エンタイトルメント管理でアクセス パッケージのリソース ロールを変更する
アクセス パッケージ マネージャーは、新規のリソースへのユーザーのアクセスのプロビジョニングや以前のリソースからのアクセスの削除について心配することなく、アクセス パッケージ内のリソースをいつでも変更できます。 この記事では、既存のアクセス パッケージのリソース ロールを変更する方法について説明します。
このビデオでは、アクセス パッケージを変更する方法の概要について説明しています。
リソースのカタログの確認
ヒント
この記事の手順は、開始するポータルによって若干異なる場合があります。
アクセス パッケージにリソースを追加する必要がある場合は、必要なリソースがアクセス パッケージのカタログで利用可能かどうかを確認する必要があります。 アクセス パッケージ マネージャーの場合は、所有していても、カタログにリソースを追加することはできません。 カタログで利用可能なリソースの使用に制限されます。
前提条件となるロール: グローバル管理者、Identity Governance 管理者、カタログ所有者、またはアクセス パッケージ マネージャー
Microsoft Entra 管理センターに Identity Governance 管理者以上としてサインインします。
[ID ガバナンス]> [エンタイトルメント管理]>[アクセス パッケージ] の順に移動します。
[アクセス パッケージ] ページで、リソースのカタログをチェックするアクセス パッケージを開きます。
左側のメニューで [カタログ] を選択し、カタログを開きます。
左側のメニューで、[リソース] を選択して、このカタログ内のリソースの一覧を表示します。
リソースがまだカタログに存在せず、管理者かカタログ所有者である場合は、カタログにリソースを追加できます。 追加できるリソースの種類は、グループ、アプリケーション、および SharePoint Online サイトです。 例:
- グループとしては、クラウドで作成された Microsoft 365 グループ、またはクラウドで作成された Microsoft Entra セキュリティ グループを指定できます。 オンプレミスの Active Directory に由来するグループは、その所有者またはメンバー属性を Microsoft Entra ID で変更できないため、リソースとして割り当てることができません。 AD セキュリティ グループ メンバーシップを使用するアプリケーションへのアクセス権をユーザーに付与するには、Microsoft Entra ID で新しいグループを作成し、AD へのグループの書き戻しを構成し、そのグループの AD への書き込みを有効にします。 配布グループとして Exchange Online に由来するグループも Microsoft Entra ID で変更できません。
- アプリケーションとしては、Microsoft Entra エンタープライズ アプリケーションを指定できます。これには、SaaS (サービスとしてのソフトウェア) アプリケーションと、Microsoft Entra ID と統合された独自のアプリケーションの両方が含まれます。 アプリケーションがまだ Microsoft Entra ID と統合されていない場合は、「環境内のアプリケーションのアクセスを制御する」およびアプリケーションと Microsoft Entra ID の統合に関するページを参照してください。
- サイトとしては、SharePoint Online サイトまたは SharePoint Online サイト コレクションを指定できます。
あなたがアクセス パッケージ マネージャーで、カタログにリソースを追加する必要がある場合は、カタログ所有者にそれらを追加するよう依頼できます。
リソース ロールを追加する
リソース ロールは、リソースに関連付けられたアクセス許可を集めたものです。 カタログの各リソースからリソース ロールをアクセス パッケージに追加すれば、ユーザーがリソースを要求できるようになります。 グループ、チーム、アプリケーション、および SharePoint サイトによって提供されるリソース ロールを追加できます。 ユーザーがアクセス パッケージへの割り当てを受け取ると、アクセス パッケージのすべてのリソース ロールに追加されます。
一部のユーザーが他のユーザーとは異なるロールを受け取るようにしたい場合は、カタログ内に複数のアクセス パッケージを作成し、各リソース ロールに個別のアクセス パッケージを割り当てる必要があります。 また、アクセス パッケージを相互に互換なしとマークすることで、必要以上のアクセス権を付与するようなアクセス パッケージへのアクセスをユーザーが要求できないようにすることもできます。
前提条件となるロール: グローバル管理者、ID ガバナンス管理者、カタログ所有者、またはアクセス パッケージ マネージャー
Microsoft Entra 管理センターに Identity Governance 管理者以上としてサインインします。
[ID ガバナンス]> [エンタイトルメント管理]>[アクセス パッケージ] の順に移動します。
[アクセス パッケージ] ページで、リソース ロールを追加するアクセス パッケージを開きます。
左側のメニューで、[リソース ロール] を選択します。
[リソース ロールの追加] を選択して、[リソースのロールをアクセス パッケージに追加する] ページを開きます。
リソース ロールを追加するのがグループ、チーム、アプリケーション、SharePoint サイトのどれなのかに応じて、次のいずれかのセクションの手順を行います。
グループまたはチームのリソース ロールを追加する
ユーザーにアクセス パッケージが割り当てられているときは、エンタイトルメント管理で自動的にユーザーをグループまたは Microsoft Teams のチームに追加することができます。
- グループまたはチームがアクセス パッケージに含まれている場合、そのアクセス パッケージに割り当てられているユーザーは、まだ存在しなければ、そのグループまたはチームに追加されます。
- ユーザーのアクセス パッケージの割り当てが期限切れになると、ユーザーはグループまたはチームから削除されます。ただし、現時点で同じグループまたはチームが含まれる別のアクセス パッケージへの割り当てがある場合は削除されません。
任意の Microsoft Entra セキュリティ グループまたは Microsoft 365 グループを選択できます。 管理者はカタログにグループを追加することができます。カタログ所有者は、グループの所有者である場合は、カタログにグループを追加することができます。 グループを選択する際は、次の Microsoft Entra の制約に注意してください。
- メンバーとしてグループまたはチームに追加されたユーザー (ゲストを含む) は、そのグループまたはチームの他のすべてのメンバーを表示できます。
- Microsoft Entra ID では、Microsoft Entra Connect を使用して Windows Server Active Directory から同期されたグループ、または Exchange Online で配布グループとして作成されたグループのメンバーシップを変更できません。
- 動的グループのメンバーシップはメンバーの追加または削除によって更新することはできないため、動的グループのメンバーシップはエンタイトルメント管理での使用には適していません。
- Microsoft 365 グループには、管理者の Microsoft 365 グループの概要に記載されている追加の制約があります。たとえば、グループあたりの所有者数が 100 であり、グループ会話に同時にアクセスできるメンバーの数に制限があり、メンバーごとのグループ数は 7000 です。
詳細については、「グループを比較する」と「Microsoft 365 グループおよび Microsoft Teams」を参照してください。
[リソースのロールをアクセス パッケージに追加する] ページで、[グループとチーム] を選択して [グループの選択] ペインを開きます。
アクセス パッケージに含めるグループとチームを選択します。
[選択] を選択します。
グループまたはチームを選択すると、[サブ タイプ] 列に次のいずれかのサブタイプが表示されます。
サブタイプ 説明 セキュリティ リソースにアクセスを付与するために使用されます。 Distribution ユーザー グループに通知を送信するために使用されます。 Microsoft 365 Teams が有効になっていない Microsoft 365 グループ。 社内と社外の両方でユーザー間の共同作業に使用されます。 チーム Teams が有効になっている Microsoft 365 グループ。 社内と社外の両方でユーザー間の共同作業に使用されます。 [ロール] 一覧で [所有者] または [メンバー] を選択します。
通常は [メンバー] ロールを選択します。 所有者ロールを選択すると、ユーザーが他のメンバーまたは所有者を追加または削除できるようになります。
[追加] を選択します。
追加されると、アクセス パッケージへの既存の割り当てがあるユーザーは、自動的にこのグループまたはチームのメンバーになります。
アプリケーションのリソース ロールを追加する
Microsoft Entra ID では、ユーザーにアクセス パッケージを割り当てるときに、そのユーザーに自動的に Microsoft Entra エンタープライズ アプリケーション (SaaS アプリケーションと、Microsoft Entra ID と統合されている組織のアプリケーションの両方を含む) へのアクセス権を割り当てることができます。 フェデレーション シングル サインオンを使用して Microsoft Entra ID と統合されるアプリケーションの場合は、Microsoft Entra ID により、そのアプリケーションに割り当てられたユーザーに対してフェデレーション トークンが発行されます。
アプリケーションは、定義された複数のアプリケーション ロールをそのマニフェスト内に持つことができます。 アクセス パッケージにアプリケーションを追加するとき、そのアプリケーションが複数のロールを持つ場合は、各アクセス パッケージでそれらのユーザーに対して適切なアプリ ロールを指定する必要があります。 アプリケーションを開発する場合、これらのロールをアプリケーションに追加する方法の詳細については、「エンタープライズ アプリケーションの SAML トークン内に発行されるロール要求を構成する方法」を参照してください。
Note
アプリケーションに複数のロールがあり、そのアプリケーションの複数のロールがアクセス パッケージ内にある場合、ユーザーはそれらのアプリケーションのロールをすべて受け取ります。 その代わりに、ユーザーに一部のアプリケーションのロールのみを持たせたい場合は、カタログに複数のアクセス パッケージを作成し、各アプリケーション ロールに対して個別のアクセス パッケージを作成する必要があります。
アプリケーション ロールがアクセス パッケージに含められたら、次のようになります。
- ユーザーがそのアクセス パッケージに割り当てられると、まだ存在しない場合は、ユーザーがそのグループに追加されます。
- ユーザーのアクセス パッケージの割り当てが期限切れになると、ユーザーがそのアプリケーション ロールが含まれている別のアクセス パッケージへの割り当てを持っている場合を除き、ユーザーのアクセス権はそのアプリケーションから削除されます。
アプリケーションを選択する際は、次の点を考慮します。
- アプリケーションのアプリ ロールには、グループも割り当てられている場合もあります。 アクセス パッケージ内のアプリケーション ロールの代わりにグループを追加することができます。ただし、そのアプリケーションは、ユーザーにはマイ アクセス ポータルでアクセス パッケージの一部として表示されません。
- Microsoft Entra 管理センターには、アプリケーションとして選択できないサービスのサービス プリンシパルが表示される場合もあります。 特に、Exchange Online と SharePoint Online はサービスであり、ディレクトリにリソース ロールがあるアプリケーションではないため、アクセス パッケージに含めることはできません。 代わりに、グループ ベースのライセンスを使用して、それらのサービスへのアクセスを必要とするユーザーに対して適切なライセンスを確立します。
- 認証に関して個人用の Microsoft アカウント ユーザーのみをサポートし、ディレクトリ内の組織アカウントをサポートしないアプリケーションは、アプリケーション ロールを持たず、アクセス パッケージ カタログに追加することはできません。
[リソースのロールをアクセス パッケージに追加する] ページで、[アプリケーション] を選択して [アプリケーションの選択] ペインを開きます。
アクセス パッケージに含めるアプリケーションを選択します。
[選択] を選択します。
[ロール] 一覧でアプリケーション ロールを選択します。
[追加] を選択します。
アクセス パッケージへの既存の割り当てがあるユーザーは、追加されると自動的にこのアプリケーションへのアクセス権が付与されます。
SharePoint サイトのリソース ロールを追加する
Microsoft Entra ID では、ユーザーにアクセス パッケージを割り当てるときに、そのユーザーに自動的に SharePoint Online サイトまたは SharePoint Online サイト コレクションへのアクセス権を割り当てることができます。
[リソースのロールをアクセス パッケージに追加する] ページで、[SharePoint サイト] を選択して [SharePoint Online サイトの選択] ペインを開きます。
アクセス パッケージに含める SharePoint Online サイトを選択します。
[選択] を選択します。
[ロール] の一覧で、SharePoint Online サイトのロールを選択します。
[追加] を選択します。
アクセス パッケージへの既存の割り当てがあるユーザーは、追加されると自動的に SharePoint Online サイトへのアクセス権が付与されます。
プログラムによるリソース ロールの追加
アクセス パッケージにリソース ロールをプログラムで追加するには、Microsoft Graph を使う方法と、Microsoft Graph 用の PowerShell コマンドレットを使う方法の 2 つがあります。
Microsoft Graph を使ってアクセス パッケージにリソース ロールを追加する
Microsoft Graph を使って、アクセス パッケージにリソース ロールを追加することができます。 委任された EntitlementManagement.ReadWrite.All
アクセス許可を持つアプリケーションを有する適切なロールのユーザーは、API を呼び出して、次のことを行うことができます。
- カタログ内の accessPackageResources を一覧表示し、カタログにまだ存在しないすべてのリソースに対して accessPackageResourceRequest を作成します。
- accessPackageCatalog 内の各 accessPackageResource の accessPackageResourceRoles を一覧表示します。 このロールの一覧は、後で accessPackageResourceRoleScope を作成するときにロールを選択するために使用されます。
- アクセス パッケージ内で必要なリソース ロールごとに accessPackageResourceRoleScope を作成します。
Microsoft PowerShell を使ってアクセス パッケージにリソース ロールを追加する
PowerShell で Identity Governance 用の Microsoft Graph PowerShell コマンドレット ベータ モジュール バージョン 2.1.x 以降のコマンドレットを使って、アクセス パッケージを作成することもできます。 このスクリプトは、Graph の beta
プロファイルと Microsoft Graph PowerShell コマンドレット モジュール バージョン 2.4.0 の使用方法を示しています。
まず、次のようなスクリプトを使って、アクセス パッケージに含めるカタログと、そのカタログ内のリソースとそのロールの ID を取得します。 これは、カタログに 1 つのアプリケーション リソースがあることを前提としています。
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$catalog = Get-MgBetaEntitlementManagementAccessPackageCatalog -Filter "displayName eq 'Marketing'"
$rsc = Get-MgBetaEntitlementManagementAccessPackageCatalogAccessPackageResource -AccessPackageCatalogId $catalog.Id -Filter "resourceType eq 'Application'" -ExpandProperty "accessPackageResourceScopes"
$filt = "(originSystem eq 'AadApplication' and accessPackageResource/id eq '" + $rsc.Id + "')"
$rr = Get-MgBetaEntitlementManagementAccessPackageCatalogAccessPackageResourceRole -AccessPackageCatalogId $catalog.Id -Filter $filt -ExpandProperty "accessPackageResource"
次に、そのリソースからアクセス パッケージにリソース ロールを割り当てます。 たとえば、先ほど返されたリソースの 2 番目のリソース ロールをアクセス パッケージのリソース ロールとして含める場合は、次のようなスクリプトを使います。
$apid = "cdd5f06b-752a-4c9f-97a6-82f4eda6c76d"
$rparams = @{
AccessPackageResourceRole = @{
OriginId = $rr[2].OriginId
DisplayName = $rr[2].DisplayName
OriginSystem = $rr[2].OriginSystem
AccessPackageResource = @{
Id = $rsc.Id
ResourceType = $rsc.ResourceType
OriginId = $rsc.OriginId
OriginSystem = $rsc.OriginSystem
}
}
AccessPackageResourceScope = @{
OriginId = $rsc.OriginId
OriginSystem = $rsc.OriginSystem
}
}
New-MgBetaEntitlementManagementAccessPackageResourceRoleScope -AccessPackageId $apid -BodyParameter $rparams
リソース ロールを削除する
前提条件となるロール: グローバル管理者、ID ガバナンス管理者、カタログ所有者、またはアクセス パッケージ マネージャー
Microsoft Entra 管理センターに Identity Governance 管理者以上としてサインインします。
[ID ガバナンス]> [エンタイトルメント管理]>[アクセス パッケージ] の順に移動します。
[アクセス パッケージ] ページで、リソース ロールを削除するアクセス パッケージを開きます。
左側のメニューで、[リソース ロール] を選択します。
リソース ロールの一覧で、削除するリソース ロールを見つけます。
省略記号 (...) を選択してから、[リソース ロールの削除] を選択します。
アクセス パッケージへの既存の割り当てがあるユーザーは、削除されると自動的にこのリソース ロールへのアクセス権が取り消されます。
変更が適用される場合
エンタイトルメント管理では、Microsoft Entra ID により、アクセス パッケージ内の割り当てとリソースの一括変更が 1 日に数回処理されます。 そのため、割り当てを行ったりアクセス パッケージのリソース ロールを変更したりする場合は、Microsoft Entra ID でその変更を行うのに最大 24 時間かかる可能性があり、それに加えてそれらの変更を他の Microsoft Online Services や接続されている SaaS アプリケーションに伝達する時間がかかる可能性があります。 変更がほんの一部のオブジェクトにしか影響しない場合は、変更が Microsoft Entra ID で適用された後、Microsoft Entra の他のコンポーネントがその変更を検出して SaaS アプリケーションを更新するまでに数分しかかからない可能性があります。 変更が何千ものオブジェクトに影響する場合、変更にはさらに長い時間がかかります。 たとえば、2 つのアプリケーションと 100 のユーザー割り当てを含むアクセス パッケージがあり、そのアクセス パッケージに SharePoint サイトのロールを追加する場合は、すべてのユーザーがその SharePoint サイトのロールに含められるまで遅延が発生する場合があります。 Microsoft Entra 監査ログ、Microsoft Entra プロビジョニング ログ、および SharePoint サイトの監査ログで、進行状況を監視することができます。
チームのメンバーを削除すると、Microsoft 365 グループからも削除されます。 チームのチャット機能から削除されるタイミングは遅れる場合があります。 詳細については、「グループ メンバーシップ」を参照してください。
管理者によってリソース ロールがアクセス パッケージに追加されると、そのリソース ロールに属しているがアクセス パッケージへの割り当てがないユーザーはリソース ロールに残りますが、アクセス パッケージには割り当てられなくなります。 たとえば、あるユーザーがグループのメンバーであり、その後アクセス パッケージが作成され、そのグループのメンバー ロールがアクセス パッケージに追加された場合、そのユーザーは自動的にアクセス パッケージへの割り当てを受け取ることはありません。
ユーザーもアクセス パッケージに割り当てられるようにする場合は、Microsoft Entra 管理センターを使って、アクセス パッケージに直接ユーザーを割り当てるか、Graph や PowerShell を使って一括で割り当てることができます。 この場合、ユーザーは、アクセス パッケージ内の他のリソース ロールへのアクセス権も受け取ります。 ただし、これらのユーザーは既にアクセス パッケージに追加される前にアクセス権を持っているため、アクセス パッケージの割り当てが解除されても、リソース ロールに残ります。 たとえば、あるユーザーがグループのメンバーであり、そのグループのグループ メンバーシップをリソース ロールとして含むアクセス パッケージに割り当てられていた場合、そのユーザーのアクセス パッケージの割り当てが削除されても、そのユーザーはグループ メンバーシップを保持します。