チュートリアル: エンタイトルメント管理でリソースへのアクセスを管理する

  • [アーティクル]

グループ、アプリケーション、サイトなど、従業員が必要とするすべてのリソースに対するアクセスを管理することは、組織にとって重要な機能の 1 つです。 従業員に生産性の向上に必要となる適切なレベルのアクセス権を付与し、必要なくなったらそれらのアクセス権を削除する必要があります。

このチュートリアルでは、あなたは Woodgrove Bank の IT 管理者として勤務しています。 あなたは、内部ユーザーがセルフサービスの要求に使用できるマーケティング キャンペーン用のリソースのパッケージを作成するように依頼されました。 要求に承認は必要なく、ユーザーのアクセス権は 30 日後に有効期限が切れます。 このチュートリアルでは、マーケティング キャンペーンのリソースは 1 つのグループ内のメンバーシップにすぎませんが、グループ、アプリケーション、または SharePoint Online サイトのコレクションである場合もあります。

Diagram that shows the scenario overview.

このチュートリアルでは、次の作業を行う方法について説明します。

  • グループをリソースとしてアクセス パッケージを作成する
  • ディレクトリ内のユーザーがアクセスを要求することを許可する
  • 内部ユーザーがどのようにしてアクセス パッケージを要求できるかを示す

最初のアクセス パッケージの作成などの、Microsoft Entra のエンタイトルメント管理をデプロイするプロセスの順を追ったデモンストレーションについては、次のビデオを参照してください。

この記事の残りの部分では、Microsoft Entra 管理センターを使用してエンタイトルメント管理を構成しデモンストレーションします。

前提条件

エンタイトルメント管理を使用するには、次のいずれかのライセンスが必要です。

  • Microsoft Entra ID P2 または Microsoft Entra ID Governance
  • Enterprise Mobility + Security (EMS) E5 ライセンス

詳細については、「License requirements ライセンスの要件」を参照してください。

手順 1:ユーザーとグループを設定する

ヒント

この記事の手順は、開始するポータルに応じて若干異なる場合があります。

リソース ディレクトリには、共有する 1 つ以上のリソースがあります。 この手順では、Woodgrove Bank ディレクトリ内に、エンタイトルメント管理のターゲット リソースである Marketing resources という名前のグループを作成します。 また、内部要求者も設定します。

前提条件となるロール: グローバル管理者または ID ガバナンス管理者

Diagram that shows the users and groups for this tutorial.

  1. Microsoft Entra 管理センターIdentity Governance 管理者以上としてサインインします。

  2. [Identity governance] (ID ガバナンス)>[エンタイトルメント管理]>[アクセス パッケージ] の順に移動します。

  3. 2 人のユーザーを作成します。 次の名前または別の名前を使用します。

    名前 ディレクトリ ロール
    Admin1 グローバル管理者または ID ガバナンス管理者。 このユーザーは、現在サインインしているユーザーでかまいません。
    Requestor1 User

  4. メンバーシップの種類が [割り当て済み] である Marketing resources という名前の Microsoft Entra セキュリティ グループ を作成します。 このグループは、エンタイトルメント管理のターゲット リソースになります。 開始するグループのメンバーは空である必要があります。

手順 2:アクセス パッケージを作成します。

アクセス パッケージは、チームまたはプロジェクトが必要とし、ポリシーで管理されるリソースのバンドルです。 アクセス パッケージは、カタログと呼ばれるコンテナーに定義されます。 この手順では、 [標準] カタログ内に Marketing Campaign アクセス パッケージを作成します。

前提条件となるロール: グローバル管理者、ID ガバナンス管理者、カタログ所有者、またはアクセス パッケージ マネージャー

Diagram that describes the relationship between the access package elements.

  1. Microsoft Entra 管理センターIdentity Governance 管理者以上としてサインインします。

  2. [Identity Governance]>[エンタイトルメント管理]>[アクセス パッケージ] の順に移動します。

  3. [アクセス パッケージ] ページで、アクセス パッケージを開きます。

  4. アクセス パッケージを開くときに、アクセスが拒否されました と表示される場合は、Microsoft Entra ID P2 または Microsoft Entra ID Governance ライセンスがディレクトリに存在することを確認します。

  5. [新しいアクセス パッケージ] を選択します。

    Screenshots that shows how to create an access package.

  6. [基本] タブで、「Marketing Campaign」というアクセス パッケージの名前と「キャンペーン用のリソースへのアクセス」という説明を入力します。

  7. [カタログ] ドロップダウン リストは [標準] に設定したままにします。

    Screenshot showing how to set the basic of the access policy.

  8. [次へ] を選択して [リソース ロール] タブを開きます。このタブで、アクセス パッケージに含めるリソースとリソース ロールを選択します。 グループとチーム、アプリケーション、SharePoint Online サイトへのアクセスを管理することを選択できます。 このシナリオでは、[グループとチーム] を選択します。

    Screenshot showing how to select groups and teams.

  9. [グループの選択] ペインで、前に作成した [Marketing resources] グループを見つけて選択します。

    既定では、[標準] カタログ内のグループが表示されます。 [すべて表示] チェック ボックスをオンにすると表示される、[標準] カタログ外のグループを選択すると、それが [標準] カタログに追加されます。

    Screenshot that shows how to select the groups

  10. [選択] を選択して、そのグループを一覧に追加します。

  11. [ロール] ドロップダウン リストで [メンバー] を選択します。 所有者ロールを選択すると、ユーザーが他のメンバーまたは所有者を追加または削除できるようになります。 リソースに適したロールの選択方法の詳細については、リソース ロールの追加に関する記事を参照してください。

    Screenshot the shows how to select the member role.

    重要

    アクセス パッケージに追加されたロール割り当て可能なグループは、サブタイプ [ロールに割り当て可能] を使用して示されます。 詳細については、ロール割り当て可能なグループの作成に関する記事を確認してください。 役割を割り当て可能なグループがアクセス パッケージ カタログに表示されると、エンタイトルメント管理で管理できる管理ユーザー (グローバル管理者ロールのユーザー、ID ガバナンス管理者ロールのユーザー、このカタログのカタログ所有者など) は、カタログ内のアクセス パッケージを制御できるようになり、それらのグループに追加できるユーザーを選択できるようになることを覚えておいてください。 追加したい、ロールを割り当て可能なグループが表示されない場合、またはそれを追加できない場合は、この操作を実行するのに必要な Microsoft Entra ロールおよびエンタイトルメント管理ロールを確実に用意してください。 必要なロールを持つ人物に、カタログへのリソース追加を依頼することが必要な場合があります。 詳細については、リソースをカタログに追加するために必要なロールに関するページを参照してください。

    注意

    ダイナミック グループを使用している場合、所有者以外、利用できる他のロールが表示されません。 これは仕様です。 Screenshots that shows a dynamic group available roles.

  12. [次へ] を選択して [要求] タブを開きます。[要求] タブで、要求ポリシーを作成します。 ポリシーにより、アクセス パッケージにアクセスするための規則またはガードレールを定義します。 リソース ディレクトリ内の特定のユーザーがこのアクセス パッケージを要求することを許可するポリシーを作成します。

  13. [アクセス権を要求できるユーザー] セクションで、[ディレクトリ内のユーザーの場合][特定のユーザーとグループ] の順に選択します。

    Screenshot of the access package requests tab.

  14. [ユーザーとグループの追加] を選択します。

  15. [ユーザーとグループを選択] ウィンドウで、前に作成した Requestor1 ユーザーを選択します。

    Screenshot of select users and groups.

  16. [選択] を選択して、そのユーザーを一覧に追加します。

  17. [承認][要求の有効化] のセクションまで下へスクロールします。

  18. [承認を要求する][いいえ] に設定されたのままにします。

  19. [要求の有効化] では、[はい] を選択して、このアクセス パッケージが作成されたらすぐにそれを要求できるようにします。

  20. 組織が検証済み ID を受信するように設定されている場合は、要求元に検証済み ID を提供するようにアクセス パッケージを構成するオプションがあります。 詳しくは、「エンタイトルメント管理でアクセス パッケージの検証済み ID 設定を構成する (プレビュー)」をご覧ください

    Screenshot of the Verified ID picker selection.

  21. [次へ] を選択して [要求元情報] タブを開きます。

    Screenshots of the requests tab approval and enable requests settings.

  22. [要求元情報] タブでは、要求元からさらに情報を収集するために質問を行うことができます。 質問は要求フォームに表示され、必須または省略可能のいずれかにできます。 このシナリオでは、アクセス パッケージの要求元情報を含めることは要求されていないため、これらのボックスを空のままにすることができます。 [次へ] を選択して [ライフサイクル] タブを開きます。

  23. [ライフサイクル] タブでは、アクセス パッケージに対するユーザーの割り当ての有効期限を指定します。 ユーザーが割り当てを延長できるかどうかを指定することもできます。 [有効期限] セクションで、次の操作を行います。

    1. [アクセス パッケージの割り当ての有効期限][日数] に設定します。
    2. [割り当てが期限切れになるまでの日数][30] 日に設定します。
    3. [ユーザーは特定のタイムラインを要求できる] を既定値の [はい] のままにします。
    4. [アクセス レビューが必要][いいえ] に設定します。

    Screenshot of the access package lifecycle tab

  24. [カスタム拡張機能] の手順をスキップします。

  25. [次へ] を選択して [確認と作成] タブを開きます。

  26. [確認と作成] タブで、[作成] を選択します。 しばらくすると、アクセス パッケージが正常に作成されたという通知が表示されます。

  27. [Marketing Campaign] アクセス パッケージの左側のメニューで、[概要] を選択します。

  28. [My Access portal link](マイ アクセス ポータルのリンク) をコピーします。

    このリンクは次の手順で使用します。

    Screenshot that demonstrates how to copy the link to the access policy.

手順 3:アクセスの要求

この手順では、内部要求者として手順を実行し、アクセス パッケージへのアクセスを要求します。 要求者は、マイ アクセス ポータルと呼ばれるサイトを使用して要求を送信します。 マイ アクセス ポータルを使用すると、要求者は、アクセス パッケージの要求の送信、既にアクセス権を持つアクセス パッケージの参照、要求の履歴の表示ができます。 新しいゲストが MyAccess でアクセス パッケージを要求すると、要求時に MyAccess ブラウザーの言語に基づいて優先言語がスタンプされます。 これにより、新しいゲストは、理解できる言語で電子メール通信を受信できます。

事前に必要なロール: 内部要求者

  1. Microsoft Entra 管理センターからサインアウトします。

  2. 新しいブラウザー ウィンドウで、前の手順でコピーしたマイ アクセス ポータルのリンクに移動します。

  3. マイ アクセス ポータルに Requestor1 としてサインインします。

    Marketing Campaign アクセス パッケージが表示されます。

  4. [業務上の正当な理由] ボックスに、正当な理由として「新しいマーケティング キャンペーンで作業している」と入力します。

    Screenshot of the My Access portal listing the access packages.

  5. 送信を選択します。

  6. 左側のメニューで、[要求の履歴] を選択して、要求が送信されたことを確認します。 詳細を表示するには、[表示] を選択します。

    Screenshot of the My Access portal request history.

手順 4:アクセス権が割り当てられていることを検証する

この手順では、内部要求者にアクセス パッケージが割り当てられ、そのユーザーが Marketing resources グループのメンバーになっていることを確認します。

前提条件となるロール: グローバル管理者、ID ガバナンス管理者、カタログ所有者、またはアクセス パッケージ マネージャー

  1. マイ アクセス ポータルからサインアウトします。

  2. Microsoft Entra 管理センターAdmin1 としてサインインします。

  3. [Identity governance] (ID ガバナンス)>[エンタイトルメント管理]>[アクセス パッケージ] の順に移動します。

  4. [Marketing Campaign] アクセス パッケージを見つけて選択します。

  5. 左側のメニューで、[要求] を選択します。

    Requestor1 と初期のポリシーが [配信済み] の状態で表示されます。

  6. この要求を選択して、要求の詳細を確認します。

    Screenshot of the access package request details.

  7. 左側のナビゲーションで、[ID] を選択します。

  8. [グループ] を選択し、[Marketing resources] グループを開きます。

  9. [メンバー] を選択します。

    Requestor1 がメンバーとして一覧表示されます。

    Screenshot shows the requestor one has been added to the marketing resources group.

手順 5:リソースをクリーンアップする

この手順では、行った変更を削除し、Marketing Campaign アクセス パッケージを削除します。

前提条件となるロール: グローバル管理者または ID ガバナンス管理者

  1. Microsoft Entra 管理センターで [Identity Governance] を選択します。

  2. Marketing Campaign アクセス パッケージを開きます。

  3. [割り当て] を選択します。

  4. [Requestor1] では、省略記号 (...) を選択してから [アクセス権の削除] を選択します。 表示されるメッセージで、 [はい] を選択します。

    しばらくすると、状態が [配信済み] から [有効期限切れ] に変化します。

  5. [リソース ロール] を選択します。

  6. [Marketing resources] では、省略記号 (...) を選択してから [リソース ロールの削除] を選択します。 表示されるメッセージで、 [はい] を選択します。

  7. アクセス パッケージの一覧を開きます。

  8. [Marketing Campaign] では、省略記号 (...) を選択してから [削除] を選択します。 表示されるメッセージで、 [はい] を選択します。

  9. [ID] で、Requestor1Admin1 などの、作成したユーザーをすべて削除します。

  10. Marketing resources グループを削除します。

次のステップ

次の記事に進み、エンタイトルメント管理の一般的なシナリオの手順を確認してください。

一般的なシナリオ