エンタイトルメント管理とは

エンタイトルメント管理は、アクセス要求ワークフロー、アクセス割り当て、レビュー、および期限切れ処理を自動化することで、ID とアクセスのライフサイクルを大規模に管理できる、ID ガバナンス機能です。

組織内の人間は、各自の仕事を実行するために、さまざまなグループ、アプリケーション、SharePoint Online サイトへのアクセスを必要とします。 要件は変化するため、このアクセスの管理は困難です。 新しいアプリケーションが追加されたり、ユーザーに必要なアクセスが増えたりします。 このシナリオは、外部の組織と共同作業する場合はさらに複雑になります。 他の組織内のだれがこちらの組織のリソースへのアクセスを必要としているかがわからない可能性があり、また向こうも、こちらでどのようなアプリケーション、グループ、またはサイトを使用しているかがわかりません。

エンタイトルメント管理を使用すれば、グループ、アプリケーション、SharePoint Online サイトへのアクセスを、内部ユーザーについてだけでなく、それらのリソースにアクセスする必要がある外部ユーザーについても、より効率的に管理できます。

エンタイトルメント管理を使用する理由

エンタープライズ組織では、リソースに対する従業員のアクセスを管理する際、しばしば次のような課題に直面します。

  • ユーザーが自分に必要なアクセス権を把握できなかったり、把握できたとしても、アクセス権をどの担当者に承認してもらえばよいかがわかりにくい
  • ユーザーがリソースへのアクセス権を見つけて取得した後、業務上の目的に必要な期間よりも長くアクセス権を持ち続ける場合がある

これらの問題は、別の組織からアクセスするユーザーがいる場合、さらに複雑になります (サプライ チェーン組織やその他のビジネス パートナーに属する外部ユーザーなど)。 次に例を示します。

  • 他社のディレクトリ内のすべての個人を把握する人物がおらず、それらのユーザーを招待できない場合がある
  • 招待できたとしても、ユーザー全員のアクセス権を、担当者が一貫性を持って確実に管理できない場合がある

エンタイトルメント管理は、これらの課題への対処に役立ちます。 お客様がエンタイトルメント管理をどのように使用しているかについて詳しくは、Mississippi Division of MedicaidStorebrandNippon Express Co., LtdDigital Security and Resilience team at Microsoft のケース スタディをご覧ください。 下記のビデオでは、エンタイトルメント管理とそのメリットについて概説しています。

エンタイトルメント管理では何ができますか?

エンタイトルメント管理の機能の一部を次に示します。

  • 複数ステージの承認を使用して、だれがアプリケーション、グループ、Teams、SharePoint サイトへのアクセス権を取得できるかを制御し、期間限定の割り当てと繰り返しのアクセス レビューを使用して、ユーザーがアクセス権を無期限に保持できないようにします。
  • 部門やコスト センターなどのユーザーのプロパティに基づいて、ユーザーにそれらのリソースへのアクセス権を自動的に付与し、それらのプロパティが変更されたときにユーザーのアクセス権を削除します。
  • アクセス パッケージを作成する権限を、管理者以外の担当者に委任できます。 これらのアクセス パッケージには、ユーザーが要求できるリソースが含まれています。また、委任されたアクセス パッケージ マネージャーは、どのユーザーがアクセス権を要求できるかや、それらのアクセス権を誰が承認できるのか、さらには、アクセス権がいつ失効するのかについてのルールを使用して、ポリシーを定義することができます。
  • 接続先の組織を選択して、その組織のユーザーがアクセス権を要求できるようにすることができます。 ディレクトリにまだ存在しないユーザーがアクセス権を要求し、それが承認されると、そのユーザーは自動的にディレクトリに招待され、アクセス権を割り当てられます。 アクセス権の有効期限が切れ、かつ他のアクセス パッケージが割り当てられていない場合には、ディレクトリ内の B2B アカウントを自動的に削除できます。

注意

エンタイトルメント管理を試す準備ができたら、まず、最初のアクセス パッケージを作成する方法のチュートリアルを参照してください。

また、一般的なシナリオや下記のビデオも参考にできます

アクセスパッケージとは何ですか? また、それを使ってどのようなリソースを管理できますか?

エンタイトルメント管理では、アクセス パッケージの概念を導入しています。 アクセス パッケージとは、ユーザーがプロジェクトで作業したりタスクを遂行するために必要となるすべてのリソースと、そのアクセス権をバンドルしたものです。 アクセス パッケージは、従業員や組織外に居るユーザーにおけるアクセス権の管理に使用できます。

エンタイトルメント管理では、次の種類のリソースについて、ユーザーのアクセス権を管理できます。

  • Microsoft Entra セキュリティ グループのメンバーシップ
  • Microsoft 365 グループとチームのメンバーシップ
  • SaaS アプリケーションのほか、フェデレーションやシングル サインオン、プロビジョニングをサポートしたカスタム統合アプリケーションを含む、Microsoft Entra エンタープライズ アプリケーションへの割り当て
  • SharePoint Online サイトのメンバーシップ

Microsoft Entra セキュリティ グループまたは Microsoft 365 グループに依存するその他のリソースへのアクセスを制御することもできます。 次に例を示します。

  • Microsoft 365 のライセンスをユーザーに付与するには、アクセス パッケージで Microsoft Entra セキュリティ グループを使用し、そのグループのグループベース ライセンスを構成します。
  • Azure リソースを管理するためのアクセス権をユーザーに付与するには、アクセス パッケージで Microsoft Entra セキュリティ グループを使用し、そのグループの Azure ロール割り当てを作成します。
  • アクセス パッケージ内のMicrosoft Entra ロールに割り当て可能なグループを使用し、そのグループに Microsoft Entra ロールを割り当てることで、ユーザーにMicrosoft Entra ロールを管理するためのアクセス権を付与できます。

誰にアクセス権が付与されるかを制御するにはどうすればよいですか?

管理者や委任されたアクセス パッケージ マネージャーは、アクセス パッケージを使用して、一連のリソース (グループ、アプリ、およびサイト) と、それらのリソースを操作するためにユーザーに必要なロールをリスト化します。

アクセス パッケージには 1 つ以上のポリシーも含まれます。 ポリシーとは、アクセス パッケージにユーザーを割り当てるうえでの規則やガイドラインを定義したものです。 各ポリシーを使用して、適切なユーザーのみにアクセス権が割り当てられ、アクセス権が期限付きであり、更新されない場合は期限切れになることを確実にすることができます。

アクセス パッケージとポリシーの図。

ユーザーがアクセス権を要求するためのポリシーを設定できます。 管理者やアクセス パッケージ マネージャーは、これらの種類のポリシーで次のことを定義します

  • アクセス権を要求する資格のある既存のユーザー (通常は、従業員または既に招待されているゲスト)、あるいは外部ユーザーの取引先組織のどちらか
  • 承認プロセスと、アクセス権を承認または拒否できるユーザー
  • ユーザーのアクセス権割り当て期間 (承認されてから、割り当てが期限切れになるまでの期間)

また、ユーザーにアクセス権を割り当てるポリシーは、管理者によってルールに基づいて自動的に、またはライフサイクル ワークフローを通じて設定することもできます。

次の図は、エンタイトルメント管理のさまざまな要素の例を示します。 1 つのカタログと、2 つのアクセス パッケージ例が示されています。

  • アクセス パッケージ 1 には、1 つのグループがリソースとして含まれます。 アクセスは、ディレクトリ内のユーザーの集合がアクセスを要求できるようにするポリシーによって定義されます。
  • アクセス パッケージ 2 には、グループ、アプリケーション、SharePoint Online サイトがリソースとして含まれます。 アクセスは 2 つの異なるポリシーによって定義されます。 最初のポリシーは、ディレクトリ内のユーザーの集合がアクセスを要求できるようにします。 2 番目のポリシーは、外部ディレクトリのユーザーがアクセスを要求できるようにします。

エンタイトルメント管理の概要の図

アクセス パッケージはどのような場合に使用するのですか?

アクセス パッケージは、アクセス権の割り当てに関する他のメカニズムに取って代わるものではありません。 アクセス パッケージは、次のような状況で使用するのに適しています。

  • サード パーティのエンタープライズ ロール管理から Microsoft Entra ID へのアクセス ポリシー定義の移行。
  • ユーザーには、特定のタスクのための期限付きアクセス権が必要です。 たとえば、グループ ベースのライセンスと動的グループを使用して、すべての従業員に確実に Exchange Online メールボックスが割り当てられるようにした後、従業員にそれ以上のアクセスが必要になった状況でアクセス パッケージを使用することもできます。 たとえば、ある部署のリソースを別の部署から読み取る権限があります。
  • このアクセス権は、ユーザーのマネージャーや、その他の任命を受けた個人により承認してもらう必要があります。
  • 組織の特定の部署の人がその職務に就いている間に自動的に割り当てられる必要があるアクセス権ですが、組織の他の場所やビジネス パートナー組織の人が要求することもできます。
  • 特定の部署で、IT チームの手を借りることなく、リソースに対する独自のアクセス ポリシーを管理できるようにする必要がある場合。
  • 複数の組織が 1 つのプロジェクトで共同作業を行っている場合に、ある組織の複数のユーザーが、Microsoft Entra B2B を通じて別の組織のリソースにアクセスする必要がある場合。

アクセス権を委任するにはどうすればよいですか?

アクセス パッケージは、カタログと呼ばれるコンテナーに定義されます。 すべてのアクセス パッケージに対して 1 つのカタログを使用することもでき、個人を指定して、そのユーザーが独自のカタログを作成し、所有できるようにすることもできます。 管理者は任意のカタログにリソースを追加できますが、管理者以外のユーザーは、自分が所有しているリソースしかカタログに追加できません。 カタログ所有者は、他のユーザーをカタログの共同所有者として追加したり、アクセス パッケージ マネージャーとして追加したりすることができます。 これらのシナリオについては、エンタイトルメント管理での委任とロールに関する記事で詳しく説明しています。

用語の概要

エンタイトルメント管理とそのドキュメントについてより深く理解するために、次の用語一覧を確認してください。

期間 説明
アクセス パッケージ チームまたはプロジェクトが必要とし、ポリシーに準拠しているリソースのバンドル。 アクセス パッケージは常にカタログに含まれています。 新しいアクセス パッケージは、ユーザーがアクセス権を要求する必要がある場合に作成します。
アクセス要求 アクセス パッケージのリソースへのアクセス要求。 要求は通常、承認ワークフローを通じて処理されます。 承認されると、要求元のユーザーにアクセス パッケージが割り当てられます。
割り当て ユーザーにアクセス パッケージを割り当てると、そのユーザーには、そのアクセス パッケージに対応するすべてのリソース ロールが割り当てられます。 通常、アクセス パッケージの割り当てには有効期限があり、期限が切れると失効します。
catalog 関連リソースとアクセス パッケージのコンテナー。 カタログは委任に使用されます。これにより、管理者以外のユーザーが独自のアクセス パッケージを作成できるようにすることができます。 カタログ所有者は、自分が所有するリソースをカタログに追加できます。
カタログ作成者 新しいカタログの作成を許可されている一連のユーザーのことを指します。 カタログ作成者として承認されている管理者以外のユーザーが新しいカタログを作成すると、そのユーザーは自動的にそのカタログの所有者になります。
接続されている組織 自分が関係を持っている、外部の Microsoft Entra ディレクトリまたはドメインのことを指します。 接続された組織のユーザーは、アクセス権の要求を許可されたユーザーとして、ポリシーで指定できます。
policy アクセス権のライフサイクルを定義する一連のルールのことを指します (ユーザーがどのようにアクセス権を取得するか、誰が承認を実行できるか、割り当てによって付与されたアクセス権がいつ失効するかなど)。 ポリシーはアクセス パッケージにリンクされます。 たとえば、アクセス パッケージに 2 つのポリシーを含めて、1 つは従業員によるアクセス要求、もう 1 つは外部ユーザーによるアクセス要求に使用することもできます。
resource Office グループ、セキュリティ グループ、アプリケーション、SharePoint Online サイトなどのアセットのことを指します。アクセス許可は、ロールによってユーザーに付与します。
リソース ディレクトリ 共有する 1 つ以上のリソースがあるディレクトリ。
リソース ロール リソースに関連付けられ、リソースによって定義されている一連のアクセス許可のことです。 グループには 2 つのロールがあります (メンバーと所有者)。 SharePoint サイトには通常 3 つのロールがありますが、他のカスタム ロールも追加できます。 アプリケーションにはカスタム ロールを設定できます。

ライセンス要件

組織のユーザーがこの機能を使うには、Microsoft Entra ID Governance または Microsoft Entra Suite のサブスクリプションが必要です。 この機能に含まれる一部の機能は、Microsoft Entra ID P2 サブスクリプションで動作する場合があります。 詳細については、各機能の記事を参照してください。 要件に適したライセンスを見つけるには、「Microsoft Entra ID ガバナンス ライセンスの基礎」をご覧ください。

次のステップ