エンタイトルメント管理でアクセス パッケージの確認済み ID 設定を構成する

アクセス パッケージ ポリシーを設定するときに、管理者は、それがディレクトリ内のユーザー、接続された組織、任意の外部ユーザーのいずれに対するものなのかを指定できます。 エンタイトルメント管理は、アクセス パッケージを要求するユーザーがポリシーのスコープ内であるかどうかを判断します。

要求プロセス中に、トレーニングの認定資格、仕事の承認、市民権の状態などの追加の ID 証明の提示をユーザーに求めることがあります。 アクセス パッケージ マネージャーは、要求元に、信頼された発行者からの資格情報を含む確認済み ID を提示するように要求できます。 これで、ユーザーが資格情報を提示し、アクセス パッケージ要求を送信した時点で、ユーザーの検証可能な資格情報が検証されたかどうかを承認者がすぐに確認できます。

アクセス パッケージ マネージャーは、アクセス権を要求する既存のポリシーを編集するか、新しいポリシーを追加することで、アクセス パッケージに対する確認済み ID 要件をいつでも含めることができます。

この記事では、アクセス パッケージの確認済み ID 要件設定を構成する方法について説明します。

前提条件

開始する前に、Microsoft Entra Verified ID サービスを使用するようにテナントを設定する必要があります。 その方法の詳細な手順については、「Microsoft Entra 確認済み ID 用にテナントを構成する」を参照してください。

ライセンスの要件

この機能を使用するには、Microsoft Entra ID ガバナンス ライセンスが必要です。 要件に適したライセンスを見つけるには、「Microsoft Entra ID ガバナンス ライセンスの基礎」をご覧ください。

確認済み ID 要件があるアクセス パッケージを作成する

ヒント

この記事の手順は、開始するポータルに応じて若干異なる場合があります。

アクセス パッケージに確認済み ID 要件を追加するには、アクセス パッケージの [要求] タブから開始する必要があります。確認済み ID 要件を新しいアクセス パッケージに追加するには、次の手順に従います。

前提条件のロール: グローバル管理者

Note

ID ガバナンス管理者、ユーザー管理者、カタログ所有者、または アクセス パッケージ マネージャーは、まもなくアクセス パッケージに確認済み ID 要件を追加できるようになります。

  1. Microsoft Entra 管理センターIdentity Governance 管理者以上としてサインインします。

  2. [Identity governance] (ID ガバナンス)>[エンタイトルメント管理]>[アクセス パッケージ] の順に移動します。

  3. [アクセス パッケージ] ページで、[+ New access package] (新しいアクセス パッケージを作成する) を選択します。

  4. [要求] タブで、[必須の確認済み ID] セクションまでスクロールします。

  5. [+ 発行者の追加] を選択し、Microsoft Entra Verified ID ネットワークから発行者を選択します。 ユーザーに独自の資格情報を発行する場合は、「アプリケーションから Microsoft Entra 確認済み ID の資格情報を発行する」を参照してください。 Select issuer for Microsoft Entra Verified I D.

  6. 要求プロセス中にユーザーに提示を求める資格情報の種類を選択します。 Screenshot of credential types for Microsoft Entra Verified I D.

    Note

    1 つの発行者から複数の資格情報の種類を選択すると、ユーザーは選択したすべての種類の資格情報の提示を求められます。 同様に、複数の発行者を含めると、ユーザーはポリシーに含めた各発行者の資格情報の提示を求められます。 さまざまな発行者の異なる資格情報を提示するオプションをユーザーに提供するには、受け入れる発行者/資格情報の種類ごとに別個のポリシーを構成します。

  7. [追加] を選択して、アクセス パッケージ ポリシーに確認済み ID 要件を追加します。

  8. 残りの設定の構成が完了したら、[確認 + 作成] タブで選択内容を確認できます。[確認済み ID] セクションで、このアクセス パッケージ ポリシーのすべての検証済み ID 要件を確認できます。 Screenshot of a list of verified IDs.

確認済み ID 要件があるアクセス パッケージを要求する

確認済み ID 要件があるアクセス パッケージを構成すると、ポリシーのスコープ内にあるエンド ユーザーは、マイ アクセス ポータルを使用してアクセスを要求できます。 同様に、承認者は、承認要求をレビューするときに要求者によって提示された VC の要求を確認できます。

要求者の手順は次のとおりです。

  1. myaccess.microsoft.com に移動してサインインします。

  2. アクセスを要求するアクセス パッケージを検索し (一覧表示されているパッケージを参照するか、ページの上部にある検索バーを使用できます)、[要求] を選択します。

  3. アクセス パッケージが確認済み ID の提示を要求する場合は、次のように灰色の情報バナーが表示されます。Screenshot of the present verified ID for access package option.

  4. [アクセス権の要求] を選択します。 ここで、QRコードが表示されます。 スマートフォンを使用して QR コードをスキャンします。 これにより Microsoft Authenticator が起動し、資格情報の共有を求められます。 Screenshot of use QR code for verified IDs.

  5. 資格情報を共有すると、マイ アクセスによって自動的に要求プロセスの次の手順に進みます。

次のステップ

アクセス パッケージ管理者にアクセス ガバナンスを委任する