Azure AD アクセス レビューとはWhat are Azure AD access reviews?

組織で Azure Active Directory (Azure AD) アクセス レビューを使うことにより、グループ メンバーシップ、エンタープライズ アプリケーションへのアクセス、ロールの割り当てを効率的に管理できます。Azure Active Directory (Azure AD) access reviews enable organizations to efficiently manage group memberships, access to enterprise applications, and role assignments. ユーザーのアクセスを定期的にレビューし、適切なユーザーのみが継続的なアクセス権を持っていることを確認できます。User's access can be reviewed on a regular basis to make sure only the right people have continued access.

次のビデオでは、アクセス レビューの簡単な概要を説明します。Here's a video that provides a quick overview of access reviews:

アクセス レビューが重要である理由Why are access reviews important?

Azure AD を使用すると、組織内での共同作業、およびパートナーなどの外部組織のユーザーとの共同作業が可能です。Azure AD enables you to collaborate internally within your organization and with users from external organizations, such as partners. ユーザーは、グループへの参加、ゲストの招待、クラウド アプリへの接続、作業用や個人用のデバイスからのリモート作業を行うことができます。Users can join groups, invite guests, connect to cloud apps, and work remotely from their work or personal devices. セルフ サービスの機能を利用する便利さゆえ、よりよいアクセス管理機能が必要になっています。The convenience of leveraging the power of self-service has led to a need for better access management capabilities.

  • 新しい従業員が参加するとき、生産性のための適切なアクセス権をどのようにして確実に付与しますか。As new employees join, how do you ensure they have the right access to be productive?
  • ユーザーがチームを移動したり会社を辞めたりするとき (特にゲストが関係している場合)、どのようにして古いアクセス権を確実に削除しますか。As people move teams or leave the company, how do you ensure their old access is removed, especially when it involves guests?
  • 過剰なアクセス権は、アクセス権の制御の欠如を示しているため、監査所見やセキュリティ侵害につながる可能性があります。Excessive access rights can lead to audit findings and compromises as they indicate a lack of control over access.
  • リソースの所有者と事前に連絡を取り、リソースへのアクセス権を持つユーザーを定期的にレビューしていることを確認する必要があります。You have to proactively engage with resource owners to ensure they regularly review who has access to their resources.

アクセス レビューを使用すべきときWhen to use access reviews?

  • 特権ロールのユーザーが多すぎるとき: 管理者アクセス権を持っているユーザーの数、その内で全体管理者の数、管理タスクに割り当てられた後で削除されていない招待ゲストまたはパートナーがいるかどうかを確認するのはよいことです。Too many users in privileged roles: It's a good idea to check how many users have administrative access, how many of them are Global Administrators, and if there are any invited guests or partners that have not been removed after being assigned to do an administrative task. Azure AD Privileged Identity Management (PIM) エクスペリエンスでは、全体管理者などの Azure AD ロールまたはユーザー アクセス管理者などの Azure リソース ロールでロール割り当てユーザーを認定できます。You can recertify the role assignment users in Azure AD roles such as Global Administrators, or Azure resources roles such as User Access Administrator in the Azure AD Privileged Identity Management (PIM) experience.
  • 自動化が実行不可能なとき: セキュリティ グループまたは Office 365 のグループで動的メンバーシップに対するルールを作成できますが、HR データが Azure AD 内にない場合や、ユーザーがグループを離れた後で後任のトレーニングのためにアクセスする必要がある場合はどうしますか。When automation is infeasible: You can create rules for dynamic membership on security groups or Office 365 Groups, but what if the HR data is not in Azure AD or if users still need access after leaving the group to train their replacement? そのようなときは、そのグループに対してレビューを作成し、まだアクセスを必要とするユーザーが継続的アクセス権を持っていることを確認することができます。You can then create a review on that group to ensure those who still need access should have continued access.
  • グループが新しい目的に使用されるとき: Azure AD に同期されるグループがある場合、または営業チーム グループの全員に対して Salesforce アプリケーションを有効にする場合は、異なるリスク コンテンツでグループを使用する前にグループ メンバーシップを確認するようグループ所有者に依頼するとよいことがあります。When a group is used for a new purpose: If you have a group that is going to be synced to Azure AD, or if you plan to enable the application Salesforce for everyone in the Sales team group, it would be useful to ask the group owner to review the group membership prior to the group being used in a different risk content.
  • ビジネス クリティカルなデータ アクセス: 特定のリソースでは、監査のため、IT 組織の外部のユーザーに対し、定期的にサインアウトして、アクセスが必要な正当な理由を示すよう依頼することが必要な場合があります。Business critical data access: for certain resources, it might be required to ask people outside of IT to regularly sign out and give a justification on why they need access for auditing purposes.
  • ポリシーの例外リストを維持するため: 理想的な世界では、すべてのユーザーが、組織のリソースへのアクセスをセキュリティで保護するアクセス ポリシーに従っているでしょう。To maintain a policy's exception list: In an ideal world, all users would follow the access policies to secure access to your organization's resources. ただし、ビジネス ケースには、例外を認める必要がある場合もあります。However, sometimes there are business cases that require you to make exceptions. IT 管理者は、このタスクを管理し、ポリシー例外の見落としを防ぎ、これらの例外が定期的にレビューされている証明を監査者に提供することができます。As the IT admin, you can manage this task, avoid oversight of policy exceptions, and provide auditors with proof that these exceptions are reviewed regularly.
  • グループのゲストがまだ必要であることを確認するようグループの所有者に依頼するため: 一部のオンプレミス IAM では従業員のアクセスは自動化される場合がありますが、招待されたゲストではされません。Ask group owners to confirm they still need guests in their groups: Employee access might be automated with some on premises IAM, but not invited guests. グループでビジネスの重要なコンテンツへのアクセス権をゲストに付与する場合、ゲストにアクセスに対する正当なビジネス ニーズがまだあることを確認するのは、グループ所有者の責任です。If a group gives guests access to business sensitive content, then it's the group owner's responsibility to confirm the guests still have a legitimate business need for access.
  • 定期的にレビューを繰り返す場合: 毎週、毎月、毎四半期、毎年などの設定された周期でユーザーのアクセス レビューを繰り返すよう設定することができ、レビュー担当者は各レビューの開始時に通知されます。Have reviews recur periodically: You can set up recurring access reviews of users at set frequencies such as weekly, monthly, quarterly or annually, and the reviewers will be notified at the start of each review. レビュー担当者は、使いやすいインターフェイスとスマートな推奨事項の助けを借りてアクセスを承認または拒否することができます。Reviewers can approve or deny access with a friendly interface and with the help of smart recommendations.

レビューを作成する場所Where do you create reviews?

何をレビューするかにより、Azure AD アクセス レビュー、Azure AD エンタープライズ アプリ (プレビュー)、または Azure AD PIM でアクセス レビューを作成します。Depending on what you want to review, you will create your access review in Azure AD access reviews, Azure AD enterprise apps (in preview), or Azure AD PIM.

ユーザーのアクセス権Access rights of users レビュー担当者になれるユーザーReviewers can be レビューが作成される場所Review created in レビュー担当者のエクスペリエンスReviewer experience
セキュリティ グループ メンバーSecurity group members
Office グループ メンバーOffice group members
指定されたレビュー担当者Specified reviewers
グループ所有者Group owners
自己レビューSelf-review
Azure AD アクセス レビューAzure AD access reviews
Azure AD グループAzure AD groups
アクセス パネルAccess panel
接続されたアプリに割り当てAssigned to a connected app 指定されたレビュー担当者Specified reviewers
自己レビューSelf-review
Azure AD アクセス レビューAzure AD access reviews
azure AD エンタープライズ アプリ (プレビュー)Azure AD enterprise apps (in preview)
アクセス パネルAccess panel
Azure AD ロールAzure AD role 指定されたレビュー担当者Specified reviewers
自己レビューSelf-review
Azure AD PIMAzure AD PIM Azure portalAzure portal
Azure リソース ロールAzure resource role 指定されたレビュー担当者Specified reviewers
自己レビューSelf-review
Azure AD PIMAzure AD PIM Azure portalAzure portal

アクセス レビューを作成するCreate access reviews

アクセス レビューを作成するには、次の手順に従います。To create an access reviews, follow these steps:

  1. アクセス レビューを管理し、グローバル管理者またはユーザー管理者としてサインインするには、Azure portal にアクセスしてください。Go to the Azure portal to manage access reviews and sign in as a Global administrator or User administrator.

  2. Azure Active Directory を検索して選択します。Search for and select Azure Active Directory.

    Azure portal で、Azure Active Directory を検索する

  3. [Identity Governance] を選択します。Select Identity Governance.

  4. [作業の開始] ページで、 [アクセス レビューの作成] ボタンをクリックします。On the Getting started page, click the Create an access review button.

    アクセス レビューの開始ページ

Azure AD ロールに割り当て可能なグループに対するアクセス レビューの作成Creating access review on a group that can be assigned to Azure AD role

最新バージョンのアクセス レビューを使用している場合 (レビュー担当者には既定で [マイ アクセス] が表示されます) は、全体管理者のみがロール割り当て可能なグループにアクセス レビューを作成できます。If you are on the newest version of Access Reviews (your reviewers are directed to My Access by default) , then only Global Administrator can create access review on role-assignable groups. しかし、以前のバージョンのアクセス レビューを使用している場合 (レビュー担当者には既定で [アクセス パネル] が表示されます)、全体管理者とユーザーの管理者がロール割り当て可能なグループにアクセス レビューを作成できます。However, if you are on older version of Access Reviews (your reviewers are directed to the Access Panel by default), then both Global Administrator and User Administrator can create access review on role-assignable groups.

新しいエクスペリエンスは、2020 年 8 月 1 日にすべての顧客にロールアウトされますが、すぐにアップグレードする場合は、「Azure AD アクセス レビュー - マイ アクセス サインアップのレビュー担当者エクスペリエンスの更新」でリクエストを作成してください。The new experience will be rolled out to all customers on August 1st, 2020 but if you’d like to upgrade sooner, please make a request here - Azure AD Access Reviews - Updated reviewer experience in My Access Signup.

グループを Azure AD ロールに割り当てる方法について詳しく確認しますLearn more about assigning groups to Azure AD roles.

アクセス レビューの詳細情報Learn about access reviews

アクセス レビューの作成と実行の詳細については、この短いデモをご覧ください。To learn more about creating and performing access reviews, watch this short demo:

組織にアクセス レビューを展開する準備ができたら、ビデオの手順に従って、配布を準備し、管理者をトレーニングして、最初のアクセス レビューを作成してください。If you are ready to deploy access reviews in your organization, follow these steps in the video to onboard, train your administrators, and create your first access review!

ライセンスの要件License requirements

この機能を使用するには、Azure AD Premium P2 ライセンスが必要です。Using this feature requires an Azure AD Premium P2 license. ご自分の要件に適したライセンスを確認するには、 Free、Office 365 アプリ、および Premium エディションの一般公開されている機能の比較に関するページをご覧ください。To find the right license for your requirements, see Comparing generally available features of the Free, Office 365 Apps, and Premium editions.

ライセンスはいくつ必要ですか?How many licenses must you have?

少なくとも、次のタスクを実行する従業員と同じ数の Azure AD Premium P2 ライセンスが確実にディレクトリにあるようにします。Ensure that your directory has at least as many Azure AD Premium P2 licenses as you have employees that will be performing the following tasks:

  • レビュー担当者として割り当てられているメンバーとゲスト ユーザーMember and guest users who are assigned as reviewers
  • 自己レビューを実行するメンバーとゲスト ユーザーMember and guest users who perform a self-review
  • アクセス レビューを実行するグループ所有者Group owners who perform an access review
  • アクセス レビューを実行するアプリケーション所有者Application owners who perform an access review

Azure AD Premium P2 ライセンスは、次のタスクでは必要ありませんAzure AD Premium P2 licenses are not required for the following tasks:

  • アクセス レビューを設定したり、設定を構成したり、レビューの決定を適用したりするグローバル管理者またはユーザー管理者ロールを持つユーザーには、ライセンスは必要ありません。No licenses are required for the users with the Global Administrator or User Administrator roles that set up access reviews, configure settings, or apply the decisions from the reviews.

自分自身の組織のユーザーの 1 人に割り当てる有料の Azure AD Premium P2 ライセンスごとに、Azure AD 企業間 (B2B) を使用して、外部ユーザー無料利用分に従って最大 5 人までのゲスト ユーザーを招待できます。For each paid Azure AD Premium P2 license that you assign to one of your own organization's users, you can use Azure AD business-to-business (B2B) to invite up to five guest users under the External User Allowance. これらのゲスト ユーザーも Azure AD Premium P2 の機能を使用できます。These guest users can also use Azure AD Premium P2 features. 詳細については、Azure AD B2B コラボレーションのライセンス ガイダンスを参照してください。For more information, see Azure AD B2B collaboration licensing guidance.

ライセンスの詳細については、Azure Active Directory ポータルを使用したライセンスの割り当てと削除に関するページを参照してください。For more information about licenses, see Assign or remove licenses using the Azure Active Directory portal.

ライセンスのシナリオ例Example license scenarios

必要なライセンス数の決定に役立つライセンスのシナリオ例をいくつか以下に示します。Here are some example license scenarios to help you determine the number of licenses you must have.

シナリオScenario 計算Calculation ライセンス数Number of licenses
管理者は、ユーザーが 75 人でグループ所有者が 1 人のグループ A のアクセス レビューを作成し、そのグループ所有者をレビュー担当者として割り当てます。An administrator creates an access review of Group A with 75 users and 1 group owner, and assigns the group owner as the reviewer. レビュー担当者としてのグループ所有者用に 1 ライセンス1 license for the group owner as reviewer 11
管理者は、ユーザーが 500 人でグループ所有者が 3 人のグループ B のアクセス レビューを作成し、その 3 人のグループ所有者をレビュー担当者として割り当てます。An administrator creates an access review of Group B with 500 users and 3 group owners, and assigns the 3 group owners as reviewers. レビュー担当者としての各グループ所有者用に 3 ライセンス3 licenses for each group owner as reviewers 33
管理者は、ユーザーが 500 人のグループ B のアクセス レビューを作成します。An administrator creates an access review of Group B with 500 users. 自己レビューにします。Makes it a self-review. 自己レビュー担当者としての各ユーザー用に 500 ライセンス500 licenses for each user as self-reviewers 500500
管理者は、メンバー ユーザーが 50 人でゲスト ユーザーが 25 人のグループ C のアクセス レビューを作成します。An administrator creates an access review of Group C with 50 member users and 25 guest users. 自己レビューにします。Makes it a self-review. 自己レビュー担当者としての各ユーザー用に 50 ライセンス。50 licenses for each user as self-reviewers.
(ゲスト ユーザーは、必須の 1:5 比率でカバーされます)(guest users are covered in the required 1:5 ratio)
5050
管理者は、メンバー ユーザーが 6 人でゲスト ユーザーが 108 人のグループ D のアクセス レビューを作成します。An administrator creates an access review of Group D with 6 member users and 108 guest users. 自己レビューにします。Makes it a self-review. 自己レビュー担当者としての各ユーザー用に 6 ライセンス + 必要な 1 対 5 の比率で 108 人のすべてのゲスト ユーザーに対応する追加の 16 ライセンス。6 licenses for each user as self-reviewers + 16 additional licenses to cover all 108 guest users in the required 1:5 ratio. 6 ライセンス。これは 6 * 5 = 30 人のゲスト ユーザーに対応します。6 licenses, which cover 6*5=30 guest users. 残り (108 - 6 * 5) = 78 人のゲスト ユーザーの場合、78 / 5 = 16 の追加ライセンスが必要です。For the remaining (108-6*5)=78 guest users, 78/5=16 additional licenses are required. そのため、合計で 6 + 16 = 22 のライセンスが必要です。Thus in total, 6+16=22 licenses are required. 2222

次のステップNext steps