注
2025 年 4 月 1 日より、Microsoft Entra Permissions Management は購入できなくなります。2025 年 10 月 1 日に、この製品のサポートを廃止し、中止します。 詳細についてはここ を参照してください。
Microsoft Entra Permissions Management (Permissions Management) は 2025 年 10 月 1 日に廃止され、2025 年 4 月 1 日以降は新規購入ができなくなります。 既存の有料のお客様は、2025 年 4 月 1 日から 2025 年 9 月 30 日までの間、引き続きアクセス許可管理にアクセスできます。
2025 年 10 月 1 日に、Permissions Management が自動的にオフボードされ、関連付けられているデータ収集が削除されます。 2025 年 10 月 1 日より前にオフボードする必要があるお客様については、このガイドの 「オフボードステップ 」セクションを参照してください。
アクセス許可管理が廃止されるのはなぜですか?
Microsoft セキュリティ ポートフォリオから Microsoft Entra Permissions Management を段階的に廃止する決定は、イノベーション ポートフォリオを深く検討した後に行われました。また、隣接関係に関するエコシステムを使用して、差別化された分野とパートナーに合わせて最適なイノベーションを提供することに重点を置く方法を検討しました。 Microsoft Entra ID、Microsoft Entra Suite (ID 保護、ID ガバナンス、検証済み ID、インターネット アクセス、プライベート アクセスを含む)、Microsoft Entra External ID、Microsoft Entra Workload ID など、Microsoft Entra ポートフォリオ全体で最上位レベルのソリューションを提供することに引き続き取り組んでいます。
推奨されるソリューション
アクセス許可管理は廃止されるため、環境内で製品をオンボードしたお客様は移行の計画を開始することをお勧めします。 オンボードされていないお客様は、オンボーディングプロセスを開始しないようにしてください。
この移行をサポートするために、Microsoft は Delinea と提携しています。 Delineaは、クラウドネイティブで、Microsoftと完全に互換性のあるクラウドインフラストラクチャエンタイトルメント管理 (CIEM) ソリューションである「クラウドエンタイトルメントの特権制御 (PCCE)」を提供します。 PCCE には、ユーザー ID とマシン ID の両方のアクセス権を監視および調整できる権利の継続的な検出など、アクセス許可管理に相当する機能が用意されています。
できるだけ早く、9 月 30 日より前に、アクセス許可管理からの移行を開始することをお勧めします。 Microsoft は、パートナーである Delinea と共に、広範なサポートを提供することにコミットしています。
Delinea に移行する前に推奨される手順
推奨されるパートナーと共に CIEM の目標を引き続き使用するには、アクセス許可管理ポータルから次の情報をメモしておくことをお勧めします。
まず、 Microsoft Entra 管理センター に移動し、 Microsoft Entra ID にサインインし、ナビゲーション ブレードで [ アクセス許可の管理 ] をクリックします。
- Azure、アマゾン ウェブ サービス (AWS) および Google Cloud Platform (GCP) 全体で監視されている承認システム ID。 これを見つけるには、 アクセス許可管理 ポータルを起動し、[ 設定] (歯車アイコン) を選択し、[ 承認システム ] タブを選択して承認システム ID の一覧を表示します。
- Entra ID でアクセス許可管理管理者ロールを持つ管理者アクセス権を付与されたグループとユーザー。 これを見つけるには、 Entra ID を起動し、[ ロールと管理者] を選択し、[ アクセス許可管理管理者ロール] を検索して、[ 割り当て] を選択します。
- アクセス許可管理ポータルを使用してグループに提供される承認システム固有のアクセス。 これを見つけるには、 アクセス許可管理 ポータルを起動し、[ ユーザー管理] を選択し、[ グループ ] タブをクリックしてすべてのグループの割り当てを表示します。
- 環境内で構成されたカスタム レポート。 これを見つけるには、 アクセス許可管理 ポータルを起動し、[ レポート] を選択し、[ カスタム レポート] に移動します。
- 環境内で構成されたアラート。 これを見つけるには、 アクセス許可管理 ポータルを起動し、 アラート (ベル アイコン) を選択し、それぞれのアラート タブに移動します。
オフボーディング手順
推奨されるパートナーや他のベンダーにオンボードすると、お客様はオフボードを開始できます。 次の手順を順番に実行します。
- AWS、Azure、および GCP で割り当てられたアクセス許可を削除します。
- AWS および GCP 環境の OIDC アプリケーションを削除します。
- 関連付けられているデータ コレクターを削除して、アカウント/サブスクリプション/プロジェクトの一覧全体のデータ収集を停止します。これにより、新しいデータが収集されなくなり、履歴データにアクセスできなくなります。
- Cloud Infrastructure Entitlement Management (CIEM) エンタープライズ アプリケーションへのユーザー サインインを無効にする
これらの各手順の詳細なガイドラインに進みます。
AWS、Azure、GCP で割り当てられたアクセス許可を削除する
データのオフボードを成功させるには、オンボードされたクラウド プロバイダー (Azure、AWS、または GCP) とアクセス許可管理からアクセス許可を削除します。 オンボード中に割り当てられたロールとアクセス許可はすべて削除する必要があります。 これにより、環境に過剰な特権アクセスが解除され、アクセス許可管理から解除された後もセキュリティが確保されます。
アクセス許可管理ポータルからデータ コレクターの構成を参照し、設定 (歯車アイコン) を選択します。 それぞれのクラウド プロバイダーで割り当てられているロールとアクセス許可を削除するには、構成設定をメモしておきます。
AWS および GCP 環境の OIDC アプリケーションを削除する
AWS と GCP の場合は、Permissions Management が有効になっている Microsoft Entra Admin Center テナントで作成されたアプリケーションを削除します。 このアプリは、AWS および GCP 環境への OIDC (OpenID Connect) 接続を設定するために使用されました。
AWS および GCP 環境への OIDC 接続を設定するために使用されたエンタープライズ アプリケーションを見つけるには、次の手順に従います。
注
このタスクを実行するには、ユーザーに アクセス許可管理管理者 と クラウド アプリケーション管理者 ロールの割り当てが必要です。
- Microsoft Entra 管理センターに移動し、Microsoft Entra ID にサインインします。
- アクセス許可管理ポータルを起動します。
- [設定] (歯車アイコン) を選択し、[データ コレクター] タブを選択します。
- [データ コレクター] ダッシュボードで、承認システムの種類を選択します。
- AWS for Amazon Web Services。
- Google Cloud Platform のGCP。
- 省略記号 (...) をテーブルの行の末尾で選択します。
- [ 構成の編集] を選択します。 アプリは Azure アプリ 名の下にあります。
- Microsoft Entra 管理センターに移動し、Microsoft Entra ID にサインインします。
- Entra ID>App 登録に移動します。
- 検索ボックスに既存のアプリケーションの名前を入力し、検索結果からアプリケーションを選択します。
- [概要] ページで、[ 削除] を選択します。 削除の結果を確認します。 ペインの下部にボックスが表示されている場合は、オンにします。
- アプリの削除を確認する画面で [削除] を選択します。
データ収集を停止する
関連付けられているデータ コレクターを削除して、アカウント、サブスクリプション、プロジェクトの一覧のデータ収集を停止します。
注
このタスクを実行するには、 ユーザーにアクセス許可管理管理者 ロールの割り当てが必要です。
- Microsoft Entra 管理センターに移動し、Microsoft Entra ID にサインインします。
- [ アクセス許可の管理] を選択し、[ ポータルの起動] をクリックします。
- [設定] (歯車アイコン) を選択し、[データ コレクター] タブを選択します。
- [データ コレクター] ダッシュボードで、承認システムの種類を選択します。
- AWS for Amazon Web Services。
- Microsoft Azure の場合は Azure。
- Google Cloud Platform のGCP。
- 省略記号 (...) をテーブルの行の末尾で選択します。
- [ 構成の削除] を選択します。 [ アクセス許可管理のオンボード - 概要 ] ボックスが表示されます。
- を選択して、を削除します。
- メールに記載されたワンタイム パスワード (OTP) コードを確認し、それを [OTP の入力] に入力します。
- OTP を受け取らない場合は、[ OTP の再送信] を選択します。
- 次のメッセージが表示されます:
Successfully deleted configuration
。
クラウド インフラストラクチャ エンタイトルメント管理 (CIEM) エンタープライズ アプリケーションへのユーザー サインインを無効にする
すべての AWS アカウント、Azure サブスクリプション、および GCP プロジェクトのデータ収集が停止したら、クラウド インフラストラクチャ エンタイトルメント管理 (CIEM) アプリを無効にして、サインインできないようにします。 これにより、アクセス許可管理が環境 (アカウント、サブスクリプション、プロジェクト) にアクセスできなくなります。
注
このタスクを実行するには、 ユーザーにクラウド アプリケーション管理者 ロールの割り当てが必要です。
ユーザーがサインインするための CIEM アプリを無効にするには:
- Microsoft Entra 管理センターに移動し、Microsoft Entra ID にサインインします。
- Entra ID>Enterprise アプリ>すべてのアプリケーションに移動します。
- クラウド インフラストラクチャエンタイトルメント管理を検索します。 アプリが見つからない場合は、フィルターをリセットします。
- プロパティを開きます。
- ユーザーがサインインできるように [有効] を [ いいえ] に切り替えます。
次のステップ
- Permissions Management 製品の提供終了の詳細については、aka.ms/MEPMretire を参照してください。