はじめに
クラウドで従業員の ID 管理をしたいと題して、前回は EMS E5 で有効な機能の一つである Privileged Identity Management (PIM) について紹介しました。
今回は、EMS E5 で有効な機能の一つである「アクセスレビュー」の機能について紹介したいと思います。
アクセスレビューとは
- 不要なゲスト ユーザーを削除したいが、誰を削除したらいいかわからない。
- 一定期間サインインのないゲスト ユーザーを棚卸したいが、最終サインイン日時がわからない。
- ゲスト ユーザーが大量にいるため、確認に工数がかかっている。棚卸を自動化したい。
上記のような不安を解消するために、今回は、ゲスト ユーザーを棚卸するための機能として、アクセス レビューとゲスト ユーザーの最終サインイン日時を取得する方法の 2 つを紹介します。
ゲスト ユーザーの棚卸をする方法 | Japan Azure Identity Support Blog (jpazureid.github.io)
アクセスレビューは上記のような、ゲストユーザーの棚卸に便利な機能を提供しています。
今回は、チームに招待されたゲストユーザーをアクセスレビューで削除するように決定する流れを一例として紹介したいと思います。
前提条件 – ゲストユーザーの登録とチームへの参加
1. 外部ユーザーとして Microsoft アカウントを持つユーザーをあらかじめ組織に招待しておきます。ゲストユーザーの UPN には #EXT# が付与されます。
2. 新商品開発テストという Microsoft 365 グループを作成し、メンバーシップにゲストユーザーを追加しておきます。
アクセスレビューを設定しよう
1. Microsoft Entra 管理センター (https://entra.microsoft.com) にアクセスします。ナビゲーションメニューから [Identity Governance]-[アクセスレビュー] を選択します。アクセスレビューの画面が表示されるので [新しいアクセスレビュー] をクリックします。
2. 新しいアクセスレビューの画面が表示されるので、レビュー対象を選択するから [チームとグループ] 、範囲の確認から [ゲストユーザーを含むすべての Microsoft 365 グループ] を選択します。その後 [次へ:レビュー] をクリックします。
3. 複数ステージのレビューが特に不要な場合はチェックはなしで構いません。レビュー担当者を選択するで [グループ所有者] を選択します。ここは必要に応じて、特定の担当者を指定しても構いません。期間はアクセスレビューを実施する期間を表しており、ここではデフォルトの 3 日に設定しておきます。確認の繰り返しで [週単位] を選択します。ここも状況に応じて毎月や四半期ごとなどの設定が可能です。続いて [次へ:設定] をクリックします。
4. 特に指定がなければデフォルト設定のまま [次へ:確認と作成] をクリックします。
5. [作成] をクリックします。以上で、アクセスレビューの設定は完了です。
アクセスレビューを実施しよう
1. アクセスレビュー設定完了後、アクセスレビュー担当者に下記のようなメールが届きます。レビューを開始するをクリックします。
2. マイアクセスのアクセスレビューの画面が表示されるので、レビュー対象をクリックします。
3. ゲストアカウントが表示されるので、ここではレコメンデーションに従って [拒否] を選択します。
4. 継続的なアクセスを拒否するのダイアログが表示されるので、理由を記載し [送信] をクリックします。
5. 送信完了後、決定列に拒否と表示され、レビュー担当者列にレビュー実施者が掲載されます。今回、3 日間のレビュー期間を経て、ゲストユーザー棚卸され、拒否が選択された場合、レビュー期間終了後自動的にゲストユーザーがチームを離脱することになります。
終わりに
今回は、EMS E5 で有効な機能の一つである「アクセスレビュー」の機能について、チームとグループをレビュー対象として一例を示しました。
一旦 ID 関連のセキュリティについてはここで区切りとさせてください。
新しい話題があれば、記事追加したいと思います。
コメント