Microsoft Graph を使用した Microsoft Entra ID ガバナンスの概要
Microsoft Entra ID ガバナンスを使用すると、組織のセキュリティと従業員の生産性に対するニーズと、適切なプロセスと可視性のバランスを取ることができます。 適切なプリンシパルが適切なリソースと適切なタイミングで適切なアクセス権を持っていることを保証する機能が提供されます。
アクセス権を管理できるプリンシパル (または ID) には、ユーザー、グループ、アプリケーション (またはサービス プリンシパル) が含まれます。 ユーザーには、従業員、ビジネス パートナー、ベンダー、または請負業者を指定できます。 アクセスを管理できるリソースには、グループ、アクセス パッケージ、特権ロールが含まれます。
Microsoft Graph で次の API を使用して、Microsoft Entra ID ガバナンス機能をプログラムで管理します。
Microsoft Entra ID ガバナンスの詳細については、「 Microsoft Entra ID ガバナンスとは」を参照してください。
組織内のユーザーのライフサイクルを管理する
組織には、従業員のライフ サイクルの少なくとも 3 つの段階 (組織に参加するとき、組織内に移動するとき、および組織を離れたとき) に実行されるプロセスがあります。 このようなプロセスには、必要に応じて、アクセスとリソースのプロビジョニングとプロビジョニング解除が含まれる場合があります。
Microsoft Graph のライフサイクル ワークフロー API を 使用すると、組織内のユーザーの基本的なライフサイクル プロセスを自動化できます。 これらのライフサイクル プロセスにより、組織とそのユーザーは、効率的、安全、または準拠することができます。
リソースへのユーザー アクセスを自動化する
組織の従業員は、ジョブを実行するためにさまざまなリソースにアクセスする必要があります。 パートナーやベンダーは、リソースへのアクセスも必要になる場合があります。 複雑な組織では、ユーザーが必要なアクセス、アクセスを要求する方法、アクセス権を付与する必要があるユーザーを特定することが困難な場合があります。
Microsoft Graph のエンタイトルメント管理 API を 使用すると、アクセス要求ワークフロー、アクセス割り当て、レビュー、有効期限を自動化できます。
プリンシパルがリソースに対して持つアクセスを証明する
プリンシパルが組織内のリソースにアクセスできる場合は、プリンシパルに引き続きアクセス権が必要であることを定期的に確認することが重要です。 アクセス レビュー API を使用して、プログラムによってアクセスを確認します。
たとえば、組織が特定のビジネスに依存するリソースへの従業員アクセスを自動化するとします。 ゲストの場合は、グループを介してリソースへのアクセス権を付与しました。 ゲストが引き続きグループと拡張リソースにアクセスするための正当な必要性を持っていることを定期的に確認することが重要です。
アクセス レビューは、組織の内部コントロールの有効性を監査する一形態です。 詳細については、 アクセス レビューの概要に関するページを参照してください。
特権ロールへのアクセスを管理する
すべての組織には、職務を遂行するために特権管理者ロールを必要とする従業員がいます。 Microsoft Entra ID では、 Microsoft Entra 組み込みロールを通じて、このような特権割り当てを付与できます。 これらのロールが許可するアクセス許可の種類のため、特権ロールの過剰、不要、または誤用のリスクを軽減することが重要です。
Microsoft Graph の特権 ID 管理 API を 使用すると、テナント内の特権 Microsoft Entra ロールのライフサイクルをプログラムで管理できます。
リソースに使用条件を適用する
すべての組織には、ユーザーが組織のリソースにアクセスする前に従う必要がある可能性のある使用条件があります。 これらの使用条件は、Microsoft Entra の利用規約を通じて定義および適用できます。
使用条件は、組織内のすべてのユーザーに対する一般的な会社のポリシーです。またはゲストや請負業者のような個々のユーザーの条件。または、ユーザーがテナントで機密性の高いアプリを使用する前に同意する必要がある用語。
Microsoft Graph の使用条件 API を 使用すると、ユーザーがリソースにアクセスする前に同意して同意する必要がある可能性がある使用条件を構成できます。
ゼロ トラスト
この機能は、組織がゼロ トラスト アーキテクチャの 3 つの基本原則に ID を 合わせるのに役立ちます。
- 明確に確認する
- 最小特権を使用する
- 侵害を想定する
ゼロ トラストとその他の方法の詳細については、組織をガイド原則に合わせる方法については、 ゼロ トラスト ガイダンス センターを参照してください。
ライセンス
Microsoft Entra ID ガバナンス機能は、Microsoft Entra ライセンスのさまざまなスイートの一部として利用できます。 ライセンスごとに使用できるライセンスの種類と ID ガバナンス機能については、「 Microsoft Entra ID Governance ライセンスの基礎」を参照してください。
関連コンテンツ
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示