Azure AD アクセス レビューでグループおよびアプリケーションに対するアクセスをレビューする

Azure Active Directory (Azure AD) には、Azure AD をはじめとする Microsoft オンライン サービス内のグループやアプリケーションへのアクセス管理を省力化する Azure AD アクセス レビューという機能が備わっています。 この記事では、アプリケーションにアクセスするグループのメンバーまたはユーザーに対するアクセス レビューを専用のレビュアーで実行する方法について見ていきます。 パッケージへのアクセスをレビューしたい場合は、「Azure AD エンタイトルメント管理でのアクセス パッケージのアクセスのレビュー」を参照してください。

マイアプリを使用してアクセス レビューを実行する

アクセス レビュー プロセスは、通知電子メールから開始することも、サイトに直接移動して開始することもできます。

  • 電子メール:

重要

電子メールの受信に遅延が生じる可能性があり、場合によっては最大 24 時間かかることがあります。 すべてのメールを確実に受信するため、azure-noreply@microsoft.com を信頼できる宛先のリストに追加してください。

  1. アクセス レビューを実行するように求める Microsoft からのメールを見つけます。 グループに対するアクセスをレビューするように求めるメールの例を次に示します。

    グループに対するアクセスをレビューするための Microsoft からのメールの例を示すスクリーンショット。

  2. [レビューの開始] リンクをクリックして、アクセス レビューを開きます。

  • メールが届いていない場合は、次の手順に従って、保留中のアクセス レビューを見つけることができます。

    1. https://myapps.microsoft.com から、マイ アプリ ポータルにサインインします。

      アクセス許可があるアプリの一覧を示すマイ アプリ ポータル

    2. ページの右上隅で、お客様の名前と既定の組織の横にあるユーザーをクリックします。 複数の組織が一覧表示されている場合は、アクセス レビューの依頼元の組織を選択してください。

    3. [アクセス レビュー] タイルをクリックすると、保留中のアクセス レビューの一覧が表示されます。

      注意

      [アクセス レビュー] タイルが表示されない場合は、その組織に対して実施するアクセス レビューがないので、現時点で必要な対応はありません。

      アプリとグループの保留中のアクセス レビューの一覧を示すスクリーンショット。

    4. 実行するアクセス レビューの [レビューの開始] リンクをクリックします。

アクセス レビューを開くと、アクセス レビューを受ける必要のあるユーザーの名前が表示されます。

自分のアクセスをレビューするように要求した場合は、ページの外観が異なります。 詳細については、「グループまたはアプリケーションへの自分のアクセス権のレビュー」を参照してください。

レビュー対象のユーザーの一覧を示す、開かれたアクセス レビュー

2 つの方法でアクセスを承認または拒否できます。

  • 1 名以上のユーザーのアクセスを手動で承認または拒否するには、ユーザーの要求ごとに適切な操作を選択します。
  • システムの推奨事項を承認することができます。

1 名以上のユーザーのアクセスを承認するか拒否する

  1. ユーザーのリストをレビューして、ユーザーに継続してアクセスを承認するか拒否するかを決定します。

    • 単一のユーザーのアクセスを承認または拒否するには、行をクリックしてウィンドウを開き、実行するアクションを指定します。
    • 複数のユーザーのアクセスを承認または拒否するには、ユーザーの横にチェック マークを追加した後、 [Review X user(s)](X 名のユーザーのレビュー) ボタンをクリックしてウィンドウを開き、実行するアクションを指定します。
  2. [承認] または [拒否] をクリックします。

    [承認]、[拒否]、および [不明] のオプションを含むアクション ウィンドウ

    注意

    不明な場合は、 [不明] をクリックできます。 そして、ユーザーは自分のアクセスを維持することができ、お客様の選択した内容は監査ログに記録されます。

  3. 決定に対する [理由] ボックスに理由を入力するように、アクセス レビュー管理者から求められる場合があります。 理由が必須でない場合も同様です。 判断の理由を提示しても、それを含めた情報は他のレビュアーが利用することができます。

  4. 実行するアクションを指定し終えたら、 [保存] をクリックします。

    注意

    応答内容は、アクセス レビューが終了するまでいつでも変更できます。 応答内容を変更する場合は、その行を選択して、応答内容を更新します。 たとえば、一度拒否したユーザーを承認したり、一度承認したユーザーを拒否したりできます。

    重要

    • ユーザーは、アクセスを拒否されても、すぐに削除されるわけではありません。 レビュー期間が終了したときに削除されます。または自動適用が有効にされている場合は、管理者がレビューを停止したときに削除されます。
    • レビュー担当者が複数いる場合、最後に送信された応答内容が記録されます。 管理者が Alice と Bob という 2 人のレビュー担当者を指名した場合を考えてみましょう。 最初に Alice がアクセス レビューを開いて、ユーザーのアクセス要求を承認します。 レビュー期間が終了する前に、Bob はアクセス レビューを開き、Alice が以前に承認したのと同じ要求についてアクセスを拒否します。 アクセスを拒否するという最後の決定が、応答として記録されます。

推奨事項に基づいてアクセスを承認または拒否する

アクセス レビューを簡単に手早くできるように、1 回のクリックで承認できる推奨事項も用意されています。 推奨事項は、ユーザーのサインイン アクティビティに基づいて生成されます。

  1. ページの下部にある青色のバーで、 [推奨事項の承認] をクリックします。

    [推奨事項の承認] ボタンが選択された、開かれたアクセス レビューの一覧を示すスクリーンショット。

    推奨されているアクションの概要が表示されます。

    推奨されているアクションの概要を表示するウィンドウ

  2. [OK] をクリックして、推奨事項を承認します。

マイ アクセスを使用してアクセス レビューを実行する (新規)

マイ アクセスでは、ユーザー インターフェイスが更新された新しいレビュー担当者エクスペリエンスに、以下の 2 種類の方法でアクセスできます。

マイ アプリ ポータル

  1. https://myapps.microsoft.com からマイ アプリにサインインします。

    アクセス許可があるアプリの一覧を示すマイ アプリ ポータル

  2. [アクセス レビュー] タイルをクリックすると、保留中のアクセス レビューの一覧が表示されます。

    注意

    [アクセス レビュー] タイルが表示されない場合は、その組織に対して実施するアクセス レビューがないので、現時点で必要な対応はありません。

プレビュー期間中に表示される、新しいエクスペリエンスが利用可能であることを示すバナーと、アプリとグループに対して保留中になっているアクセス レビューの一覧

  1. [使ってみる] をクリックします。 これはページ上部のバナーにあります。 これにより、新しいマイ アクセス エクスペリエンスが表示されます。

Email

重要

電子メールの受信に遅延が生じる可能性があり、場合によっては最大 24 時間かかることがあります。 すべてのメールを確実に受信するため、azure-noreply@microsoft.com を信頼できる宛先のリストに追加してください。

  1. アクセス レビューを実行するように求める Microsoft からのメールを見つけます。 電子メール メッセージの例は次のとおりです。

グループに対するアクセスをレビューするための Microsoft からのメールの例

  1. [レビューの開始] リンクをクリックして、アクセス レビューを開きます。

注意

[レビューの開始] をクリックすると、マイ アプリ に移動する場合は、前述の「マイ アプリ ポータル」というタイトルのセクションに記載されている手順に従ってください。

お使いのブラウザーを使用してマイ アクセスを開くと、保留中のご自分のアクセス レビューを表示することもできます。

  1. https://myaccess.microsoft.com/ からマイ アクセスにサインインします。

  2. 左側のバーのメニューから [アクセス レビュー] を選択すると、割り当てられている保留中のアクセス レビューの一覧が表示されます。

    メニューの [アクセス レビュー]

1 名以上のユーザーのアクセスを承認するか拒否する

[グループとアプリ] で [マイ アクセス] を開くと、次のように表示されます。

  • [名前] : アクセス レビューの名前。
  • [期限] : レビューの期限。 この日付を過ぎると、拒否されたユーザーはレビュー対象のグループまたはアプリから削除される可能性があります。
  • [リソース] : レビュー中のリソースの名前。
  • [進行状況] : このアクセス レビューに関わるユーザーの合計数に対する、レビューされたユーザー数。

開始するには、アクセス レビューの名前をクリックします。

アプリとグループについての保留中のアクセス レビューの一覧

これが開くと、アクセス レビューの対象となるユーザーの一覧が表示されます。 自分のアクセスをレビューするように要求した場合は、ページの外観が異なります。 詳細については、「グループまたはアプリケーションへの自分のアクセス権のレビュー」を参照してください。

2 つの方法でアクセスを承認または拒否できます。

  • 1 名以上のユーザーのアクセスを手動で承認または拒否できます。
  • システムの推奨事項を承認することができます。

1 名以上のユーザーのアクセスを手動で承認または拒否する

  1. ユーザーのリストをレビューして、ユーザーに継続してアクセスを承認するか拒否するかを決定します。

  2. 1 名以上のユーザーを選択するには、彼らの名前の横にある円をクリックします。

  3. 上のバーで [承認] または [拒否] を選択します。

    • 不明な場合は、 [不明] をクリックできます。 ユーザーは自分のアクセスを維持することができ、お客様の選択した内容は監査ログに記録されます。 お客様が入力した情報は、他のレビュー担当者も利用できることを覚えておくことが重要です。 彼らはお客様のコメントを読んで、要求のレビュー時にそれを考慮に入れることができます。

    レビューが必要なユーザーの一覧を示す、開かれたアクセス レビュー

  4. 決定に対する [理由] ボックスに理由を入力するように、アクセス レビュー管理者から求められる場合があります。 理由が必須でない場合も同様です。 やはり決定の理由を入力することができ、入力した情報は、レビューの他の承認者も利用できるようになります。

  5. [送信] をクリックします。

    • 応答内容は、アクセス レビューが終了するまでいつでも変更できます。 応答内容を変更する場合は、その行を選択して、応答内容を更新します。 たとえば、一度拒否したユーザーを承認したり、一度承認したユーザーを拒否したりできます。

重要

  • ユーザーは、アクセスを拒否されても、すぐに削除されるわけではありません。 レビュー期間が終了したか、管理者がレビューを停止したときに削除されます。
  • レビュー担当者が複数いる場合、最後に送信された応答内容が記録されます。 管理者が Alice と Bob という 2 人のレビュー担当者を指名した場合を考えてみましょう。 最初に Alice がアクセス レビューを開いて、ユーザーのアクセス要求を承認します。 レビュー期間が終了する前に、Bob はアクセス レビューを開き、Alice が以前に承認したのと同じ要求についてアクセスを拒否します。 アクセスを拒否するという最後の決定が、応答として記録されます。

推奨事項に基づいてアクセスを承認または拒否する

アクセス レビューを簡単に手早くできるように、1 回のクリックで承認できる推奨事項も用意されています。 推奨事項は、ユーザーのサインイン アクティビティに基づいて生成されます。

  1. 1 名以上のユーザーを選択して、 [推奨事項を承認する] をクリックします。

    [推奨事項の承認] ボタン表示する、開かれたアクセス レビューの一覧

  2. [送信] をクリックして、推奨事項を承認します。

すべてのユーザーに対する推奨事項を受け入れるには、いずれも選択されていないことを確認してから、上部のバーにある [推奨事項を承認する] ボタンをクリックします。

注意

推奨事項に同意しても、以前の決定は変更されません。

次のステップ