記事公開日
【Microsoft Entra】「アクセス権の棚卸し」を強力サポート!アクセスレビュー入門
この記事のポイント
Microsoft Entraの「アクセスレビュー」機能の全体像、利用に必要な基本要件、そして具体的な機能と運用シナリオを解説します。
- アクセスレビューの役割:
グループやアプリへのアクセス権、特権ロールなどが「本当に必要か」を定期的に棚卸しし、自動で最適化するEntraの機能です。 - 基本要件(ライセンスと権限):
利用にはMicrosoft Entra ID P2、またはより高度な連携・AI支援が可能なID Governance(Suite)ライセンスが必要です。 - 4つの強力な機能:
①柔軟な対象スコープの指定、②所有者やマネージャーへのレビュー委譲、③AIによる推奨事項の提示、④レビュー結果の権限自動適用について解説します。 - 代表的な運用シナリオ:
Teamsの外部ゲストの定期確認や、機密情報アプリの権限見直し、特権管理者ロール(PIM連携)の監査に最適です。
「とりあえず権限を付与したけれど、その後は誰も確認していない」
皆様の組織に、そんな“放置されたアクセス権”は潜んでいませんか?
ツールを活用した社内外のコラボレーションはビジネスを加速させますが、それは同時に「既に契約が終了した外部ベンダーが、いつまでも自社の機密データにアクセスできてしまう」「異動や退職で不要になったはずのアクセス権が放置され、不正に利用される」といったリスクと常に隣り合わせであることを意味します。
ISMS(情報セキュリティマネジメントシステム)や各種コンプライアンス監査においても、「不要な権限が残っていないか」「定期的にレビューされているか」は必ずチェックされる項目です。しかし、実際に手作業でこういったアクセス権をレビューする場合、以下のような課題に直面します。
- Entra IDから膨大な数の対象ユーザー・グループ・アプリを洗い出し、付与されているアクセス権を個別に評価しなければならない。
- 対象の権限がまだ必要かどうか、IT部門では判断が付かないため、各担当者へ「この権限はまだ必要ですか?」と個別に確認したり、対応を依頼したりしなければならない。
- 実際にアクセス権を削除していく際に、対象ではないアクセス権の削除や、アクセス権の削除漏れといったミスが起きる。
これらの課題を解消し、組織内のアクセス権をセキュアな状態に維持するための仕組みが、「アクセスレビュー」です。
Microsoft Entra アクセスレビューとは?
Microsoft Entraのアクセスレビューは、グループのメンバーシップ、エンタープライズアプリケーションへのアクセス権、および特権ロール(グローバル管理者など)の割り当て等を、定期的に棚卸しし、自動的に最適化する機能です。
管理者があらかじめ「レビューの対象」「レビューを行う人(レビュアー)」「実施の頻度(毎月、四半期、年次など)」を設定しておくと、以下のような流れで自動的に棚卸しが実行されます。
- 自動通知: スケジュールされた時期が来ると、各レビュアーにメールで確認依頼が届きます。
- レビューの実施: レビュアーは専用画面(My Access ポータル)を開き、対象者ごとに「承認」「拒否」「わからない」を選択します。
- AIによるサポート: システムが「このユーザーは30日以上サインインしていません」などの情報を提示し、レビュアーの判断を助けます。
- 結果の自動適用: レビュー期間の終了に併せて、「拒否」されたユーザーの権限をシステムによって自動的に削除させることができます。
【Point】各フェーズの細やかな制御が可能
一連の基本フローに加え、アクセスレビューは各フェーズで詳細な設定を行えるのが大きな強みです。「一定期間ごとにリマインド通知を送る」「レビュー結果を選択する際、理由のコメントを記載させる」「レビュアーが期限内に回答しなかった場合のデフォルト動作を定義する」「拒否された権限を即時削除せず、管理者の確認を挟んで手動適用させる」など、自社のセキュリティポリシーに合わせて挙動を細かく制御・カスタマイズできます。
アクセスレビューの基本要件
アクセスレビューを導入・運用するにあたり、事前に把握しておくべきライセンス要件と、管理に必要な管理者ロール(権限)について整理します。
利用に必要なライセンス
アクセスレビューを利用するには、対象ユーザーに対して、以下のいずれかのライセンスが必要です。
- Microsoft Entra ID P2(基本機能のみ)
- Microsoft Entra ID Governance または Microsoft Entra Suite
※エンタイトルメント管理との連携や、機械学習による高度な推奨事項を利用する場合は、「Microsoft Entra ID Governance」または「Microsoft Entra Suite」が必要となります。
管理に必要な権限(Entra ID ロール)
アクセスレビューの作成や設定変更を行うには、レビューの対象となるリソースに応じて以下のいずれかのロールが必要です。
- グローバル管理者 または Identity Governance 管理者: すべてのアクセスレビューを作成・管理できます。
- ユーザー管理者: ユーザーやグループ、エンタープライズアプリケーションに対するアクセスレビューを作成・管理できます。
- 特権ロール管理者: 特権ロール(PIM連携)に対するアクセスレビューを作成・管理できます。
アクセスレビューの具体的な機能一覧
アクセスレビューは、単なる承認ワークフローツールではなく、Entra IDと密接に連携した高度な管理機能を提供します。具体的にどのような設定や運用が可能なのか、主要な機能を一覧でご紹介します。
よく使われる代表的な運用シナリオ
組織でアクセスレビューを導入する際の具体的な利用イメージとして、代表的なシナリオをご紹介します。
まとめ
本記事では、Microsoft Entraのアクセスレビューについて、導入のメリットや基本要件、具体的な機能一覧をご紹介しました。
- 手作業による権限棚卸しの限界とセキュリティリスクの解消
- 現場の部門長やリソース所有者へのレビュー委譲
- AI(推奨事項)による判断支援と、不要な権限の自動削除
次回のブログでは、実際にMicrosoft Entra管理センターの画面からアクセスレビューを作成・実行する手順を解説します。
QUICK E-Solutionsでは、AIを活用した業務効率化・システム導入のお手伝いをしております。
それ以外でも 様々なアプリケーションの開発・導入を行っております。提供するサービス・ソリューションにつきましては こちら に掲載しております。
システム開発・構築でお困りの問題や弊社が提供するサービス・ソリューションにご興味を抱かれましたら、ぜひ一度 お問い合わせ ください。
※このブログで参照されている、Microsoft、Microsoft Entra、Microsoft 365、Azure、Microsoft Entra ID Governanceは、米国およびその他の国におけるMicrosoft Corporationの商標または登録商標です。その他の商標および登録商標は、それぞれの所有者に帰属します。
