Microsoft Entra ID でグループとアプリケーションのアクセス レビューの作成

  • [アーティクル]

従業員とゲストのグループやアプリケーションへのアクセスは、時間の経過と共に変化します。 アクセスの割り当てが古くなることに伴うリスクを軽減するため、管理者は Microsoft Entra ID を使用し、グループ メンバーまたはアプリケーションのアクセスにアクセス レビューを作成できます。

ID ガバナンス管理者ロールを以上の権限を持つユーザーが [アクセス レビューの設定] ウィンドウを介して設定を有効にしている限り、Microsoft 365 とセキュリティ グループの所有者は、Microsoft Entra ID を使用してグループ メンバーのアクセス レビューを作成することもできます。 これらのシナリオの詳細については、「アクセス レビューの管理」を参照してください。

アクセス レビューの有効化について説明するショート ビデオをご覧ください。

この記事では、グループ メンバーまたはアプリケーションのアクセスのアクセス レビューを 1 つ以上作成する方法について説明します。

前提条件

  • Microsoft Entra ID P2 または Microsoft Entra ID ガバナンスのライセンス。
  • 非アクティブなユーザーのレビュー作成、あるいはユーザー対グループの所属の推奨事項によるレビュー作成するには、Microsoft Entra ID ガバナンス のライセンスが必要です。
  • グループまたはアプリケーションに関するレビューを作成するグローバル管理者または ID ガバナンス管理者。
  • ユーザーが役割の割り当て可能なグループにレビューを作成するには、少なくとも特権ロール管理者である必要があります。 詳細については、「Microsoft Entra グループを使用して役割の割り当ての管理」を参照してください。
  • Microsoft 365 とセキュリティ グループの所有者。

詳細については、「ライセンスの要件」を参照してください。

メモ

最低特権アクセスに従う際、ID ガバナンス管理者ロールを使用することをお勧めします。

アプリケーションへのアクセスを確認する場合、レビューを作成する前に、アプリケーションへのユーザー アクセスのアクセス レビューを準備する方法に関する記事を参照し、アプリケーションをテナントの Microsoft Entra ID と確実に統合してください。

メモ

アクセス レビューは、各レビュー インスタンスの開始時点でアクセスのスナップショットをキャプチャします。 レビュー プロセス中に行われたすべての変更は、後続のレビュー サイクルに反映されます。 基本的に、ユーザー、レビュー中のリソース、それぞれのレビュー担当者についての関連データは、繰り返しが新しく始まるたびに取得されます。

メモ

グループ レビューでは、入れ子になったグループが自動的にフラット化されるため、入れ子になったグループのユーザーは個々のユーザーとして表示されます。 入れ子になったグループのメンバーシップが原因でユーザーが削除対象としてフラグ付けされた場合、入れ子になったグループから自動的に削除されず、直接グループ メンバーシップからのみ削除されます。

単一ステージのアクセス レビューの作成

スコープ

  1. ID ガバナンス管理者以上の権限で Microsoft Entra 管理センターにログインします。

  2. [ID ガバナンス]>[アクセス レビュー] を参照します。

  3. [新しいアクセス レビュー] を選択し、新しいアクセス レビューを作成します。

    [ID ガバナンス] の [アクセス レビュー] ウィンドウを示すスクリーンショット。

  4. [レビュー対象の選択] ボックスで、レビューするリソースをレビューを選択します。

    アクセス レビューの作成を示すスクリーンショット。

  5. [チームとグループ] を選択した場合、次の 2 つのオプションがあります。

    • ゲスト ユーザーを含むすべての Microsoft 365 グループ: このオプションは、組織のすべての Microsoft Teams と Microsoft 365 グループにおいて、すべてのゲスト ユーザーに関する定期的なレビューを作成する場合に選択します。 ダイナミック グループと役割の割り当て可能なグループは含まれません。 [除外するグループの選択] を選択して個々のグループを除外することも選択できます。

    • [チームとグループの選択] : レビューするチームまたはグループの有限セットを指定する場合、このオプションを選択します。 選択できるグループのリストが右側に表示されます。

      [チームとグループ] の選択を示すスクリーンショット。

  6. [アプリケーション] を選択した場合、1 つ以上のアプリケーションを選択します。

    グループではなく、アプリケーションを選択した場合に表示されるインターフェイスを示すスクリーンショット。

メモ

複数のグループまたはアプリケーションを選択すると、複数のアクセス レビューが作成されます。 たとえば、レビューするグループを 5 つ選択した場合、5 つの個別のアクセス レビューが作成されます。

  1. これでレビューのスコープを選択できます。 オプションは次のとおりです。

    • ゲスト ユーザーのみ: このオプションは、アクセス レビューをディレクトリの Microsoft Entra B2B ゲスト ユーザーのみに制限します。
    • すべてのユーザー: このオプションは、アクセス レビューをリソースに関連付けられているすべてのユーザー オブジェクトにスコープ指定します。

    メモ

    [ゲスト ユーザーを含むすべての Microsoft 365 グループ] を選択した場合、[ゲスト ユーザーのみ] をレビューすることが唯一のオプションになります。

  2. または、グループ メンバーシップ レビューを実行している場合、グループの非アクティブなユーザーに対してのみアクセス レビューを作成できます。 [ユーザー スコープ] セクションで、[非アクティブなユーザー (テナント レベル)] の横にあるボックスをオンにします。 このチェック ボックスをオンにした場合、レビューの範囲は非アクティブなユーザー (テナントに対話式にも非対話式にもログインしていないユーザー) のみに絞られます。 次に、[非アクティブな日数] に最大 730 日 (2 年) の非アクティブ日数を指定します。 非アクティブな状態が指定の日数に達したグループのユーザーのみが、レビューの対象になります。

    メモ

    最近作成したユーザーは、非アクティブ時間を構成しても影響を受けません。 アクセス レビューは、構成された時間スロットにユーザーが作成されたかどうかを確認し、少なくともその時間に存在していなかったユーザーを無視します。 たとえば、非アクティブ時間を 90 日に設定し、ゲスト ユーザーが 90 日前を過ぎて作成または招待された場合、アクセス レビューの対象範囲外になります。 これにより、ユーザーが削除される前に少なくとも 1 回ログインできるようになります。

  3. [次へ: レビュー] を選択します。

次へ: レビュー

  1. 単一ステージまたは複数ステージのレビューを作成できます。 単一ステージのレビューについては、こちらに進んでください。 複数ステージのアクセス レビューを作成するには、「複数ステージのアクセス レビューの作成」の手順に従います。

  2. [レビュー担当者の指定] セクションの [レビュー担当者の選択] ボックスで、アクセス レビューの決定をするユーザーを 1 人以上選択します。 次の項目から選択できます。

    • グループ所有者: このオプションは、チームまたはグループに関するレビューを行う場合のみに利用できます。
    • 選択したユーザーまたはグループ
    • ユーザーによる自分のアクセスのレビュー
    • ユーザーの管理者

    [ユーザーの管理者] または [グループ所有者] のいずれかを選択した場合、フォールバック レビュー担当者も指定できます。 フォールバック レビュー担当者は、ユーザーの管理者がディレクトリで指定されていないか、グループに所有者がいない場合にレビューを行うように依頼されます。

    メモ

    チームまたはグループのアクセス レビューでは、(レビュー開始時に) グループ所有者のみがレビュー担当者として見なされます。 レビューの最中、グループ所有者のリストが更新された場合、新しいグループ所有者はレビュー担当者として見なされず、古いグループ所有者は引き続きレビュー担当者として見なされます。 ただし、レビューが定期的に行われる場合、グループ所有者のリストの変更内容がそのレビューの次のインスタンスで反映されます。

    重要

    グループの PIM (プレビュー) のアクセス レビューでは、レビュー担当者としてグループ所有者を選択するとき、少なくとも 1 人のフォールバック レビュー担当者を割り当てる必要があります。 レビューでは、レビュー担当者としてアクティブな所有者のみが割り当てられます。 有資格の所有者は含まれません。 レビュー開始時にアクティブな所有者がいない場合、フォールバック レビュー担当者がレビューに割り当てられます。

    新しいアクセス レビューを示すスクリーンショット。

  3. [レビューの繰り返しの指定] セクションで、次の選択を指定します。

    • 期間 (日数): レビュー担当者がレビューを入力できる期間。

    • 開始日: 一連のレビューが開始される日。

    • 終了日: 一連のレビューが終了する日。 [なし] を選択して終了しないことを指定できます。 または、[特定の日付に終了] または [複数のイベント後に終了] を選択できます。

      レビューが実行される頻度の選択を示すスクリーンショット。

  4. [次へ: 設定] を選択します。

メモ

アクセス レビューを作成するとき、開始日を指定できますが、開始時刻はシステム処理に基づいて数時間前後する場合があります。 たとえば、9 月 9 日の 3 時 (UTC) にアクセス レビューを作成し、9 月 12 日に実行するように設定した場合、レビューは開始日の 3 時 (UTC) に実行されるようにスケジュールされますが、システム処理によって遅れる可能性があります。

開始日を指定できますが、開始時刻はシステム処理に基づいて数時間前後する場合があります。

次へ: 設定

  1. [完了時の設定] セクションで、レビューが完了した後の処理を指定できます。

    [完了時の設定] を示すスクリーンショット。

    • リソースに結果の自動適用: レビュー期間の終了後に拒否されたユーザーのアクセスを自動的に削除されるようにする場合、このチェックボックスをオンにします。 このオプションが無効になっている場合、レビューが完了したときに結果を手動で適用する必要があります。 レビュー結果の適用の詳細については、「アクセス レビューの管理」を参照してください。

    • [レビュー担当者が応答しない場合]: レビュー期間内に任意のレビュー担当者によってレビューされなかったユーザーに対する処理を指定するには、このオプションを使用します。 この設定は、レビュー担当者によってレビューされたユーザーには影響を与えません。 ドロップダウン リストには、次のオプションが表示されます。

      • [変更なし] : ユーザーのアクセスを変更されないままにします。
      • [アクセス権の削除]: ユーザーのアクセスを削除します。
      • [アクセス権の承認] : ユーザーのアクセスを承認します。
      • [推奨事項の実行] : システムの推奨事項を実行し、ユーザーの継続的なアクセスを拒否または承認します。

      警告

      [レビュー担当者が応答しない場合] の設定が [アクセス権の削除] または [推奨事項に従う] に設定され、[リソースに結果の自動適用] が有効になっていると、レビュー担当者が応答できなかった場合、このリソースへのアクセスがすべて取り消される可能性があります。

    • 拒否されたゲスト ユーザーに適用するアクション: このオプションは、レビュー担当者または [レビュー担当者が応答しない場合] の設定によって拒否されたときのゲスト ユーザーに対する処理を指定するため、アクセス レビューがゲスト ユーザーのみを含むようにスコープ指定されている場合にのみ利用できます。

      • ユーザーのメンバーシップをリソースから削除: このオプションは、拒否されたゲスト ユーザーに対してレビュー対象のグループまたはアプリケーションへのアクセスを削除します。 テナントに引き続きログインでき、他のアクセスを失うことは一切ありません。
      • ユーザーのログインを 30 日間ブロックした後、テナントからユーザーの削除: このオプションは、拒否されたゲスト ユーザーが他のリソースにアクセスできるかどうかとは関係なく、そのテナントへのログインをブロックします。 このアクションが誤って実行された場合、ゲスト ユーザーが無効になってから 30 日以内に、管理者はそのユーザーのアクセスを再び有効にすることができます。 無効になったゲスト ユーザーに対して 30 日後にアクションが一切実行されなかった場合、ユーザーはテナントから削除されます。

    組織のリソースにアクセスできなくなったゲスト ユーザーを削除するベスト プラクティスの詳細については、「Microsoft Entra ID ガバナンスを使用し、リソースへのアクセス権がなくなった外部ユーザーの確認と削除」を参照してください。

    メモ

    拒否されたゲスト ユーザーに適用するアクションは、ゲスト ユーザーを超えてスコープ指定されたレビューには構成できません。 ゲスト ユーザーを含むすべての Microsoft 365 グループのレビューを構成することもできません。構成できない場合、リソースからユーザーのメンバーシップを削除する既定のオプションは、拒否されたユーザーに対して使用されます。

  2. 完了の更新プログラムを記載した通知を他のユーザーまたはグループに送信するには、[レビュー終了時の通知の送信先] オプションを使用します。 この機能により、レビュー作成者以外の利害関係者が、レビューの進行状況について最新情報を通知できます。 この機能を使用するには、[ユーザーまたはグループの選択] を選択し、完了の状態を受信する対象の別のユーザーまたはグループを追加します。

  3. [レビューの意思決定ヘルパーの有効化] セクションで、レビュー担当者がレビュー プロセス中に推奨事項を受信するかどうかを選択します。

    1. [30 日間以内にログインなし] を選択した場合、過去 30 日の期間中にログインしたユーザーが承認のために推奨されます。 過去 30 日間にログインしていないユーザーは拒否するように推奨されます。 この 30 日間の間隔は、ログインがインタラクティブだったかどうかは関係ありません。 指定したユーザーの最終ログイン日も推奨事項と共に表示されます。
    2. [ユーザー対グループの所属] を選択すると、レビュー担当者には組織のレポート構造におけるユーザーの平均距離に基づき、ユーザーのアクセスを承認または拒否する推奨が表示されます。 グループ内で他のすべてのユーザーから離れているユーザーは「所属度が低い」と見なされ、グループ アクセス レビューにおいて拒否の推奨が表示されます。

    メモ

    アプリケーションに基づいてアクセス レビューを作成する場合、推奨事項はユーザーが最後にアプリケーション (テナントではなく) にログインしたときの 30 日の期間に基づきます。

    [レビュー担当者の意思決定ヘルパーの有効化] オプションを示すスクリーンショット。

  4. [詳細設定] セクションで、次のオプションを選択できます。

    • 正当な理由が必要 : レビュー担当者が承認または拒否の理由を指定する必要がある場合、このチェックボックスをオンにします。

    • メール通知: アクセス レビューの開始時に Microsoft Entra ID がレビュー担当者にメール通知を送信し、レビューの完了時に管理者に メール通知を送信するようにするには、このチェックボックスをオンにします。

    • リマインダー: Microsoft Entra ID が進行中のアクセス レビューのリマインダーをすべてのレビュー担当者に送信するには、このチェックボックスをオンにします。 レビューを完了しているかどうかとは関係なく、レビュー担当者はレビューの途中でリマインダーを受信します。

    • レビュー担当者のメールの追加コンテンツ: レビュー担当者に送信されるメールのコンテンツは、レビュー名、リソース名、期限などのレビューの詳細に基づいて自動生成されます。 詳細情報を伝える必要がある場合、指示や連絡先情報などの詳細をボックスに指定できます。 入力する情報は招待に含まれ、割り当てられたレビュー担当者にリマインダーのメールが送信されます。 次の画像で強調表示されているセクションは、この情報が表示される場所を示しています。

      レビュー担当者の追加コンテンツを示すスクリーンショット。

  5. [次へ: 確認と作成] を選択します。

    [レビューと作成] タブを示すスクリーンショット。

次へ: 確認と作成

  1. アクセス レビューに名前を付けます。 必要に応じて、レビューに説明を加えます。 名前と説明はレビュー担当者に表示されます。

  2. 情報を確認して [作成] を選択します。

複数ステージのアクセス レビューの作成

複数ステージのレビューは、管理者が 2 組または 3 組のレビュー担当者を定義し、次々にレビューを完了することができます。 単一ステージのレビューでは、すべてのレビュー担当者が同じ期間内に決定を行い、最後に決定を行ったレビュー担当者の決定が適用されます。 複数ステージのレビューでは、独立した 2 組または 3 組のレビュー担当者がそれぞれのステージ内で決定を行います。 ステージはシーケンシャルであり、前のステージで決定が記録されるまで、次のステージは開始されません。 複数ステージのレビューは、後のステージでレビュー担当者の負担の軽減、レビュー担当者のエスカレーションの実現、レビュー担当者の独立したグループが決定に合意するために使用できます。

メモ

マルチステージ アクセス レビューに含まれるユーザーのデータは、レビュー開始時の監査レコードの一部です。 管理者は、マルチステージ アクセス レビューのシリーズを削除することにより、いつでもデータを削除できます。 GDPR とユーザー データの保護に関する一般情報については、「Microsoft トラスト センターの GDPR セクション」と「Service Trust Portal の GDPR セクション」を参照してください。

  1. レビューのリソースと範囲を選択したら、[レビュー] タブに移動します。

  2. [複数ステージのレビュー] の横にあるチェックボックスをオンにします。

  3. [最初のステージのレビュー] で、[レビュー担当者の選択] の横のドロップダウン メニューからレビュー担当者を選択します。

  4. [グループ所有者] または [ユーザーの管理者] を選択した場合、フォールバック レビュー担当者を追加するオプションがあります。 フォールバックを追加するには、[フォールバック レビュー担当者の選択] を選択し、フォールバック レビュー担当者として指定するユーザーを追加します。

    有効になっている複数ステージのレビューと複数ステージのレビューの設定を示すスクリーンショット。

  5. 最初のステージの期間を追加します。 期間を追加するには、[ステージ期間 (日数)] の横のフィールドに数値を入力します。 これは、最初のステージのレビュー担当者が決定を行うために最初のステージを有効にする日数です。

  6. [2 つ目のステージのレビュー] で、[レビュー担当者の選択] の横のドロップダウン メニューからレビュー担当者を選択します。 これらのレビュー担当者には、最初のステージのレビュー期間が終了した後にレビューを依頼します。

  7. 必要に応じて、フォールバック レビュー担当者を追加します。

  8. 2 つ目のステージの期間を追加します。

  9. 複数ステージのレビューを作成すると、既定では 2 つのステージが表示されます。 ただし、最大 3 ステージを追加することができます。 3 つ目のステージを追加する場合、[+ ステージの追加] を選択して必須フィールドに入力します。

  10. 2 つ目、3 つ目のステージのレビュー担当者に対し、前のステージで行われた決定を表示するかどうかを決定できます。 前のステージで行われた決定を表示する場合、[レビュー結果の公開][前のステージの決定を後のステージのレビュー担当者に表示] の横のボックスを選択します。 レビュー担当者が個別にレビューするように設定する場合、ボックスをオフのままにしてこの設定を無効にします。

    期間と複数ステージのレビューに前のステージ設定が有効になっていることを示すスクリーンショット。

  11. 各繰り返しの期間は、ステージごとに指定した期間の日数の合計に設定されます。

  12. レビューの [レビューの繰り返し][開始日][終了日] を指定します。 繰り返しの種類は、繰り返し期間の合計以上である必要があります (つまり、週間レビューの繰り返しの最長期間は 7 日間です)。

  13. ステージ間に進むレビュー対象者を指定するには、[次のステージに進むレビュー対象者の指定] の横にある次のオプションを 1 つ以上選択します。複数ステージのレビューに対してレビュー対象者の指定の設定とオプションを示すスクリーンショット。

    1. [承認されたレビュー対象者] - 承認されたレビュー対象者のみが次のステージに進みます。
    2. [拒否されたレビュー対象者] - 拒否されたレビュー対象者のみが次のステージに進みます。
    3. [レビューされていないレビュー対象者] - レビューされていないレビュー対象者のみが次のステージに進みます。
    4. [「不明」とマークされているレビュー対象者] - 「不明」とマークされているレビュー対象者のみが次のステージに進みます。
    5. [全員]: すべてのステージのレビュー担当者が決定を行う場合、全員が次のステージに進みます。

  14. [設定] タブに進み、残りの設定を完了してレビューを作成します。 「次へ: 設定」の手順に従います。

Teams 共有チャネルにアクセスしている B2B 直接接続のユーザーとチームをアクセス レビューに含めます

Microsoft Teams の共有チャネルを介して B2B 直接接続のユーザーのアクセス レビューを作成できます。 外部との共同作業を行うとき、Microsoft Entra アクセス レビューを使用して共有チャネルへの外部アクセスを最新状態に維持できるようにします。 共有チャネルの外部ユーザーは、B2B 直接接続のユーザーと呼ばれます。 Teams 共有チャネルと B2B 直接接続のユーザーの詳細については、「B2B 直接接続」を参照してください。

共有チャネルを使用して Teams のアクセス レビューを作成すると、レビュー担当者は、共有チャネルの外部ユーザーと Teams の継続的なアクセスの必要性を確認できます。 同じレビューで B2B 接続ユーザー、他のサポートされている B2B コラボレーション ユーザー、B2B 以外の内部ユーザーのアクセスを確認できます。

メモ

現在、B2B 直接接続のユーザーとチームは、単一ステージのレビューにのみ含まれています。 複数ステージのレビューが有効になっている場合、B2B 直接接続のユーザーとチームはアクセス レビューに含まれません。

B2B 直接接続のユーザーとチームは、共有チャネルが含まれている Teams 対応 Microsoft 365 グループのアクセス レビューに含まれます。 レビューを作成するには、少なくともユーザー管理者または ID ガバナンス管理者の役割が必要です。

共有チャネルを持つチームにアクセス レビューを作成するには、次の手順に従います。

  1. ID ガバナンス管理者以上の権限で Microsoft Entra 管理センターにログインします。

  2. [ID ガバナンス]>[アクセス レビュー] を参照します。

  3. [+ 新しいアクセス レビュー] を選択します。

  4. [チームとグループ] を選択したら、[チームとグループの選択] を選択して [レビュー範囲] を設定します。 B2B 直接接続のユーザーとチームは、ゲスト ユーザーを含むすべての Microsoft 365 グループのレビューには含まれません。

  5. 1 つ以上の B2B 直接接続のユーザーまたはチームと共有している共有チャネルを持つチームを選択します。

  6. [範囲] を設定します。

    共有チャネルのレビューにレビュー範囲の設定を示すスクリーンショット。

    • [すべてのユーザー] を選択し、次のユーザーを含めます。
      • すべての内部ユーザー
      • チームのメンバーである B2B コラボレーション ユーザー
      • B2B 直接接続ユーザー
      • 共有チャネルにアクセスするチーム
    • または、[ゲストユーザーのみ] を選択し、B2B 直接接続のユーザーと チーム、ならびに B2B コラボレーション ユーザーのみを含めます。

  7. [レビュー] タブに進みます。レビューを行うレビュー担当者を選択したら、[期間][レビューの繰り返し] を指定します。

    メモ

    • [レビュー担当者の選択] を [ユーザーが自分のアクセスをレビュー] または [ユーザーの管理者] に設定した場合、B2B 直接接続のユーザーとチームはテナントで自分たちのアクセスをレビューできません。 レビュー中のチームの所有者は、B2B 直接接続のユーザーとチームのレビューを依頼するメールが送信されます。
    • [ユーザーの管理者] を選択した場合、ホーム テナントに管理者がいないときは、選択されたフォールバック レビュー担当者が任意のユーザーをレビューします。 管理者がいない B2B 直接接続のユーザーとチームが対象になります。

  8. [設定] タブに移動して追加の設定を行います。 次に、[レビューと作成] タブに移動してアクセス レビューを開始します。 レビューの作成と構成設定の詳細については、「単一ステージのアクセス レビューの作成」を参照してください。

グループ所有者がグループのアクセス レビューの作成と管理を許可

ヒント

この記事の手順は、開始するポータルによって若干異なる場合があります。

  1. ID ガバナンス管理者以上の権限で Microsoft Entra 管理センターにログインします。

  2. [ID ガバナンス]>[アクセス レビュー]>[設定] を参照します。

  3. [アクセス レビューを作成と管理できるユーザーの委任] ページで、[グループ所有者は、所有するグループのアクセス レビューの作成と管理が可能][はい] に設定します。

    グループ所有者によるレビューを有効にすることを示すスクリーンショット。

    メモ

    既定では、この設定は [いいえ] に設定されています。 グループ所有者にアクセス レビューの作成と管理を許可するには、設定を [はい] に変更します。

アクセス レビューをプログラムで作成

Microsoft Graph または PowerShell を使用し、アクセス レビューを作成することもできます。

Graph を使用してアクセス レビューを作成するには、Graph API を呼び出してアクセス レビューのスケジュール定義を作成します。 呼び出し元は、委任された AccessReview.ReadWrite.All アクセス許可を持つアプリケーションで適切な役割のユーザーであるか、AccessReview.ReadWrite.All アプリケーションのアクセス許可を持つアプリケーションである必要があります。 詳細については「アクセス レビュー API の概要」、ならびに「セキュリティ グループのメンバーの確認」、または「Microsoft 365 グループ のゲストの確認」の方法に関するチュートリアルを参照してください。

ID ガバナンス用 Microsoft Graph PowerShell コマンドレット」モジュールの New-MgIdentityGovernanceAccessReviewDefinition コマンドレットを使用して PowerShell でアクセス レビューを作成することもできます。 詳細については、「」を参照してください。

アクセス レビューの開始時

アクセス レビューの設定を指定して作成したら、アクセス レビューとその状態のインジケーターがリストに表示されます。

アクセス レビューとその状態のリストを示すスクリーンショット。

既定では、1 回限りのレビューまたは定期的なレビューの繰り返しが開始された直後に、Microsoft Entra ID はレビュー担当者にメールを送信します。 Microsoft Entra ID からメールを送信しないように選択した場合、アクセス レビューが実行待ちになっていることを必ずレビュー担当者に伝えてください。 レビュー担当者には、グループまたはアプリケーションへのアクセスをレビューする手順について案内することができます。 レビューは、ゲストが自分のアクセスをレビューすることが対象の場合、グループまたはアプリケーションへの自身のアクセス権をレビューする方法の手順を案内します。

ゲストをレビュー担当者として割り当てても、テナントへの招待を承諾していない場合、そのゲストはアクセス レビューからのメールを受信しません。 ゲストがレビューを開始するには、まず招待を承諾する必要があります。

アクセス レビューの更新

1 つ以上のアクセス レビューが開始された後、既存のアクセス レビューの設定を変更または更新することもできます。 考慮する一般的なシナリオをいくつか紹介します。

  • 設定またはレビュー担当者の更新: アクセス レビューが定期的な場合、[現在][シリーズ] で個別の設定があります。 [現在] で設定またはレビュー担当者を更新すると、変更は現在のアクセス レビューにのみ適用されます。 [シリーズ] で設定を更新すると、今後のすべての繰り返しにおける設定が更新されます。

    アクセス レビューの設定の更新を示すスクリーンショット。

  • レビュー担当者の追加と削除: アクセス レビューを更新するとき、プライマリ レビュー担当者に加えてフォールバック レビュー担当者を追加することも選択できます。 プライマリ レビュー担当者は、アクセス レビューを更新するときに削除される場合があります。 フォールバック レビュー担当者は、設計上では削除できません。

    メモ

    フォールバック レビュー担当者は、レビュー担当者の種類が管理者またはグループ所有者である場合にのみ追加できます。 レビュー担当者の種類が選択されたユーザーである場合、プライマリ レビュー担当者を追加できます。

  • レビュー担当者にリマインド通知: アクセス レビューを更新するとき、 [詳細設定][リマインダー] オプションを有効にすることができます。 その場合、ユーザーはレビューを完了しているかどうかとは関係なく、レビュー期間の途中でメール通知を受信します。

    レビュー担当者へのリマインダーを示すスクリーンショット。

メモ

アクセス レビューが開始されたら、contactedReviewers API 呼び出しを使用して通知されたすべてのレビュー担当者のリスト、あるいは通知がオフになっている場合に通知されるユーザーのリストが、アクセス レビュー用のメールで確認できます。 これらのユーザーに通知された日時のタイムスタンプも表示されます。

次のステップ