Azure AD エンタイトルメント管理とはWhat is Azure AD entitlement management?

Azure Active Directory (Azure AD) エンタイトルメント管理は、アクセス要求ワークフロー、アクセス割り当て、レビュー、および失効処理を自動化することで、ID とアクセスのライフサイクルを大規模に管理できる、ID ガバナンス機能です。Azure Active Directory (Azure AD) entitlement management is an identity governance feature that enables organizations to manage identity and access lifecycle at scale, by automating access request workflows, access assignments, reviews, and expiration.

組織の従業員は、業務を遂行するためにさまざまなグループ、アプリケーション、サイトにアクセスする必要があります。Employees in organizations need access to various groups, applications, and sites to perform their job. 要件の変更に伴い、新しいアプリケーションが追加されたり、ユーザーに追加のアクセス権が必要になったりすると、このアクセスの管理が困難になります。Managing this access is challenging, as requirements change - new applications are added or users need additional access rights. これは、外部の組織と共同作業する場合にはさらに複雑になります。たとえば、他社のどのユーザーが自社のリソースにアクセスする必要があるかがわからなかったり、自社で使用されているアプリケーション、グループ、サイトを他社のユーザーが把握できなかったりする場合があります。This scenario gets more complicated when you collaborate with outside organizations - you may not know who in the other organization needs access to your organization's resources, and they won't know what applications, groups or sites your organization is using.

Azure AD エンタイトルメント管理を使用すれば、グループ、アプリケーション、SharePoint Online サイトへのアクセスを、内部ユーザーについてだけでなく、それらのリソースにアクセスする必要がある外部ユーザーについても、より効率的に管理することができます。Azure AD entitlement management can help you more efficiently manage access to groups, applications, and SharePoint Online sites for internal users, and also for users outside your organization who need access to those resources.

エンタイトルメント管理を使用する理由Why use entitlement management?

エンタープライズ組織では、リソースに対する従業員のアクセスを管理する際、次のような課題に直面することがよくあります。Enterprise organizations often face challenges when managing employee access to resources such as:

  • ユーザーが自分に必要なアクセス権を把握できなかったり、把握できたとしても、アクセス権をどの担当者に承認してもらえばよいかがわかりにくいUsers may not know what access they should have, and even if they do, they may have difficulty locating the right individuals to approve their access
  • ユーザーがリソースへのアクセス権を見つけて取得した後、業務上の目的に必要な期間よりも長くアクセス権を持ち続ける場合があるOnce users find and receive access to a resource, they may hold on to access longer than is required for business purposes

これらの問題は、別の組織からアクセスするユーザーがいる場合、さらに複雑になります (サプライ チェーン組織やその他のビジネス パートナーに属する外部ユーザーなど)。These problems are compounded for users who need access from another organization, such as external users that are from supply chain organizations or other business partners. 次に例を示します。For example:

  • 担当者が、他社のディレクトリ内のすべての個人を把握することができず、それらのユーザーを招待できない場合があるNo one person may not know all of the specific individuals in other organization's directories to be able to invite them
  • 招待できたとしても、ユーザー全員のアクセス権を、担当者が一貫性を持って確実に管理できない場合があるEven if they were able to invite these users, no one in that organization may remember to manage all of the user's access consistently

Azure AD のエンタイトルメント管理は、これらの課題への対処に役立ちます。Azure AD entitlement management can help address these challenges. お客様が Azure AD エンタイトルメント管理をどのように使用しているかについて詳しくは、Avanade のケース スタディCentrica のケース スタディを参照してください。To learn more about how customers have been using Azure AD entitlement management, you can read the Avanade case study and the Centrica case study. 下記のビデオでは、エンタイトルメント管理とそのメリットについて概説しています。This video provides an overview of entitlement management and its value:

エンタイトルメント管理では何ができますか?What can I do with entitlement management?

エンタイトルメント管理の機能の一部を次に示します。Here are some of capabilities of entitlement management:

  • アクセス パッケージを作成する権限を、管理者以外の担当者に委任できます。Delegate to non-administrators the ability to create access packages. これらのアクセス パッケージには、ユーザーが要求できるリソースが含まれています。また、委任されたアクセス パッケージ マネージャーは、どのユーザーがアクセス権を要求できるかや、それらのアクセス権を誰が承認できるのか、さらには、アクセス権がいつ失効するのかについてのルールを使用して、ポリシーを定義することができます。These access packages contain resources that users can request, and the delegated access package managers can define policies with rules for which users can request, who must approve their access, and when access expires.
  • 接続先の組織を選択して、その組織のユーザーがアクセス権を要求できるようにすることができます。Select connected organizations whose users can request access. ディレクトリにまだ存在しないユーザーがアクセス権を要求し、それが承認されると、そのユーザーは自動的にディレクトリに招待され、アクセス権を割り当てられます。When a user who is not yet in your directory requests access, and is approved, they are automatically invited into your directory and assigned access. アクセス権の有効期限が切れ、かつ他のアクセス パッケージが割り当てられていない場合には、ディレクトリ内の B2B アカウントを自動的に削除できます。When their access expires, if they have no other access package assignments, their B2B account in your directory can be automatically removed.

作業の開始にあたっては、最初のアクセス パッケージを作成する方法のチュートリアルを参照すると便利です。You can get started with our tutorial to create your first access package. また、一般的なシナリオや下記のビデオも参考にできますYou can also read the common scenarios, or watch videos, including

アクセスパッケージとは何ですか? また、それを使ってどのようなリソースを管理できますか?What are access packages and what resources can I manage with them?

エンタイトルメント管理は、Azure AD にアクセス パッケージの概念を導入するための機能です。Entitlement management introduces to Azure AD the concept of an access package. アクセス パッケージとは、ユーザーがプロジェクトで作業したりタスクを遂行するために必要となるすべてのリソースと、そのアクセス権をバンドルしたものです。An access package is a bundle of all the resources with the access a user needs to work on a project or perform their task. アクセス パッケージは、内部の従業員、さらには組織外のユーザーのアクセスを管理するために使用します。Access packages are used to govern access for your internal employees, and also users outside your organization.

エンタイトルメント管理では、次の種類のリソースについて、ユーザーのアクセス権を管理できます。Here are the types of resources you can manage user's access to with entitlement management:

  • Azure AD セキュリティ グループのメンバーシップMembership of Azure AD security groups
  • Office 365 グループとチームのメンバーシップMembership of Office 365 Groups and Teams
  • Azure AD エンタープライズ アプリケーションへの割り当て (これには、SaaS アプリケーションのほか、フェデレーション/シングル サインオン、プロビジョニングをサポートしたカスタム統合アプリケーションも含まれます)Assignment to Azure AD enterprise applications, including SaaS applications and custom-integrated applications that support federation/single sign on and/or provisioning
  • SharePoint Online サイトのメンバーシップMembership of SharePoint Online sites

Azure AD セキュリティ グループまたは Office 365 グループに依存するその他のリソースへのアクセスを制御することもできます。You can also control access to other resources that rely upon Azure AD security groups or Office 365 Groups. 次に例を示します。For example:

  • Microsoft Office 365 のライセンスをユーザーに付与するには、アクセス パッケージで Azure AD セキュリティ グループを使用し、そのグループのグループ ベース ライセンスを構成しますYou can give users licenses for Microsoft Office 365 by using an Azure AD security group in an access package and configuring group-based licensing for that group
  • Azure リソースを管理するアクセス権をユーザーに付与するには、アクセス パッケージで Azure AD セキュリティ グループを使用し、そのグループの Azure ロール割り当てを作成しますYou can give users access to manage Azure resources by using an Azure AD security group in an access package and creating an Azure role assignment for that group

誰にアクセス権が付与されるかを制御するにはどうすればよいですか?How do I control who gets access?

管理者や委任されたアクセス パッケージ マネージャーは、アクセス パッケージを使用して、一連のリソース (グループ、アプリ、およびサイト) と、それらのリソースを操作するためにユーザーに必要なロールをリスト化します。With an access package, an administrator or delegated access package manager lists the resources (groups, apps, and sites), and the roles the users need for those resources.

アクセス パッケージには 1 つ以上のポリシーも含まれます。Access packages also include one or more policies. ポリシーとは、アクセス パッケージにユーザーを割り当てるうえでの規則やガイドラインを定義したものです。A policy defines the rules or guardrails for assignment to access package. 各ポリシーを使用することで、適切なユーザーだけがアクセスを要求できることや、要求の承認者が存在すること、また、リソースへのアクセス権に有効期限があり、更新されなければ失効することを保証できます。Each policy can be used to ensure that only the appropriate users are able to request access, that there are approvers for their request, and that their access to those resources is time-limited and will expire if not renewed.

アクセス パッケージとポリシー

管理者やアクセス パッケージ マネージャーは、各ポリシー内で次のことを定義しますWithin each policy, an administrator or access package manager defines

  • アクセス権を要求する資格がある、既存のユーザー (通常は従業員や招待済みゲスト)、または外部ユーザーのパートナー組織Either the already-existing users (typically employees or already-invited guests), or the partner organizations of external users, that are eligible to request access
  • 承認プロセスと、アクセス権を承認または拒否できるユーザーThe approval process and the users that can approve or deny access
  • ユーザーのアクセス権割り当て期間 (承認されてから、割り当てが期限切れになるまでの期間)The duration of a user's access assignment, once approved, before the assignment expires

次の図は、エンタイトルメント管理のさまざまな要素の例を示します。The following diagram shows an example of the different elements in entitlement management. 1 つのカタログと、2 つのアクセス パッケージ例が示されています。It shows one catalog with two example access packages.

  • アクセス パッケージ 1 には、1 つのグループがリソースとして含まれます。Access package 1 includes a single group as a resource. アクセスは、ディレクトリ内のユーザーの集合がアクセスを要求できるようにするポリシーによって定義されます。Access is defined with a policy that enables a set of users in the directory to request access.
  • アクセス パッケージ 2 には、グループ、アプリケーション、SharePoint Online サイトがリソースとして含まれます。Access package 2 includes a group, an application, and a SharePoint Online site as resources. アクセスは 2 つの異なるポリシーによって定義されます。Access is defined with two different policies. 最初のポリシーは、ディレクトリ内のユーザーの集合がアクセスを要求できるようにします。The first policy enables a set of users in the directory to request access. 2 番目のポリシーは、外部ディレクトリのユーザーがアクセスを要求できるようにします。The second policy enables users in an external directory to request access.

エンタイトルメント管理の概要

アクセス パッケージはどのような場合に使用するのですか?When should I use access packages?

アクセス パッケージは、アクセス権の割り当てに関する他のメカニズムに取って代わるものではありません。Access packages do not replace other mechanisms for access assignment. アクセス パッケージは、次のような状況で使用するのに適しています。They are most appropriate in situations such as the following:

  • 特定のタスクのために、従業員に期限付きのアクセス権が必要な場合。Employees need time-limited access for a particular task. たとえば、グループベースのライセンスと動的グループを使用して、すべての従業員が Exchange Online メールボックスを使用できるようにしている場合、ある部署のリソースを別の部署から読み取るなど、追加のアクセス権が必要になった際に、アクセス パッケージを使用するといった使い方もできます。For example, you might use group-based licensing and a dynamic group to ensure all employees have an Exchange Online mailbox, and then use access packages for situations in which employees need additional access,such as to read departmental resources from another department.
  • アクセス権を、従業員のマネージャーや、その他の指定された個人に承認してもらう必要がある場合。Access needs to be approved by an employee's manager or other designated individuals.
  • 特定の部署で、IT チームの手を借りることなく、リソースに対する独自のアクセス ポリシーを管理できるようにする必要がある場合。Departments wish to manage their own access policies for their resources without IT involvement.
  • 複数の組織が 1 つのプロジェクトで共同作業を行っている場合に、ある組織の複数のユーザーが、Azure AD B2B を通じて別の組織のリソースにアクセスする必要がある場合。Two or more organizations are collaborating on a project, and as a result, multiple users from one organization will need to be brought in via Azure AD B2B to access another organization's resources.

アクセス権を委任するにはどうすればよいですか?How do I delegate access?

アクセス パッケージは、カタログと呼ばれるコンテナーに定義されます。Access packages are defined in containers called catalogs. すべてのアクセス パッケージに対して 1 つのカタログを使用することもでき、個人を指定して、そのユーザーが独自のカタログを作成し、所有できるようにすることもできます。You can have a single catalog for all your access packages, or you can designate individuals to create and own their own catalogs. 管理者は任意のカタログにリソースを追加できますが、管理者以外のユーザーは、自分が所有しているリソースしかカタログに追加できません。An administrator can add resources to any catalog, but a non-administrator can only add to a catalog the resources which they own. カタログ所有者は、他のユーザーをカタログの共同所有者として追加したり、アクセス パッケージ マネージャーとして追加したりすることができます。A catalog owner can add other users as catalog co-owners, or as access package managers. これらのシナリオについては、Azure AD エンタイトルメント管理での委任とロールに関する記事で詳しく説明しています。These scenarios are described further in the article delegation and roles in Azure AD entitlement management.

用語の概要Summary of terminology

エンタイトルメント管理とそのドキュメントについてより深く理解するために、次の用語一覧を確認してください。To better understand entitlement management and its documentation, you can refer back to the following list of terms.

期間Term [説明]Description
アクセス パッケージaccess package チームまたはプロジェクトが必要とし、ポリシーに準拠しているリソースのバンドル。A bundle of resources that a team or project needs and is governed with policies. アクセス パッケージは常にカタログに含まれています。An access package is always contained in a catalog. 新しいアクセス パッケージは、ユーザーがアクセス権を要求する必要がある場合に作成します。You would create a new access package for a scenario in which users need to request access.
アクセス要求access request アクセス パッケージのリソースへのアクセス要求。A request to access the resources in an access package. 要求は通常、承認ワークフローを通じて処理されます。A request typically goes through an approval workflow. 承認されると、要求元のユーザーにアクセス パッケージが割り当てられます。If approved, the requesting user receives an access package assignment.
割り当てassignment ユーザーにアクセス パッケージを割り当てると、そのユーザーには、そのアクセス パッケージに対応するすべてのリソース ロールが割り当てられます。An assignment of an access package to a user ensures the user has all the resource roles of that access package. 通常、アクセス パッケージの割り当てには有効期限があり、期限が切れると失効します。Access package assignments typically have a time limit before they expire.
catalogcatalog 関連リソースとアクセス パッケージのコンテナー。A container of related resources and access packages. カタログは委任に使用されます。これにより、管理者以外のユーザーが独自のアクセス パッケージを作成できるようにすることができます。Catalogs are used for delegation, so that non-administrators can create their own access packages. カタログ所有者は、自分が所有するリソースをカタログに追加できます。Catalog owners can add resources they own to a catalog.
カタログ作成者catalog creator 新しいカタログの作成を許可されている一連のユーザーのことを指します。A collection of users who are authorized to create new catalogs. カタログ作成者として承認されている管理者以外のユーザーが新しいカタログを作成すると、そのユーザーは自動的にそのカタログの所有者になります。When a non-administrator user who is authorized to be a catalog creator creates a new catalog, they automatically become the owner of that catalog.
接続されている組織connected organization 自分が関係を持っている、外部の Azure AD ディレクトリまたはドメインのことを指します。A external Azure AD directory or domain that you have a relationship with. 接続された組織のユーザーは、アクセス権の要求を許可されたユーザーとして、ポリシーで指定できます。The users from a connected organization can be specified in a policy as being allowed to request access.
policypolicy アクセス権のライフサイクルを定義する一連のルールのことを指します (ユーザーがどのようにアクセス権を取得するか、誰が承認を実行できるか、割り当てによって付与されたアクセス権がいつ失効するかなど)。A set of rules that defines the access lifecycle, such as how users get access, who can approve, and how long users have access through an assignment. ポリシーはアクセス パッケージにリンクされます。A policy is linked to an access package. たとえば、アクセス パッケージに 2 つのポリシーを含めて、1 つは従業員によるアクセス要求、もう 1 つは外部ユーザーによるアクセス要求に使用することもできます。For example, an access package could have two policies - one for employees to request access and a second for external users to request access.
resourceresource Office グループ、セキュリティ グループ、アプリケーション、SharePoint Online サイトなどのアセットのことを指します。アクセス許可は、ロールによってユーザーに付与します。An asset, such as an Office group, a security group, an application, or a SharePoint Online site, with a role that a user can be granted permissions to.
リソース ディレクトリresource directory 共有する 1 つ以上のリソースがあるディレクトリ。A directory that has one or more resources to share.
リソース ロールresource role リソースに関連付けられ、リソースによって定義されている一連のアクセス許可のことです。A collection of permissions associated with and defined by a resource. グループには 2 つのロールがあります (メンバーと所有者)。A group has two roles - member and owner. SharePoint サイトには通常 3 つのロールがありますが、追加のカスタム ロールを使用することもできます。SharePoint sites typically have 3 roles but may have additional custom roles. アプリケーションにはカスタム ロールを設定できます。Applications can have custom roles.

ライセンスの要件License requirements

この機能を使用するには、Azure AD Premium P2 ライセンスが必要です。Using this feature requires an Azure AD Premium P2 license. 要件に対する適切なライセンスを確認するには、「 Free、Basic、および Premium エディションの一般公開されている機能の比較」をご覧ください。To find the right license for your requirements, see Comparing generally available features of the Free, Basic, and Premium editions.

Azure Government、Azure Germany、Azure China 21Vianet などの特殊なクラウドは現在ご利用いただけません。Specialized clouds, such as Azure Government, Azure Germany, and Azure China 21Vianet, are not currently available for use.

ライセンスが必要なユーザーWhich users must have licenses?

テナントには、エンタイトルメント管理でアクティブにしているメンバー ユーザーと同数以上の Azure AD Premium P2 ライセンスが必要です。Your tenant must have at least as many Azure AD Premium P2 licenses as you have member users active in entitlement management. エンタイトルメント管理のアクティブなメンバー ユーザーには次のユーザーが含まれます。Active member users in entitlement management include:

  • アクセス パッケージの要求を開始または承認するユーザー。A user that initiates or approves a request for an access package.
  • アクセス パッケージが割り当てられているユーザー。A user that has been assigned an access package.
  • アクセス パッケージを管理するユーザー。A user that manages access packages.

メンバー ユーザーのライセンスの一部として、複数のゲスト ユーザーにエンタイトルメント管理との対話を許可することもできます。As part of the licenses for member users, you can also allow a number of guest users to interact with entitlement management. 含めることができるゲスト ユーザーの数を計算する方法について詳しくは、「Azure Active Directory B2B コラボレーションのライセンスに関するガイダンス」をご覧ください。For information about how to calculate the number of guest users you can include, see Azure Active Directory B2B collaboration licensing guidance.

ユーザーにライセンスを割り当てる方法については、「Azure Active Directory ポータルを使用したライセンスの割り当てと削除」をご覧ください。For information about how to assign licenses to your users, see Assign or remove licenses using the Azure Active Directory portal. 現在、エンタイトルメント管理では、ユーザーのライセンス割り当ては強制されないことに注意してください。Note that entitlement management currently does not enforce license assignment for users.

次のステップNext steps