Azure AD アクセス レビューとはWhat are Azure AD access reviews?

組織で Azure Active Directory (Azure AD) アクセス レビューを使うことにより、グループ メンバーシップ、エンタープライズ アプリケーションへのアクセス、ロールの割り当てを効率的に管理できます。Azure Active Directory (Azure AD) access reviews enable organizations to efficiently manage group memberships, access to enterprise applications, and role assignments. ユーザーのアクセスを定期的にレビューし、適切なユーザーのみが継続的なアクセス権を持っていることを確認できます。User's access can be reviewed on a regular basis to make sure only the right people have continued access.

次のビデオでは、アクセス レビューの簡単な概要を説明します。Here's a video that provides a quick overview of access reviews:

アクセス レビューが重要である理由Why are access reviews important?

Azure AD を使用すると、組織内での共同作業、およびパートナーなどの外部組織のユーザーとの共同作業が可能です。Azure AD enables you to collaborate internally within your organization and with users from external organizations, such as partners. ユーザーは、グループへの参加、ゲストの招待、クラウド アプリへの接続、作業用や個人用のデバイスからのリモート作業を行うことができます。Users can join groups, invite guests, connect to cloud apps, and work remotely from their work or personal devices. セルフ サービスの機能を利用する便利さゆえ、よりよいアクセス管理機能が必要になっています。The convenience of leveraging the power of self-service has led to a need for better access management capabilities.

  • 新しい従業員が参加するとき、生産性のための適切なアクセス権をどのようにして確実に付与しますか。As new employees join, how do you ensure they have the right access to be productive?
  • ユーザーがチームを移動したり会社を辞めたりするとき (特にゲストが関係している場合)、どのようにして古いアクセス権を確実に削除しますか。As people move teams or leave the company, how do you ensure their old access is removed, especially when it involves guests?
  • 過剰なアクセス権は、アクセス権の制御の欠如を示しているため、監査所見やセキュリティ侵害につながる可能性があります。Excessive access rights can lead to audit findings and compromises as they indicate a lack of control over access.
  • リソースの所有者と事前に連絡を取り、リソースへのアクセス権を持つユーザーを定期的にレビューしていることを確認する必要があります。You have to proactively engage with resource owners to ensure they regularly review who has access to their resources.

アクセス レビューを使用すべきときWhen to use access reviews?

  • 特権ロールのユーザーが多すぎるとき: 管理者アクセス権を持っているユーザーの数、その内で全体管理者の数、管理タスクに割り当てられた後で削除されていない招待ゲストまたはパートナーがいるかどうかを確認するのはよいことです。Too many users in privileged roles: It's a good idea to check how many users have administrative access, how many of them are Global Administrators, and if there are any invited guests or partners that have not been removed after being assigned to do an administrative task. Azure AD Privileged Identity Management (PIM) エクスペリエンスでは、全体管理者などの Azure AD ロールまたはユーザー アクセス管理者などの Azure リソース ロールでロール割り当てユーザーを認定できます。You can recertify the role assignment users in Azure AD roles such as Global Administrators, or Azure resources roles such as User Access Administrator in the Azure AD Privileged Identity Management (PIM) experience.
  • 自動化が実行不可能なとき: セキュリティ グループまたは Office 365 のグループで動的メンバーシップに対するルールを作成できますが、HR データが Azure AD 内にない場合や、ユーザーがグループを離れた後で後任のトレーニングのためにアクセスする必要がある場合はどうしますか。When automation is infeasible: You can create rules for dynamic membership on security groups or Office 365 groups, but what if the HR data is not in Azure AD or if users still need access after leaving the group to train their replacement? そのようなときは、そのグループに対してレビューを作成し、まだアクセスを必要とするユーザーが継続的アクセス権を持っていることを確認することができます。You can then create a review on that group to ensure those who still need access should have continued access.
  • グループが新しい目的に使用されるとき: Azure AD に同期されるグループがある場合、または営業チーム グループの全員に対して Salesforce アプリケーションを有効にする場合は、異なるリスク コンテンツでグループを使用する前にグループ メンバーシップを確認するようグループ所有者に依頼するとよいことがあります。When a group is used for a new purpose: If you have a group that is going to be synced to Azure AD, or if you plan to enable the application Salesforce for everyone in the Sales team group, it would be useful to ask the group owner to review the group membership prior to the group being used in a different risk content.
  • ビジネス クリティカルなデータ アクセス: 特定のリソースでは、監査のため、IT 組織の外部のユーザーに対し、定期的にサインオフして、アクセスが必要な正当な理由を示すよう依頼することが必要な場合があります。Business critical data access: for certain resources, it might be required to ask people outside of IT to regularly sign off and give a justification on why they need access for auditing purposes.
  • ポリシーの例外リストを維持するため: 理想的な世界では、すべてのユーザーが、組織のリソースへのアクセスをセキュリティで保護するアクセス ポリシーに従っているでしょう。To maintain a policy's exception list: In an ideal world, all users would follow the access polices to secure access to your organization's resources. ただし、ビジネス ケースには、例外を認める必要がある場合もあります。However, sometimes there are business cases that require you to make exceptions. IT 管理者は、このタスクを管理し、ポリシー例外の見落としを防ぎ、これらの例外が定期的にレビューされている証明を監査者に提供することができます。As the IT admin, you can manage this task, avoid oversight of policy exceptions, and provide auditors with proof that these exceptions are reviewed regularly.
  • グループのゲストがまだ必要であることを確認するようグループの所有者に依頼するため: 一部のオンプレミス IAM では従業員のアクセスは自動化される場合がありますが、招待されたゲストではされません。Ask group owners to confirm they still need guests in their groups: Employee access might be automated with some on premises IAM, but not invited guests. グループでビジネスの重要なコンテンツへのアクセス権をゲストに付与する場合、ゲストにアクセスに対する正当なビジネス ニーズがまだあることを確認するのは、グループ所有者の責任です。If a group gives guests access to business sensitive content, then it's the group owner's responsibility to confirm the guests still have a legitimate business need for access.
  • 定期的にレビューを繰り返す場合: 毎週、毎月、毎四半期、毎年などの設定された周期でユーザーのアクセス レビューを繰り返すよう設定することができ、レビュー担当者は各レビューの開始時に通知されます。Have reviews recur periodically: You can set up recurring access reviews of users at set frequencies such as weekly, monthly, quarterly or annually, and the reviewers will be notified at the start of each review. レビュー担当者は、使いやすいインターフェイスとスマートな推奨事項の助けを借りてアクセスを承認または拒否することができます。Reviewers can approve or deny access with a friendly interface and with the help of smart recommendations.

レビューを作成する場所Where do you create reviews?

何をレビューするかにより、Azure AD アクセス レビュー、Azure AD エンタープライズ アプリ (プレビュー)、または Azure AD PIM でアクセス レビューを作成します。Depending on what you want to review, you will create your access review in Azure AD access reviews, Azure AD enterprise apps (in preview), or Azure AD PIM.

ユーザーのアクセス権Access rights of users レビュー担当者になれるユーザーReviewers can be レビューが作成される場所Review created in レビュー担当者のエクスペリエンスReviewer experience
セキュリティ グループ メンバーSecurity group members
Office グループ メンバーOffice group members
指定されたレビュー担当者Specified reviewers
グループ所有者Group owners
自己レビューSelf review
Azure AD アクセス レビューAzure AD access reviews
Azure AD グループAzure AD groups
アクセス パネルAccess panel
接続されたアプリに割り当てAssigned to a connected app 指定されたレビュー担当者Specified reviewers
自己レビューSelf review
Azure AD アクセス レビューAzure AD access reviews
azure AD エンタープライズ アプリ (プレビュー)Azure AD enterprise apps (in preview)
アクセス パネルAccess panel
Azure AD ロールAzure AD role 指定されたレビュー担当者Specified reviewers
自己レビューSelf review
Azure AD PIMAzure AD PIM Azure ポータルAzure portal
Azure リソース ロールAzure resource role 指定されたレビュー担当者Specified reviewers
自己レビューSelf review
Azure AD PIMAzure AD PIM Azure ポータルAzure portal

前提条件Prerequisites

アクセス レビューを使用するには、次のいずれかのライセンスが必要です。To use access reviews, you must have one of the following licenses:

  • Azure AD Premium P2Azure AD Premium P2
  • Enterprise Mobility + Security (EMS) E5 ライセンスEnterprise Mobility + Security (EMS) E5 license

詳細については、「方法:Azure Active Directory Premium へのサインアップ」または「Enterprise Mobility + Security E5 Trial」をご覧ください。For more information, see How to: Sign up for Azure Active Directory Premium or Enterprise Mobility + Security E5 Trial.

アクセス レビューでの作業の開始Get started with access reviews

アクセス レビューの作成と実行の詳細については、この短いデモをご覧ください。To learn more about creating and performing access reviews, watch this short demo:

組織にアクセス レビューを展開する準備ができたら、ビデオの手順に従って、配布を準備し、管理者をトレーニングして、最初のアクセス レビューを作成してください。If you are ready to deploy access reviews in your organization, follow these steps in the video to onboard, train your administrators, and create your first access review!

アクセス レビューを有効にするEnable access reviews

アクセス レビューを有効にするには、次の手順のようにします。To enable access reviews, follow these steps.

  1. グローバル管理者またはユーザー管理者として、アクセス レビューを使用する Azure portal にサインインします。As a Global administrator or User administrator, sign in to the Azure portal where you want to use access reviews.

  2. [すべてのサービス] をクリックして、アクセス レビュー サービスを見つけます。Click All services and find the access reviews service.

  3. [アクセス レビュー] をクリックします。Click Access reviews.

    [すべてのサービス] - [アクセス レビュー]

  4. ナビゲーション リストで、[配布準備をする] をクリックして [アクセス レビューの配布準備] ページを開きます。In the navigation list, click Onboard to open the Onboard access reviews page.

    アクセス レビューの配布準備

  5. [作成] をクリックして、現在のディレクトリでアクセス レビューを有効にします。Click Create to enable access reviews in the current directory.

    アクセス レビューの配布準備

    次にアクセス レビューを開始すると、アクセス レビュー オプションが有効になります。The next time you start access reviews, the access review options will be enabled.

    有効になったアクセス レビュー

次の手順Next steps