エンタイトルメント管理の委任とロール
Microsoft Entra ID では、ロール モデルをいくつかの方法で使用して、ID ガバナンスを通じて大規模にアクセスを管理できます。
- アクセス パッケージを使用して、"営業担当者" のような組織内の組織ロールを表すことができます。 組織のロールを表すアクセス パッケージには、複数のリソースにわたって営業担当者が一般的に必要とする可能性があるすべてのアクセス権が含まれます。
- アプリケーションでは独自のロールを定義できます。 たとえば、営業アプリケーションがあり、そのアプリケーションではマニフェストにアプリ ロール "salesperson" が含まれていた場合、アプリ マニフェストのそのロールをアクセス パッケージに含めることができます。 ユーザーがアプリケーション固有の複数のロールを同時に持っている可能性があるシナリオでも、アプリケーションにはセキュリティ グループを使用できます。
- ロールを使用して管理アクセスを委任できます。 営業に必要なすべてのアクセス パッケージのカタログがある場合、カタログ固有のロールを割り当てることによって、任意のユーザーをそのカタログの責任者に任命することができます。
この記事では、エンタイトルメント管理リソースへのアクセスを制御するために、ロールを使用して Microsoft Entra エンタイトルメント管理内の側面を管理する方法について説明します。
既定では、グローバル管理者ロールと ID ガバナンス管理者ロールのユーザーは、 エンタイトルメント管理のすべての側面を作成および管理できます。 ただし、これらのロールのユーザーは、アクセス パッケージが必要なあらゆる状況を把握しているとは限りません。 通常、コラボレーションの相手、使用するリソース、期間はそれぞれの部門、チーム、プロジェクト内のユーザーが把握しています。 管理者以外のユーザーに無制限のアクセス許可を付与する代わりに、それぞれの業務に必要な最小限のアクセス許可を付与することで、競合の発生や不適切なアクセス許可を回避することができます。
この動画では、IT 管理者から管理者ではないユーザーにアクセス ガバナンスを委任する方法について概説します。
委任の例
エンタイトルメント管理でアクセス ガバナンスを委任する方法を理解するには、例を考えてみるとよいでしょう。 組織に次の管理者やマネージャーがいるとします。
IT 管理者の Hana には、各部署に連絡先担当者がいます。マーケティングの Mamta、財務の Mark、法務の Joe がそれぞれの部署のリソースとビジネス クリティカル コンテンツを担当しています。
アクセスを必要とするユーザー、アクセスの期間、アクセスされるリソースを把握しているのが管理者以外の人であれば、エンタイトルメント管理を利用することで、そうした管理者以外の人にアクセス ガバナンスを委任できます。 管理者以外に委任することにより、適任者がその部署のアクセスを管理することになります。
たとえば次の方法で Hana はマーケティング部、財務部、法務部にアクセス ガバナンスを委任できます。
Hana は新しい Microsoft Entra セキュリティ グループを作成し、グループのメンバーとして Mamta、Mark、Joe を追加します。
Hana はそのグループをカタログ作成者ロールに追加します。
Mamta、Mark、Joe はこれで、自分の部署にカタログを作成したり、自分の部署に必要なリソースを追加したり、カタログ内で追加の委任を行ったりできます。 お互いのカタログを見ることはできません。
Mamta は、リソースのコンテナーである Marketing カタログを作成します。
Mamta は、マーケティング部が所有するリソースをこのカタログに追加します。
Mamta は、このカタログのカタログ所有者として、この部署の他のユーザーを追加できます。これにより、カタログ管理の責任を共有できます。
Mamta はさらに、マーケティング カタログのアクセス パッケージの作成と管理をマーケティング部のプロジェクト マネージャーに委任できます。 これは、カタログ上でアクセス パッケージ管理者ロールに割り当てることで実行できます。 アクセス パッケージ管理者は、そのカタログ内のポリシー、要求、割り当てと共に、アクセス パッケージを作成および管理できます。 カタログで許可されている場合、アクセス パッケージ管理者は、接続されている組織からユーザーを取り込むためのポリシーを構成できます。
次の図は、マーケティング部、財務部、法務部のリソースを含むカタログを示しています。 プロジェクト マネージャーは、これらのカタログを使用する際に、自分のチームまたはプロジェクトのアクセス パッケージを作成できます。
委任後、マーケティング部に含まれるロールは次の表のようになります。
| User | 組織のロール | Microsoft Entra ロール | エンタイトルメント管理ロール |
|---|---|---|---|
| Hana | IT 管理者 | グローバル管理者または ID ガバナンス管理者 | |
| Mamta | マーケティング マネージャー | User | カタログ作成者とカタログ所有者 |
| Bob | マーケティング リーダー | User | カタログ所有者 |
| Jessica | マーケティング プロジェクト マネージャー | User | アクセス パッケージ マネージャー |
エンタイトルメント管理のロール
エンタイトルメント管理には、エンタイトルメント管理自体を管理するためのアクセス許可と共に、すべてのカタログにまたがって適用される次のロールがあります。
| エンタイトルメント管理ロール | ロール定義 ID | 説明 |
|---|---|---|
| カタログ作成者 | ba92d953-d8e0-4e39-a797-0cbedb0a89e8 |
カタログを作成および管理します。 通常は、グローバル管理者ではない IT 管理者、またはリソース コレクションのリソース所有者です。 カタログを作成した人物が、自動的にカタログの最初のカタログ所有者になります。カタログ所有者はさらに追加することができます。 カタログ作成者は、自分が所有していないカタログを管理したり表示したりすることはできず、所有していないリソースをカタログに追加することはできません。 カタログ作成者が別のカタログを管理したり、所有していないリソースを追加したりする必要がある場合は、そのカタログまたはリソースの共同所有者になることを要求できます。 |
エンタイトルメント管理には、カタログ内のアクセス パッケージやその他の構成を管理するための、特定のカタログごとに定義される次のロールがあります。 管理者またはカタログ所有者は、これらのロールにユーザー、ユーザーのグループ、またはサービス プリンシパルを追加できます。
| エンタイトルメント管理ロール | ロール定義 ID | 説明 |
|---|---|---|
| カタログ所有者 | ae79f266-94d4-4dab-b730-feca7e132178 |
カタログ内のアクセス パッケージやその他のリソースを編集および管理します。 通常は、IT 管理者かリソース所有者、またはカタログ所有者が指定したユーザーです。 |
| カタログ リーダー | 44272f93-9762-48e8-af59-1b5351b1d6b3 |
カタログ内の既存のアクセス パッケージを表示します。 |
| アクセス パッケージ マネージャー | 7f480852-ebdc-47d4-87de-0d8498384a83 |
カタログ内のすべての既存アクセス パッケージを編集および管理します。 |
| アクセス パッケージ割り当てマネージャー | e2182095-804a-4656-ae11-64734e9b7ae5 |
すべての既存のアクセス パッケージの割り当てを編集および管理します。 |
また、アクセス パッケージの指定された承認者と申請者も、ロールではありませんが権限を持ちます。
| Right | 説明 |
|---|---|
| 承認者 | アクセス パッケージへの要求を承認または拒否することがポリシーによって許可されています。ただし、アクセス パッケージの定義を変更することはできません。 |
| 要求元 | アクセス パッケージのポリシーによって、そのアクセス パッケージへの要求が許可されています。 |
次の表は、エンタイトルメント管理内で、エンタイトルメント管理ロールで実行できるタスクを一覧にしたものです。
| タスク | ID ガバナンス管理者 | カタログ作成者 | カタログ所有者 | アクセス パッケージ マネージャー | アクセス パッケージ割り当てマネージャー |
|---|---|---|---|---|---|
| カタログ作成者に委任する | ✔️ | ||||
| 接続されている組織を追加する | ✔️ | ||||
| 新しいカタログを作成する | ✔️ | ✔️ | |||
| カタログにリソースを追加する | ✔️ | ✔️ | |||
| カタログ所有者を追加する | ✔️ | ✔️ | |||
| カタログを編集する | ✔️ | ✔️ | |||
| カタログを削除する | ✔️ | ✔️ | |||
| アクセス パッケージ管理者に委任する | ✔️ | ✔️ | |||
| アクセス パッケージ管理者を削除する | ✔️ | ✔️ | |||
| カタログ内に新しいアクセス パッケージを作成する | ✔️ | ✔️ | ✔️ | ||
| アクセス パッケージ内のリソースのロールを変更する | ✔️ | ✔️ | ✔️ | ||
| 外部コラボレーションのポリシーを含め、ポリシーを作成および編集する | ✔️ | ✔️ | ✔️ | ||
| アクセス パッケージにユーザーを直接割り当てる | ✔️ | ✔️ | ✔️ | ✔️ | |
| アクセス パッケージからユーザーを直接削除する | ✔️ | ✔️ | ✔️ | ✔️ | |
| アクセス パッケージに割り当てられているユーザーを表示する | ✔️ | ✔️ | ✔️ | ✔️ | |
| アクセス パッケージの要求を表示する | ✔️ | ✔️ | ✔️ | ✔️ | |
| 要求の配信エラーを表示する | ✔️ | ✔️ | ✔️ | ✔️ | |
| 要求を再処理する | ✔️ | ✔️ | ✔️ | ✔️ | |
| 保留中の要求をキャンセルする | ✔️ | ✔️ | ✔️ | ✔️ | |
| アクセス パッケージを非表示にする | ✔️ | ✔️ | ✔️ | ||
| アクセス パッケージを削除する | ✔️ | ✔️ | ✔️ |
タスクの最小限の特権ロールを決定するには、「Microsoft Entra ID における管理タスク別の管理者ロール」を参照することもできます。
Note
Access パッケージの割り当てマネージャー ロールが割り当てられているユーザーは、アクセス パッケージ ポリシーで承認が必要な場合に、ユーザーを直接割り当てるときに承認設定をバイパスできなくなります。 承認を回避する必要があるシナリオがある場合は、承認を必要とせず、アクセスが必要なユーザーのみにスコープを設定した 2 つ目のポリシーをアクセス パッケージに作成することをお勧めします。
カタログにリソースを追加するために必要なロール
グローバル管理者は、カタログ内の任意のグループ (クラウドが作成したセキュリティ グループまたはクラウドが作成した Microsoft 365 グループ)、アプリケーション、または SharePoint Online サイトを追加または削除することができます。
Note
ユーザー管理者ロールが割り当てられているユーザーは、カタログを作成したり、所有していないカタログでアクセス パッケージを管理したりすることができなくなりました。 カタログ所有者であるユーザー管理者は、ディレクトリ ロールに割り当て可能であるように構成されたグループを除き、所有しているカタログ内の任意のグループまたはアプリケーションを追加または削除することができます。 ロールを割り当て可能なグループの詳細については、「Microsoft Entra ID でロールを割り当て可能なグループを作成する」を参照してください。 組織内のユーザーに、エンタイトルメント管理でカタログ、アクセス パッケージ、またはポリシーを構成するユーザー管理者ロールが割り当てられている場合、代わりに、これらのユーザーに Identity Governance 管理者ロールを割り当てる必要があります。
グローバル管理者ではないユーザーがグループ、アプリケーション、または SharePoint Online サイトをカタログに追加するには、そのリソースに対してアクションを実行する能力と、カタログのエンタイトルメント管理におけるカタログ所有者ロールの両方が必要です。 ユーザーがリソースに対してアクションを実行できる最も一般的な方法は、リソースを管理できる Microsoft Entra ディレクトリ ロールになることです。 または、所有者が存在するリソースの場合、ユーザーはそのリソースの所有者として割り当てられることでアクションを実行できます。
ユーザーがカタログにリソースを追加したときにエンタイトルメント管理がチェックするアクションは次のとおりです:
- セキュリティ グループまたは Microsoft 365 グループを追加するには: ユーザーは、
microsoft.directory/groups/members/updateおよびmicrosoft.directory/groups/owners/updateを実行する許可を与えられている必要があります - アプリケーションを追加するには: ユーザーが
microsoft.directory/servicePrincipals/appRoleAssignedTo/updateアクションの実行を許可されている必要があります - SharePoint Online サイトを追加するには: ユーザーが SharePoint 管理者であるか、サイトのアクセス許可を管理できるSharePoint Online サイトの役割を持ちである必要があります
次の表に、これらのロールの組み合わせのユーザーがカタログにリソースを追加できるようにするアクションを含むロールの組み合わせの一部を示します。 カタログからリソースを削除するには、それと同じアクションを持つロールまたは所有権も必要です。
| Microsoft Entra ディレクトリ ロール | エンタイトルメント管理ロール | セキュリティ グループの追加 | Microsoft 365 グループの追加 | アプリの追加 | SharePoint Online サイトの追加 |
|---|---|---|---|---|---|
| 全体管理者 | 該当なし | ✔️ | ✔️ | ✔️ | ✔️ |
| Identity Governance 管理者 | 該当なし | ✔️ | |||
| グループ管理者 | カタログ所有者 | ✔️ | ✔️ | ||
| Intune 管理者 | カタログ所有者 | ✔️ | ✔️ | ||
| Exchange 管理者 | カタログ所有者 | ✔️ | |||
| SharePoint 管理者 | カタログ所有者 | ✔️ | ✔️ | ||
| アプリケーション管理者 | カタログ所有者 | ✔️ | |||
| クラウド アプリケーション管理者 | カタログ所有者 | ✔️ | |||
| User | カタログ所有者 | グループ所有者の場合のみ | グループ所有者の場合のみ | アプリ所有者の場合のみ |
ゲスト ユーザー ライフサイクルの委任された管理
通常、ゲスト招待元特権を持つロールのユーザーは、個々の外部ユーザーを組織に招待できます。この設定は、外部コラボレーションの設定を使用して変更できます。
外部コラボレーションの管理では、コラボレーション プロジェクトの個々の外部ユーザーが事前に知られていない可能性があるため、外部組織で作業しているユーザーをエンタイトルメント管理ロールに割り当てることで、それらのユーザーが外部コラボレーション用のカタログ、アクセス パッケージ、ポリシーを構成できるようになります。 これらの構成により、共同作業相手の外部ユーザーは、組織のディレクトリとアクセス パッケージを要求して追加されるようにできます。
- 接続されている組織の外部ディレクトリのユーザーがカタログ内のアクセス パッケージを要求できるようにするには、[外部ユーザーに有効] のカタログ設定を [はい] に設定する必要があります。 この設定の変更は、カタログの管理者またはカタログ所有者が行うことができます。
- アクセス パッケージには、ディレクトリ内にないユーザーに対するポリシーも設定されている必要があります。 このポリシーは、カタログの管理者、カタログ所有者、またはアクセス パッケージ管理者が作成できます。
- そのポリシーを持つアクセス パッケージを使用すると、スコープ内のユーザーは、ディレクトリにまだ存在しないユーザーを含め、アクセスを要求できるようになります。 要求が承認された場合、または承認を必要としない場合、ユーザーはディレクトリに自動的に追加されます。
- ポリシー設定が [すべてのユーザー] 用であり、ユーザーが既存の接続済み組織に含まれていない場合は、新しい提案された接続済み組織が自動的に作成されます。 接続されている組織の一覧を表示したり、不要になった組織を削除したりできます。
エンタイトルメント管理によって持ち込まれた外部ユーザーがアクセス パッケージへの最後の割り当てを失った場合の動作を構成することもできます。 外部ユーザーのライフサイクルを管理するための設定の中で、このディレクトリへのサインインをブロックしたり、ゲスト アカウントを削除したりすることができます。
委任された管理者がディレクトリにないユーザーのポリシーを構成できないように制限する
管理者ロール以外のユーザーが個々のゲストを招待できないようにするには、外部コラボレーションの設定で、[ゲスト招待の設定] 設定を特定の管理者ロールに変更し、[ゲスト セルフサービス サインアップを有効にする] を [いいえ] に設定します。
委任されたユーザーが、外部ユーザーから外部コラボレーションを要求できるようにエンタイトルメント管理を構成できないようにするには、すべてのグローバル管理者、Identity Governance 管理者、カタログ作成者、カタログ所有者にこの制約を伝えてください。それらの管理者はカタログを変更できるので、新規または更新されたカタログで新しいコラボレーションを誤って許可することがないようにするためです。 それらの管理者は、カタログで [外部ユーザーに有効] が [いいえ] に設定され、ディレクトリにないユーザーに要求を許可するポリシーを含むアクセス パッケージがないことを確認する必要があります。
外部ユーザーに対して現在有効になっているカタログの一覧は、Microsoft Entra 管理センターで表示できます。
Microsoft Entra 管理センターに Identity Governance 管理者以上としてサインインします。
[ID ガバナンス]> [エンタイトルメント管理]>[カタログ] の順に移動します。
[外部ユーザーに有効] のフィルター設定を [はい] に変更します。
これらのカタログにアクセス パッケージの数がゼロ以外のものがある場合、それらのアクセス パッケージには、ディレクトリにないユーザーに対するポリシーが含まれることがあります。
プログラムによるエンタイトルメント管理ロールへのロールの割り当ての管理
Microsoft Graph を使用して、カタログの作成者と、エンタイトルメント管理のカタログ固有のロール割り当てを表示して、更新することもできます。 委任された EntitlementManagement.ReadWrite.All 権限を持つアプリケーションを使用する適切なロールのユーザーは、Graph API を呼び出して、エンタイトルメント管理のロール定義を一覧表示し、それらのロール定義に対するロール割り当てを一覧表示することができます。
たとえば、特定のユーザーまたはグループが割り当てられているエンタイトルメント管理固有のロールを表示するには、Graph クエリを使用してロールの割り当てを一覧表示し、ユーザーまたはグループの ID を principalId クエリ フィルターの値として指定します。次に例を示します。
GET https://graph.microsoft.com/v1.0/roleManagement/entitlementManagement/roleAssignments?$filter=principalId eq 'aaaaaaaa-bbbb-cccc-1111-222222222222'&$expand=roleDefinition&$select=id,appScopeId,roleDefinition
カタログに固有のロールの場合、応答内の appScopeId は、ユーザーにロールが割り当てられているカタログを示します。 この応答では、エンタイトルメント管理でのロールに対するプリンシパルの明示的な割り当てのみが取得されます。ディレクトリ ロールを介してアクセス権を持つユーザー、およびロールに割り当てられたグループのメンバーシップを介してアクセス権を持つユーザーの結果は返されません。