Azure AD のアクセス レビューによるゲスト アクセスの管理

  • [アーティクル]

Azure Active Directory (Azure AD) では、組織の境界を越えたコラボレーションを Azure AD B2B 機能で簡単に実現できます。 管理者またはそれ以外のユーザーが他のテナントからゲスト ユーザーを招待できます。 Microsoft アカウントなどのソーシャル ID も、この機能の対象となります。

ゲスト ユーザーに適切なアクセス権を確保することも簡単にできます。 ゲスト自身または意思決定者に対し、アクセス レビューに参加してゲストのアクセス権を再確認 (証明) するよう求めることができます。 レビュー担当者は、Azure AD からの提案に基づいて、各ユーザーの継続的なアクセスのニーズを評価することができます。 アクセス レビューが完了したら、変更を加え、不要になったアクセス権をゲストから削除することができます。

注意

このドキュメントでは、ゲスト ユーザーのアクセス レビューについて重点的に説明します。 ゲストに限らず全ユーザーのアクセス権をレビューする必要がある場合は、アクセス レビューでユーザー アクセスを管理する方法に関するページを参照してください。 グローバル管理者などの管理者ロールのユーザーのメンバーシップを確認する場合は、Azure AD Privileged Identity Management でアクセス レビューを開始する方法に関するページを参照してください。

前提条件

  • Azure AD Premium P2

詳細については、「ライセンスの要件」を参照してください。

ゲストのアクセス レビューの作成と実行

まず、次のロールのいずれかが割り当てられている必要があります。

  • グローバル管理者
  • ユーザー管理者
  • (プレビュー) レビュー対象グループの M365 または AAD セキュリティ グループ所有者

次に、[Identity Governance] ページに移動し、組織がアクセス レビューを使用できる状態であることを確認します。

ゲスト ユーザーのレビューに関して、Azure AD はいくつかのシナリオに対応しています。

次の内容を確認できます。

  • Azure AD 内のグループのメンバーとして 1 人以上のゲストが存在する。
  • Azure AD に接続済みのアプリケーションに対して 1 人以上のゲスト ユーザーが割り当てられている。

Microsoft 365 グループへのゲストユーザーのアクセスを確認する場合は、各グループに対して個別にレビューを作成するか、すべての Microsoft 365 グループのゲスト ユーザーに対する連続アクセス レビューを自動で有効にすることができます。 次のビデオでは、ゲストユーザーの連続アクセス レビューの詳細について説明しています。

そのうえで、各ゲストに自分自身のアクセスをレビューしてもらうか、各ゲストのアクセスを 1 人以上のユーザーにレビューしてもらうかを決めてください。

これらの各シナリオについて以降の各セクションで説明します。

ゲストに自身のグループ メンバーシップをレビューするよう依頼する

アクセス レビューを使用すると、グループに招待されて追加されていたユーザーが今もアクセス権を必要としていることを確かめることができます。 ゲストに自身のグループ メンバーシップをレビューしてもらうのは簡単です。

  1. グループのアクセス レビューを作成するには、ゲスト ユーザーのメンバーだけをレビュー対象とし、メンバーに自身でレビューしてもらうよう選択します。 詳細については、グループまたはアプリケーションのアクセス レビューの作成に関するページをご覧ください。

  2. 各ゲストに自身のメンバーシップをレビューするよう依頼します。 既定では、招待状を受け取った各ゲストには、アクセス レビューへのリンクが記載されたメールが Azure AD から届きます。 Azure AD のゲスト向けの手順については、グループまたはアプリケーションに対するアクセスのレビューに関するページを参照してください。

  3. レビュー担当者が入力したら、アクセス レビューを停止し、変更を適用します。 詳細については、グループまたはアプリケーションのアクセス レビューの完了に関するページをご覧ください。

  4. アクセス権の継続が不要であると自分で判断したユーザーに加え、回答が得られなかったユーザーも削除した方がよいでしょう。 回答がないユーザーはもうメールを受け取っていないと考えられます。

  5. グループがアクセス管理に使用されていない場合も、招待状が届かなかったことが理由でレビューの対象外となったユーザーを削除した方がよいでしょう。 招待状が届かなかった場合は、招待されたユーザーのメール アドレスに誤りがあった可能性があります。 グループが配布リストとして使用されている場合、連絡先オブジェクトであるためにレビューの対象外となったゲスト ユーザーも存在する可能性があります。

責任者にゲストのグループ メンバーシップをレビューするよう依頼する

ゲストのグループ メンバーシップが引き続き必要であるかどうかをレビューするよう責任者 (グループの所有者など) に依頼することができます。

  1. グループのアクセス レビューを作成するには、ゲスト ユーザー メンバーだけをレビュー対象として選択します。 そのうえで、レビュー担当者を 1 人以上指定します。 詳細については、グループまたはアプリケーションのアクセス レビューの作成に関するページをご覧ください。

  2. レビュー担当者に確認を依頼します。 既定では、それぞれが、アクセス パネルへのリンクが記載されたメールを Azure AD から受け取り、そこでグループまたはアプリケーションへのアクセスをレビューします。

  3. レビュー担当者が入力したら、アクセス レビューを停止し、変更を適用します。 詳細については、グループまたはアプリケーションのアクセス レビューの完了に関するページをご覧ください。

ゲストに自身のアプリケーション アクセスをレビューするよう依頼する

アクセス レビューを使用すると、特定のアプリケーションに招待されていたユーザーが今もアクセス権を必要としていることを確かめることができます。 アクセスの必要性をゲスト自身にレビューしてもらうのは簡単です。

  1. アプリケーションのアクセス レビューを作成するには、ゲストだけをレビュー対象とし、ユーザーに自身のアクセス権をレビューしてもらうよう選択します。 詳細については、グループまたはアプリケーションのアクセス レビューの作成に関するページをご覧ください。

  2. 各ゲストに自身のアプリケーション アクセスをレビューするよう依頼します。 既定では、招待状を受け取った各ゲストには Azure AD からメールが届きます。 そのメールには、組織のアクセス パネル内のアクセス レビューへのリンクが記載されています。 Azure AD のゲスト向けの手順については、グループまたはアプリケーションに対するアクセスのレビューに関するページを参照してください。

  3. レビュー担当者が入力したら、アクセス レビューを停止し、変更を適用します。 詳細については、グループまたはアプリケーションのアクセス レビューの完了に関するページをご覧ください。

  4. アクセス権の継続が不要であると自分で判断したユーザーに加え、回答が得られなかったゲスト ユーザーも削除した方がよいでしょう。 回答がないユーザーはもうメールを受け取っていないと考えられます。 また、レビューの対象外となったゲスト ユーザーも、特にそのゲストが最近招待されていないようであれば、削除することをお勧めします。 招待状を受け取っていないようであれば、そのようなユーザーにアプリケーションへのアクセス権はありません。

責任者にアプリケーションへのゲスト アクセスをレビューするよう依頼する

ゲストによるアプリケーション アクセスが引き続き必要であるかどうかをレビューするよう責任者 (アプリケーションの所有者など) に依頼することができます。

  1. アプリケーションのアクセス レビューを作成するには、ゲストだけをレビュー対象として選択します。 そのうえで、レビュー担当者としてユーザーを 1 人以上指定します。 詳細については、グループまたはアプリケーションのアクセス レビューの作成に関するページをご覧ください。

  2. レビュー担当者に確認を依頼します。 既定では、それぞれが、アクセス パネルへのリンクが記載されたメールを Azure AD から受け取り、そこでグループまたはアプリケーションへのアクセスをレビューします。

  3. レビュー担当者が入力したら、アクセス レビューを停止し、変更を適用します。 詳細については、グループまたはアプリケーションのアクセス レビューの完了に関するページをご覧ください。

ゲストに全般的なアクセスの必要性をレビューするよう依頼する

組織によっては、ゲストが自分のグループ メンバーシップを把握していないこともあります。

注意

以前のバージョンの Azure Portal では、UserType が Guest であるユーザーの管理アクセスが認められていませんでした。 ディレクトリの管理者が PowerShell を使ってゲストの UserType の値を Member に変更している場合があります。 過去にそのような変更がご利用のディレクトリで行われていた場合、前述したクエリでは、以前管理アクセス権を持っていたゲスト ユーザーが対象から漏れる場合があります。 その場合は、ゲストの UserType を変更するか、該当するゲストをグループ メンバーシップに手動で追加する必要があります。

  1. ゲストをメンバーとするセキュリティ グループを Azure AD に作成します (適切なグループがまだ存在しない場合)。 たとえば、手動で管理されたゲストのメンバーシップを基にグループを作成します。 または、UserType 属性の値が Guest である Contoso テナントのユーザー用に "Guests of Contoso" などの名前の動的グループを作成してもよいでしょう。 効率を高めるために、そのグループが主にゲストで構成されるようにしてください。メンバー ユーザーはレビューが不要なので、メンバー ユーザーを含むグループを選択しないようにしてください。 また、グループのメンバーであるゲスト ユーザーがグループの他のメンバーを表示できる点に注意してください。

  2. そのグループのアクセス レビューを作成するには、メンバー自身をレビュー担当者として選択します。 詳細については、グループまたはアプリケーションのアクセス レビューの作成に関するページをご覧ください。

  3. 各ゲストに自身のメンバーシップをレビューするよう依頼します。 既定では、招待状を受け取った各ゲストには、組織のアクセス パネル内のアクセス レビューへのリンクが記載されたメールが Azure AD から届きます。 Azure AD のゲスト向けの手順については、グループまたはアプリケーションに対するアクセスのレビューに関するページを参照してください。 招待状を受け取っていないゲストは、レビューの結果に [未通知] として表示されます。

  4. レビュー担当者が結果を入力したら、アクセス レビューを停止します。 詳細については、グループまたはアプリケーションのアクセス レビューの完了に関するページをご覧ください。

  5. 拒否されたゲスト、レビューが完了していないゲスト、招待状を受け取っていないゲストについては、ゲスト アクセスを削除します。 レビューの対象として選ばれた連絡先がゲストの中に存在する場合や、ゲストが過去に招待状を受け取っていない場合は、そのアカウントは、Azure Portal または PowerShell を使って無効にしてかまいません。 そのゲストがアクセス権をもう必要としておらず、連絡先でもない場合は、ゲスト ユーザー オブジェクトを削除するために、該当するユーザー オブジェクトを Azure Portal または PowerShell を使ってディレクトリから削除してください。

次のステップ

グループまたはアプリケーションのアクセス レビューを作成する