アクセス レビューでグループおよびアプリケーションに対するアクセスを確認する
企業でアクセス レビューという機能を使用して Microsoft Entra ID とその他の Microsoft Web サービス内のグループおよびアプリケーションへのアクセスを管理する方法が Microsoft Entra ID により簡素化されます。 この記事では、指定されたレビュー担当者が、アプリケーションへのアクセス権を持つグループのメンバーやユーザーに対してアクセス レビューを実行する方法について説明します。 アクセス パッケージへのアクセスをレビューする場合は、「エンタイトルメント管理でのアクセス パッケージのアクセスをレビューする」を参照してください。
マイ アクセスを使用したアクセス レビューの実行
マイ アクセスでグループおよびアプリケーションに対するアクセスをレビューできます。 マイ アクセスは、アクセスのニーズを付与、承認、確認するためのわかりやすいポータルです。
電子メールを使用してマイ アクセスに移動する
重要
メールの受信に遅延が発生する可能性があります。 場合によっては、最大 24 時間かかることがあります。 すべてのメールを確実に受信するため、MSSecurity-noreply@microsoft.com を信頼できる宛先のリストに追加してください。
アクセス レビューを実行するように求める Microsoft からのメールを見つけます。 メールのメッセージの例を次に示します。
[Start review](レビューの開始) リンクを選んで、アクセス レビューを開きます。
マイ アクセスに直接移動する
お使いのブラウザーを使用してマイ アクセスを開くと、保留中のご自分のアクセス レビューを表示することもできます。
https://myaccess.microsoft.com/ からマイ アクセス にサインインします。
左のメニューから [アクセス レビュー] を選択すると、割り当てられている保留中のアクセス レビューの一覧が表示されます。
1名以上のユーザーのアクセスを確認する
[グループとアプリ] で [マイ アクセス] を開くと、次のように表示されます。
- 名前: アクセス レビューの名前。
- 期限: レビューの期限。 この日付を過ぎると、拒否されたユーザーはレビュー対象のグループまたはアプリから削除される場合があります。
- リソース: レビュー中のリソースの名前。
- [進行状況]: このアクセス レビューに関わるユーザーの合計数に対する、レビューされたユーザー数。
開始するには、アクセス レビューの名前を選びます。
これが開くと、アクセス レビューの対象となるユーザーの一覧が表示されます。
注意
自分のアクセスをレビューするように要求した場合は、ページの外観が異なります。 詳細については、「グループまたはアプリケーションへの自分のアクセス権のレビュー」を参照してください。
2 つの方法でアクセスを承認または拒否できます。
- 1 名以上のユーザーのアクセスを手動で承認または拒否できます。
- システムの推奨事項を承認することができます。
1名以上のユーザーのアクセスを手動で確認する
ユーザーのリストをレビューして、ユーザーに継続してアクセスを承認するか拒否するかを決定します。
1 名以上のユーザーを選択するには、彼らの名前の横にある円を選択します。
バーで [承認] または [拒否] を選択します。
ユーザーを引き続きアクセスさせる必要があるかわからない場合は、[不明] を選択します。 ユーザーは自分のアクセスを維持することができ、お客様の選択した内容は監査ログに記録されます。 提供された情報は、他のレビュー担当者も利用できるということに留意してください。 彼らはお客様のコメントを読んで、要求のレビュー時にそれを考慮に入れることができます。
アクセス レビューの管理者は、理由が不要な場合でも、[理由] ボックスに理由を指定することを求める場合があります。 その場合でも、決定の理由を提示できます。 提供された情報は、他の承認者もレビューに利用できます。
[Submit](送信) をクリックします。
応答内容は、アクセス レビューが終了するまでいつでも変更できます。 応答内容を変更する場合は、その行を選択して、応答内容を更新します。 たとえば、一度拒否したユーザーを承認したり、一度承認したユーザーを拒否したりできます。
重要
- ユーザーは、アクセスを拒否されても、すぐに削除されるわけではありません。 ユーザーは、レビュー期間が終了したか、管理者がレビューを停止したときに削除されます。
- レビュー担当者が複数いる場合、最後に送信された応答内容が記録されます。 管理者が Alice と Bob という 2 人のレビュー担当者を指名した場合を考えてみましょう。 最初に Alice がアクセス レビューを開いて、ユーザーのアクセス要求を承認します。 レビュー期間が終了する前に、Bob はアクセス レビューを開き、Alice が以前に承認したのと同じ要求についてアクセスを拒否します。 アクセスを拒否するという最後の決定が、応答として記録されます。
推奨事項に基づいてアクセスを確認する
アクセス レビューを簡単に手早くできるように、1 回の選択で承認できる推奨事項も用意されています。 システムによってレビュー担当者の推奨事項が生成される方法は 2 つあります。 1 つの方法は、ユーザーのサインイン アクティビティによります。 ユーザーが 30 日以上非アクティブになっている場合、システムでは、レビュー担当者がアクセスを拒否することを推奨します。
もう 1 つの方法は、ユーザーのピアが持つアクセス権に基づいています。 ユーザーがそのピアと同じアクセス権を持っていない場合、システムでは、レビュー担当者がそのユーザーのアクセスを拒否することを推奨します。
[30 日間サインインなし] または [ピア外れ値] が有効になっている場合は、手順に従って推奨事項を受け入れます。
1 名以上のユーザーを選択して、[推奨事項を承認する] を選択します。
すべての未承認ユーザーに対する推奨事項を受け入れるには、いずれも選択されていないことを確認してから、上部のバーにある [推奨事項を承認する] ボタンを選択します。
[送信] を選択して、推奨事項を承認します。
注意
推奨事項に同意しても、以前の決定は変更されません。
複数段階のアクセスレビューで1名以上のユーザーのアクセスをレビューする (プレビュー)
管理者が複数ステージのアクセス レビューを有効にしている場合、レビューの合計ステージは 2 から 3 段階あります。 レビューの各ステージには、指定されたレビュー担当者がいます。
レビュー担当者として割り当てられたステージのサインインアクティビティに基づいて、アクセスを手動で確認するか、推奨事項を承認することになります。
アクセスレビューの作成時に管理者がこの設定を有効にした場合、第 2 段階または第 3 段階のレビュー担当者は、前の段階のレビュー担当者によって行われた決定も見ることができます。 第 2 段階または第 3 段階のレビュー担当者によって行われた決定は、前のステージを上書きすることになります。 そのため、第 2 段階のレビュー担当者が行う決定は、第 1 段階を上書きします。 第 3 段階のレビュー担当者の決定は、第 2 段階を上書きします。
「 1 名以上のユーザーのアクセスをレビューする」の説明に従って、アクセスを承認、または拒否します。
注意
レビューの次の段階は、アクセスレビューのセットアップ中に指定された期間が経過するまでアクティブになりません。 管理者がステージを完了したものの、このステージのレビュー期間がまだ終了していないと判断した場合は、Microsoft Entra 管理センターのアクセス レビューの概要にある [現在のステージの停止] ボタンを使用することができます。 このアクションにより、アクティブなステージが終了し、次のステージが開始されます。
Teams 共有チャネルと Microsoft 365 グループでの B2B 直接接続ユーザーのアクセスをレビューする (プレビュー)
B2B 直接接続ユーザーのアクセスをレビューするには、次の手順に従います。
レビュー担当者は、チームまたはグループのアクセス権のレビューを要求する電子メールを受け取る必要があります。 電子メール内のリンクを選択するか、直接 https://myaccess.microsoft.com/ に移動します。
「1 名以上のユーザーのアクセスをレビューする」の手順に従って、チームへのユーザーのアクセスを承認するか拒否するかを決めます。
注意
内部ユーザーや B2B Collaboration ユーザーとは異なり、B2B 直接接続ユーザーとチームには、レビューをいつ行なうかを決めるための、最後のサインイン アクティビティに基づいたレコメンデーションが "ありません"。
レビューするチームに共有チャネルがある場合、それらの共有チャネルにアクセスするすべての B2B 直接接続ユーザーとチームがすべてレビューの一部です。 これには、B2B コラボレーション ユーザーと内部ユーザーが含まれます。 B2B 直接接続ユーザーまたはチームがアクセス レビューでアクセスを拒否されると、ユーザーはチーム内のすべての共有チャネルへのアクセス権を失います。 B2B 直接接続ユーザーの詳細については、「B2B 直接接続」に関する記事をお読みください。
アクセス レビューでアクションが実行されない場合の動作を設定する
アクセスのレビューがセットアップされている場合、管理者は詳細設定を使用して、レビュー担当者がアクセス レビュー要求に応答しない場合に発生する処理を決定できます。
管理者がレビューを設定できることから、レビュー担当者がレビュー期間の終了時に応答しなかった場合、すべての行っ未承認ユーザーがアクセスに対して自動的に決定を行うことができます。 これには、レビュー対象のグループまたはアプリケーションへのアクセスの喪失が含まれます。