グループまたはアプリケーションのアクセス レビューを Azure AD アクセス レビューで作成するCreate an access review of groups or applications in Azure AD access reviews

従業員およびゲストに対するグループやアプリケーションへのアクセスは、時間の経過と共に変化します。Access to groups and applications for employees and guests changes over time. アクセスの割り当てが古いことで生じるリスクを軽減するために、管理者は、グループ メンバーまたはアプリケーションのアクセスに対するアクセス レビューを Azure Active Directory (Azure AD) を使用して作成することができます。To reduce the risk associated with stale access assignments, administrators can use Azure Active Directory (Azure AD) to create access reviews for group members or application access. 定期的にアクセスをレビューする必要がある場合は、繰り返すアクセス レビューを作成することもできます。If you need to routinely review access, you can also create recurring access reviews. これらのシナリオについて詳しくは、ユーザー アクセスの管理ゲスト アクセスの管理に関するページをご覧ください。For more information about these scenarios, see Manage user access and Manage guest access.

この記事では、グループ メンバーまたはアプリケーションのアクセスに対して 1 つ以上のアクセス レビューを作成する方法について説明します。This article describes how to create one or more access reviews for group members or application access.

前提条件Prerequisites

  • Azure AD Premium P2Azure AD Premium P2
  • グローバル管理者またはユーザー管理者Global administrator or User administrator

詳細については、ライセンスが必要なユーザーに関する記事をご覧ください。For more information, see Which users must have licenses?.

1 つ以上のアクセス レビューを作成するCreate one or more access reviews

  1. Azure portal にサインインして、[Identity Governance] ページを開きます。Sign in to the Azure portal and open the Identity Governance page.

  2. 左側のメニューで [アクセス レビュー] をクリックします。In the left menu, click Access reviews.

  3. [新しいアクセス レビュー] をクリックして、新しいアクセス レビューを作成します。Click New access review to create a new access review.

    Identity Governance の [アクセス レビュー] ウィンドウ

  4. アクセス レビューに名前を付けます。Name the access review. 必要に応じて、そのレビューに説明を加えます。Optionally, give the review a description. その名前と説明がレビュアーに示されます。The name and description are shown to the reviewers.

    アクセス レビューの作成 - レビューの名前と説明

  5. [開始日] を設定します。Set the Start date. 既定では、アクセス レビューは 1 回実行されます。作成されたのと同じ時間に開始され、1 か月で終了します。By default, an access review occurs once, starts the same time it's created, and it ends in one month. この開始日と終了日を変更することで、アクセス レビューを後で開始し、必要な日数を好きなだけ確保することができます。You can change the start and end dates to have an access review start in the future and last however many days you want.

    アクセス レビューの作成 - 開始日と終了日

  6. アクセス レビューを繰り返すには、 [頻度] 設定を [1 回] から [毎週][毎月][四半期に 1 回][毎年] に変更します。To make the access review recurring, change the Frequency setting from One time to Weekly, Monthly, Quarterly or Annually. [期間] スライダーまたはテキスト ボックスを使用し、繰り返しの系列の各レビューでレビュー担当者からの入力を受け付ける日数を決めます。Use the Duration slider or text box to define how many days each review of the recurring series will be open for input from reviewers. たとえば、レビューの重複を避けるために、月 1 回のレビューに設定できる最大期間は 27 日です。For example, the maximum duration that you can set for a monthly review is 27 days, to avoid overlapping reviews.

  7. [終了] の設定を使用して、アクセス レビューの繰り返し系列を終了する方法を指定します。Use the End setting to specify how to end the recurring access review series. 系列は 3 つの方法で終了できます。つまり、継続的に実行して無期限にレビューを開始する、特定の日付まで実行する、または定義された実行回数が完了するまで実行する、です。The series can end in three ways: it runs continuously to start reviews indefinitely, until a specific date, or after a defined number of occurrences has been completed. あなた自身、別のユーザー管理者、または別の全体管理者は、 [設定] で日付を変更してその日付に終了するように指定することで、作成後に系列を停止することができます。You, another User administrator, or another Global administrator can stop the series after creation by changing the date in Settings, so that it ends on that date.

  8. [ユーザー] セクションで、そのアクセス レビューの適用対象ユーザーを指定します。In the Users section, specify the users that the access review applies to. アクセス レビューは、アプリケーションに割り当てられているグループのメンバーまたはユーザーを対象とすることができます。Access reviews can be for the members of a group or for users who were assigned to an application. アクセス レビューの範囲をさらに限定し、メンバーである全ユーザーまたはアプリケーションへのアクセス権を持つ全ユーザーをレビューするのではなく、メンバーとなっている (または、アプリケーションに割り当てられている) ゲスト ユーザーだけをレビューすることができます。You can further scope the access review to review only the guest users who are members (or assigned to the application), rather than reviewing all the users who are members or who have access to the application.

    アクセス レビューの作成 - ユーザー

  9. [グループ] セクションで、メンバーシップを確認する 1 つ以上のグループを選択します。In the Group section, select one or more groups that you would like to review membership of.

    注意

    複数のグループを選択すると、複数のアクセス レビューが作成されます。Selecting more than one group will create multiple access reviews. たとえば、5 つのグループを選択すると、5 つの別々のアクセス レビューが作成されます。For example, selecting five groups will create five separate access reviews.

    アクセス レビューの作成 - グループの選択

  10. [アプリケーション] セクションで (ステップ 8 で [アプリケーションに割り当て済み] を選択した場合)、アクセスをレビューするアプリケーションを選択します。In the Applications section (if you selected Assigned to an application in step 8), select the applications that you would like to review access to.

    注意

    複数のグループを選択すると、複数のアクセス レビューが作成されます。Selecting more than one application will create multiple access reviews. たとえば、5 つのアプリケーションを選択すると、5 つの別々のアクセス レビューが作成されます。For example, selecting five applications will create five separate access reviews.

    アクセス レビューの作成 - アプリケーションの選択

  11. [レビュー担当者] セクションで、対象範囲内の全ユーザーをレビューする担当者 (複数可) を選びます。In the Reviewers section, select either one or more people to review all the users in scope. メンバー自身にそのアクセス権をレビューしてもらうことができます。Or you can select to have the members review their own access. リソースがグループである場合は、そのグループの所有者にレビューを依頼することができます。If the resource is a group, you can ask the group owners to review. アクセスの承認時に理由を入力するようレビュー担当者に要求することもできます。You also can require that the reviewers supply a reason when they approve access.

    アクセス レビューの作成 - レビュー担当者

  12. [プログラム] セクションで、使うプログラムを選びます。In the Programs section, select the program you want to use. "既定のプログラム" というプログラムが常に存在します。Default Program is always present.

    アクセス レビューの作成 - プログラム

    目的の異なるさまざまなアクセス レビューは、プログラムにまとめることにより、その追跡と収集を省力化することができます。You can simplify how to track and collect access reviews for different purposes by organizing them into programs. それぞれのアクセス レビューを特定のプログラムに関連付けることができるので、Each access review can be linked to a program. それにより、監査担当者へのレポートを準備する場合は、特定の取り組みの範囲内のアクセス レビューに焦点を絞ることができます。Then when you prepare reports for an auditor, you can focus on the access reviews in scope for a particular initiative. プログラムおよびアクセス レビューの結果は、グローバル管理者、ユーザー管理者、セキュリティ管理者、またはセキュリティ閲覧者の各役割にあるユーザーに表示されます。Programs and access review results are visible to users in the Global administrator, User administrator, Security administrator, or Security reader role.

    プログラムの一覧を表示するには、アクセス レビュー ページに移動し、 [プログラム] を選択します。To see a list of programs, go to the access reviews page and select Programs. グローバル管理者またはユーザー管理者ロールのユーザーであれば、新たにプログラムを作成することができます。If you're in a Global administrator or User administrator role, you can create additional programs. たとえば、コンプライアンスの取り組みやビジネス目標ごとにプログラムを 1 つ用意することができます。For example, you can choose to have one program for each compliance initiative or business goal. 不要になったためコントロールが関連付けられていないプログラムは削除することができます。If you no longer need a program and it doesn't have any controls linked to it, you can delete it.

完了時の設定Upon completion settings

  1. レビュー完了後の動作を指定するには、 [設定完了時] セクションを展開します。To specify what happens after a review completes, expand the Upon completion settings section.

    アクセス レビューの作成 - 設定完了時

  2. 拒否されたユーザーのアクセスを自動的に削除する場合は、 [リソースへの結果の自動適用][有効] に設定します。If you want to automatically remove access for users that were denied, set Auto apply results to resource to Enable. レビューが完了したときに結果を手動で適用する場合は、スイッチを [無効] に設定します。If you want to manually apply the results when the review completes, set the switch to Disable.

  3. レビューの期間内にレビュー担当者によってレビューされなかったユーザーに対する処理を指定するには、 [レビュー担当者からの応答なし] の一覧を使用します。Use the Should reviewer not respond list to specify what happens for users that are not reviewed by the reviewer within the review period. この設定は、レビュー担当者によって手動でレビューされたユーザーには影響しません。This setting does not impact users who have been reviewed by the reviewers manually. レビュー担当者の最終的な決定が拒否である場合、ユーザーのアクセスは削除されます。If the final reviewer's decision is Deny, then the user's access will be removed.

    • [変更なし] - ユーザーのアクセスをそのまま変更しないでおきますNo change - Leave user's access unchanged
    • [アクセスの削除] - ユーザーのアクセスを削除しますRemove access - Remove user's access
    • [アクセスを承認する] - ユーザーのアクセスを承認しますApprove access - Approve user's access
    • [推奨事項の実行] - ユーザーの継続的なアクセスの拒否または承認に関するシステムの推奨事項を実行しますTake recommendations - Take the system's recommendation on denying or approving the user's continued access

詳細設定Advanced settings

  1. 他の設定を指定するには、 [詳細設定] セクションを展開します。To specify additional settings, expand the Advanced settings section.

    アクセス レビューの作成 - 詳細設定

  2. ユーザーの情報に基づくシステムの推奨事項をレビュー担当者に表示するには、 [推奨事項を表示][有効] に設定します。Set Show recommendations to Enable to show the reviewers the system recommendations based the user's access information.

  3. レビュー担当者による承認理由の指定を必須にするには、 [承認時に理由が必要][有効] に設定します。Set Require reason on approval to Enable to require the reviewer to supply a reason for approval.

  4. アクセス レビュー開始時に Azure AD からレビュー担当者にメール通知を送信し、レビュー完了時に管理者にメール通知を送信するには、 [メール通知][有効] に設定します。Set Mail notifications to Enable to have Azure AD send email notifications to reviewers when an access review starts, and to administrators when a review completes.

  5. レビューを完了していないレビュー担当者に、進行中のアクセス レビューに関するリマインダーを Azure AD から送信するには、 [リマインダー][有効] に設定します。Set Reminders to Enable to have Azure AD send reminders of access reviews in progress to reviewers who have not completed their review.

    既定では、終了日まであと半分になった時点で、Azure AD はまだ応答していないレビュー担当者に自動的に通知が送信されます。By default, Azure AD automatically sends a reminder halfway to the end date to reviewers who haven't yet responded.

アクセス レビューを開始するStart the access review

アクセス レビューの設定を指定したら、 [開始] をクリックします。Once you have specified the settings for an access review, click Start. アクセス レビューはステータスと共にリストに表示されます。The access review will appear in your list with an indicator of its status.

アクセス レビューとそれらの状態の一覧

既定では、レビューの開始直後に Azure AD からレビュー担当者宛てにメールが送信されます。By default, Azure AD sends an email to reviewers shortly after the review starts. Azure AD からメールを送信することを選択しなかった場合は、アクセス レビューが実行待ちになっていることを必ずレビュー担当者に伝えてください。If you choose not to have Azure AD send the email, be sure to inform the reviewers that an access review is waiting for them to complete. レビュー担当者には、グループまたはアプリケーションへのアクセスをレビューする手順を案内することができます。You can show them the instructions for how to review access to groups or applications. レビュー対象がゲストで、自分のアクセスをレビューしてもらう場合は、グループまたはアプリケーションへの自身のアクセス権をレビューする手順を案内します。If your review is for guests to review their own access, show them the instructions for how to review access for yourself to groups or applications.

レビュー担当者として割り当てられているが招待状を受け取っていないゲストは、レビューの前にまず招待状を受け取る必要があるため、アクセス レビューから電子メールが送信されません。If you have assigned guests as reviewers and they have not accepted the invite, they will not receive an email from access reviews because they must first accept the invite prior to reviewing.

API を使用してレビューを作成するCreate reviews via APIs

API を使ってアクセス レビューを作ることもできます。You can also create access reviews using APIs. グループおよびアプリケーション ユーザーのアクセス レビューを管理するために Azure portal で行うことは、Microsoft Graph API を使って行うこともできます。What you do to manage access reviews of groups and application users in the Azure portal can also be done using Microsoft Graph APIs. 詳しくは、Azure AD アクセス レビュー API リファレンスのページをご覧ください。For more information, see the Azure AD access reviews API reference. コード サンプルについては、「Example of retrieving Azure AD Access Reviews via Microsoft Graph (Microsoft Graph を使用して Azure AD アクセス レビューを取得する例)」をご覧ください。For a code sample, see Example of retrieving Azure AD access reviews via Microsoft Graph.

次の手順Next steps