アクセス レビューについて説明する

  • 5 分

Microsoft Entra アクセス レビューを組織で使うと、グループ メンバーシップ、エンタープライズ アプリケーションへのアクセス、ロールの割り当てを効率的に管理できます。 通常のアクセス レビューにより、適切なユーザーだけがリソースにアクセスできるようになります。 過剰なアクセス権は、既知のセキュリティ リスクです。 ただし、ユーザーがチーム間を移動したり、責任を負ったり、放棄したりすると、アクセス権の制御が困難になることがあります。

Microsoft Entra ID を使用すると、組織内のユーザーおよび外部ユーザーと共同作業できます。 ユーザーは、グループへの参加、ゲストの招待、クラウド アプリへの接続、作業用や個人用のデバイスからのリモート作業を行うことができます。 このような利便性により、さらに優れたアクセス管理機能が必要になりました。

アクセス レビューを使用する必要があるユース ケースは多数あります。 次にいくつか例を挙げます。

  • 特権ロールを持つユーザーが多すぎる: 管理アクセス権を持つユーザーの数と、管理タスクの実行を割り当てられた後に削除されていない招待ゲストまたはパートナーがいるかどうかを確認することをお勧めします。 Microsoft Entra Privileged Identity Management (PIM) エクスペリエンスで、全体管理者などの Microsoft Entra ロール、ユーザー アクセス管理者などの Azure リソース ロールでユーザーのロール割り当てを再認証できます。
  • ビジネス クリティカルなデータ アクセス: ビジネス クリティカルなアプリケーションなど、特定のリソースについては、コンプライアンス プロセスの一環として、継続的なアクセスが必要な理由を定期的に再確認して妥当性を示すよう、ユーザーに求めることが必要な場合があります。
  • ポリシーの例外一覧を管理する: 場合によっては、ポリシーに例外を設ける必要があるビジネス ケースがあります。 IT 管理者はこのタスクを管理し、これらの例外が定期的に再確認されている証拠を監査担当者に提供することができます。
  • グループにゲストがまだ必要であることを確認するようにグループ所有者に依頼する: グループがビジネス上の機密コンテンツに対するアクセスをゲストに許可している場合、アクセスに関する正当なビジネス上のニーズがそのゲストにまだあることを確認するのはグループ所有者の責任です。
  • 定期的にレビューを繰り返す場合:毎週、毎月、毎四半期、毎年などの設定された頻度でユーザーの定期的なアクセス レビューを設定できます。 レビュー担当者は、各レビューの開始時に通知を受け取り、完了時には使いやすいインターフェイスとスマートな推奨事項の助けを借りてアクセスを承認または拒否します。

アクセス レビューを使用してユーザーとゲスト ユーザーのアクセスを管理する

アクセス レビューを使うと、簡単かつ確実にユーザーまたはゲストに適切なアクセス権を付与できます。 ユーザー自身または意思決定者に対し、アクセス レビューに参加してユーザーのアクセス権を再確認 (証明) するよう求めることができます。 レビュー担当者は、Microsoft Entra ID からの提案に基づいて、各ユーザーの継続的なアクセスのニーズを評価できます。 アクセス レビューが完了したら、変更を加え、不要になったアクセス権をユーザーから削除できます。

アクセス レビューを作成する管理者は、レビュー担当者がプロセスを完了するまでの進行状況を追跡できます。 アクセス権はすべて、レビューが完了するまで変更されません。 ただし、スケジュールされた終了の前にレビューを停止することはできます。

レビューが完了したら、手動で、または自動的に変更を適用して、グループのメンバーシップまたはアプリケーションの割り当てからアクセス権が削除されるように設定できます。ただし、動的なグループや、最初からオンプレミスのグループの場合を除きます。 このような場合は、変更をグループに直接適用する必要があります。

マルチステージ アクセス レビュー

Microsoft Entra アクセス レビューは、最大 3 つのレビュー ステージをサポートし、複数の種類のレビュー担当者が、まだ会社のリソースにアクセスする必要があるユーザーの決定に取り組みます。

複数ステージのアクセス レビューにより、複数のレビュー担当者が特定の順序でユーザーのアクセスを証明することが求められる再認定や監査要件を満たす複雑なワークフローを、個人や組織で実現することができます。 また、各レビュー担当者が責任を負う決定事項の数を減らすことで、リソース所有者や監査担当者がより効率的なレビューを設計するのにも役立ちます。

アクセス権の再確認をユーザーに促すアクセス レビュー通知のスクリーン キャプチャ。