Azure AD でグループとアプリケーションのアクセス レビューを作成する

従業員およびゲストに対するグループやアプリケーションへのアクセスは、時間の経過と共に変化します。 アクセスの割り当てが古いことで生じるリスクを軽減するために、管理者は、グループ メンバーまたはアプリケーションのアクセスに対するアクセス レビューを Azure Active Directory (Azure AD) を使用して作成することができます。

Microsoft 365 およびセキュリティのグループ所有者は、グローバル管理者またはユーザー管理者が [アクセス レビューの設定] ペイン (プレビュー) でこの設定を有効にしている限り、Azure AD を使用してグループ メンバーのアクセス レビューを作成することもできます。 これらのシナリオの詳細については、アクセス レビューの管理に関するページを参照してください。

アクセスレビューの有効化について説明した短いビデオをご覧ください。

この記事では、グループ メンバーまたはアプリケーションのアクセスに対して 1 つ以上のアクセス レビューを作成する方法について説明します。

前提条件

  • Azure AD Premium P2。
  • グループまたはアプリケーションに関するレビューを作成するためのグローバル管理者、ユーザー管理者、または ID ガバナンス管理者。
  • グローバル管理者と特権ロール管理者は、ロール割り当て可能なグループに関するレビューを作成できます。 詳細については、「Azure AD グループを使用してロール割り当てを管理する」をご覧ください。
  • (プレビュー) Microsoft 365 およびセキュリティのグループ所有者。

詳細については、「License requirements ライセンスの要件」を参照してください。

1 つ以上のアクセス レビューを作成する

  1. Azure portal にサインインし、[ID ガバナンス] ページを開きます。

  2. 左側のメニューで、 [アクセス レビュー] を選択します。

  3. [新しいアクセス レビュー] を選択して、新しいアクセス レビューを作成します。

    [ID ガバナンス] の [アクセス レビュー] ペインを示すスクリーンショット。

  4. [レビュー対象を選択する] ボックスで、どのリソースをレビューするかを選択します。

    アクセス レビューの作成を示すスクリーンショット。

  5. [チームとグループ] を選択した場合は、次の 2 つのオプションがあります。

    • [ゲスト ユーザーを含むすべての Microsoft 365 グループ] : このオプションは、組織内のすべての Microsoft Teams および Microsoft 365 グループのすべてのゲスト ユーザーに関する定期的なレビューを作成する場合に選択します。 動的グループとロール割り当て可能なグループは含まれません。 [含めないグループを選択] を選択して個々のグループを除外することも選択できます。

    • [チームとグループの選択] : このオプションは、レビューするチームまたはグループの有限のセットを指定する場合に選択します。 選択できるグループの一覧が右側に表示されます。

      [チームとグループ] の選択を示すスクリーンショット。

  6. [アプリケーション] を選択した場合は、1 つ以上のアプリケーションを選択します。

    グループではなく、アプリケーションを選択した場合に表示されるインターフェイスを示すスクリーンショット。

    注意

    複数のグループまたはアプリケーションを選択すると、複数のアクセス レビューが作成されます。 たとえば、レビューするグループを 5 つ選択した場合は、5 つの個別のアクセス レビューが作成されます。

  7. 次に、レビューのスコープを選択できます。 オプションは次のとおりです。

    • [ゲスト ユーザーのみ] : このオプションでは、アクセス レビューがディレクトリ内の Azure AD B2B ゲスト ユーザーのみに制限されます。
    • [全員] : このオプションでは、アクセス レビューが、そのリソースに関連付けられているすべてのユーザー オブジェクトにスコープ指定されます。

    注意

    [ゲスト ユーザーを含むすべての Microsoft 365 グループ] を選択した場合は、 [ゲスト ユーザーのみ] のレビューが唯一のオプションになります。

  8. [次へ: レビュー] を選択します。

  9. [レビュー担当者を指定する] セクションの [レビュー担当者を選択する] ボックスで、アクセス レビューを実行する 1 人または複数のメンバーを選択します。 次の項目から選択できます。

    • [グループ所有者] : このオプションは、チームまたはグループに関するレビューを実行する場合にのみ使用できます。
    • Selected user(s) or groups(s) (選択したユーザーまたはグループ)
    • [ユーザーによる自分のアクセスのレビュー]
    • [ユーザーの管理者]

    [ユーザーの管理者] または [グループ所有者] のどちらかを選択した場合は、フォールバック レビュー担当者も指定できます。 フォールバック レビュー担当者は、そのユーザーの管理者がディレクトリで指定されていないか、またはそのグループに所有者がいない場合にレビューを実行するよう求められます。

    新しいアクセス レビューを示すスクリーンショット。

  10. [レビューの繰り返しの指定] セクションで、次の選択を指定します。

    • [期間 (日数)] : レビューがレビュー担当者からの入力のために開かれている期間。

    • [開始日] : 一連のレビューが開始される日。

    • [終了日] : 一連のレビューが終了する日。 [なし] を選択して、終了しないことを指定できます。 または、 [特定の日付に終了する] または [複数回実行後に終了する] を選択できます。

      レビューが実行される頻度の選択を示すスクリーンショット。

  11. [次へ: 設定] を選択します。

  12. [完了時の設定] セクションで、レビューが完了した後の処理を指定できます。

    [完了時の設定] を示すスクリーンショット。

    • [リソースへの結果の自動適用] : 拒否されたユーザーのアクセスがレビュー期間の終了後に自動的に削除されるようにする場合は、このチェックボックスをオンにします。 このオプションが無効になっている場合は、レビューが完了したときに結果を手動で適用する必要があります。 レビューの結果の適用の詳細については、アクセス レビューの管理に関するページを参照してください。

    • [レビュー担当者が応答しない場合] : レビュー期間内に、どのレビュー担当者にもレビューされなかったユーザーに対する処理を指定するには、このオプションを使用します。 この設定は、レビュー担当者によってレビューされたユーザーには影響を与えません。 ドロップダウン リストには、次のオプションが表示されます。

      • [変更なし] : ユーザーのアクセスを変更されないままにします。
      • [アクセス権の削除] : ユーザーのアクセスを削除します。
      • [アクセスを承認する] : ユーザーのアクセスを承認します。
      • [推奨事項の実行] : ユーザーの継続的なアクセスを拒否または承認するために、システムの推奨事項を実行します。
    • [拒否されたゲスト ユーザーに適用するアクション] : このオプションは、レビュー担当者または [レビュー担当者が応答しない場合] の設定によって拒否されたときのゲスト ユーザーに対する処理を指定するために、アクセス レビューがゲスト ユーザーのみを含むようにスコープ指定されている場合にのみ使用できます。

      • [ユーザーのメンバーシップをリソースから削除します] : このオプションでは、拒否されたゲスト ユーザーのレビュー対象のグループまたはアプリケーションへのアクセスを削除します。 これらのユーザーは、そのテナントに引き続きサインインでき、他のどのアクセスも失いません。
      • [ユーザーのサインインを 30 日間ブロックした後、テナントからユーザーを削除します] : このオプションでは、拒否されたゲスト ユーザーを、他のリソースにアクセスできるかどうかには関係なく、そのテナントへのサインインからブロックします。 このアクションが誤って実行された場合、管理者は、ゲスト ユーザーが無効になってから 30 日以内にそのユーザーのアクセスを再び有効にすることができます。 無効になったゲスト ユーザーに対して 30 日後まで何もアクションが実行されなかった場合、これらのユーザーはテナントから削除されます。

    組織内のリソースにアクセスできなくなったゲスト ユーザーを削除するためのベスト プラクティスの詳細については、Azure AD Identity Governance を使用して、リソースへのアクセス権がなくなった外部ユーザーを確認および削除する方法に関するページを参照してください。

    注意

    [拒否されたゲスト ユーザーに適用するアクション] は、ゲスト ユーザーを超える数にスコープ指定されたレビューでは構成できません。 また、ゲスト ユーザーを含むすべての Microsoft 365 グループ のレビューに対して構成することもできません。 構成できない場合は、そのリソースからユーザーのメンバーシップを削除する既定のオプションが拒否されたユーザーに対して使用されます。

  13. 完了の更新を含む通知を他のユーザーまたはグループに送信するには、 [レビュー終了時の通知の送信先] オプションを使用します。 この機能により、レビュー作成者以外の利害関係者も、通知を受け取ってレビューの進行状況を把握できます。 この機能を使用するには、 [ユーザーまたはグループの選択] を選択し、完了の状態を受信するようにする別のユーザーまたはグループを追加します。

  14. [レビュー担当者の意思決定ヘルパーを有効にする] セクションで、レビュー担当者がレビュー プロセス中に推奨事項を受信するようにするかどうかを選択します。 有効になっている場合は、過去 30 日間にサインインしたユーザーが承認するよう推奨されます。 過去 30 日間にサインインしていないユーザーは拒否するよう推奨されます。

    注意

    アプリケーションに基づいてアクセス レビューを作成する場合、その推奨事項は、ユーザーがテナントにではなく、アプリケーションにいつ最後にサインインしたかに応じた 30 日の期間に基づきます。

    [レビュー担当者の意思決定ヘルパーを有効にする] オプションを示すスクリーンショット。

  15. [詳細設定] セクションで、次のオプションを選択できます。

    • [正当な理由が必要] : レビュー担当者が承認または拒否の理由を指定する必要があるようにするには、このチェックボックスをオンにします。

    • [電子メール通知] : アクセス レビューの開始時はレビュー担当者に、レビューの完了時は管理者に Azure AD から電子メール通知を送信するようにするには、このチェックボックスをオンにします。

    • [リマインダー] : 進行中のアクセス レビューのリマインダーを Azure AD からすべてのレビュー担当者に送信するようにするには、このチェックボックスをオンにします。 レビュー担当者は、レビューを完了しているかどうかには関係なく、レビューの途中でリマインダーを受信します。

    • [レビュー担当者のメールの追加コンテンツ] : レビュー担当者に送信される電子メールのコンテンツは、レビュー名、リソース名、期限などのレビューの詳細に基づいて自動生成されます。 詳細情報を伝える必要がある場合は、指示や連絡先情報などの詳細をボックスに指定できます。 入力する情報は招待に含まれ、割り当てられたレビュー担当者にリマインダー電子メールが送信されます。 次の画像で強調表示されているセクションは、この情報が表示される場所を示しています。

      レビュー担当者の追加コンテンツを示すスクリーンショット。

  16. 確認と作成 を選択します。

    [レビューと作成] タブを示すスクリーンショット。

  17. アクセス レビューに名前を付けます。 必要に応じて、そのレビューに説明を加えます。 その名前と説明がレビュアーに示されます。

  18. 情報を確認し、 [作成] を選択します。

グループ所有者が自分のグループのアクセス レビューを作成および管理できるようにする (プレビュー)

事前に必要なロールは、グローバル管理者またはユーザー管理者です。

  1. Azure portal にサインインして、[Identity Governance] ページを開きます。

  2. 左側のメニューで、 [アクセス レビュー][設定] を選択します。

  3. [アクセス レビューを作成および管理できるユーザーの委任] ページで、 [(プレビュー) グループ所有者は、所有するグループのアクセス レビューを作成および管理できます][はい] に設定します。

    グループ所有者がレビューできるようにする方法を示すスクリーンショット。

    注意

    既定では、この設定は [いいえ] に設定されています。 グループ所有者がアクセス レビューを作成および管理できるようにするには、この設定を [はい] に変更します。

アクセス レビューを開始する

アクセス レビューの設定を指定したら、 [開始] を選択します。 アクセス レビューが、その状態のインジケーターと共に一覧に表示されます。

アクセス レビューとその状態の一覧を示すスクリーンショット。

既定では、レビューの開始直後に Azure AD からレビュー担当者宛てにメールが送信されます。 Azure AD からメールを送信することを選択しなかった場合は、アクセス レビューが実行待ちになっていることを必ずレビュー担当者に伝えてください。 レビュー担当者には、グループまたはアプリケーションへのアクセスをレビューする手順を案内することができます。 レビュー対象がゲストで、自分のアクセスをレビューしてもらう場合は、グループまたはアプリケーションへの自身のアクセス権をレビューする手順を案内します。

ゲストがレビュー担当者として割り当てられていても、テナントへの招待を受け入れていない場合、そのゲストはアクセス レビューからの電子メールを受信しません。 ゲストがレビューを開始するには、まず招待を受け入れる必要があります。

アクセス レビューを更新する

1 つ以上のアクセス レビューが開始された後、既存のアクセス レビューの設定を変更または更新することもできます。 考慮すべきいくつかの一般的なシナリオを次に示します。

  • 設定またはレビュー担当者を更新する: アクセス レビューが定期的である場合は、 [現在][シリーズ] の下に個別の設定があります。 [現在] で設定またはレビュー担当者を更新すると、その変更は現在のアクセス レビューにのみ適用されます。 [シリーズ] で設定を更新すると、今後のすべての繰り返しの設定が更新されます。

    アクセス レビューの設定の更新を示すスクリーンショット。

  • レビュー担当者を追加および削除する: アクセス レビューを更新するとき、プライマリ レビュー担当者に加えて、フォールバック レビュー担当者を追加することも選択できます。 プライマリ レビュー担当者は、アクセス レビューを更新したときに削除される可能性があります。 フォールバック レビュー担当者は、設計上削除できません。

    注意

    フォールバック レビュー担当者は、レビュー担当者の種類が管理者またはグループ所有者である場合にのみ追加できます。 レビュー担当者の種類が選択されたユーザーである場合は、プライマリ レビュー担当者を追加できます。

  • レビュー担当者に通知する: アクセス レビューを更新するとき、 [詳細設定][リマインダー] オプションを有効にすることも選択できます。 その場合、ユーザーはレビューを完了しているかどうかには関係なく、レビュー期間の途中で電子メール通知を受信します。

    レビュー担当者への通知を示すスクリーンショット。

次のステップ