PIM で Azure AD ロールのアクセス レビューを作成するCreate an access review of Azure AD roles in PIM

従業員の特権 Azure AD ロールへのアクセスは、時間の経過に伴って変化します。Access to privileged Azure AD roles for employees changes over time. 古くなったロールの割り当てに関連するリスクを軽減するために、アクセスを定期的に確認する必要があります。To reduce the risk associated with stale role assignments, you should regularly review access. Azure Active Directory (Azure AD) Privileged Identity Management (PIM) を使用して、特権 Azure AD ロールのアクセス レビューを作成できます。You can use Azure Active Directory (Azure AD) Privileged Identity Management (PIM) to create access reviews for privileged Azure AD roles. 自動的に実行される定期的なアクセス レビューを構成することもできます。You can also configure recurring access reviews that occur automatically.

この記事では、特権 Azure AD ロールに対して 1 つ以上のアクセス レビューを作成する方法について説明します。This article describes how to create one or more access reviews for privileged Azure AD roles.

前提条件Prerequisites

アクセス レビューを開くOpen access reviews

  1. 特権ロール管理者ロールのメンバー ユーザーで Azure portal にサインインします。Sign in to Azure portal with a user that is a member of the Privileged Role Administrator role.

  2. [Azure AD Privileged Identity Management] を開きます。Open Azure AD Privileged Identity Management.

  3. 左側のメニューで [Azure AD ロール] をクリックしてから、 [アクセス レビュー] をクリックします。In the left menu, click Azure AD roles and then click Access reviews.

  4. [管理] の下の [アクセス レビュー] をクリックします。Under Manage, click Access reviews.

    Azure AD ロール - すべてのレビューの状態を示す [アクセス レビュー] 一覧

1 つ以上のアクセス レビューを作成するCreate one or more access reviews

  1. [新規] をクリックして、新しいアクセス レビューを作成します。Click New to create a new access review.

  2. アクセス レビューに名前を付けます。Name the access review. 必要に応じて、そのレビューに説明を加えます。Optionally, give the review a description. その名前と説明がレビュアーに示されます。The name and description are shown to the reviewers.

    アクセス レビューの作成 - レビューの名前と説明

  3. [開始日] を設定します。Set the Start date. 既定では、アクセス レビューは 1 回実行されます。作成されたのと同じ時間に開始され、1 か月で終了します。By default, an access review occurs once, starts the same time it's created, and it ends in one month. この開始日と終了日を変更することで、アクセス レビューを後で開始し、必要な日数を好きなだけ確保することができます。You can change the start and end dates to have an access review start in the future and last however many days you want.

    開始日、頻度、期間、終了、回数、および終了日

  4. アクセス レビューを繰り返すには、 [頻度] 設定を [1 回] から [毎週][毎月][四半期に 1 回][毎年][Semi-annually](半年に 1 回) に変更します。To make the access review recurring, change the Frequency setting from One time to Weekly, Monthly, Quarterly, Annually, or Semi-annually. [期間] スライダーまたはテキスト ボックスを使用し、繰り返しの系列の各レビューでレビュー担当者からの入力を受け付ける日数を決めます。Use the Duration slider or text box to define how many days each review of the recurring series will be open for input from reviewers. たとえば、レビューの重複を避けるために、月 1 回のレビューに設定できる最大期間は 27 日です。For example, the maximum duration that you can set for a monthly review is 27 days, to avoid overlapping reviews.

  5. [終了] の設定を使用して、アクセス レビューの繰り返し系列を終了する方法を指定します。Use the End setting to specify how to end the recurring access review series. 系列は 3 つの方法で終了できます。つまり、継続的に実行して無期限にレビューを開始する、特定の日付まで実行する、または定義された実行回数が完了するまで実行する、です。The series can end in three ways: it runs continuously to start reviews indefinitely, until a specific date, or after a defined number of occurrences has been completed. あなた自身、別のユーザー管理者、または別の全体管理者は、 [設定] で日付を変更してその日付に終了するように指定することで、作成後に系列を停止することができます。You, another User administrator, or another Global administrator can stop the series after creation by changing the date in Settings, so that it ends on that date.

  6. [ユーザー] セクションで、メンバーシップをレビューする 1 つ以上のロールを選択します。In the Users section, select one or more roles that you want to review membership of.

    ロール メンバーシップをレビューするためのユーザー スコープ

    注意

    複数のロールを選択すると、複数のアクセス レビューが作成されます。Selecting more than one role will create multiple access reviews. たとえば、5 つのロールを選択すると、5 つの別々のアクセス レビューが作成されます。For example, selecting five roles will create five separate access reviews.

    Azure AD ロールのアクセス レビューを作成する場合の、レビューのメンバーシップ一覧の例を次に示します。If you are creating an access review of Azure AD roles, the following shows an example of the Review membership list.

    選択できる Azure AD ロールを一覧表示する [レビューのメンバーシップ] ウィンドウ

    Azure リソース ロールのアクセス レビューを作成する場合の、レビューのメンバーシップ一覧の例を次に示します。If you are creating an access review of Azure resource roles, the following shows an example of the Review membership list.

    選択できる Azure リソース ロールを一覧表示する [レビューのメンバーシップ] ウィンドウ

  7. [レビュー担当者] セクションで、全ユーザーをレビューする担当者 (複数可) を選びます。In the Reviewers section, select one or more people to review all the users. メンバー自身にそのアクセス権をレビューしてもらうことができます。Or you can select to have the members review their own access.

    選択したユーザーまたはメンバー (セルフ) のレビュー担当者の一覧

    • 選択したユーザー - アクセスする必要があるユーザーがわからない場合は、このオプションを使用します。Selected users - Use this option when you don't know who needs access. このオプションでは、リソース所有者またはグループ マネージャーにレビューを割り当て、完了してもらうことができます。With this option, you can assign the review to a resource owner or group manager to complete.
    • メンバー (セルフ) - ユーザーに自分のロール割り当てを確認してもらう場合は、このオプションを使用します。Members (self) - Use this option to have the users review their own role assignments.

完了時の設定Upon completion settings

  1. レビュー完了後の動作を指定するには、 [設定完了時] セクションを展開します。To specify what happens after a review completes, expand the Upon completion settings section.

    適用を自動化するための [設定完了時] および [レビュー担当者からの応答なし]

  2. 拒否されたユーザーのアクセスを自動的に削除する場合は、 [リソースへの結果の自動適用][有効] に設定します。If you want to automatically remove access for users that were denied, set Auto apply results to resource to Enable. レビューが完了したときに結果を手動で適用する場合は、スイッチを [無効] に設定します。If you want to manually apply the results when the review completes, set the switch to Disable.

  3. レビューの期間内にレビュー担当者によってレビューされなかったユーザーに対する処理を指定するには、 [レビュー担当者からの応答なし] の一覧を使用します。Use the Should reviewer not respond list to specify what happens for users that are not reviewed by the reviewer within the review period. この設定は、レビュー担当者によって手動でレビューされたユーザーには影響しません。This setting does not impact users who have been reviewed by the reviewers manually. レビュー担当者の最終的な決定が拒否である場合、ユーザーのアクセスは削除されます。If the final reviewer's decision is Deny, then the user's access will be removed.

    • [変更なし] - ユーザーのアクセスをそのまま変更しないでおきますNo change - Leave user's access unchanged
    • [アクセスの削除] - ユーザーのアクセスを削除しますRemove access - Remove user's access
    • [アクセスを承認する] - ユーザーのアクセスを承認しますApprove access - Approve user's access
    • [推奨事項の実行] - ユーザーの継続的なアクセスの拒否または承認に関するシステムの推奨事項を実行しますTake recommendations - Take the system's recommendation on denying or approving the user's continued access

詳細設定Advanced settings

  1. 他の設定を指定するには、 [詳細設定] セクションを展開します。To specify additional settings, expand the Advanced settings section.

    推奨事項の表示、承認理由の必須化、メール通知、およびリマインダーのための [詳細設定]

  2. ユーザーの情報に基づくシステムの推奨事項をレビュー担当者に表示するには、 [推奨事項を表示][有効] に設定します。Set Show recommendations to Enable to show the reviewers the system recommendations based the user's access information.

  3. レビュー担当者による承認理由の指定を必須にするには、 [承認時に理由が必要][有効] に設定します。Set Require reason on approval to Enable to require the reviewer to supply a reason for approval.

  4. アクセス レビュー開始時に Azure AD からレビュー担当者にメール通知を送信し、レビュー完了時に管理者にメール通知を送信するには、 [メール通知][有効] に設定します。Set Mail notifications to Enable to have Azure AD send email notifications to reviewers when an access review starts, and to administrators when a review completes.

  5. レビューを完了していないレビュー担当者に、進行中のアクセス レビューに関するリマインダーを Azure AD から送信するには、 [リマインダー][有効] に設定します。Set Reminders to Enable to have Azure AD send reminders of access reviews in progress to reviewers who have not completed their review.

アクセス レビューを開始するStart the access review

アクセス レビューの設定を指定したら、 [開始] をクリックします。Once you have specified the settings for an access review, click Start. アクセス レビューはステータスと共にリストに表示されます。The access review will appear in your list with an indicator of its status.

開始されたレビューの状態を示す [アクセス レビュー] 一覧

既定では、レビューの開始直後に Azure AD からレビュー担当者宛てにメールが送信されます。By default, Azure AD sends an email to reviewers shortly after the review starts. Azure AD からメールを送信することを選択しなかった場合は、アクセス レビューが実行待ちになっていることを必ずレビュー担当者に伝えてください。If you choose not to have Azure AD send the email, be sure to inform the reviewers that an access review is waiting for them to complete. レビュー担当者には、Azure AD ロールのアクセス レビューを実行する手順を案内できます。You can show them the instructions for how to review access to Azure AD roles.

アクセスレビューを管理するManage the access review

アクセス レビューの [概要] ページでは、レビュー担当者が完了したレビューの進捗状況を追跡できます。You can track the progress as the reviewers complete their reviews on the Overview page of the access review. ディレクトリのアクセス権は、レビューが完了するまで変更されません。No access rights are changed in the directory until the review is completed.

レビューの詳細を示す [アクセス レビューの概要] ページ

これが 1 回限りのレビューである場合は、アクセス レビュー期間が終了するか、管理者がアクセス レビューを停止した後に、Azure AD ロールのアクセス レビューを完了する手順に従って結果を確認および適用します。If this is a one-time review, then after the access review period is over or the administrator stops the access review, follow the steps in Complete an access review of Azure AD roles to see and apply the results.

アクセス レビューの系列を管理するには、アクセス レビューに移動し、[Scheduled](スケジュール済み) レビューで今後予定されている実行を見つけ、それに応じて終了日を編集したり、レビュー担当者を追加/削除したりします。To manage a series of access reviews, navigate to the access review, and you will find upcoming occurrences in Scheduled reviews, and edit the end date or add/remove reviewers accordingly.

[Upon completion](完了時) 設定での選択に基づいて、レビューの終了日の後、またはレビューを手動で停止したときに自動適用が実行されます。Based on your selections in Upon completion settings, auto-apply will be executed after the review's end date or when you manually stop the review. レビューの状態は、 [完了] から [適用中] などの中間状態を経由して、最後に状態 [適用済み] まで変化します。The status of the review will change from Completed through intermediate states such as Applying and finally to state Applied. 拒否されたユーザーが存在する場合は、それらのユーザーが数分以内にロールから削除されることを確認できます。You should expect to see denied users, if any, being removed from roles in a few minutes.

次の手順Next steps