エンタイトルメント管理とは

エンタイトルメント管理は identity governance 機能であり、組織は、要求ワークフロー、access割り当て、レビュー、有効期限access自動化することで、ID とaccessのライフサイクルを大規模に管理できます。

組織内のユーザーは、さまざまなグループ、アプリケーション、SharePoint Online サイトにアクセスして仕事を行う必要があります。 要件の変化に応じて、このaccessの管理は困難です。 新しいアプリケーションが追加されるか、ID により多くのaccess権限が必要です。 このシナリオは、外部の組織と共同作業する場合はさらに複雑になります。 組織のリソースにaccessする必要がある他の組織のユーザーがわからない場合や、組織で使用しているアプリケーション、グループ、またはサイトが不明な場合があります。

エンタイトルメント管理を使用すると、グループ、アプリケーション、SharePoint Online サイトへのアクセスを、内部 ID や、それらのリソースにアクセスする必要がある組織外の ID に対して、より効率的に管理できます。 また、プレビュー版のエンタイトルメント管理を使って、エージェントIDにグループ、API権限、役割を割り当てることもできます。

エンタイトルメント管理を使用する理由

エンタープライズ組織は、多くの場合、次のようなリソースに対する従業員accessを管理する際に課題に直面します。

• ID は、自分のaccess、直属の部下、またはスポンサーが持つべきエージェントを知らない可能性があり、そうする場合でも、accessを承認する適切な個人を見つけるのが困難になる可能性がありますaccess
• リソースへのaccessが検出されて割り当てられると、ID はビジネス ニーズに必要以上に長くaccessに保持される可能性があります

これらの問題は、サプライ チェーン組織や他のビジネス パートナーからの外部 ID など、別の組織からのaccessを必要とする ID に対して複合化されます。 次に例を示します。

• 他社のディレクトリ内のすべての個人を把握する人物がおらず、それらのユーザーを招待できない場合がある
• これらの ID を招待できたとしても、その組織内の誰も一貫してすべての ID を管理することを覚えていないaccess

エンタイトルメント管理は、これらの課題への対処に役立ちます。 お客様がエンタイトルメント管理をどのように使用してきたかについて詳しくは、Mississippi Division of Medicaid、Storebrand、および Digital Security and Resilience Team (Microsoftのケース スタディを参照してください。 下記のビデオでは、エンタイトルメント管理とそのメリットについて概説しています。

エンタイトルメント管理では何ができますか?

エンタイトルメント管理の機能の一部を次に示します。

• アプリケーション、グループ、Teams、SharePoint サイト、SAP IAG アクセス権、その他のリソースにマルチステージ承認でアクセスできるユーザーを制御し、時間制限付きの割り当てと定期的なアクセス レビューを通じて ID が無期限にアクセスを保持しないようにします。
• 部門やコスト センターなどの ID プロパティに基づいて、それらのリソースに ID accessを自動的に付与し、それらのプロパティが変更されたときに ID のaccessを削除します。
• エージェント ID を必要なリソースにaccessし、エージェント ID のスポンサーが、必要な場合にのみaccessが維持されるようにします。
• access パッケージを作成する機能を管理者以外に委任します。 これらのaccess パッケージには、ID が要求できるリソースが含まれており、委任されたaccess パッケージ マネージャーは、ID が要求できるルール、accessを承認する必要があるユーザー、およびaccess有効期限が切れるタイミングを持つポリシーを定義できます。
• ID がaccessを要求できる接続されている組織を選択します。 ディレクトリにまだいない ID がaccessを要求し、承認されると、その ID は自動的にディレクトリに招待され、access割り当てられます。 accessの有効期限が切れると、他のaccess パッケージの割り当てがない場合は、ディレクトリ内の B2B アカウントを自動的に削除できます。

注意

エンタイトルメント管理を試す準備ができたら、tutorial でget startedして、最初のaccess パッケージを作成できます。

また、一般的なシナリオや下記のビデオも参考にできます

• 組織でエンタイトルメント管理をデプロイする方法
• エンタイトルメント管理の使用を監視し、スケーリングする方法
• エンタイトルメント管理で委任を行う方法

access パッケージとは何ですか。また、それらのパッケージで管理できるリソースは何ですか?

エンタイトルメント管理では、access パッケージの概念が導入されています。 access パッケージは、id がprojectで動作するか、タスクを実行する必要があるaccessを持つすべてのリソースのバンドルです。 Access パッケージを使用して、内部 ID のaccessを管理したり、組織外の ID を管理したりできます。

エンタイトルメント管理を使用して、ID のaccessを管理できるリソースの種類を次に示します。

• Microsoft Entra セキュリティ グループのメンバーシップ
• Microsoft 365 グループと Teams のメンバーシップ
• フェデレーション/シングル サインオンやプロビジョニングをサポートする SaaS アプリケーションやカスタム統合アプリケーションなど、Microsoft Entraエンタープライズ アプリケーションへの割り当て
• SharePoint Online サイトのメンバーシップ
• エージェント ID またはサービス プリンシパルを持つエージェントの API アクセス許可(Microsoft Entra エージェント IDの一部としてプレビュー段階)
• プレビュー段階の SAP IAG ビジネス ロールとその他のaccess権限

Microsoft Entraセキュリティ グループまたはMicrosoft 365 グループに依存する他のリソースへのアクセスを制御することもできます。 次に例を示します。

• アクセス パッケージ内のMicrosoft Entra セキュリティ グループを使用し、そのグループの group ベースのライセンスを構成することで、Microsoft 365の ID ライセンスを付与できます。
• アクセス パッケージ内のMicrosoft Entra セキュリティ グループを使用し、そのグループのAzureロールの割り当てを作成することで、ID にAzure リソースを管理するためのアクセス権を付与できます。
• アクセス パッケージ内のMicrosoft Entra ロールに割り当て可能なグループを使用し、Microsoft Entra ロールをそのグループに割り当てる>を使用して、id にMicrosoft Entraロールを管理するためのアクセス権を付与できます。

accessを取得するユーザーを制御How do I?

アクセス パッケージを使用すると、管理者または委任されたアクセス パッケージ マネージャーがリソース (グループ、アプリ、サイト、Microsoft Entraロール、および API のアクセス許可) と、それらのリソースに必要な ID ロールを一覧表示します。

Access パッケージには、1 つ以上の policies も含まれます。 ポリシーは、access パッケージに割り当てるルールまたはガードレールを定義します。 各ポリシーを使用して、適切な ID のみがaccess割り当てを持ち、更新されない場合にaccessの有効期限が切れるようにすることができます。

access パッケージと policies.

accessを要求する ID のポリシーを設定できます。 これらの種類のポリシーでは、管理者またはaccess package managerが定義します。

• 既存の ID (通常は従業員または既に招待されたゲスト)、またはaccessを要求する資格がある外部 ID のパートナー組織
• 承認プロセスと、accessを承認または拒否できる ID
• ID のaccess割り当ての期間 (承認後、割り当てが期限切れになるまで)

また、管理者、規則に基づいて、またはライフサイクル ワークフローを通じてaccessに割り当てられる ID のポリシーを設定することもできます。

次の図は、エンタイトルメント管理のさまざまな要素の例を示します。 2 つのサンプル access パッケージを含む 1 つのカタログが表示されます。

• Access パッケージ 1 には、リソースとして 1 つのグループが含まれています。 Accessは、ディレクトリ内の一連の ID がaccessを要求できるようにするポリシーで定義されます。
• Access パッケージ 2 には、グループ、アプリケーション、SharePoint Online サイトがリソースとして含まれています。 Accessは、2 つの異なるポリシーで定義されます。 最初のポリシーでは、ディレクトリ内の一連の ID がaccessを要求できるようにします。 2 番目のポリシーでは、外部ディレクトリ内の ID がaccessを要求できるようにします。

access パッケージを使用する必要がある場合

Access パッケージでは、access割り当ての他のメカニズムは置き換えられません。 アクセス パッケージは、次のような状況で使用するのに適しています。

• アクセス ポリシー定義をサード パーティの enterprise ロール管理からMicrosoft Entra IDに移行する。
• ID には、特定のタスクに対して時間制限付きのaccessが必要です。 たとえば、グループベースのライセンスと動的グループを使用して、すべての従業員が Exchange Online メールボックスを持っていることを確認し、従業員がより多くのアクセス権を必要とする状況にアクセス パッケージを使用できます。 たとえば、ある部署のリソースを別の部署から読み取る権限があります。
• 管理者またはその他の指定された個人の承認を必要とするAccess。
• Access、その職務の期間中に組織の特定の部分のユーザーに自動的に割り当てる必要がありますが、組織内の他の場所やビジネス パートナー組織のユーザーが要求することもできます。
• 部門は、IT 部門が関与することなく、リソースの独自のaccess ポリシーを管理したいと考えています。
• 2 つ以上の組織が 1 つのプロジェクトで共同作業を行っており、その結果、別の組織のリソースにアクセスするには、Microsoft Entra B2B を介して 1 つの組織の複数の ID を取り込む必要があります。

デリゲート access How do I?

Access パッケージは、catalogs と呼ばれるコンテナーで定義されます。 すべてのaccess パッケージに対して 1 つのカタログを作成することも、独自のカタログを作成して所有するように個人を指定することもできます。 管理者は任意のカタログにリソースを追加できますが、管理者以外のユーザーは、自分が所有しているリソースしかカタログに追加できません。 カタログ所有者は、他の ID をカタログ共同所有者として、またはパッケージ マネージャー access追加できます。 これらのシナリオについては、エンタイトルメント管理での委任とロールに関する記事で詳しく説明しています。

用語の概要

エンタイトルメント管理とそのドキュメントについてより深く理解するために、次の用語一覧を確認してください。

期間	説明
アクセス パッケージ	チームまたはprojectが必要とし、ポリシーで管理されるリソースのバンドル。 access パッケージは常にカタログに含まれます。 ID が自身のためにaccessを要求する必要があるシナリオ用の新しいaccess パッケージを作成します。
access要求	access パッケージ内のリソースをaccessする要求。 要求は通常、承認ワークフローを通じて処理されます。 承認された場合、要求側 ID はaccess パッケージの割り当てを受け取ります。
代入	ID にaccess パッケージを割り当て、ID にそのaccess パッケージのすべてのリソース ロールが割り当てられていることを確認します。 Accessパッケージの割り当ては、通常、有効期限が切れる前に制限があります。
カタログ	関連するリソースとaccess パッケージのコンテナー。 カタログは委任に使用されるため、管理者以外のユーザーは独自のaccess パッケージを作成できます。 カタログ所有者は、自分が所有するリソースをカタログに追加できます。
カタログ作成者	新しいカタログを作成する権限を持つアイデンティティの集合体です。 非管理者の身分がカタログ作成者として認可されている場合、新しいカタログを作成すると、そのカタログの所有者を自動的に取得します。
接続されている組織	関係がある外部Microsoft Entraディレクトリまたはドメイン。 接続された組織の ID は、accessの要求が許可されているポリシーで指定できます。
ポリシー	ID のaccess方法、承認できるユーザー、割り当てを通じてaccessする期間など、accessライフサイクルを定義する一連のルール。 ポリシーは、access パッケージにリンクされます。 たとえば、access パッケージには、従業員がaccessを要求するためのポリシーと、外部 ID がaccessを要求するためのポリシーの 2 つがあります。
リソース	ID にアクセス許可を付与できるロールを持つ、Office グループ、セキュリティ グループ、アプリケーション、SharePoint Online サイトなどの資産。
リソース ディレクトリ	共有する 1 つ以上のリソースがあるディレクトリ。
リソース ロール	リソースに関連付けられ、リソースによって定義されている一連のアクセス許可のことです。 グループには 2 つのロールがあります (メンバーと所有者)。 SharePoint サイトには通常、3 つのロールがありますが、他のカスタム ロールを持つことができます。 アプリケーションにはカスタム ロールを設定できます。

ライセンス要件

この機能には、組織のユーザーのMicrosoft Entra ID ガバナンスまたはMicrosoft Entra スイートサブスクリプションが必要です。 この機能内の一部の機能は、Microsoft Entra ID P2 サブスクリプションで動作する場合があります。 詳細については、各機能の記事を参照してください。 要件に適したライセンスを見つけるには、Microsoft Entra ID ガバナンス ライセンスの基礎を参照してください。

access パッケージにエージェントを割り当てるためのライセンス要件 (プレビュー)

Microsoft Entra エージェント IDは、Microsoft Agent 365 の一部です。 エージェント ID 機能を使用するには、Microsoft Agent 365 または Microsoft 365 E7 ライセンスが必要です。 ライセンスを取得したユーザーに代わって行動するすべてのエージェントは、そのユーザーのライセンスの対象となります。 エージェントは、独自のライセンスを必要としません。 価格の詳細については、Microsoft Agent 365 のライセンスに関する FAQ を参照してください。

エージェントの一部のMicrosoft Entraセキュリティ機能には、追加のライセンスが必要です。

• エージェントのConditional Access: P1 または Microsoft 365 E3 をMicrosoft Entra IDします。
• エージェントの ID 保護: P2、Microsoft 365 E5、またはMicrosoft Entra スイートをMicrosoft Entra IDします。
• エージェントのID ガバナンス: Microsoft Entra ID P1 または Microsoft 365 E3。
• エージェントのネットワーク コントロール: Microsoft Entra Internet Access、Microsoft Entra スイートに含まれるか、個別にライセンスされます。 詳細については、「 グローバルセキュリティで保護されたアクセスとは」を参照してください。

次のステップ

• Microsoft Entra 管理センターを使用してリソースへのアクセスを管理する場合は、「Tutorial: リソースへのアクセスの管理 - Microsoft Entra」を参照してください。
• Microsoft Graphを使用してリソースへのアクセスを管理する場合は、「Tutorial: リソースへのアクセスの管理 - Microsoft Graph
• 一般的なシナリオ