Azure AD エンタイトルメント管理とは

Azure Active Directory (Azure AD) エンタイトルメント管理は、アクセス要求ワークフロー、アクセス割り当て、レビュー、および失効処理を自動化することで、ID とアクセスのライフサイクルを大規模に管理できる、ID ガバナンス機能です。

組織の従業員は、業務を遂行するためにさまざまなグループ、アプリケーション、サイトにアクセスする必要があります。 要件の変更に伴い、新しいアプリケーションが追加されたり、ユーザーに追加のアクセス権が必要になったりすると、このアクセスの管理が困難になります。 これは、外部の組織と共同作業する場合にはさらに複雑になります。たとえば、他社のどのユーザーが自社のリソースにアクセスする必要があるかがわからなかったり、自社で使用されているアプリケーション、グループ、サイトを他社のユーザーが把握できなかったりする場合があります。

Azure AD エンタイトルメント管理を使用すれば、グループ、アプリケーション、SharePoint Online サイトへのアクセスを、内部ユーザーについてだけでなく、それらのリソースにアクセスする必要がある外部ユーザーについても、より効率的に管理することができます。

エンタイトルメント管理を使用する理由

エンタープライズ組織では、リソースに対する従業員のアクセスを管理する際、次のような課題に直面することがよくあります。

  • ユーザーが自分に必要なアクセス権を把握できなかったり、把握できたとしても、アクセス権をどの担当者に承認してもらえばよいかがわかりにくい
  • ユーザーがリソースへのアクセス権を見つけて取得した後、業務上の目的に必要な期間よりも長くアクセス権を持ち続ける場合がある

これらの問題は、別の組織からアクセスするユーザーがいる場合、さらに複雑になります (サプライ チェーン組織やその他のビジネス パートナーに属する外部ユーザーなど)。 次に例を示します。

  • 他社のディレクトリ内のすべての個人を把握する人物がおらず、それらのユーザーを招待できない場合がある
  • 招待できたとしても、ユーザー全員のアクセス権を、担当者が一貫性を持って確実に管理できない場合がある

Azure AD のエンタイトルメント管理は、これらの課題への対処に役立ちます。 お客様が Azure AD エンタイトルメント管理をどのように使用しているかについて詳しくは、Avanade のケース スタディCentrica のケース スタディを参照してください。 下記のビデオでは、エンタイトルメント管理とそのメリットについて概説しています。

エンタイトルメント管理では何ができますか?

エンタイトルメント管理の機能の一部を次に示します。

  • アクセス パッケージを作成する権限を、管理者以外の担当者に委任できます。 これらのアクセス パッケージには、ユーザーが要求できるリソースが含まれています。また、委任されたアクセス パッケージ マネージャーは、どのユーザーがアクセス権を要求できるかや、それらのアクセス権を誰が承認できるのか、さらには、アクセス権がいつ失効するのかについてのルールを使用して、ポリシーを定義することができます。
  • 接続先の組織を選択して、その組織のユーザーがアクセス権を要求できるようにすることができます。 ディレクトリにまだ存在しないユーザーがアクセス権を要求し、それが承認されると、そのユーザーは自動的にディレクトリに招待され、アクセス権を割り当てられます。 アクセス権の有効期限が切れ、かつ他のアクセス パッケージが割り当てられていない場合には、ディレクトリ内の B2B アカウントを自動的に削除できます。

注意

エンタイトルメント管理を試す準備ができたら、まず、最初のアクセス パッケージを作成する方法のチュートリアルを参照してください。

また、一般的なシナリオや下記のビデオも参考にできます

アクセスパッケージとは何ですか? また、それを使ってどのようなリソースを管理できますか?

エンタイトルメント管理は、Azure AD に アクセス パッケージ の概念を導入するための機能です。 アクセス パッケージとは、ユーザーがプロジェクトで作業したりタスクを遂行するために必要となるすべてのリソースと、そのアクセス権をバンドルしたものです。 アクセス パッケージは、内部の従業員、さらには組織外のユーザーのアクセスを管理するために使用します。

エンタイトルメント管理では、次の種類のリソースについて、ユーザーのアクセス権を管理できます。

  • Azure AD セキュリティ グループのメンバーシップ
  • Microsoft 365 グループとチームのメンバーシップ
  • Azure AD エンタープライズ アプリケーションへの割り当て (これには、SaaS アプリケーションのほか、フェデレーションやシングル サインオン、プロビジョニングをサポートしたカスタム統合アプリケーションも含まれます)
  • SharePoint Online サイトのメンバーシップ

Azure AD セキュリティ グループまたは Microsoft 365 グループに依存するその他のリソースへのアクセスを制御することもできます。 次に例を示します。

  • Microsoft 365 のライセンスをユーザーに付与するには、アクセス パッケージで Azure AD セキュリティ グループを使用し、そのグループのグループベース ライセンスを構成します。
  • Azure リソースを管理するためのアクセス権をユーザーに付与するには、アクセス パッケージで Azure AD セキュリティ グループを使用し、そのグループの Azure ロール割り当てを作成します。
  • Azure AD ロールを管理するためのアクセス権をユーザーに付与するには、アクセス パッケージで Azure AD ロールに割り当て可能なグループを使用し、そのグループの Azure ロール割り当てを作成します。

誰にアクセス権が付与されるかを制御するにはどうすればよいですか?

管理者や委任されたアクセス パッケージ マネージャーは、アクセス パッケージを使用して、一連のリソース (グループ、アプリ、およびサイト) と、それらのリソースを操作するためにユーザーに必要なロールをリスト化します。

アクセス パッケージには 1 つ以上の ポリシー も含まれます。 ポリシーとは、アクセス パッケージにユーザーを割り当てるうえでの規則やガイドラインを定義したものです。 各ポリシーを使用することで、適切なユーザーだけがアクセスを要求できることや、要求の承認者が存在すること、また、リソースへのアクセス権に有効期限があり、更新されなければ失効することを保証できます。

アクセス パッケージとポリシー

管理者やアクセス パッケージ マネージャーは、各ポリシー内で次のことを定義します

  • アクセス権を要求する資格がある、既存のユーザー (通常は従業員や招待済みゲスト)、または外部ユーザーのパートナー組織
  • 承認プロセスと、アクセス権を承認または拒否できるユーザー
  • ユーザーのアクセス権割り当て期間 (承認されてから、割り当てが期限切れになるまでの期間)

次の図は、エンタイトルメント管理のさまざまな要素の例を示します。 1 つのカタログと、2 つのアクセス パッケージ例が示されています。

  • アクセス パッケージ 1 には、1 つのグループがリソースとして含まれます。 アクセスは、ディレクトリ内のユーザーの集合がアクセスを要求できるようにするポリシーによって定義されます。
  • アクセス パッケージ 2 には、グループ、アプリケーション、SharePoint Online サイトがリソースとして含まれます。 アクセスは 2 つの異なるポリシーによって定義されます。 最初のポリシーは、ディレクトリ内のユーザーの集合がアクセスを要求できるようにします。 2 番目のポリシーは、外部ディレクトリのユーザーがアクセスを要求できるようにします。

エンタイトルメント管理の概要

アクセス パッケージはどのような場合に使用するのですか?

アクセス パッケージは、アクセス権の割り当てに関する他のメカニズムに取って代わるものではありません。 次のような状況で使用するのに適しています。

  • 特定のタスクのために、従業員に期限付きのアクセス権が必要な場合。 たとえば、グループベースのライセンスと動的グループを使用して、すべての従業員が Exchange Online メールボックスを使用できるようにしている場合、ある部署のリソースを別の部署から読み取るなど、追加のアクセス権が必要になった際に、アクセス パッケージを使用するといった使い方もできます。
  • アクセス権を、従業員のマネージャーや、その他の指定された個人に承認してもらう必要がある場合。
  • 特定の部署で、IT チームの手を借りることなく、リソースに対する独自のアクセス ポリシーを管理できるようにする必要がある場合。
  • 複数の組織が 1 つのプロジェクトで共同作業を行っている場合に、ある組織の複数のユーザーが、Azure AD B2B を通じて別の組織のリソースにアクセスする必要がある場合。

アクセス権を委任するにはどうすればよいですか?

アクセス パッケージは、カタログ と呼ばれるコンテナーに定義されます。 すべてのアクセス パッケージに対して 1 つのカタログを使用することもでき、個人を指定して、そのユーザーが独自のカタログを作成し、所有できるようにすることもできます。 管理者は任意のカタログにリソースを追加できますが、管理者以外のユーザーは、自分が所有しているリソースしかカタログに追加できません。 カタログ所有者は、他のユーザーをカタログの共同所有者として追加したり、アクセス パッケージ マネージャーとして追加したりすることができます。 これらのシナリオについては、Azure AD エンタイトルメント管理での委任とロールに関する記事で詳しく説明しています。

用語の概要

エンタイトルメント管理とそのドキュメントについてより深く理解するために、次の用語一覧を確認してください。

期間 説明
アクセス パッケージ チームまたはプロジェクトが必要とし、ポリシーに準拠しているリソースのバンドル。 アクセス パッケージは常にカタログに含まれています。 新しいアクセス パッケージは、ユーザーがアクセス権を要求する必要がある場合に作成します。
アクセス要求 アクセス パッケージのリソースへのアクセス要求。 要求は通常、承認ワークフローを通じて処理されます。 承認されると、要求元のユーザーにアクセス パッケージが割り当てられます。
割り当て ユーザーにアクセス パッケージを割り当てると、そのユーザーには、そのアクセス パッケージに対応するすべてのリソース ロールが割り当てられます。 通常、アクセス パッケージの割り当てには有効期限があり、期限が切れると失効します。
catalog 関連リソースとアクセス パッケージのコンテナー。 カタログは委任に使用されます。これにより、管理者以外のユーザーが独自のアクセス パッケージを作成できるようにすることができます。 カタログ所有者は、自分が所有するリソースをカタログに追加できます。
カタログ作成者 新しいカタログの作成を許可されている一連のユーザーのことを指します。 カタログ作成者として承認されている管理者以外のユーザーが新しいカタログを作成すると、そのユーザーは自動的にそのカタログの所有者になります。
接続されている組織 自分が関係を持っている、外部の Azure AD ディレクトリまたはドメインのことを指します。 接続された組織のユーザーは、アクセス権の要求を許可されたユーザーとして、ポリシーで指定できます。
policy アクセス権のライフサイクルを定義する一連のルールのことを指します (ユーザーがどのようにアクセス権を取得するか、誰が承認を実行できるか、割り当てによって付与されたアクセス権がいつ失効するかなど)。 ポリシーはアクセス パッケージにリンクされます。 たとえば、アクセス パッケージに 2 つのポリシーを含めて、1 つは従業員によるアクセス要求、もう 1 つは外部ユーザーによるアクセス要求に使用することもできます。
resource Office グループ、セキュリティ グループ、アプリケーション、SharePoint Online サイトなどのアセットのことを指します。アクセス許可は、ロールによってユーザーに付与します。
リソース ディレクトリ 共有する 1 つ以上のリソースがあるディレクトリ。
リソース ロール リソースに関連付けられ、リソースによって定義されている一連のアクセス許可のことです。 グループには 2 つのロールがあります (メンバーと所有者)。 SharePoint サイトには通常 3 つのロールがありますが、追加のカスタム ロールを使用することもできます。 アプリケーションにはカスタム ロールを設定できます。

ライセンスの要件

この機能を使用するには、Azure AD Premium P2 ライセンスが必要です。 ご自分の要件に適したライセンスを確認するには、Free、Office 365 アプリ、および Premium エディションの一般提供されている機能の比較に関するページをご覧ください。

Azure Germany、Azure China 21Vianet などの特殊なクラウドは現在ご利用いただけません。

ライセンスはいくつ必要ですか?

所有する Azure AD Premium P2 ライセンスの数だけ、確実にディレクトリにあるようにします。

  • アクセス パッケージを要求 できる メンバー ユーザー。
  • アクセス パッケージを要求するメンバー ユーザー。
  • アクセス パッケージの要求を承認するメンバー ユーザー。
  • アクセス パッケージの割り当てをレビューするメンバー ユーザー。
  • アクセス パッケージに直接割り当てられているメンバー ユーザー。

ゲスト ユーザーのライセンス要件は、ご使用のライセンス モデルによって異なります。 ただし、次のゲスト ユーザーのアクティビティは、Azure AD Premium P2 の用途と見なされます。

  • アクセス パッケージを要求するゲスト ユーザー。
  • アクセス パッケージの要求を承認するゲスト ユーザー。
  • アクセス パッケージの割り当てをレビューするゲスト ユーザー。
  • アクセス パッケージに直接割り当てられているゲスト ユーザー。

Azure AD Premium P2 ライセンスは、次のタスクでは必要 ありません

  • 初期カタログ、アクセス パッケージ、ポリシーを設定し、管理タスクを他のユーザーに委任するグローバル管理者ロールを持つユーザーには、ライセンスは必要ありません。
  • カタログ作成者、カタログ所有者、アクセス パッケージ マネージャーなどの管理タスクを委任されたユーザーには、ライセンスは必要ありません。
  • アクセス パッケージを要求する権限 を持っていても、それらを要求することを 選択しない ゲストには、ライセンスは必要ありません。

ライセンスの詳細については、Azure Active Directory ポータルを使用したライセンスの割り当てと削除に関するページを参照してください。

ライセンスのシナリオ例

必要なライセンス数の決定に役立つライセンスのシナリオ例をいくつか以下に示します。

シナリオ 計算 ライセンス数
Woodgrove Bank のグローバル管理者は、初期カタログを作成し、他の 6 人のユーザーに管理タスクを委任します。 ポリシーの 1 つで、すべての従業員 (2,000 の従業員) は特定のアクセス パッケージのセットを要求できることが指定されています。 150 人の従業員がアクセス パッケージを要求します。 アクセス パッケージを要求 できる 2,000 人の従業員 2,000
Woodgrove Bank のグローバル管理者は、初期カタログを作成し、他の 6 人のユーザーに管理タスクを委任します。 ポリシーの 1 つで、すべての従業員 (2,000 の従業員) は特定のアクセス パッケージのセットを要求できることが指定されています。 別のポリシーでは、パートナー Contoso のユーザー (ゲスト) の一部のユーザーは、承認の対象となる同じアクセス パッケージを要求できることが指定されています。 Contoso には 30,000 人のユーザーがいます。 150 人の従業員がアクセス パッケージを要求し、Contoso の 10,500 人のユーザーがアクセスを要求します。 2,000 人の従業員 + Contoso のゲスト ユーザーのうち 1:5 の比率を超える 500 人 (10,500 - (2,000 * 5)) 2,500

次のステップ