アクセス レビューとは
Microsoft Entra ID のアクセス レビューは Microsoft Entra の一部であり、組織はこれを使用することで、グループ メンバーシップ、エンタープライズ アプリケーションへのアクセス、ロールの割り当てを効率的に管理できます。 ユーザーのアクセスを定期的にレビューし、適切なユーザーのみが継続的なアクセス権を持っていることを確認できます。
次のビデオでは、アクセス レビューの簡単な概要を説明します。
アクセス レビューが重要である理由
Microsoft Entra ID を使用すると、組織内のユーザーおよび外部ユーザーと共同作業できます。 ユーザーは、グループへの参加、ゲストの招待、クラウド アプリへの接続、リモート作業を、職場のデバイスと個人のデバイスのいずれかから行うことができます。 セルフ サービスを利用する便利さゆえ、よりよいアクセス管理機能が必要になっています。
- 新しい従業員が参加するとき、生産性のために必要なアクセス権をどのようにして確実に付与しますか。
- ユーザーがチームを移動したり会社を辞めたりするとき、どのようにして古いアクセス権を確実に削除しますか。
- アクセス権が過剰であると、侵害が行われる可能性があります。
- 過剰なアクセス権は、アクセス権を制御できていないことを示すため、監査所見で指摘される可能性もあります。
- リソースの所有者と事前に連絡を取り、リソースへのアクセス権を持つユーザーを定期的にレビューしていることを確認する必要があります。
アクセス レビュはどのような場合に使用するのですか?
- 特権ロールのユーザーが多すぎるとき: 管理者アクセス権を持っているユーザーの数、その内で全体管理者の数、管理タスクに割り当てられた後で削除されていない招待ゲストまたはパートナーがいるかどうかを確認するのはよいことです。 Microsoft Entra Privileged Identity Management (PIM) エクスペリエンスでは、グローバル管理者などの Microsoft Entra ロールまたはユーザー アクセス管理者などの Azure リソース ロールでロール割り当てユーザーを認定できます。
- 自動化が不可能なとき: セキュリティ グループまたは Microsoft 365 のグループで動的メンバーシップに対するルールを作成できますが、HR データが Microsoft Entra ID 内にない場合や、ユーザーがグループを離れた後で後任のトレーニングのためにアクセスする必要がある場合はどうしますか。 そのようなときは、そのグループに対してレビューを作成し、引き続きアクセスを必要とする者に引き続きアクセスが与えられるようにできます。
- グループが新しい目的に使用されるとき: Microsoft Entra ID に同期されるグループがある場合、または営業チーム グループの全員に対して Salesforce アプリケーションを有効にする場合は、異なるリスク コンテンツでグループを使用する前にグループ メンバーシップを確認するようグループ所有者に依頼するとよいことがあります。
- ビジネス クリティカルなデータ アクセス:ビジネス クリティカルなアプリケーションなど、特定のリソースについては、コンプライアンス プロセスの一環として、継続的なアクセスが必要な理由を定期的に再確認し、妥当性を示すようにユーザーに求める必要があります。
- ポリシーの例外リストを維持するため: 理想的な世界では、すべてのユーザーが、組織のリソースへのアクセスをセキュリティで保護するアクセス ポリシーに従っているでしょう。 ただし、ビジネス ケースには、例外を認める必要がある場合もあります。 IT 管理者は、このタスクを管理し、ポリシー例外の見落としを防ぎ、これらの例外が定期的にレビューされている証明を監査者に提供することができます。
- グループの所有者に、グループ内にゲストがまだ必要であることを確認するように依頼します: 従業員のアクセスは、HR ソースからのデータに基づくライフサイクル ワークフローなど、他の ID およびアクセス管理機能で自動化される可能性がありますが、招待されたゲストは使用できません。 グループでビジネスの重要なコンテンツへのアクセス権をゲストに付与する場合、ゲストにアクセスに対する正当なビジネス ニーズがまだあることを確認するのは、グループ所有者の責任です。
- 定期的にレビューを繰り返す場合: 毎週、毎月、毎四半期、毎年などの設定された周期でユーザーのアクセス レビューを繰り返すよう設定することができ、レビュー担当者は各レビューの開始時に通知されます。 レビュー担当者は、使いやすいインターフェイスとスマートな推奨事項の助けを借りてアクセスを承認または拒否することができます。
注意
アクセス レビューを試す準備ができたら、グループまたはアプリケーションのアクセス レビューの作成に関するページを参照してください
レビューを作成する場所
レビューする必要がある内容に応じて、アクセス レビュー、Microsoft Entra ID エンタープライズ アプリ、PIM、またはエンタイトルメント管理でアクセス レビューを作成します。
| ユーザーのアクセス権 | レビュー担当者 | レビューが作成される場所 | レビュー担当者のエクスペリエンス |
|---|---|---|---|
| セキュリティ グループ メンバーOffice グループ メンバー | 指定されたレビュー担当者グループの所有者自己レビュー | アクセス レビュー Microsoft Entra グループ | アクセス パネル |
| 接続されたアプリに割り当て | 指定されたレビュー担当者自己レビュー | アクセス レビューMicrosoft Entra エンタープライズ アプリ | アクセス パネル |
| Microsoft Entra ロール | 指定されたレビュー担当者自己レビュー | PIM | Microsoft Entra 管理センター |
| Azure リソース ロール | 指定されたレビュー担当者自己レビュー | PIM | Microsoft Entra 管理センター |
| アクセス パッケージの割り当て | 指定されたレビュー担当者グループ メンバー自己レビュー | エンタイトルメント管理 | アクセス パネル |
ライセンスの要件
組織のユーザーがこの機能を使うには、Microsoft Entra ID Governance のサブスクリプションが必要です。 この機能に含まれる一部の機能は、Microsoft Entra ID P2 サブスクリプションで動作する場合があります。詳しくは、各機能の記事をご覧ください。 要件に適したライセンスを見つけるには、「Microsoft Entra ID ガバナンス ライセンスの基礎」をご覧ください。
Note
ユーザー対グループの所属に関する推奨事項を使って、非アクティブなユーザーについてのレビューを作成するには、Microsoft Entra ID Governance のライセンスが必要です。