次の方法で共有

チュートリアル - 承認プロセスを通じて Microsoft Entra ID に外部ユーザーをオンボードする

エンタイトルメント管理は、外部ユーザーをオンボードする手段として使用できます。 この機能を使用すると、外部ユーザーが一連のリソースへのアクセスを要求でき、その場合、ディレクトリにアクセスできるようにする前に承認を設定できます。 エンタイトルメントを通じてオンボードされた外部ユーザーについては、アクセス パッケージを使用してライフサイクルを管理できます。 最後のアクセス パッケージの有効期限が切れると、ディレクトリから削除されます。

このチュートリアルでは、あなたは WoodGrove Bank の IT 管理者として勤務しているとします。 あなたは、ご自身のビジネス グループが連携している外部組織のパートナーをオンボードするアクセス パッケージの作成を求められました。 外部コラボレーションと呼ばれる Teams グループにアクセスする必要があります。 組織のコラボレーションには、内部スポンサーによる承認が必要です。 また、パートナーのアクセス権を 60 日後に期限切れにする必要があるということも知らされています。 エンタイトルメント管理を使用するには、次のいずれかのライセンスが必要です。

  • Microsoft Entra ID P2 または Microsoft Entra ID Governance
  • Enterprise Mobility + Security (EMS) E5 ライセンス

詳細については、「 ライセンス要件」を参照してください。

手順 1: 基本情報を構成する

  1. 少なくとも ID ガバナンス管理者として Microsoft Entra 管理センターにサインインします。

    ヒント

    このタスクを完了できる他の最小特権ロールには、カタログ所有者、ユーザー管理者、アクセス パッケージ マネージャーがあります。

  2. ID ガバナンス>エンタイトルメント管理>アクセスパッケージに移動します。

  3. アクセス パッケージを選ぶときに、"アクセスが拒否されました" と表示される場合は、Microsoft Entra ID P2 または Microsoft Entra ID Governance ライセンスがディレクトリに存在することを確認します。

  4. [ 新しいアクセス パッケージ] を選択します。

  5. [ 基本 ] タブで、 外部ユーザー パッケージ の名前と、 承認待ちの外部ユーザーの Access の説明を入力します。

  6. [カタログ] ドロップダウン リストは [全般] のままにしておくことができます。

手順 2: リソースを構成する

  1. [ 次へ ] を選択して、[ リソース ロール ] タブを開きます。

    このタブでは、アクセス パッケージに含めるリソースとリソース ロールを選択します。

  2. [グループとチーム] を選択し、グループの外部コラボレーションを検索します。

手順 3: 要求を構成する

  1. [ 次へ ] を選択して [要求] タブ 開きます。

    このタブでは、要求ポリシーを作成します。 ポリシーは、アクセス パッケージにアクセスするための規則またはガードレールを定義します。 リソース ディレクトリ内の特定のユーザーがこのアクセス パッケージを要求することを許可するポリシーを作成します。

  2. [ アクセスを要求できるユーザー ] セクションで、[ ディレクトリにないユーザー の場合] を選択し、[ すべてのユーザー (すべての接続された組織と新しい外部ユーザー)] を選択します。

  3. ディレクトリにまだいないユーザーは、このアクセス パッケージの要求を表示して送信できるため、[承認を要求する] 設定には [はい] が必須です。

  4. 次の設定を使用すると、外部ユーザーに対する承認の動作を構成できます。

  5. 要求者の理由を要求する場合は、[はい] のままにします。

  6. [ ステージの数 ] では、これは 1 のままにしておきます

  7. 承認者シナリオでは、[ 内部スポンサー] を選択します。 このオプションは、あなたが関わっている特定の組織のためにスポンサーを提供できるように構成された、接続された組織から提供されています。 これにより、ご自身の組織内から接続された組織で指定されたユーザーを承認者として設定できます。

  8. 決定は何日以内に行う必要がありますか? これを 14 のままにします。

  9. [ 承認者の正当な理由を要求する ] の場合は、[ はい] のままにします。

  10. [ 新しい要求と割り当てを有効にする ] を [はい ] に設定すると、このアクセス パッケージが作成されたらすぐに要求できるようになります。

手順 4: 要求者情報を構成する

  1. [ 次へ ] を選択して [ リクエスタ情報 ] タブを開く

  2. この画面では、追加の情報を要求元から収集するために、さらに質問をすることができます。 これらの質問は要求フォームに表示され、必須または省略可能に設定できます。 ここでは、これらは空のままでかまいません。

手順 5: ライフサイクルを構成する

  1. [ 次へ ] を選択して [ ライフサイクル ] タブを開く

  2. [ 有効期限 ] セクションで、[ アクセス パッケージの割り当ての有効期限] を [日数] に設定 します

  3. 割り当ての有効期限60 日に設定します。 このフィールドでは、ゲスト ユーザーがいつアクセス権を更新する必要があるかを決定します。

  4. ゲストがまだアクセス パッケージ アクセスする必要があるかどうかを定期的にチェックできるアクセス レビューを構成することもできます。 レビューを自己レビューにすることも、このタスクに特定のレビューを設定することもできます。 詳細については、「 アクセス レビュー」を参照してください。

手順 6: アクセス パッケージを確認して作成する

  1. [ 次へ ] を選択して、[ 確認と作成 ] タブを開きます。

  2. この画面では、アクセス パッケージを作成する前にその構成を確認できます。 問題がある場合は、これらのタブを使用して作成エクスペリエンスの特定のポイントに移動し、編集を行います。

  3. 選択内容に問題がなければ、[ 作成] を選択します。 しばらくすると、アクセス パッケージが正常に作成されたという通知が表示されます。

  4. 作成すると、アクセス パッケージの [概要 ] ページに移動します。 マイ アクセス ポータルのリンクを見つけて、ここで値をコピーできます。 このリンクを共有された外部ユーザーはこのパッケージを要求できるようになり、コラボレーションを開始できます。

手順 7: リソースをクリーンアップする

この手順では、 外部ユーザー パッケージ アクセス パッケージを削除できます。

  1. 少なくとも ID ガバナンス管理者として Microsoft Entra 管理センターにサインインします。

    ヒント

    このタスクを完了できる他の最小特権ロールには、アクセス パッケージ マネージャーがあります。

  2. ID ガバナンス>エンタイトルメント管理>アクセスパッケージに移動します。

  3. 外部ユーザー パッケージ アクセス パッケージを開きます。

  4. [リソース ロール] を選択します

  5. このアクセス パッケージに追加した 外部コラボレーション グループを選択し、[ 詳細 ] ウィンドウで [ リソース ロールの削除] を選択します。 表示されるメッセージで、[ はい] を選択します。

  6. アクセス パッケージの一覧を開きます。

  7. [外部ユーザー パッケージ] で、省略記号 (...) を選択し、[削除] を選択します。 表示されるメッセージで、[ はい] を選択します。

次のステップ

アプリケーションやサイトなどの他の種類のリソースへのアクセスを管理するための、アクセス パッケージの作成について説明します。 チュートリアル: エンタイトルメント管理でリソースへのアクセスを管理する