独自のアプリケーションが含まれます。
- アプリケーションが Microsoft Entra ID とまだ統合されていない場合は、環境内のアプリケーションのアクセスを支配を参照し、アプリケーションを Microsoft Entra ID に統合し、カタログに追加する前にアプリケーションをディレクトリに追加します。
- 複数のロールを持つアプリケーションの適切なリソースを選択する方法の詳細については、「アクセスパッケージに含めるリソースロールを決定する方法」を参照してください。
サイトとしては、SharePoint Online サイトまたは SharePoint Online サイトコレクションを指定できます。

注意

サイト名または正確な URL で SharePoint サイトを検索します。検索ボックスでは大文字と小文字が区別されます。

前提条件のロール: 「カタログにリソースを追加するために必要なロール」を参照してください。

カタログにリソースを追加するには:

Microsoft Entra 管理センターに Identity Governance 管理者以上としてサインインします。
[ID ガバナンス]> [エンタイトルメント管理]>[カタログ] の順に移動します。
[カタログ] ページで、リソースを追加するカタログを開きます。
左側のメニューで、 [リソース] を選択します。
[リソースの追加] を選択します。
[グループとチーム] 、 [アプリケーション] 、または [SharePoint サイト] のリソースの種類を選択します。

追加するリソースが表示されない、またはリソースを追加できない場合は、必要な Microsoft Entra ディレクトリロールおよびエンタイトルメント管理ロールを持っていることを確認してください。必要なロールを持つ人物に、カタログへのリソース追加を依頼することが必要な場合があります。詳細については、リソースをカタログに追加するために必要なロールに関するページを参照してください。
カタログに追加する種類の 1 つ以上のリソースを選択します。
終了したら、[追加] を選択します。

これらのリソースをカタログ内のアクセスパッケージに含めることができるようになりました。

カタログでリソース属性を追加する

属性とは、要求元がアクセス要求を送信する前に回答するよう求められる必須フィールドです。これらの属性への回答は承認者に示されると共に、Microsoft Entra ID のユーザーオブジェクトにもスタンプされます。

Note

リソースが含まれているアクセスパッケージへの要求を送信するには、その前に、そのリソースに設定されているすべての属性への回答が必要です。要求元が回答を指定しない場合、その要求は処理されません。

アクセス要求のための属性を必要とするには:

左側のメニューで [リソース] を選択すると、そのカタログ内のリソースの一覧が表示されます。
属性を追加するリソースの横にある省略記号を選択してから、[属性が必要] を選択します。
属性の種類を選択します。
1. [組み込み]には、Microsoft Entra ユーザープロファイル属性が含まれます。
2. [ディレクトリスキーマ拡張] は、Microsoft Entra ユーザーに関するより多くのデータを格納する方法を提供します。拡張属性を作成することで、スキーマを拡張できます。これらのユーザーオブジェクトの拡張機能属性は、プロビジョニングまたはシングルサインオン中にアプリケーションに対する要求の送信に使用できます。
[組み込み] を選択した場合は、ドロップダウンリストから属性を選択します。 [ディレクトリスキーマ拡張] を選択した場合は、テキストボックスに属性名を入力します。

注意

User.mobilePhone 属性は、一部の管理者のみが更新できる機密性の高いプロパティです。詳細については、機密性の高いユーザー属性を更新できるユーザーに関する記事を参照してください。
要求元がその回答のために使用する回答形式を選択します。回答形式には、 [短いテキスト] 、 [複数選択] 、 [長いテキスト] が含まれます。
複数選択を選択した場合は、回答のオプションを構成するために [編集とローカライズ] を選択します。
1. 表示される [質問の表示/編集] ペインで、要求元が質問に回答するときに提供する回答のオプションを [回答値] ボックスに入力します。
2. 回答のオプションの言語を選択します。追加の言語を選択した場合は、回答のオプションをローカライズできます。
3. 必要な数の回答を入力し、 [保存] を選択します。
直接割り当てとセルフサービス要求で属性値を編集可能にする場合は、 [はい] を選択します。
注意
- [属性値が編集可能である] ボックスで [いいえ] を選択し、属性値 "が空である" 場合、ユーザーはその属性の値を入力できます。保存した後、この値を編集することはできません。
- [属性値が編集可能である] ボックスで [いいえ] を選択し、属性値 "が空でない" 場合、ユーザーは、直接割り当てとセルフサービス要求のどちらのときも既存の値を編集できません。
ローカリゼーションを追加する場合は、 [ローカリゼーションの追加] を選択します。
1. [質問のローカリゼーションの追加] ペインで、選択された属性に関連する質問をローカライズする言語の言語コードを選択します。
2. 構成した言語で、 [ローカライズされたテキスト] ボックスに質問を入力します。
3. 必要なすべてのローカリゼーションを追加したら、 [保存] を選択します。
[属性が必要] ページですべての属性情報を入力したら、[保存] を選択します。

Multi-Geo SharePoint サイトを追加する

SharePoint で Multi-Geo が有効になっている場合は、サイトを選択する環境を選択します。
次に、カタログに追加するサイトを選択します。

プログラムでカタログにリソースを追加する

Microsoft Graph を使用して、カタログにリソースを追加することもできます。委任された EntitlementManagement.ReadWrite.All アクセス許可を持つアプリケーションを有する適切なロールのユーザーまたはカタログおよびリソースの所有者は、API を呼び出して、resourceRequest を作成することができます。アプリケーションのアクセス許可 EntitlementManagement.ReadWrite.All とリソースを変更するアクセス許可 (Group.ReadWrite.All など) を持つアプリケーションによって、カタログにリソースを追加することもできます。

PowerShell を使用してカタログにリソースを追加する

Identity Governance 用の Microsoft Graph PowerShell コマンドレットモジュールバージョン 2.1.x またはそれ以降のモジュールバージョンからの New-MgEntitlementManagementResourceRequest コマンドレットを使用して、PowerShell 内でカタログにリソースを追加することもできます。次の例は、Microsoft Graph PowerShell コマンドレットモジュールバージョン 2.4.0 を使用して、カタログにリソースとしてグループを追加する方法を示します。

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All,Group.ReadWrite.All"

$g = Get-MgGroup -Filter "displayName eq 'Marketing'"
if ($null -eq $g) {throw "no group" }

$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Marketing'"
if ($null -eq $catalog) { throw "no catalog" }
$params = @{
  requestType = "adminAdd"
  resource = @{
    originId = $g.Id
    originSystem = "AadGroup"
  }
  catalog = @{ id = $catalog.id }
}

New-MgEntitlementManagementResourceRequest -BodyParameter $params
sleep 5
$ar = Get-MgEntitlementManagementCatalog -AccessPackageCatalogId $catalog.Id -ExpandProperty resources
$ar.resources

カタログからリソースを削除する

カタログからリソースを削除できます。カタログからリソースを削除できるのは、それが、そのカタログのどのアクセスパッケージでも使用されていない場合だけです。

前提条件のロール: 「カタログにリソースを追加するために必要なロール」を参照してください。

カタログからリソースを削除するには:

Microsoft Entra 管理センターに Identity Governance 管理者以上としてサインインします。
[ID ガバナンス]> [エンタイトルメント管理]>[カタログ] の順に移動します。
[カタログ] ページで、リソースを削除するカタログを開きます。
左側のメニューで、 [リソース] を選択します。
削除するリソースを選択します。
[削除] を選択します。オプションで、省略記号 ( ... ) を選択してから、 [リソースの削除] を選択します。

カタログ所有者を追加する

ヒント

この記事の手順は、開始するポータルに応じて若干異なる場合があります。

カタログを作成したユーザーが最初のカタログ所有者になります。カタログの管理を委任するには、カタログ所有者ロールにユーザーを追加します。カタログ所有者を追加すると、カタログ管理の責任を共有するのに役立ちます。

カタログ所有者ロールにユーザーを割り当てるには:

Microsoft Entra 管理センターに Identity Governance 管理者以上としてサインインします。

ヒント

このタスクを完了できる他の最小特権ロールには、カタログ所有者があります。
[Identity governance] (ID ガバナンス)>[エンタイトルメント管理]>[カタログ] の順に移動します。
[カタログ] ページで、管理者を追加するカタログを開きます。
左側のメニューで、 [ロールと管理者] を選択します。
[所有者の追加] を選択して、これらのロールのメンバーを選択します。
[選択] を選択すると、これらのメンバーが追加されます。

カタログを編集する

カタログの名前と説明を編集できます。この情報は、アクセスパッケージの詳細に表示されます。

カタログを編集するには:

Microsoft Entra 管理センターに Identity Governance 管理者以上としてサインインします。

ヒント

このタスクを完了できる他の最小特権ロールには、カタログ作成者があります。
[ID ガバナンス]> [エンタイトルメント管理]>[カタログ] の順に移動します。
[カタログ] ページで、編集するカタログを開きます。
カタログの [概要] ページで、 [編集] を選択します。
カタログの名前、説明、または有効になっている設定を編集します。
[保存] を選択します。

カタログを削除する

カタログを削除できるのは、そのカタログにどのアクセスパッケージも含まれていない場合に限られます。

カタログを削除するには:

Microsoft Entra 管理センターに Identity Governance 管理者以上としてサインインします。

ヒント

このタスクを完了できる他の最小特権ロールには、カタログ作成者があります。
[ID ガバナンス]> [エンタイトルメント管理]>[カタログ] の順に移動します。
[カタログ] ページで、削除するカタログを開きます。
カタログの [概要] ページで、 [削除] を選択します。
表示されるメッセージボックスで、 [はい] を選択します。

プログラムでカタログを削除する

Microsoft Graph を使用してカタログを削除することもできます。委任された EntitlementManagement.ReadWrite.All アクセス許可を持つアプリケーションを有する適切なロールのユーザーは、API を呼び出して、EntitlementManagement.ReadWrite.Allことができます。

次のステップ

アクセスパッケージ管理者にアクセスガバナンスを委任する

次の方法で共有