アクセス レビュー プログラムを作成して構成する
Microsoft Entra アクセス レビューは、Microsoft Entra ID ガバナンスの機能です。 アクセス レビューを使用すると、適切な ID が組織内の適切なリソースに適切にアクセスできるように保証できます。 アクセス レビューは、Microsoft Graph のアクセス レビュー API を使用してプログラムで実装できます。
Microsoft Entra アクセス レビュー データ モデル
Microsoft Entra アクセス レビュー機能では、次のリソースの種類が追加されます。
| リソースの種類 | 説明 |
|---|---|
| accessReview | コンテナーはアクセス レビューを表します。 1 回限りのレビュー、定期的なレビュー シリーズ、または定期的なレビューのインスタンスがあります。 |
| businessFlowTemplate | ビジネス フローのテンプレートは、アクセス レビューを実行するリソースの種類を決定します。 グループのゲスト メンバーを確認するなど、テンプレートの識別子は、アクセス レビューの作成時に呼び出し元から提供されます。 (ビジネス フロー テンプレート オブジェクトは読み取り専用で、グローバル管理者がテナントにアクセス レビュー機能を使うようにオンボードするときに自動的に生成されます。他のビジネス フロー テンプレートを作成することはできません。) |
| プログラム | Microsoft Entra アクセス レビュー プログラムを表します。 プログラムは、プログラム コントロールを保持するコンテナーです。 テナントには、1 つ以上のプログラムを含めることができます。 各コントロールは、関連するアクセス レビューを見つけやすくするために、アクセス レビューをプログラムにリンクします。 Microsoft Entra アクセス レビューをオンボードしている各テナントには、プログラム (Default program) が 1 つあります。 グローバル管理者は、たとえばコンプライアンス イニシアチブを表すために、他のプログラムを作成できます。 |
| programControl | アクセス レビューを特定のプログラムにリンクするコントロールを表します |
| programControlType | プログラム コントロールの種類は、コントロールをプログラムに関連付けるときに、コントロールのアクセス レビューの種類を示すために使用されます。 (プログラム コントロールの種類のオブジェクトは読み取り専用で、グローバル管理者がテナントにアクセス レビュー機能を使うようオンボードするときに自動的に生成されます。他のプログラム コントロールの種類を作成することはできません。) |
Graph でアクセス レビュー API を呼び出すアクセス許可を持つ Microsoft Entra ID アプリケーションを登録します
Graph の認可モデルでは、組織のデータにアクセスする前に、アプリケーションがユーザーまたは管理者によって同意される必要があります。
グローバル管理者として Azure portal を開きます。
Microsoft Entra ID 拡張機能に移動し、[管理] セクションで [アプリの登録] を選択して、ページ登録アプリに移動します
ページ上部の [新しいアプリケーションの登録] ボタンを選びます。
テナントのディレクトリ内の他のアプリケーションとは異なるアプリケーションの名前を指定します (例:
graphsample)。[アプリケーションの種類] を [ネイティブ] に変更し、リダイレクト URI として次を指定します。
urn:ietf:wg:oauth:2.0:oob[作成] を選択します。
アプリケーションが登録されたら、アプリケーション ID の値をコピーし、後で使用するために値を保存します。
[設定]、[必要なアクセス許可] の順に選びます。
[追加] を選択します。 [API の選択] を選び、[Microsoft Graph] を選んで、[選択] を選びます。
Microsoft Entra アクセス レビューでは、次の委任されたアクセス許可が使用されます。
- ユーザーがアクセスできるすべてのアクセス レビューの読み取り
- ユーザーがアクセスできるすべてのアクセス レビューの管理
- ユーザーがアクセスできるすべてのプログラムの読み取り
- ユーザーがアクセスできるすべてのプログラムの管理。 このアプリケーション例では、次のアクセス許可だけが必要です。ユーザーがアクセスできるすべてのアクセス レビューの読み取りとユーザーがアクセスできるすべてのプログラムの読み取り
これら 2 つのアクセス許可のチェック ボックスをオンにし、[選択] を選びます。
[完了] を選びます。
アクセス レビュー API の構成要素
アクセス レビュー API は論理的に構造化されており、次の構成要素でできています。
アクセス レビューのスケジュール定義
これは、アクセス レビューとそのインスタンスの設定を含む論理ブループリントです。 設定は次のとおりです。
- アクセスされるリソース。
- リソースにアクセスするプリンシパル。
- プリンシパルがリソースへのアクセスを維持する必要性を証明するレビュー担当者。
- アクセス レビューの頻度。
- アクセス レビューのステージ (マルチステージ アクセス レビューの場合)。
アクセス レビュー インスタンス
- レビュー担当者が決定を行う 1 つのレビュー アクティビティ (発生) を表します。 アクセス レビュー定義には、定期的なレビューの場合と同様に、複数のインスタンスが含まれる場合があります。 1 回限りのレビューには、インスタンスが 1 つだけ存在します。 マルチステージ アクセス レビューの場合、各インスタンスには最大 3 つのステージが含まれます。
レビュー用に記録された意思決定項目
- レビュー担当者がインスタンスに対して行った決定を表します。これには、タイム スタンプと決定の正当な理由が含まれます。 各レビュー インスタンスには、レビュー中のプリンシパルの数と同数の決定があります。 決定が行われなかった場合、つまりレビュー担当者がレビューに応答していない場合、インスタンスの決定オブジェクトはありません。