Azure AD アクセス レビューとはWhat are Azure AD access reviews?

組織で Azure Active Directory (Azure AD) アクセス レビューを使うことにより、グループ メンバーシップ、エンタープライズ アプリケーションへのアクセス、ロールの割り当てを効率的に管理できます。Azure Active Directory (Azure AD) access reviews enable organizations to efficiently manage group memberships, access to enterprise applications, and role assignments. ユーザーのアクセスを定期的にレビューし、適切なユーザーのみが継続的なアクセス権を持っていることを確認できます。User's access can be reviewed on a regular basis to make sure only the right people have continued access.

次のビデオでは、アクセス レビューの簡単な概要を説明します。Here's a video that provides a quick overview of access reviews:

アクセス レビューが重要である理由Why are access reviews important?

Azure AD を使用すると、組織内での共同作業、およびパートナーなどの外部組織のユーザーとの共同作業が可能です。Azure AD enables you to collaborate internally within your organization and with users from external organizations, such as partners. ユーザーは、グループへの参加、ゲストの招待、クラウド アプリへの接続、作業用や個人用のデバイスからのリモート作業を行うことができます。Users can join groups, invite guests, connect to cloud apps, and work remotely from their work or personal devices. セルフ サービスの機能を利用する便利さゆえ、よりよいアクセス管理機能が必要になっています。The convenience of leveraging the power of self-service has led to a need for better access management capabilities.

  • 新しい従業員が参加するとき、生産性のための適切なアクセス権をどのようにして確実に付与しますか。As new employees join, how do you ensure they have the right access to be productive?
  • ユーザーがチームを移動したり会社を辞めたりするとき (特にゲストが関係している場合)、どのようにして古いアクセス権を確実に削除しますか。As people move teams or leave the company, how do you ensure their old access is removed, especially when it involves guests?
  • 過剰なアクセス権は、アクセス権の制御の欠如を示しているため、監査所見やセキュリティ侵害につながる可能性があります。Excessive access rights can lead to audit findings and compromises as they indicate a lack of control over access.
  • リソースの所有者と事前に連絡を取り、リソースへのアクセス権を持つユーザーを定期的にレビューしていることを確認する必要があります。You have to proactively engage with resource owners to ensure they regularly review who has access to their resources.

アクセス レビューを使用すべきときWhen to use access reviews?

  • 特権ロールのユーザーが多すぎるとき: 管理者アクセス権を持っているユーザーの数、その内で全体管理者の数、管理タスクに割り当てられた後で削除されていない招待ゲストまたはパートナーがいるかどうかを確認するのはよいことです。Too many users in privileged roles: It's a good idea to check how many users have administrative access, how many of them are Global Administrators, and if there are any invited guests or partners that have not been removed after being assigned to do an administrative task. Azure AD Privileged Identity Management (PIM) エクスペリエンスでは、全体管理者などの Azure AD ロールまたはユーザー アクセス管理者などの Azure リソース ロールでロール割り当てユーザーを認定できます。You can recertify the role assignment users in Azure AD roles such as Global Administrators, or Azure resources roles such as User Access Administrator in the Azure AD Privileged Identity Management (PIM) experience.
  • 自動化が実行不可能なとき: セキュリティ グループまたは Office 365 のグループで動的メンバーシップに対するルールを作成できますが、HR データが Azure AD 内にない場合や、ユーザーがグループを離れた後で後任のトレーニングのためにアクセスする必要がある場合はどうしますか。When automation is infeasible: You can create rules for dynamic membership on security groups or Office 365 groups, but what if the HR data is not in Azure AD or if users still need access after leaving the group to train their replacement? そのようなときは、そのグループに対してレビューを作成し、まだアクセスを必要とするユーザーが継続的アクセス権を持っていることを確認することができます。You can then create a review on that group to ensure those who still need access should have continued access.
  • グループが新しい目的に使用されるとき: Azure AD に同期されるグループがある場合、または営業チーム グループの全員に対して Salesforce アプリケーションを有効にする場合は、異なるリスク コンテンツでグループを使用する前にグループ メンバーシップを確認するようグループ所有者に依頼するとよいことがあります。When a group is used for a new purpose: If you have a group that is going to be synced to Azure AD, or if you plan to enable the application Salesforce for everyone in the Sales team group, it would be useful to ask the group owner to review the group membership prior to the group being used in a different risk content.
  • ビジネス クリティカルなデータ アクセス: 特定のリソースでは、監査のため、IT 組織の外部のユーザーに対し、定期的にサインアウトして、アクセスが必要な正当な理由を示すよう依頼することが必要な場合があります。Business critical data access: for certain resources, it might be required to ask people outside of IT to regularly sign out and give a justification on why they need access for auditing purposes.
  • ポリシーの例外リストを維持するため: 理想的な世界では、すべてのユーザーが、組織のリソースへのアクセスをセキュリティで保護するアクセス ポリシーに従っているでしょう。To maintain a policy's exception list: In an ideal world, all users would follow the access policies to secure access to your organization's resources. ただし、ビジネス ケースには、例外を認める必要がある場合もあります。However, sometimes there are business cases that require you to make exceptions. IT 管理者は、このタスクを管理し、ポリシー例外の見落としを防ぎ、これらの例外が定期的にレビューされている証明を監査者に提供することができます。As the IT admin, you can manage this task, avoid oversight of policy exceptions, and provide auditors with proof that these exceptions are reviewed regularly.
  • グループのゲストがまだ必要であることを確認するようグループの所有者に依頼するため: 一部のオンプレミス IAM では従業員のアクセスは自動化される場合がありますが、招待されたゲストではされません。Ask group owners to confirm they still need guests in their groups: Employee access might be automated with some on premises IAM, but not invited guests. グループでビジネスの重要なコンテンツへのアクセス権をゲストに付与する場合、ゲストにアクセスに対する正当なビジネス ニーズがまだあることを確認するのは、グループ所有者の責任です。If a group gives guests access to business sensitive content, then it's the group owner's responsibility to confirm the guests still have a legitimate business need for access.
  • 定期的にレビューを繰り返す場合: 毎週、毎月、毎四半期、毎年などの設定された周期でユーザーのアクセス レビューを繰り返すよう設定することができ、レビュー担当者は各レビューの開始時に通知されます。Have reviews recur periodically: You can set up recurring access reviews of users at set frequencies such as weekly, monthly, quarterly or annually, and the reviewers will be notified at the start of each review. レビュー担当者は、使いやすいインターフェイスとスマートな推奨事項の助けを借りてアクセスを承認または拒否することができます。Reviewers can approve or deny access with a friendly interface and with the help of smart recommendations.

レビューを作成する場所Where do you create reviews?

何をレビューするかにより、Azure AD アクセス レビュー、Azure AD エンタープライズ アプリ (プレビュー)、または Azure AD PIM でアクセス レビューを作成します。Depending on what you want to review, you will create your access review in Azure AD access reviews, Azure AD enterprise apps (in preview), or Azure AD PIM.

ユーザーのアクセス権Access rights of users レビュー担当者になれるユーザーReviewers can be レビューが作成される場所Review created in レビュー担当者のエクスペリエンスReviewer experience
セキュリティ グループ メンバーSecurity group members
Office グループ メンバーOffice group members
指定されたレビュー担当者Specified reviewers
グループ所有者Group owners
自己レビューSelf-review
Azure AD アクセス レビューAzure AD access reviews
Azure AD グループAzure AD groups
アクセス パネルAccess panel
接続されたアプリに割り当てAssigned to a connected app 指定されたレビュー担当者Specified reviewers
自己レビューSelf-review
Azure AD アクセス レビューAzure AD access reviews
azure AD エンタープライズ アプリ (プレビュー)Azure AD enterprise apps (in preview)
アクセス パネルAccess panel
Azure AD ロールAzure AD role 指定されたレビュー担当者Specified reviewers
自己レビューSelf-review
Azure AD PIMAzure AD PIM Azure ポータルAzure portal
Azure リソース ロールAzure resource role 指定されたレビュー担当者Specified reviewers
自己レビューSelf-review
Azure AD PIMAzure AD PIM Azure ポータルAzure portal

アクセス レビューの配布準備Onboard access reviews

アクセス レビューをオンボードするには、次の手順に従います。To onboard access reviews, follow these steps.

  1. グローバル管理者またはユーザー管理者として、アクセス レビューを使用する Azure portal にサインインします。As a Global administrator or User administrator, sign in to the Azure portal where you want to use access reviews.

  2. 左側のナビゲーションで、 [Azure Active Directory] をクリックします。In the left navigation, click Azure Active Directory.

  3. 左側のメニューで、 [Identity Governance] をクリックします。In the left menu, click Identity Governance.

  4. [アクセス レビュー] をクリックします。Click Access reviews.

    アクセス レビューの開始ページ

  5. このページで、 [今すぐオンボード] ボタンをクリックします。On the page, click the Onboard now button.

    アクセス レビューの配布準備

アクセス レビューの詳細情報Learn about access reviews

アクセス レビューの作成と実行の詳細については、この短いデモをご覧ください。To learn more about creating and performing access reviews, watch this short demo:

組織にアクセス レビューを展開する準備ができたら、ビデオの手順に従って、配布を準備し、管理者をトレーニングして、最初のアクセス レビューを作成してください。If you are ready to deploy access reviews in your organization, follow these steps in the video to onboard, train your administrators, and create your first access review!

ライセンスの要件License requirements

この機能を使用するには、Azure AD Premium P2 ライセンスが必要です。Using this feature requires an Azure AD Premium P2 license. 要件に対する適切なライセンスを確認するには、「 Free、Basic、および Premium エディションの一般公開されている機能の比較」をご覧ください。To find the right license for your requirements, see Comparing generally available features of the Free, Basic, and Premium editions.

ライセンスが必要なユーザーWhich users must have licenses?

アクセス レビューを操作する各ユーザーには、有料の Azure AD Premium P2 ライセンスが必要です。Each user who interacts with access reviews must have a paid Azure AD Premium P2 license. たとえば、次のようになります。Examples include:

  • アクセス レビューを作成する管理者Administrators who create an access review
  • アクセス レビューを実行するグループ所有者Group owners who perform an access review
  • レビュー担当者として割り当てられたユーザーUsers assigned as reviewers
  • 自己レビューを実行するユーザーUsers who perform a self-review

ゲスト ユーザーに各自のアクセスのレビューを求めることもできます。You can also ask guest users to review their own access. 自分自身の組織のユーザーの 1 人に割り当てる有料の Azure AD Premium P2 ライセンスごとに、Azure AD 企業間 (B2B) を使用して、外部ユーザー無料利用分に従って最大 5 人までのゲスト ユーザーを招待できます。For each paid Azure AD Premium P2 license that you assign to one of your own organization's users, you can use Azure AD business-to-business (B2B) to invite up to five guest users under the External User Allowance. これらのゲスト ユーザーも Azure AD Premium P2 の機能を使用できます。These guest users can also use Azure AD Premium P2 features. 詳細については、Azure AD B2B コラボレーションのライセンス ガイダンスを参照してください。For more information, see Azure AD B2B collaboration licensing guidance.

必要なライセンス数の決定に役立つ一部のシナリオ例を次に示します。Here are some example scenarios to help you determine the number of licenses you must have.

シナリオScenario 計算Calculation 必要なライセンスの数Required number of licenses
管理者は、ユーザーが 500 人のグループ A のアクセス レビューを作成します。An administrator creates an access review of Group A with 500 users. レビュー担当者として 3 人のグループ所有者を割り当てます。Assigns 3 group owners as reviewers. 管理者用に 1 ライセンス + レビュー担当者としての各グループ所有者用に 3 ライセンス。1 license for the administrator + 3 licenses for each group owner as reviewers. 44
管理者は、ユーザーが 500 人のグループ A のアクセス レビューを作成します。An administrator creates an access review of Group A with 500 users. 自己レビューにします。Makes it a self-review. 管理者用に 1 ライセンス + 自己レビュー担当者として各ユーザー用に 500 ライセンス。1 license for the administrator + 500 licenses for each user as self-reviewers. 501501
管理者は、ユーザーが 5 人とゲスト ユーザーが 25 人のグループ B のアクセス レビューを作成します。An administrator creates an access review of Group B with 5 users and 25 guest users. 自己レビューにします。Makes it a self-review. 管理者用に 1 ライセンス + 自己レビュー担当者として各ユーザー用に 5 ライセンス。1 license for the administrator + 5 licenses for each user as self-reviewers.
(ゲスト ユーザーは、必須の 1:5 比率でカバーされます)(guest users are covered in the required 1:5 ratio)
66
管理者は、ユーザーが 5 人とゲスト ユーザーが 108 人のグループ C のアクセス レビューを作成します。An administrator creates an access review of Group C with 5 users and 108 guest users. 自己レビューにします。Makes it a self-review. 管理者用に 1 ライセンス + 自己レビュー担当者として各ユーザー用に 5 ライセンス + 必要な 1:5 の比率で 108 人ゲスト ユーザー全員に対応する追加の 16 ライセンス。1 license for the administrator + 5 licenses for each user as self-reviewers + 16 additional licenses to cover all 108 guest users in the required 1:5 ratio.
1 + 5 = 6 ライセンス。これは 5*6 = 30 人のゲスト ユーザーに対応します。1+5=6 licenses, which cover 5*6=30 guest users. 残り (108 - 5*6) = 78 人のゲスト ユーザーの場合、78/5 = 16 の追加ライセンスが必要です。For the remaining (108-5*6)=78 guest users, 78/5=16 additional licenses are required. そのため、合計で 6 + 16 = 22 のライセンスが必要です。Thus in total, 6+16=22 licenses are required.
2222

お客様のユーザーにライセンスを割り当てる方法については、「Azure Active Directory ポータルを使用したライセンスの割り当てと削除」を参照してください。For information about how to assign licenses to your uses, see Assign or remove licenses using the Azure Active Directory portal.

次の手順Next steps