記事公開日
【Microsoft Entra】「アクセス権の棚卸し」を強力サポート!アクセスレビュー実践編

この記事のポイント
本記事ではMicrosoft Entra アクセスレビューの具体的な設定手順と運用イメージを解説します。
- Teamsゲストの棚卸しシナリオで実践: 「Teams(Microsoft 365グループ)に招待されたゲストユーザーの定期棚卸し」を題材に、実践的な設定値をご紹介します。
- 管理者の事前準備を整理: 実際に設定画面を操作する前に確認しておくべき、ライセンス要件と必要な管理者権限をおさらいします。
- アクセスレビューの設定方法を実践:具体的な操作手順を通して、アクセスレビューの設定内容を解説します。
- レビューの流れと結果の確認方法を整理: IT管理者側の設定だけでなく、実際にレビューを依頼された担当者の操作や、レビュー完了後の操作について解説します。
前回の記事『【Microsoft Entra】「アクセス権の棚卸し」を強力サポート!アクセスレビュー入門』では、アクセスレビューがもたらすメリットや機能をご紹介しました。
今回は「Teamsの外部ゲストユーザーの棚卸し」という具体的なシナリオを題材に、アクセスレビューの設定手順から、レビュー担当者がどのようにレビューを実施するかまでを、詳しく解説します。
なお、本記事はMicrosoft Entra IDの権限管理・ID統制(ガバナンス)に関する内容です。
関連するテーマは、QESブログの「Microsoft Entra ID Governance」カテゴリでもまとめて発信しています。あわせてご覧ください。
今回設定する運用シナリオの定義
アクセスレビューの設定を行う前に、「誰の、どの権限を、誰にレビューさせるのか」という要件を明確にしておくことが非常に重要です。
今回は、社外とのコラボレーションで増えがちな「Teams(Microsoft 365グループ)の外部ゲスト」をターゲットにします。設定する要件は以下の通り定義します。
事前準備(ライセンスと権限のおさらい)
設定を進める前に、今回のシナリオを実行するための前提条件として、以下の「ライセンス」と「権限」の2点が環境に整っているか確認しましょう。
- 必要なライセンス
本シナリオ(ゲストユーザーのレビューおよびシステム推奨事項の利用)を実行するためには、設定を行う管理者と、レビュー担当者(グループ所有者)の双方に、Microsoft Entra ID P2 のライセンスが必要です。
※意思決定ヘルパー機能の「ユーザー対グループの所属」を利用する場合、Microsoft Entra ID Governance(または Microsoft Entra Suite) のライセンスが必要となります。 - 設定に必要な管理者権限(Entra ID ロール)
Microsoft Entra 管理センターでアクセスレビューの作成・設定を行う担当者には、以下のいずれかのロールが割り当てられている必要があります。
・グローバル管理者
・Identity Governance 管理者
・ユーザー管理者
アクセスレビューの作成手順
それでは、要件に沿って実際にアクセスレビューを作成していきます。アクセスレビューの作成は管理画面から行います。
アクセスレビューの管理画面には、Azure PortalまたはMicrosoft Entra 管理センターからアクセスします。Azure Portal の場合は、[Microsoft Entra ID] > [Identity Governance] > [アクセスレビュー] からアクセスできます。


Microsoft Entra 管理センターの場合は、[ID ガバナンス] > [アクセス レビュー] > [アクセス レビュー] からアクセスできます。
アクセスレビューの管理画面にアクセスしたら、[新しいアクセス レビュー]を選択して新規作成画面に移動します。
新規作成画面では、まず最初に、作成するアクセスレビューのテンプレートを選択します。
今回は、左の[Review access to a resource type]テンプレートの[Select]を選択してください。
※右側に表示されるテンプレート(Review users access across multiple resource types within a catalog)は、エンタイトルメント管理の「カタログのレビュー」用のものです。今回のシナリオでは左側を使用します。
続けて、具体的なアクセスレビューの設定に入っていきます。
設定内容は大きく3つのステップに分かれています。順を追って解説します。
ステップ1:レビューの種類と対象リソースの設定
最初の「レビューの種類」タブでは、誰に対してレビューするのか(スコープ)を設定します。
【Point】入れ子になっているグループ
レビュー対象にグループを設定する場合、対象のグループに他のグループが所属する、いわゆる入れ子構造となっているケースがあります。
この場合、レビューでは子グループのメンバーも含めた全ユーザーがレビュー対象として表示されます。
しかし、子グループのみに所属するユーザーに対して拒否を設定しても、子グループからメンバーが削除されることはありません。
レビューの際は、この挙動を念頭に置いて、子グループに対してもアクセスレビューを実施するといった対策が必要です。
ステップ2:レビュー担当者とスケジュールの設定
次に「レビュー」タブへ進み、誰が、いつ、どんな頻度でレビューを行うのかを設定します。
【Point】複数のレビュー担当者指定
レビュー担当者にはグループの指定が可能です。その場合は所属ユーザー全員にレビュー依頼が送信されます。
レビューは担当者に設定されたユーザーであれば誰でも実施可能です。この時、最終的なレビュー結果は一番最後に設定されたレビュー内容になります。
例えば、Aさんが最初にレビューを実施した後、同じく担当者に設定されたBさんがレビューを実施しようとすると、Aさんのレビュー結果を更新することになります。
レビュー結果はユーザーごとに設定するものなので、AさんがXさんのレビューを行い、BさんはYさんのレビューを行う、といった分業も可能です。
【Point】多段階レビュー
[複数ステージのレビュー]を有効にした場合、複数の担当者を経由してレビューを行う多段階レビューが設定可能です。設定画面は以下の通りです。
ここでは、多段階レビューのポイントについて解説します。
- レビュー順: 第1ステージ > 第2ステージ > 第3ステージ の順にレビューが実施されます。
- レビュー期間: 通常と異なり、各ステージごとにレビュー期間を設定します。[期間(日数)]はステージごとに設定した期間の合計になります。
- レビュー対象者の絞り込み: [次のステージに進むレビュー対象者]では、次のステージに進むレビュー対象者をレビュー結果によって絞り込むことができます。
これを利用することで、前任者が拒否したユーザーは次のステージでレビュー対象にしない(前のステージで拒否した段階でその結果の適用が確定する)等の制御が可能になります。 - 複数のレビュー担当者指定との違い: 多段階レビューを行う最大の利点は、「複数人によるレビューを確実に行う」ことにあります。
グループを設定する等して担当者を複数人にする場合と異なり、多段階レビューでは設定した担当者が個別にレビューを実施するため、より確実なダブルチェックが可能です。
[後のレビュー担当者に前のステージの決定を表示する]の設定を無効にすれば、「とりあえず前任者と同じ内容で設定しておこう」といったこともできなくなります。
なおレビュー結果は、複数のレビュー担当者を指定する場合と同様、後のステージで設定された結果に更新されます。
ステップ3:完了時の設定と詳細制御
続けて「設定」タブに移動し、レビューに関するシステムの動作を設定します。
最後に「確認と作成」タブでアクセスレビューの名前と説明を設定し、[作成]をクリックすれば、アクセスレビューの作成は完了です!指定した開始日になると、自動的にプロセスが走り出します。

レビュー担当者の実施手順
1. レビュー開始の自動通知メール
スケジュールされた開始日になると、レビュー担当者(今回の場合はTeamsのグループ所有者)に、Microsoftからの通知メールが届きます。
メール内の「レビューを開始する」ボタンをクリックすることで、レビュー画面(My Access ポータル)に遷移します。

この画面には、メールのリンクからだけでなく、Microsoft 365の[マイ アカウント] > [マイ アクセス] > [アクセス レビュー] に表示される、対象のアクセスレビューをクリックすることでも遷移できます。
2. My Access ポータルでの承認・拒否操作
レビュー画面には、レビュー対象のユーザー(ゲスト)が一覧で表示されます。レビュー担当者はユーザーに対して、以下のいずれかを設定します。
- 承認する: アクセス権を設定したままにする。
- 拒否: アクセス権を剥奪する。
- 不明: アクセス権を変更しない(現状維持)。
- 決定のリセット: 既に設定した内容を取り消す。
- 推奨事項の承認: レコメンデーションに表示された内容で設定する。
設定は、ユーザーごとにチェックを付けてボタンを押すほか、複数のユーザーにまとめてチェックを付けて一括設定する、[詳細]リンクから個別に設定するといった方法で行います。


全ユーザーを一括選択するとこの設定画面が表示されます。
詳細リンクをクリックするとこの設定画面が表示されます。
今回のケースでは、[正当な理由が必要]の設定をオンにしたため、[承認する]を設定する場合は理由の入力が必須になっています。他を設定する場合でも理由の入力はできますが、必須ではありません。
【Point】迷ったときは「システムの推奨事項」を確認
[レビュー担当者の意思決定ヘルパーを有効にする]を設定した場合、システムによって判定された「レコメンデーション」が表示されます。
「最後にサインインしてから 30日 以上」といった明確な推奨理由が出るため、担当者も「なんとなく残しておこう」という属人的な判断を避け、システムの根拠に基づいた客観的な棚卸しが可能になります。
レビュー結果確認
設定したレビュー期間が終了すると、アクセスレビューは自動的に完了ステータスとなります(管理者が手動で早期終了させることも可能です)。
本シナリオでは「リソースへの結果の自動適用」を有効にしているため、レビュー期間の終了と同時に、拒否されたユーザーがグループから自動的に削除されます。
終了時にはレビュー管理者に以下のような通知メールが届きます。管理者は、メールのリンクを開く、あるいはアクセスレビューの管理画面からレビュー結果を確認することができます。

レビュー結果画面では、システムが正しく権限を剥奪したか、誰がどのように回答したのかを管理画面から簡単に確認することができます。
ここではレビュー結果の確認で用いる項目に絞って解説します。画面の表示項目はアクセスレビューのステータスによって少し変化する点にご留意ください。
- 概要: 現在実施されているレビューの進捗状況や設定内容、「未レビュー」「承認」「拒否」「不明」の割合が円グラフで視覚的に表示されます。

- 結果: ユーザーごとの詳細なレビュー結果(誰がいつレビュー結果を設定したか、推奨は何だったか)を一覧で確認できます。

- レビューの履歴: 過去に実施したレビューの詳細を確認できます。定期的に実施する設定のレビューでのみ表示されます。
定期的に実施されるアクセスレビューの場合は、ここからレビュー結果の適用状態を確認します。

【Point】レビューの停止・リセット・適用
レビュー結果の確認画面では、まだ完了していないレビューの場合、「停止」及び「リセット」操作ができます。
期限を待たずにレビューを終了させたい場合は「停止」、設定されたレビュー内容を初期化したい場合は「リセット」を行ってください。

また、[リソースへの結果の自動適用]をオフにした場合、レビューの完了後に「適用」操作ができるようになります。
[適用]を行うまではレビュー結果の反映が行われないので、一度レビュー結果を確認してから結果を反映するといった安全な運用が可能になります。
【Point】ログとコメントの確認
レビューの結果はCSV形式でダウンロードでき、「定期的に権限の棚卸しを実施している証跡」として利用可能です。
なお、レビュー担当者が設定したコメントは、レビュー結果画面からは確認できませんが、ダウンロードしたログでは[Reason]という列から確認することができます。
まとめ
本記事では、Teamsのゲストユーザーを対象としたアクセスレビューの具体的な設定方法と、レビュー担当者の操作イメージについて解説しました。設定画面自体はウィザード形式で分かりやすく、数分でポリシーを構築できることがお分かりいただけたかと思います。
アクセスレビューは、放置された権限によるセキュリティリスクを低減し、IT部門の手作業を大幅に削減できる非常に強力な機能です。しかし、実際に全社展開するにあたっては「例外的な権限をどう扱うか」「現場への周知はどうするか」といった運用設計が成功の鍵となります。
QESでは、今回ご紹介したシナリオをはじめ、お客様の組織要件に合わせたアクセスレビューの設計から導入・運用定着までをしっかりとサポートいたします。提供するサービス・ソリューションにつきましては こちら に掲載しております。自社でのIDガバナンス強化に課題をお持ちの際は、ぜひ一度 お問い合わせ ください。
※このブログで参照されている、Microsoft、Microsoft Entra、Microsoft 365、Azure、Microsoft Entra ID Governanceは、米国およびその他の国におけるMicrosoft Corporationの商標または登録商標です。その他の商標および登録商標は、それぞれの所有者に帰属します。
※本記事に掲載している画面や手順は、2026年07月時点のものです。クラウドサービスのアップデートにより、実際の画面や仕様が変更される場合がありますのでご了承ください。



