Azure AD エンタイトルメント管理とはWhat is Azure AD entitlement management? (プレビュー)(Preview)


Azure Active Directory (Azure AD) のエンタイトルメント管理は現在、パブリック プレビュー段階です。Azure Active Directory (Azure AD) entitlement management is currently in public preview. このプレビュー バージョンはサービス レベル アグリーメントなしで提供されています。運用環境のワークロードに使用することはお勧めできません。This preview version is provided without a service level agreement, and it's not recommended for production workloads. 特定の機能はサポート対象ではなく、機能が制限されることがあります。Certain features might not be supported or might have constrained capabilities. 詳しくは、Microsoft Azure プレビューの追加使用条件に関するページをご覧ください。For more information, see Supplemental Terms of Use for Microsoft Azure Previews.

組織の従業員は、業務を遂行するためにさまざまなグループ、アプリケーション、サイトにアクセスする必要があります。Employees in organizations need access to various groups, applications, and sites to perform their job. このアクセスを管理することは困難です。Managing this access is challenging. ほとんどの場合、プロジェクトのためにユーザーに必要なすべてのリソースを整理した一覧はありません。In most cases, there is no organized list of all the resources a user needs for a project. プロジェクト マネージャーは、必要なリソース、関係する人物、プロジェクトが続く期間をよく理解しています。The project manager has a good understanding of the resources needed, the individuals involved, and how long the project will last. ただし、プロジェクト マネージャーには通常、他のユーザーに対してアクセスを承認または許可する権限がありません。However, the project manager typically does not have permissions to approve or grant access to others. 外部の個人または会社と仕事をしようとすると、このシナリオはさらに複雑になります。This scenario gets more complicated when you try to work with external individuals or companies.

Azure Active Directory (Azure AD) のエンタイトルメント管理は、内部ユーザーだけでなく組織外のユーザーを対象に、グループ、アプリケーション、SharePoint Online サイトへのアクセスを管理するために役立ちます。Azure Active Directory (Azure AD) entitlement management can help you manage access to groups, applications, and SharePoint Online sites for internal users and also users outside your organization.

エンタイトルメント管理を使用する理由Why use entitlement management?

エンタープライズ組織は、以下のようなリソースへのアクセスを管理する際、しばしば課題に直面します。Enterprise organizations often face challenges when managing access to resources such as:

  • 自分に必要なアクセス権をユーザーが知らない場合があるUsers may not know what access they should have
  • ユーザーが適切な個人またはリソースを探すのが難しい場合があるUsers may have difficulty locating the right individuals or right resources
  • ユーザーがリソースへのアクセス権を見つけて取得した後、業務上の目的に必要な期間よりも長くアクセス権を持ち続ける場合があるOnce users find and receive access to a resource, they may hold on to access longer than is required for business purposes

サプライ チェーン組織またはその他のビジネス パートナーに属する外部ユーザーなど、別のディレクトリからアクセスする必要があるユーザーにとっては、これらの問題がいっそう複雑になります。These problems are compounded for users who need access from another directory, such as external users that are from supply chain organizations or other business partners. 例:For example:

  • 他のディレクトリ内の招待可能な特定の個人全員を、組織があらかじめ把握できていない可能性があるOrganizations may not know all of the specific individuals in other directories to be able to invite them
  • 組織がこれらのユーザーを招待できたとしても、ユーザー全員のアクセスを一貫して管理することを組織が忘れてしまう場合があるEven if organizations were able to invite these users, organizations may not remember to manage all of the user's access consistently

Azure AD のエンタイトルメント管理は、これらの課題への対処に役立ちます。Azure AD entitlement management can help address these challenges.

エンタイトルメント管理では何ができますか?What can I do with entitlement management?

エンタイトルメント管理の機能の一部を次に示します。Here are some of capabilities of entitlement management:

  • ユーザーが要求できる関連リソースのパッケージを作成するCreate packages of related resources that users can request
  • リソースの要求方法と、アクセス期限がいつ切れるかに関する規則を定義するDefine rules for how to request resources and when access expires
  • 内部ユーザーと外部ユーザー両方のアクセスのライフサイクルを管理するGovern the lifecycle of access for both internal and external users
  • リソースの管理を委任するDelegate management of resources
  • 承認者を指名して要求を承認するDesignate approvers to approve requests
  • レポートを作成して履歴を追跡するCreate reports to track history

ID ガバナンスとエンタイトルメント管理の概要については、Ignite 2018 カンファレンスの次のビデオをご覧ください。For an overview of Identity Governance and entitlement management, watch the following video from the Ignite 2018 conference:

どのようなリソースを管理できますか?What resources can I manage?

エンタイトルメント管理でアクセスを管理できるリソースの種類は次のとおりです。Here are the types of resources you can manage access to with entitlement management:

  • Azure AD セキュリティ グループAzure AD security groups
  • Office 365 グループOffice 365 groups
  • SaaS アプリケーションや、フェデレーションまたはプロビジョニングをサポートするカスタム統合アプリケーションなどの、Azure AD エンタープライズ アプリケーションAzure AD enterprise applications, including SaaS application and custom-integrated applications that support federation or provisioning
  • SharePoint Online サイト コレクションとサイトSharePoint Online site collections and sites

Azure AD セキュリティ グループまたは Office 365 グループに依存するその他のリソースへのアクセスを制御することもできます。You can also control access to other resources that rely upon Azure AD security groups or Office 365 groups. 例:For example:

  • Microsoft Office 365 のライセンスをユーザーに付与するには、アクセス パッケージで Azure AD セキュリティ グループを使用し、そのグループのグループ ベース ライセンスを構成しますYou can give users licenses for Microsoft Office 365 by using an Azure AD security group in an access package and configuring group-based licensing for that group
  • Azure リソースを管理するアクセス権をユーザーに付与するには、アクセス パッケージで Azure AD セキュリティ グループを使用し、そのグループの Azure ロール割り当てを作成しますYou can give users access to manage Azure resources by using an Azure AD security group in an access package and creating an Azure role assignment for that group

アクセス パッケージとポリシーとは何ですか?What are access packages and policies?

エンタイトルメント管理では、アクセス パッケージの概念を導入しています。Entitlement management introduces the concept of an access package. アクセス パッケージは、ユーザーがプロジェクトでの作業や業務の遂行に必要とするすべてのリソースのバンドルです。An access package is a bundle of all the resources a user needs to work on a project or perform their job. リソースには、グループ、アプリケーション、またはサイトへのアクセスが含まれます。The resources include access to groups, applications, or sites. アクセス パッケージは、内部の従業員、さらには組織外のユーザーのアクセスを管理するために使用します。Access packages are used to govern access for your internal employees, and also users outside your organization. アクセス パッケージは、カタログと呼ばれるコンテナーに定義されます。Access packages are defined in containers called catalogs.

アクセス パッケージには 1 つ以上のポリシーも含まれます。Access packages also include one or more policies. ポリシーにより、アクセス パッケージにアクセスするための規則またはガードレールを定義します。A policy defines the rules or guardrails to access an access package. ポリシーを有効にすると、適切なユーザーだけが、適切なリソースへのアクセスを、適切な期間に限って許可される体制になります。Enabling a policy enforces that only the right users are granted access, to the right resources, and for the right amount of time.

アクセス パッケージとポリシー

アクセス パッケージとそのポリシーを使用して、アクセス パッケージ マネージャーは次のものを定義します。With an access package and its policies, the access package manager defines:

  • リソースResources
  • ユーザーがリソースに対して必要とするロールRoles the users need for the resources
  • アクセスを要求する資格がある内部ユーザーと外部ユーザーInternal users and external users that are eligible to request access
  • 承認プロセスと、アクセスを承認または拒否できるユーザーApproval process and the users that can approve or deny access
  • ユーザーのアクセス権の継続時間Duration of user's access

次の図は、エンタイトルメント管理のさまざまな要素の例を示します。The following diagram shows an example of the different elements in entitlement management. アクセス パッケージの 2 つの例を示します。It shows two example access packages.

  • アクセス パッケージ 1 には、1 つのグループがリソースとして含まれます。Access package 1 includes a single group as a resource. アクセスは、ディレクトリ内のユーザーの集合がアクセスを要求できるようにするポリシーによって定義されます。Access is defined with a policy that enables a set of users in the directory to request access.
  • アクセス パッケージ 2 には、グループ、アプリケーション、SharePoint Online サイトがリソースとして含まれます。Access package 2 includes a group, an application, and a SharePoint Online site as resources. アクセスは 2 つの異なるポリシーによって定義されます。Access is defined with two different policies. 最初のポリシーは、ディレクトリ内のユーザーの集合がアクセスを要求できるようにします。The first policy enables a set of users in the directory to request access. 2 番目のポリシーは、外部ディレクトリのユーザーがアクセスを要求できるようにします。The second policy enables users in an external directory to request access.


外部ユーザーExternal users

Azure AD B2B (企業間) 招待状を使用する場合、自分のリソース ディレクトリに招待して共同作業する外部ゲスト ユーザーの電子メール アドレスをあらかじめ知っている必要があります。When using the Azure AD business-to-business (B2B) invite experience, you must already know the email addresses of the external guest users you want to bring into your resource directory and work with. これは、小規模または短期間のプロジェクトで作業していて、すべての参加者を既に知っている場合は効果的ですが、一緒に作業したいユーザーが多い場合や、参加者の入れ替わりがある場合は管理が難しくなります。This works great when you're working on a smaller or short-term project and you already know all the participants, but this is harder to manage if you have lots of users you want to work with or if the participants change over time. たとえば、別の組織と仕事をしていて、その組織との連絡窓口が一本化されていたとしても、時間が経てば、その組織の新たなユーザーもアクセスを必要とするようになるでしょう。For example, you might be working with another organization and have one point of contact with that organization, but over time additional users from that organization will also need access.

エンタイトルメント管理を使用すれば、同じく Azure AD を使用している、指定した組織のユーザーがアクセス パッケージを要求できるようにするポリシーを定義できます。With entitlement management, you can define a policy that allows users from organizations you specify, that are also using Azure AD, to be able to request an access package. 承認が必要かどうか、またアクセスの有効期限を指定できます。You can specify whether approval is required and an expiration date for the access. 承認が必要な場合、以前に招待した外部組織の 1 人以上のユーザーを承認者として指名することもできます。これらのユーザーは、自分の組織のどの外部ユーザーがアクセスを必要としているか、知っている可能性が高いからです。If approval is required, you can also designate as an approver one or more users from the external organization that you previously invited - since they are likely to know which external users from their organization need access. アクセス パッケージを構成したら、アクセス パッケージへのリンクを外部組織の連絡先の人物に送信できます。Once you have configured the access package, you can send a link to the access package to your contact person at the external organization. その連絡先は外部組織の他のユーザーと共有することができ、それらのユーザーがこのリンクを使用してアクセス パッケージを要求できます。That contact can share with other users in the external organization, and they can use this link to request the access package. その組織に属する、ディレクトリに招待済みのユーザーもそのリンクを使用できます。Users from that organization who have already been invited into your directory can also use that link.

要求が承認されると、エンタイトルメント管理は必要なアクセス権をユーザーにプロビジョニングします。これには、ユーザーがまだディレクトリに参加していない場合に、そのユーザーを招待する処理が含まれる場合があります。When a request is approved, entitlement management will provision the user with the necessary access, which may include inviting the user if they're not already in your directory. Azure AD は、それらのユーザーの B2B アカウントを自動的に作成します。Azure AD will automatically create a B2B account for them. 管理者が以前に、他組織への招待を許可またはブロックする B2B 許可/拒否リストを設定することによって、共同作業を許可する組織を制限していた可能性があることに注意してください。Note that an administrator may have previously limited which organizations are permitted for collaboration, by setting a B2B allow or deny list to allow or block invites to other organizations. ユーザーが許可/ブロック リストによって許可されていない場合、そのユーザーは招待されません。If the user is not permitted by the allow or block list, then they will not be invited.

外部ユーザーのアクセスを恒久的にしたくない場合、180 日などの有効期限をポリシーに指定します。Since you do not want the external user's access to last forever, you specify an expiration date in the policy, such as 180 days. 180 日後、アクセス権が更新されない場合、エンタイトルメント管理はそのアクセス パッケージに関連付けられているすべてのアクセス権を削除します。After 180 days, if their access is not renewed, entitlement management will remove all access associated with that access package. エンタイトルメント管理によって招待されたユーザーに他のアクセス パッケージが割り当てられていない場合、最後の割り当てを失った時点で、そのユーザーの B2B アカウントは 30 日間サインインできなくなり、その後削除されます。If the user who was invited through entitlement management has no other access package assignments, then when they lose their last assignment, their B2B account will be blocked from sign in for 30 days, and subsequently removed. これにより、不要なアカウントの拡散を防ぎます。This prevents the proliferation of unnecessary accounts.


エンタイトルメント管理とそのドキュメントについてより深く理解するために、次の用語を確認してください。To better understand entitlement management and its documentation, you should review the following terms.

用語または概念Term or concept 説明Description
エンタイトルメント管理entitlement management アクセス パッケージの割り当て、取り消し、管理を行うサービス。A service that assigns, revokes, and administers access packages.
アクセス パッケージaccess package ユーザーが要求できるリソースのアクセス許可とポリシーのコレクション。A collection of permissions and policies to resources that users can request. アクセス パッケージは常にカタログに含まれています。An access package is always contained in a catalog.
アクセス要求access request アクセス パッケージへのアクセス要求。A request to access an access package. 要求は通常、ワークフローを通過します。A request typically goes through a workflow.
policypolicy ユーザーがアクセスする方法、承認担当者、ユーザーがアクセスできる期間など、アクセスのライフサイクルを定義する一連の規則。A set of rules that defines the access lifecycle, such as how users get access, who can approve, and how long users have access. ポリシーの例には、従業員アクセスや外部アクセスがあります。Example policies include employee access and external access.
catalogcatalog 関連リソースとアクセス パッケージのコンテナー。A container of related resources and access packages.
一般カタログGeneral catalog 常に使用できる組み込みのカタログ。A built-in catalog that is always available. 一般カタログにリソースを追加するには、特定のアクセス許可が必要です。To add resources to the General catalog, requires certain permissions.
resourceresource ユーザーがアクセス許可の付与を受けることができる資産またはサービス (グループ、アプリケーション、サイトなど)。An asset or service (such as a group, application, or site) that a user can be granted permissions to.
リソースの種類resource type グループ、アプリケーション、SharePoint Online サイトを含むリソースの種類。The type of resource, which includes groups, applications, and SharePoint Online sites.
リソース ロールresource role リソースに関連付けられているアクセス許可のコレクション。A collection of permissions associated with a resource.
リソース ディレクトリresource directory 共有する 1 つ以上のリソースがあるディレクトリ。A directory that has one or more resources to share.
割り当てられたユーザーassigned users ユーザーまたはグループへのアクセス パッケージの割り当て。An assignment of an access package to a user or group.
enableenable アクセス パッケージをユーザーが要求できるようにするプロセス。The process of making an access package available for users to request.

ライセンスの要件License requirements

この機能を使用するには、Azure AD Premium P2 ライセンスが必要です。Using this feature requires an Azure AD Premium P2 license. 要件に対する適切なライセンスを確認するには、「 Free、Basic、および Premium エディションの一般公開されている機能の比較」をご覧ください。To find the right license for your requirements, see Comparing generally available features of the Free, Basic, and Premium editions.

Azure Government、Azure Germany、Azure China 21Vianet などの特殊なクラウドは現在、このプレビューではご利用いただけません。Specialized clouds, such as Azure Government, Azure Germany, and Azure China 21Vianet, are not currently available for use in this preview.

次の手順Next steps