Azure AD Identity Governance とはWhat is Azure AD Identity Governance?

Azure Active Directory (Azure AD) Identity Governance を使用すると、セキュリティや従業員の生産性に対する組織のニーズと、適切なプロセスや可視性とのバランスを取ることができます。Azure Active Directory (Azure AD) Identity Governance allows you to balance your organization's need for security and employee productivity with the right processes and visibility. 適切なリソースに対する適切なアクセス権を適切なユーザーに付与できるようになります。It provides you with capabilities to ensure that the right people have the right access to the right resources. それらの機能に加え、Azure AD および Enterprise Mobility + Security の関連機能を使用することで、従業員とビジネス パートナーの生産性を確保しながら、重要な資産へのアクセスを保護、監視、監査することによってアクセス リスクを軽減することができます。These and related Azure AD and Enterprise Mobility + Security features allows you to mitigate access risk by protecting, monitoring, and auditing access to critical assets -- while ensuring employee and business partner productivity.

Identity Governance は、オンプレミスであれクラウドであれ、従業員とビジネス パートナーとベンダー、そして、サービスとアプリケーションの垣根を越えて組織が次のタスクを実行できるようにします。Identity Governance give organizations the ability to do the following tasks across employees, business partners and vendors, and across services and applications both on-premises and in clouds:

  • ID ライフサイクルの管理Govern the identity lifecycle
  • アクセスのライフサイクルの管理Govern access lifecycle
  • 管理に使用される特権アクセスのセキュリティ保護Secure privileged access for administration

具体的には、組織が次の 4 つの重要な問題に対処できるようにすることを目的としています。Specifically, it is intended to help organizations address these four key questions:

  • どのユーザーがどのリソースへのアクセス権を持つ必要があるか。Which users should have access to which resources?
  • それらのユーザーはそのアクセス権によって何を実行するか。What are those users doing with that access?
  • アクセスを管理するための効果的な組織的管理は存在しているか。Are there effective organizational controls for managing access?
  • 監査者は管理が機能していることを確認できるか。Can auditors verify that the controls are working?

ID ライフサイクルIdentity lifecycle

Identity Governance により、組織は、生産性 (従業員が組織に加わったときなどに、必要なリソースへのアクセスできるようになるまでの時間) とIdentity Governance helps organizations achieve a balance between productivity - How quickly can a person have access to the resources they need, such as when they join my organization? セキュリティ (従業員の雇用形態の変更などによって、時間の経過に伴いアクセス権をどのように変更すべきか) とのバランスを取ることができます。And security - How should their access change over time, such as due to changes to that person's employment status? ID ライフサイクル管理は ID 管理の基盤であり、大規模な効果的な管理には、アプリケーションの ID ライフサイクル管理インフラストラクチャの近代化が必要です。Identity lifecycle management is the foundation for Identity Governance, and effective governance at scale requires modernizing the identity lifecycle management infrastructure for applications.

ID ライフサイクル

多くの組織では、従業員の ID ライフサイクルは、HCM (ヒューマン キャピタル マネジメント) システムでのそのユーザーの表示に関連付けられています。For many organizations, identity lifecycle for employees is tied to the representation of that user in an HCM (human capital management) system. Azure AD Premium は、Workday 受信プロビジョニングのチュートリアルで説明されているように、Active Directory と Azure Active Directory の両方の Workday に表示されるユーザーのユーザー ID を自動的に維持します。Azure AD Premium automatically maintains user identities for people represented in Workday in both Active Directory and Azure Active Directory, as described in the Workday inbound provisioning tutorial. Azure AD Premium には Microsoft Identity Manager も含まれていて、SAP、Oracle eBusiness、Oracle PeopleSoft などのオンプレミスの HCM システムからレコードをインポートすることができます。Azure AD Premium also includes Microsoft Identity Manager, which can import records from on-premises HCM systems such as SAP, Oracle eBusiness, and Oracle PeopleSoft.

組織外のユーザーとの共同作業が必要になるシナリオは、ますます増えています。Increasingly, scenarios require collaboration with people outside your organization. Azure AD B2B コラボレーションを使用すると、独自の社内データに対するコントロールを維持した状態で、組織のアプリケーションとサービスをゲスト ユーザーや任意の組織の外部パートナーと安全に共有することができます。Azure AD B2B collaboration enables you to securely share your organization's applications and services with guest users and external partners from any organization, while maintaining control over your own corporate data. Azure AD エンタイトルメント管理を使用すると、組織のユーザーの中で、アクセスを要求して組織のディレクトリに B2B ゲストとして登録することが許可されるユーザーを選択すると共に、アクセスが不要になったらそれらのゲストを確実に削除することができます。Azure AD entitlement management enables you to select which organization's users are allowed to request access and be added as B2B guests to your organization's directory, and ensures that these guests are removed when they no longer need access.

アクセスのライフサイクルAccess lifecycle

組織では、ユーザーの ID の作成時にそのユーザー用に最初にプロビジョニングしたアクセス権を上回るアクセス権を管理するプロセスが必要です。Organizations need a process to manage access beyond what was initially provisioned for a user when that user's identity was created. さらに、企業組織では、アクセス ポリシーと管理を継続的に開発し適用できるように、効率的なスケールが可能でなければなりません。Furthermore, enterprise organizations need to be able to scale efficiently to be able to develop and enforce access policy and controls on an ongoing basis.

アクセスのライフサイクル

通常、IT 部門は、アクセス承認の決定を管理職意思決定者に委任します。Typically, IT delegates access approval decisions to business decision makers. さらに、ユーザー自身が IT 部門に関与していることがあります。Furthermore, IT can involve the users themselves. たとえば、ヨーロッパで会社のマーケティング アプリケーションで顧客の機密データにアクセスするユーザーは、会社のポリシーを把握している必要があります。For example, users that access confidential customer data in a company's marketing application in Europe need to know the company's policies. ゲスト ユーザーは、招待されている組織のデータの処理要件を理解していない可能性があります。Guest users may be unaware of the handling requirements for data in an organization to which they have been invited.

組織では、動的グループなどのテクノロジを SaaS アプリまたは SCIM と統合されたアプリと組み合わせて使用して、アクセスのライフサイクル プロセスを自動化することができます。Organizations can automate the access lifecycle process through technologies such as dynamic groups, coupled with user provisioning to SaaS apps or apps integrated with SCIM. また、組織では、オンプレミス アプリケーションへのアクセス権を持つゲスト ユーザーを制御することもできます。Organizations can also control which guest users have access to on-premises applications. それにより、Azure AD アクセス レビューを定期的に利用して、これらのアクセス権を定期的にレビューすることができます。These access rights can then be regularly reviewed using recurring Azure AD access reviews. また、Azure AD エンタイトルメント管理を使用することで、グループとチームのメンバーシップ、アプリケーション ロール、SharePoint Online ロールのパッケージ全体で、ユーザーによるアクセス要求の方法を定義することができます。Azure AD entitlement management also enables you to define how users request access across packages of group and team memberships, application roles, and SharePoint Online roles.

ユーザーがアプリケーションにアクセスしようとすると、Azure AD は条件付きアクセスポリシーを適用します。When a user attempts to access applications, Azure AD enforces Conditional Access policies. 条件付きアクセス ポリシーには、たとえば、使用条件を表示することと、ユーザーがそれらの条件に確実に同意した後でアプリケーションにアクセスできるようになることを含めることができます。For example, Conditional Access policies can include displaying a terms of use and ensuring the user has agreed to those terms prior to being able to access an application.

特権アクセスのライフサイクルPrivileged access lifecycle

特権アクセスは、従来は他のベンダーによって ID 管理とは別の機能として説明されていました。Historically, privileged access has been described by other vendors as a separate capability from Identity Governance. ただし、Microsoft では、特権アクセスの管理は ID 管理の重要な部分であると考えています。特に、組織にはそれらの管理者権限に関連する誤用が発生する可能性があるためです。However, at Microsoft, we think governing privileged access is a key part of Identity Governance -- especially given the potential for misuse associated with those administrator rights can cause to an organization. 管理者権限を引き受ける従業員、ベンダー、および契約社員は、管理する必要があります。The employees, vendors, and contractors that take on administrative rights need to be governed.

特権アクセスのライフサイクル

Azure AD Privileged Identity Management (PIM) により、Azure AD、Azure、およびその他の Microsoft オンライン サービスの全体で、リソースに対するアクセス権のセキュリティ保護に合わせた管理を追加することができます。Azure AD Privileged Identity Management (PIM) provides additional controls tailored to securing access rights for resources, across Azure AD, Azure, and other Microsoft Online Services. 多要素認証と条件付きアクセスに加え、ジャストイン タイム アクセスと、Azure AD PIM によって提供されるロール変更の通知機能は、会社のリソース (ディレクトリ、Office 365、および Azure リソース ロール) のセキュリティ保護に役立つガバナンス コントロールの包括的なセットを提供します。The just-in-time access, and role change alerting capabilities provided by Azure AD PIM, in addition to multi-factor authentication and Conditional Access, provide a comprehensive set of governance controls to help secure your company's resources (directory, Office 365, and Azure resource roles). 他の形式のアクセスと同様、組織では、アクセス レビューを使用して、管理者ロールに属するすべてのユーザーの定期的なアクセス再認定を構成することができます。As with other forms of access, organizations can use access reviews to configure recurring access recertification for all users in administrator roles.

作業の開始Getting started

エンタイトルメント管理やアクセス レビューの使用を開始したり、利用規約を確認したりするには、Azure portal の Identity Governance の [Getting started](作業の開始) タブを確認します。Check out the Getting started tab of Identity Governance in the Azure portal to start using entitlement management, access reviews, Privileged Identity Management, and Terms of use.

Identity Governance の作業の開始

Identity Governance 機能についてフィードバックがありましたら、Azure portal から [Got feedback?](フィードバックがありますか) をクリックしてお寄せください。If you have any feedback about Identity Governance features, click Got feedback? in the Azure portal to submit your feedback. お客様からのフィードバックは、チームにて定期的に検討しております。The team regularly reviews your feedback.

すべての顧客にとって完璧なソリューションや推奨事項はありませんが、従業員の安全性と生産性を高めるために従うことを Microsoft が推奨するベースライン ポリシーについては、次の構成ガイドでもご覧いただけます。While there is no perfect solution or recommendation for every customer, the following configuration guides also provide the baseline policies Microsoft recommends you follow to ensure a more secure and productive workforce.

付録 - Identity Governance の機能で管理するための最小特権ロールAppendix - least privileged roles for managing in Identity Governance features

Identity Governance で管理タスクを実行するには、最小特権ロールを使用するのがベスト プラクティスです。It's a best practice to use the least privileged role to perform administrative tasks in Identity Governance. 必要に応じて Azure AD PIM を使用してロールをアクティブ化し、これらのタスクを実行することをお勧めします。We recommend that you use Azure AD PIM to activate a role as needed to perform these tasks. Identity Governance の機能を構成するための最小特権ディレクトリ ロールを次に示します。The following are the least privileged directory roles to configure Identity Governance features:

機能Feature 最小特権ロールLeast privileged role
エンタイトルメント管理Entitlement management ユーザー管理者 (グローバル管理者が必要な、カタログへの SharePoint Online サイトの追加を除きます)User administrator (with the exception of adding SharePoint Online sites to catalogs, which requires Global administrator)
アクセス レビューAccess reviews ユーザー管理者 (特権ロール管理者が必要な、Azure ロールまたは Azure AD ロールのアクセス レビューを除きます)User administrator (with the exception of access reviews of Azure or Azure AD roles, which requires Privileged role administrator)
Privileged Identity ManagementPrivileged Identity Management 特権ロール管理者Privileged role administrator
使用条件Terms of use セキュリティ管理者または条件付きアクセス管理者Security administrator or Conditional access administrator

次のステップNext steps