チュートリアル:Azure AD エンタイトルメント管理でリソースへのアクセスを管理する

グループ、アプリケーション、サイトなど、従業員が必要とするすべてのリソースに対するアクセスを管理することは、組織にとって重要な機能の 1 つです。 生産性を維持するために必要とされる適切なレベルのアクセスを従業員に付与し、不要になったアクセスは削除する必要があります。

このチュートリアルでは、あなたは Woodgrove Bank の IT 管理者として勤務しています。 あなたは、内部ユーザーがセルフサービスの要求に使用できるマーケティング キャンペーン用のリソースのパッケージを作成するように依頼されました。 要求は承認を必要とせず、ユーザーのアクセスは 30 日後に有効期限が切れます。 このチュートリアルでは、マーケティング キャンペーンのリソースは 1 つのグループ内のメンバーシップにすぎませんが、グループ、アプリケーション、または SharePoint Online サイトのコレクションである場合もあります。

シナリオの概要を示す図。

このチュートリアルでは、以下の内容を学習します。

  • グループをリソースとしてアクセス パッケージを作成する
  • ディレクトリ内のユーザーがアクセスを要求することを許可する
  • 内部ユーザーがどのようにしてアクセス パッケージを要求できるかを示す

最初のアクセス パッケージの作成など、Azure Active Directory のエンタイトルメント管理をデプロイするプロセスのステップバイステップのデモンストレーションについては、次のビデオを参照してください。

前提条件

Azure AD エンタイトルメント管理を使用するには、次のいずれかのライセンスが必要です。

  • Azure AD Premium P2
  • Enterprise Mobility + Security (EMS) E5 ライセンス

詳細については、「License requirements ライセンスの要件」を参照してください。

手順 1:ユーザーとグループを設定する

リソース ディレクトリには、共有する 1 つ以上のリソースがあります。 この手順では、Woodgrove Bank ディレクトリ内に、エンタイトルメント管理のターゲット リソースである Marketing resources という名前のグループを作成します。 また、内部要求者も設定します。

事前に必要なロール: グローバル管理者またはユーザー管理者

ユーザーとグループを作成する

  1. Azure portal にグローバル管理者またはユーザー管理者としてサインインします。

  2. 左側のナビゲーションで、 [Azure Active Directory] をクリックします。

  3. 次の 2 人のユーザーを作成または構成します。 以下の名前を使用することも、別の名前を使用することもできます。 Admin1 は、現在サインイン済みのユーザーで構いません。

    名前 ディレクトリ ロール
    Admin1 全体管理者
    または
    ユーザー管理者
    Requestor1 User
  4. メンバーシップの種類が [割り当て済み] である Marketing resources という名前の Azure AD セキュリティ グループを作成します。

    このグループは、エンタイトルメント管理のターゲット リソースになります。 開始するグループのメンバーは空である必要があります。

手順 2:アクセス パッケージを作成します。

アクセス パッケージ は、チームまたはプロジェクトが必要とし、ポリシーで管理されるリソースのバンドルです。 アクセス パッケージは、カタログ と呼ばれるコンテナーに定義されます。 この手順では、 [標準] カタログ内に Marketing Campaign アクセス パッケージを作成します。

必要なロール: グローバル管理者、ID ガバナンス管理者、ユーザー管理者、カタログ所有者、またはアクセス パッケージ マネージャー

アクセス パッケージを作成します。

  1. Azure portal の左側のナビゲーションで、 [Azure Active Directory] をクリックします。

  2. 左側のメニューで、 [Identity Governance] をクリックします

  3. 左側のメニューで [アクセス パッケージ] をクリックします。 [アクセスが拒否されました] と表示される場合は、Azure AD Premium P2 ライセンスがそのディレクトリに存在することを確認してください。

  4. [New access package](新しいアクセス パッケージ) をクリックします。

    Azure portal でのエンタイトルメント管理

  5. [基本] タブで、「Marketing Campaign」というアクセス パッケージの名前と「キャンペーン用のリソースへのアクセス」という説明を入力します。

  6. [カタログ] ドロップダウン リストは [標準] に設定したままにします。

    [New access package](新しいアクセス パッケージ) - [基本] タブ

  7. [次へ] をクリックして、 [Resource roles](リソース ロール) タブを開きます。

    このタブでは、アクセス パッケージに含めるリソースとリソース ロールを選択します。

  8. [Groups and Teams] (グループとチーム) をクリックします。

  9. [グループの選択] ウィンドウで、前に作成した Marketing resources グループを見つけて選択します。

    既定では、[標準] カタログ内のグループが表示されます。 [すべて表示] チェック ボックスをオンにすると表示される、[標準] カタログ外のグループを選択すると、それが [標準] カタログに追加されます。

    [新しいアクセス パッケージ] - [リソース ロール] タブと [グループの選択] ウィンドウを示すスクリーンショット。

  10. [選択] をクリックして、そのグループを一覧に追加します。

  11. [ロール] ドロップダウン リストで [メンバー] を選択します。

    [New access package](新しいアクセス パッケージ) - [Resource roles](リソース ロール) タブ

    重要

    アクセス パッケージに追加されたロールを割り当て可能なグループは、サブタイプ Assignable to roles を使用して示されます。 Azure AD ロールに割り当て可能なグループの詳細については、「Azure Active Directory でロールを割り当て可能なグループを作成する」を参照してください。 ロールを割り当て可能なグループがアクセス パッケージ カタログに表示されると、エンタイトルメント管理で管理できる管理ユーザー (カタログのグローバル管理者、ユーザー管理者、カタログ所有者など) は、カタログ内のアクセス パッケージを制御できるようになり、それらのグループに追加できるユーザーを選択できるようになることに注意してください。 追加したい、ロールを割り当て可能なグループが表示されない場合、またはそれを追加できない場合は、この操作を実行するのに必要な Azure AD ロールおよびエンタイトルメント管理ロールを確実に用意してください。 必要なロールを持つ人物に、カタログへのリソース追加を依頼することが必要な場合があります。 詳細については、リソースをカタログに追加するために必要なロールに関するページを参照してください。

    注意

    ダイナミック グループを使用している場合、所有者以外、利用できる他のロールが表示されません。 これは仕様です。 シナリオの概要

  12. [次へ] をクリックして、 [要求] タブを開きます。

    このタブでは、要求ポリシーを作成します。 ポリシー により、アクセス パッケージにアクセスするための規則またはガードレールを定義します。 リソース ディレクトリ内の特定のユーザーがこのアクセス パッケージを要求することを許可するポリシーを作成します。

  13. [アクセス権を要求できるユーザー] セクションで、 [ディレクトリ内のユーザーの場合][特定のユーザーとグループ] の順にクリックします。

    [New access package] (新しいアクセス パッケージ) - [要求] タブ

  14. [ユーザーとグループを追加する] をクリックします。

  15. [ユーザーとグループを選択] ウィンドウで、前に作成した Requestor1 ユーザーを選択します。

    [New access package] (新しいアクセス パッケージ) - [要求] タブ - [ユーザーとグループを選択]

  16. [選択] をクリックします。

  17. [承認][要求の有効化] のセクションまで下へスクロールします。

  18. [承認を要求する][いいえ] に設定されたのままにします。

  19. [要求の有効化] については、 [はい] をクリックして、このアクセス パッケージを作成されたらすぐに要求できるようにします。

    [New access package] (新しいアクセス パッケージ) - [要求] タブ - [承認] と [要求の有効化]

  20. [次へ] をクリックして [ライフサイクル] タブを開きます。

  21. [有効期限] セクションで、 [Access package assignments expire] (アクセス パッケージの割り当ての有効期限)[日数] を設定します。

  22. [Assignments expire after] (割り当ての有効期限)[30] 日に設定します。

    [New access package] (新しいアクセス パッケージ) - [ライフサイクル] タブ

  23. [次へ] をクリックして、 [Review + Create](確認と作成) タブを開きます。

    [New access package](新しいアクセス パッケージ) - [Review + Create](確認と作成) タブ

    しばらくすると、アクセス パッケージが正常に作成されたという通知が表示されます。

  24. Marketing Campaign アクセス パッケージの左側のメニューで、 [概要] をクリックします。

  25. [My Access portal link](マイ アクセス ポータルのリンク) をコピーします。

    このリンクは次の手順で使用します。

    アクセス パッケージの概要 - マイ アクセス ポータルのリンク

手順 3:アクセスの要求

この手順では、内部要求者 として手順を実行し、アクセス パッケージへのアクセスを要求します。 要求者は、マイ アクセス ポータルと呼ばれるサイトを使用して要求を送信します。 マイ アクセス ポータルを使用すると、要求者は、アクセス パッケージの要求の送信、既にアクセス権を持つアクセス パッケージの参照、要求の履歴の表示ができます。

事前に必要なロール: 内部要求者

  1. Azure portal からサインアウトします。

  2. 新しいブラウザー ウィンドウで、前の手順でコピーしたマイ アクセス ポータルのリンクに移動します。

  3. マイ アクセス ポータルに Requestor1 としてサインインします。

    Marketing Campaign アクセス パッケージが表示されます。

  4. 必要に応じて [説明] 列で矢印をクリックして、アクセス パッケージに関する詳細を表示します。

    マイ アクセス ポータル - [アクセス パッケージ]

  5. チェックマークをクリックして、このパッケージを選択します。

  6. [アクセスの要求] をクリックして、[アクセスの要求] ウィンドウを開きます。

    マイ アクセス ポータル - [アクセスの要求] ボタン

  7. [業務上の正当な理由] ボックスに、正当な理由として「新しいマーケティング キャンペーンで作業している」と入力します。

    マイ アクセス ポータル - [アクセスの要求]

  8. [送信] をクリックします。

  9. 左側のメニューで [Request history](要求の履歴) をクリックして、要求が送信されたことを確認します。

手順 4:アクセス権が割り当てられていることを検証する

この手順では、内部要求者 にアクセス パッケージが割り当てられ、そのユーザーが Marketing resources グループのメンバーになっていることを確認します。

事前に必要なロール: グローバル管理者、ユーザー管理者、カタログ所有者、またはアクセス パッケージ マネージャー

  1. マイ アクセス ポータルからサインアウトします。

  2. Azure portalAdmin1 としてサインインします。

  3. [Azure Active Directory] をクリックしてから [Identity Governance] をクリックします。

  4. 左側のメニューで [アクセス パッケージ] をクリックします。

  5. Marketing Campaign アクセス パッケージを見つけてクリックします。

  6. 左側のメニューで [要求] をクリックします。

    Requestor1 と初期のポリシーが [配信済み] の状態で表示されます。

  7. この要求をクリックして、要求の詳細を表示します。

    アクセス パッケージ - 要求の詳細

  8. 左側のナビゲーションで、 [Azure Active Directory] をクリックします。

  9. [グループ] をクリックし、Marketing resources グループを開きます。

  10. [メンバー] をクリックします。

    Requestor1 がメンバーとして一覧表示されます。

    Marketing resources のメンバー

手順 5:リソースをクリーンアップする

この手順では、行った変更を削除し、Marketing Campaign アクセス パッケージを削除します。

事前に必要なロール: グローバル管理者またはユーザー管理者

  1. Azure portal で [Azure Active Directory] をクリックし、 [Identity Governance] をクリックします。

  2. Marketing Campaign アクセス パッケージを開きます。

  3. [割り当て] をクリックします。

  4. Requestor1 について、省略記号 ( ... ) をクリックし、 [Remove access](アクセスの削除) をクリックします。 表示されるメッセージで、 [はい] をクリックします。

    しばらくすると、状態が [配信済み] から [有効期限切れ] に変化します。

  5. [Resource roles](リソース ロール) をクリックします。

  6. Marketing resources については、省略記号 ( ... ) をクリックし、 [Remove resource role] (リソース ロールの削除) をクリックします。 表示されるメッセージで、 [はい] をクリックします。

  7. アクセス パッケージの一覧を開きます。

  8. Marketing Campaign については、省略記号 ( ... ) をクリックし、 [削除] をクリックします。 表示されるメッセージで、 [はい] をクリックします。

  9. Azure Active Directory で、Requestor1Admin1 など、作成したユーザーをすべて削除します。

  10. Marketing resources グループを削除します。

次のステップ

次の記事に進み、エンタイトルメント管理の一般的なシナリオの手順を確認してください。