1. 主要ページへ移動
  2. メニューへ移動
  3. ページ下へ移動

QES ブログ

記事公開日

【Microsoft Entra】「アクセス権の棚卸し」を強力サポート!アクセスレビュー実践編

  • このエントリーをはてなブックマークに追加

この記事のポイント

本記事ではMicrosoft Entra アクセスレビューの具体的な設定手順と運用イメージを解説します。

  • Teamsゲストの棚卸しシナリオで実践: 「Teams(Microsoft 365グループ)に招待されたゲストユーザーの定期棚卸し」を題材に、実践的な設定値をご紹介します。
  • 管理者の事前準備を整理: 実際に設定画面を操作する前に確認しておくべき、ライセンス要件と必要な管理者権限をおさらいします。
  • アクセスレビューの設定方法を実践:具体的な操作手順を通して、アクセスレビューの設定内容を解説します。
  • レビューの流れと結果の確認方法を整理: IT管理者側の設定だけでなく、実際にレビューを依頼された担当者の操作や、レビュー完了後の操作について解説します。

前回の記事『【Microsoft Entra】「アクセス権の棚卸し」を強力サポート!アクセスレビュー入門』では、アクセスレビューがもたらすメリットや機能をご紹介しました。
今回は「Teamsの外部ゲストユーザーの棚卸し」という具体的なシナリオを題材に、アクセスレビューの設定手順から、レビュー担当者がどのようにレビューを実施するかまでを、詳しく解説します。

なお、本記事はMicrosoft Entra IDの権限管理・ID統制(ガバナンス)に関する内容です。
関連するテーマは、QESブログの「Microsoft Entra ID Governance」カテゴリでもまとめて発信しています。あわせてご覧ください。

今回設定する運用シナリオの定義

アクセスレビューの設定を行う前に、「誰の、どの権限を、誰にレビューさせるのか」という要件を明確にしておくことが非常に重要です。
今回は、社外とのコラボレーションで増えがちな「Teams(Microsoft 365グループ)の外部ゲスト」をターゲットにします。設定する要件は以下の通り定義します。

設定項目 今回の設定値(シナリオ要件)
対象リソース 特定のTeams(Microsoft 365グループ)
対象ユーザー ゲストユーザーのみ
レビュー担当者(確認者) グループの所有者
実施のスケジュール 四半期に1回
レビュー期間 14日間
※レビュー期間内であればレビュー結果の変更が可能。
結果の自動適用 有効
※拒否されたゲストは、自動的にTeamsから削除されるようにします。
未応答時の動作 推奨事項を採用する
※レビュー担当者が期限内に回答しなかった場合、システムの判定(30日サインインなし=削除等)に委ねます。

事前準備(ライセンスと権限のおさらい)

設定を進める前に、今回のシナリオを実行するための前提条件として、以下の「ライセンス」と「権限」の2点が環境に整っているか確認しましょう。

  • 必要なライセンス
    本シナリオ(ゲストユーザーのレビューおよびシステム推奨事項の利用)を実行するためには、設定を行う管理者と、レビュー担当者(グループ所有者)の双方に、Microsoft Entra ID P2 のライセンスが必要です。
    ※意思決定ヘルパー機能の「ユーザー対グループの所属」を利用する場合、Microsoft Entra ID Governance(または Microsoft Entra Suite) のライセンスが必要となります
  • 設定に必要な管理者権限(Entra ID ロール)
    Microsoft Entra 管理センターでアクセスレビューの作成・設定を行う担当者には、以下のいずれかのロールが割り当てられている必要があります。
    グローバル管理者
    Identity Governance 管理者
    ユーザー管理者

アクセスレビューの作成手順

それでは、要件に沿って実際にアクセスレビューを作成していきます。アクセスレビューの作成は管理画面から行います。

アクセスレビューの管理画面には、Azure PortalまたはMicrosoft Entra 管理センターからアクセスします。
Azure Portal の場合は、[Microsoft Entra ID] > [Identity Governance] > [アクセスレビュー] からアクセスできます。


Microsoft Entra 管理センターの場合は、[ID ガバナンス] > [アクセス レビュー] > [アクセス レビュー] からアクセスできます。

アクセスレビューの管理画面にアクセスしたら、[新しいアクセス レビュー]を選択して新規作成画面に移動します。

新規作成画面では、まず最初に、作成するアクセスレビューのテンプレートを選択します。
今回は、左の[Review access to a resource type]テンプレートの[Select]を選択してください。
※右側に表示されるテンプレート(Review users access across multiple resource types within a catalog)は、エンタイトルメント管理の「カタログのレビュー」用のものです。今回のシナリオでは左側を使用します。

続けて、具体的なアクセスレビューの設定に入っていきます。
設定内容は大きく3つのステップに分かれています。順を追って解説します。

ステップ1:レビューの種類と対象リソースの設定

最初の「レビューの種類」タブでは、誰に対してレビューするのか(スコープ)を設定します。

設定項目 今回のシナリオ設定値 詳細・その他のオプション
レビュー対象を選択する チームとグループ 「アプリケーション」を選択して特定アプリ(Salesforce等)の割り当てをレビューすることも可能です。
範囲の確認 チームとグループの選択 「ゲスト ユーザーを含むすべての Microsoft 365 グループ」を選択して一括指定や除外設定を行うことも可能です(※この場合スコープはゲストのみに固定されます)。
グループ (対象のTeamsグループ) レビューを行いたい特定のグループを指定します。「すべての M365 グループ」を範囲に設定した場合は、レビューから除外するグループを指定します。複数選択が可能です。
スコープ ゲスト ユーザーのみ 「すべてのユーザー」を選択し、社内メンバーの所属状況を棚卸しすることも可能です。
非アクティブなユーザ(テナント レベル)のみ (今回はチェックなし) チェックを入れると、非アクティブ期間の閾値(1日~730日)での絞り込みが可能になります。

【Point】入れ子になっているグループ
レビュー対象にグループを設定する場合、対象のグループに他のグループが所属する、いわゆる入れ子構造となっているケースがあります。

この場合、レビューでは子グループのメンバーも含めた全ユーザーがレビュー対象として表示されます。

しかし、子グループのみに所属するユーザーに対して拒否を設定しても、子グループからメンバーが削除されることはありません。
レビューの際は、この挙動を念頭に置いて、子グループに対してもアクセスレビューを実施するといった対策が必要です。

ステップ2:レビュー担当者とスケジュールの設定

次に「レビュー」タブへ進み、誰が、いつ、どんな頻度でレビューを行うのかを設定します。

設定カテゴリ 設定項目 今回のシナリオ設定値 詳細・その他のオプション
  複数ステージのレビュー (今回はチェックなし) 有効にすることで、最大3段階の多段階レビューを組めます。
レビュー担当者の指定 レビュー担当者を選択する グループの所有者 「自己レビュー」「ユーザーの管理者(上司)」「特定のユーザー/グループ」も指定可能です。
ここでグループを指定した場合は、所属ユーザー全員がレビュー担当者となります。
フォールバック レビュー担当者 (今回は設定なし) 対象グループに所有者がいない等、設定した担当者が存在しない場合に代理でレビューするユーザーを指定できます。
レビューの繰り返しの指定 期間(日数) 14 レビュー開始から回答できる日数です(1~999日で設定可能)。
確認の繰り返し 四半期ごと 1回、週単位、毎月、四半期ごと、半年ごと、毎年の中から設定できます。
開始日 (任意の日付) 設定した日にレビューが開始されます。実際のメール送信時間は、開始日の設定時間から数時間程度ズレることがあるため、余裕を持ったスケジュール設定をお勧めします。
終了 (任意の設定) レビューをどれくらいの期間や回数繰り返すかを設定できます。

【Point】複数のレビュー担当者指定
レビュー担当者にはグループの指定が可能です。その場合は所属ユーザー全員にレビュー依頼が送信されます。
レビューは担当者に設定されたユーザーであれば誰でも実施可能です。この時、最終的なレビュー結果は一番最後に設定されたレビュー内容になります。

例えば、Aさんが最初にレビューを実施した後、同じく担当者に設定されたBさんがレビューを実施しようとすると、Aさんのレビュー結果を更新することになります。

レビュー結果はユーザーごとに設定するものなので、AさんがXさんのレビューを行い、BさんはYさんのレビューを行う、といった分業も可能です。

【Point】多段階レビュー
[複数ステージのレビュー]を有効にした場合、複数の担当者を経由してレビューを行う多段階レビューが設定可能です。設定画面は以下の通りです。

ここでは、多段階レビューのポイントについて解説します。

  • レビュー順: 第1ステージ > 第2ステージ > 第3ステージ の順にレビューが実施されます。
  • レビュー期間: 通常と異なり、各ステージごとにレビュー期間を設定します。[期間(日数)]はステージごとに設定した期間の合計になります。
  • レビュー対象者の絞り込み: [次のステージに進むレビュー対象者]では、次のステージに進むレビュー対象者をレビュー結果によって絞り込むことができます。
    これを利用することで、前任者が拒否したユーザーは次のステージでレビュー対象にしない(前のステージで拒否した段階でその結果の適用が確定する)等の制御が可能になります。
  • 複数のレビュー担当者指定との違い: 多段階レビューを行う最大の利点は、「複数人によるレビューを確実に行う」ことにあります。
    グループを設定する等して担当者を複数人にする場合と異なり、多段階レビューでは設定した担当者が個別にレビューを実施するため、より確実なダブルチェックが可能です。
    [後のレビュー担当者に前のステージの決定を表示する]の設定を無効にすれば、「とりあえず前任者と同じ内容で設定しておこう」といったこともできなくなります。
    なおレビュー結果は、複数のレビュー担当者を指定する場合と同様、後のステージで設定された結果に更新されます。

ステップ3:完了時の設定と詳細制御

続けて「設定」タブに移動し、レビューに関するシステムの動作を設定します。

設定カテゴリ 設定項目 今回のシナリオ設定値 詳細・その他のオプション
設定完了時 リソースへの結果の自動適用 有効(チェック) 拒否されたゲストは自動削除されます。無効にしておき、レビュー結果を管理者が一度確認してから手動で適用する安全な運用も可能です。
レビュー担当者が応答しない場合 推奨事項の実行 未回答や回答が不明で設定された場合は、システムの推奨事項で処理が進みます。「アクセス権を承認する」「削除する」「変更しない」に固定することも可能です。
拒否されたゲスト ユーザーに適用するアクション ユーザーのメンバーシップをリソースから削除します ゲストユーザーをレビュー対象にしている場合、「アカウントを30日間無効化し、その後再度有効化されなければテナントから削除する」という設定も可能です。
レビュー終了時の通知の通知先 (今回は設定なし) レビューの完了を通知したいユーザーやグループを個別に設定できます。
レビュー担当者の意思決定ヘルパーを有効にする 30 日間サインインなし 有効(チェック) 過去30日間のサインイン有無を確認し、サインインのないユーザーは拒否するよう推奨してくれます。
ユーザー対グループの所属 (今回はチェックなし) 有効にすると、システムが対象ユーザーと他のユーザーを比較し、関連性の低いユーザー(一人だけ部署が違う等)であった場合は拒否するよう推奨してくれます。
詳細設定 正当な理由が必要 有効(チェック) 有効にすると、レビュー結果に承認を設定する場合は理由の設定が必須になります。
メールの通知 有効(チェック) 有効にすると、レビューの開始日と終了日に通知メールが送信されます。開始通知はレビュー担当者に、終了通知はアクセスレビューの所有者に、それぞれ設定されます。
リマインダー 有効(チェック) 有効にすると、レビュー期間の中間日にレビュー担当者へリマインド通知が行われます。
レビュー担当者のメールの追加コンテンツ (今回は設定なし) レビュー開始メールに、問い合わせ先やマニュアルへのリンクなど任意のテキストを追加できます。

最後に「確認と作成」タブでアクセスレビューの名前と説明を設定し、[作成]をクリックすれば、アクセスレビューの作成は完了です!指定した開始日になると、自動的にプロセスが走り出します。

レビュー担当者の実施手順

1. レビュー開始の自動通知メール

スケジュールされた開始日になると、レビュー担当者(今回の場合はTeamsのグループ所有者)に、Microsoftからの通知メールが届きます。
メール内の「レビューを開始する」ボタンをクリックすることで、レビュー画面(My Access ポータル)に遷移します。



この画面には、メールのリンクからだけでなく、Microsoft 365の[マイ アカウント] > [マイ アクセス] > [アクセス レビュー] に表示される、対象のアクセスレビューをクリックすることでも遷移できます。

2. My Access ポータルでの承認・拒否操作

レビュー画面には、レビュー対象のユーザー(ゲスト)が一覧で表示されます。レビュー担当者はユーザーに対して、以下のいずれかを設定します。

  • 承認する: アクセス権を設定したままにする。
  • 拒否: アクセス権を剥奪する。
  • 不明: アクセス権を変更しない(現状維持)。
  • 決定のリセット: 既に設定した内容を取り消す。
  • 推奨事項の承認: レコメンデーションに表示された内容で設定する。

設定は、ユーザーごとにチェックを付けてボタンを押すほか、複数のユーザーにまとめてチェックを付けて一括設定する、[詳細]リンクから個別に設定するといった方法で行います。




全ユーザーを一括選択するとこの設定画面が表示されます。


詳細リンクをクリックするとこの設定画面が表示されます。

今回のケースでは、[正当な理由が必要]の設定をオンにしたため、[承認する]を設定する場合は理由の入力が必須になっています。他を設定する場合でも理由の入力はできますが、必須ではありません。

【Point】迷ったときは「システムの推奨事項」を確認
[レビュー担当者の意思決定ヘルパーを有効にする]を設定した場合、システムによって判定された「レコメンデーション」が表示されます。
「最後にサインインしてから 30日 以上」といった明確な推奨理由が出るため、担当者も「なんとなく残しておこう」という属人的な判断を避け、システムの根拠に基づいた客観的な棚卸しが可能になります。

レビュー結果確認

設定したレビュー期間が終了すると、アクセスレビューは自動的に完了ステータスとなります(管理者が手動で早期終了させることも可能です)。
本シナリオでは「リソースへの結果の自動適用」を有効にしているため、レビュー期間の終了と同時に、拒否されたユーザーがグループから自動的に削除されます。

終了時にはレビュー管理者に以下のような通知メールが届きます。管理者は、メールのリンクを開く、あるいはアクセスレビューの管理画面からレビュー結果を確認することができます。

レビュー結果画面では、システムが正しく権限を剥奪したか、誰がどのように回答したのかを管理画面から簡単に確認することができます。
ここではレビュー結果の確認で用いる項目に絞って解説します。画面の表示項目はアクセスレビューのステータスによって少し変化する点にご留意ください。

  • 概要: 現在実施されているレビューの進捗状況や設定内容、「未レビュー」「承認」「拒否」「不明」の割合が円グラフで視覚的に表示されます。
  • 結果: ユーザーごとの詳細なレビュー結果(誰がいつレビュー結果を設定したか、推奨は何だったか)を一覧で確認できます。
  • レビューの履歴: 過去に実施したレビューの詳細を確認できます。定期的に実施する設定のレビューでのみ表示されます。
    定期的に実施されるアクセスレビューの場合は、ここからレビュー結果の適用状態を確認します。

【Point】レビューの停止・リセット・適用
レビュー結果の確認画面では、まだ完了していないレビューの場合、「停止」及び「リセット」操作ができます。
期限を待たずにレビューを終了させたい場合は「停止」、設定されたレビュー内容を初期化したい場合は「リセット」を行ってください。

また、[リソースへの結果の自動適用]をオフにした場合、レビューの完了後に「適用」操作ができるようになります。
[適用]を行うまではレビュー結果の反映が行われないので、一度レビュー結果を確認してから結果を反映するといった安全な運用が可能になります。

【Point】ログとコメントの確認
レビューの結果はCSV形式でダウンロードでき、「定期的に権限の棚卸しを実施している証跡」として利用可能です。
なお、レビュー担当者が設定したコメントは、レビュー結果画面からは確認できませんが、ダウンロードしたログでは[Reason]という列から確認することができます。

まとめ

本記事では、Teamsのゲストユーザーを対象としたアクセスレビューの具体的な設定方法と、レビュー担当者の操作イメージについて解説しました。設定画面自体はウィザード形式で分かりやすく、数分でポリシーを構築できることがお分かりいただけたかと思います。

アクセスレビューは、放置された権限によるセキュリティリスクを低減し、IT部門の手作業を大幅に削減できる非常に強力な機能です。しかし、実際に全社展開するにあたっては「例外的な権限をどう扱うか」「現場への周知はどうするか」といった運用設計が成功の鍵となります。

QESでは、今回ご紹介したシナリオをはじめ、お客様の組織要件に合わせたアクセスレビューの設計から導入・運用定着までをしっかりとサポートいたします。提供するサービス・ソリューションにつきましては こちら に掲載しております。自社でのIDガバナンス強化に課題をお持ちの際は、ぜひ一度 お問い合わせ ください。

※このブログで参照されている、Microsoft、Microsoft Entra、Microsoft 365、Azure、Microsoft Entra ID Governanceは、米国およびその他の国におけるMicrosoft Corporationの商標または登録商標です。その他の商標および登録商標は、それぞれの所有者に帰属します。
※本記事に掲載している画面や手順は、2026年07月時点のものです。クラウドサービスのアップデートにより、実際の画面や仕様が変更される場合がありますのでご了承ください。

  • このエントリーをはてなブックマークに追加

お問い合わせ

Contact

ご質問やご相談、サービスに関する詳細など、何でもお気軽にご連絡ください。下記のお問い合わせフォームよりお気軽に送信ください。

お問い合わせ

資料ダウンロード

Download

当社のサービスに関する詳細情報を掲載した資料を、下記のページよりダウンロードいただけます。より深く理解していただける内容となっております。ぜひご活用ください。

資料ダウンロード