記事公開日
【Microsoft Entra】ID ガバナンス入門 ― ID統制を“手作業”から“自動化”へ
この記事のポイント
Microsoft Entraの「ID ガバナンス」を解説します。
これまで担当者が手作業で行いがちだったアカウントの発行・棚卸し・権限の見直しを、ポリシーと自動化で“仕組み化”できる機能群です。その考え方・できること・どのライセンスで何が使えるかを、公式情報をもとに整理します。
- 「手作業」から「自動化」へ:人事システムの情報を起点に、入社・異動・退職にあわせてアカウントとアクセス権を自動で発行・変更・削除できます。
- 3つのライフサイクルで考える:「ID」「アクセス」「特権アクセス」という3つの観点で、誰が・何に・いつまでアクセスできるかを統制します。
- 承認と棚卸しを組み込める:アクセス申請に承認フローや職務分離(SoD)チェックを設け、定期的なアクセスレビューで不要な権限を自動で見直せます。
- ライセンスは機能ごとに異なる:PIMやアクセスレビュー・エンタイトルメント管理の基本機能はP2でも使え、ライフサイクル ワークフローや高度な機能はMicrosoft Entra ID Governance/Microsoft Entra Suiteで解放されます(いずれもP1/P2が前提)。
「Microsoft Entra(旧Azure AD)」と聞くと、サインインや多要素認証を担う“認証基盤”というイメージが強いのではないでしょうか。そのEntraに、「誰に・どのリソースへの・どこまでのアクセスを・いつまで許すか」を継続的に統制する仕組みとして加わっているのが、EntraのID ガバナンス機能です。
クラウドとオンプレミスが入り混じる今の環境では、アカウント管理を担当者の手作業に頼っていると、退職者のアカウントが残る・権限が膨らみ続けるといったリスクが避けられません。そこで本記事では、ID ガバナンスとは何か・何ができるのか・どのライセンスで使えるのかを、Microsoftの公式情報をもとに整理します。
用語の整理:「Microsoft Entra ID Governance」は、ライフサイクル ワークフローなどの高度なID ガバナンス機能をまとめた製品(ライセンスSKU)の名前でもあります。一方で、PIMやアクセスレビュー、エンタイトルメント管理の基本機能はMicrosoft Entra ID P2でも使えます。本記事では製品名と区別するため、機能群全体を指すときは「ID ガバナンス」と表記します。どの機能がどのライセンスで使えるかは「ライセンスと使える機能」で整理します。
ID ガバナンスが答える4つの問い
ID ガバナンスの目的は、「適切なユーザーが、適切なリソースに、適切なアクセス権を持っている」状態を継続的に維持することです。Microsoft Entra ID Governanceは、AIを活用した分析を取り入れながら、ID・アクセスのプロセスを自動化し、業務部門に判断を委ね、可視性を高めることでこれを実現します。
具体的には、オンプレミス・クラウド双方のサービスやアプリにまたがって、次の4つの問いに答えることが ID ガバナンスの役割です。
3つのライフサイクルで統制する
Microsoft Entra ID Governanceは、上の問いに答えるために、アクセスを3つのライフサイクルの観点から管理します。従業員だけでなく、ビジネスパートナーやベンダー(ゲスト)も対象です。まずは全体像を押さえましょう。
入社・異動・退職にあわせて、ユーザーIDそのものを自動で作成・維持・削除する。ID管理の土台となる部分。
最初に付与した権限を、申請・承認・定期的な棚卸し(アクセスレビュー)を通じて見直し続ける。
管理者権限を“必要なときだけ”に限定し(Just-In-Time)、誤用リスクを抑える。
① ID ライフサイクル ― 入社から退職までを自動化
ID ライフサイクル管理では、「生産性」と「セキュリティ」のバランスが論点になります。新入社員が初日から必要なリソースを使える状態をすばやく用意することは生産性に、異動・退職にあわせて遅滞なく権限を変更・削除することはセキュリティにつながります。
従業員IDの自動化
多くの組織では、従業員のIDライフサイクルは人事システム(HR/HCM)上のレコードと連動しています。Entra ID Governanceでは、これを起点に次のような自動化が可能です。
- 人事ソースからのプロビジョニング:WorkdayやSuccessFactorsなどの人事システムを情報源に、Active DirectoryとMicrosoft Entra IDの両方でユーザーIDを自動的に作成・維持します。
- ライフサイクル ワークフロー:入社前・在職中の状態変化・退職といったイベントに連動してタスクを自動実行します。例:「入社前にマネージャーへ一時アクセスパスをメール送付」「初日にウェルカムメールを送付」。
- エンタイトルメント管理(自動割り当て):ユーザー属性の変化に応じて、グループメンバーシップ・アプリロール・SharePointサイトのロールを自動で付与・剥奪します。
- ユーザープロビジョニング:SCIM・LDAP・SQLのコネクタを介して、数百のクラウド/オンプレミスアプリ上のアカウントを作成・更新・削除します。
ゲストIDのライフサイクル
社外のパートナーやサプライヤーと協業するためのゲストIDも管理対象です。
- エンタイトルメント管理:外部からのアクセス要求が承認されると、その IDをB2Bゲストとして自社ディレクトリへ自動登録し、適切な権限を割り当てます。権限の有効期限切れや取り消し時には、ゲストを自動的に削除します。
- アクセスレビュー:既存ゲストの定期的な棚卸しを自動化し、不要になった IDをディレクトリから取り除きます。AIによる提案がレビュー担当者の判断を支援します。
② アクセスのライフサイクル ― 申請・承認・棚卸し
IDの作成時に付与した権限は、時間の経過とともに見直しが必要です。組織にはこれを大規模かつ効率的に運用できる仕組みが求められます。Entra IDには数百のクラウド/オンプレミスアプリ向けのコネクタがあり、ADグループに依存するアプリ、他のオンプレミスディレクトリやデータベース、SOAP/REST API(SAPを含む)、SCIM・SAML・OpenID Connectなどの標準に対応したアプリを統合できます。
ユーザーがこれらのアプリにサインインする際には、条件付きアクセス(Conditional Access)ポリシーが適用されます。たとえば「利用条件(Terms of Use)への同意を必須とし、同意後にのみアクセスを許可する」といった制御が可能です。
業務部門への委任とポリシーの強制
IT部門は、アクセス承認の判断を業務側の意思決定者へ委任できます。たとえば機密の顧客データを扱うアプリへのアクセスには、「マネージャー」「リソース所有者」「セキュリティリスク責任者」など複数の承認を要求する、といった構成が可能です。
エンタイトルメント管理を使えば、グループ/チームメンバーシップ・アプリロール・SharePoint Onlineロールをまとめたアクセスパッケージ単位で申請フローを定義し、職務分離(SoD)チェックを強制できます。アクセスパッケージや既存のグループメンバーシップには定期的なアクセスレビューを組み込め、AIが検出した「他の同僚と比べて異質なアクセスを持つユーザー(ピア外れ値)」の再認定にも対応します。
ポイント:以前にオンプレミスのID ガバナンス製品を使っていた組織は、組織のロールモデルをEntra ID ガバナンスへ移行できます。オンプレミスのアプリへのアクセスを持つゲストIDも統制対象に含められます。
③ 特権アクセスのライフサイクル ― 管理者権限を最小化
管理者権限の誤用は、組織にとって大きなリスク要因です。そのため、管理者権限を持つ従業員・ベンダー・契約社員のアカウントと特権アクセスを統制することは、ID ガバナンスの中でも特に重要な領域です。
ここで中心となるのが Microsoft Entra Privileged Identity Management(PIM) です。PIMは、Entra・Azure・その他のMicrosoft Online Servicesにまたがって、リソースへのアクセスを保護するための追加コントロールを提供します。多要素認証や条件付きアクセスに加えて、次のような機能で特権を統制します。
- Just-In-Time アクセス:必要なときにだけ管理者ロールに昇格し、作業が終われば自動的に権限が外れる仕組み。常時付与をやめることで攻撃面を減らせます。
- ロール変更アラート:特権ロールの割り当て変更を検知して通知します。
- 特権ロールのアクセスレビュー:ディレクトリロール・Microsoft 365ロール・Azureリソースロール・グループメンバーシップについて、定期的な再認定を構成できます。
「PAM」と「PIM」の考え方:PAM(Privileged Access Management/特権アクセス管理) は、特権アクセス全般を保護するための“考え方・カテゴリ”を指す言葉です。資格情報の保護、セッションの監視、申請・承認、必要最小限の付与などを含む広い概念です。一方、本記事で扱う PIM(Privileged Identity Management)は、その考え方をEntraの「ID(ロール)」レイヤーで実装した機能と捉えると整理しやすいです。「誰が・いつ・どのロールを使えるか」を、常時付与ではなく必要なときだけの昇格として統制する——つまり“特権を持つIDのガバナンス”がPIMの役割です。
ライセンスと使える機能 ― どの機能がどのライセンスで使えるか
ここが最初につまずきやすいポイントです。「ID ガバナンスに関連付けられている機能」は、すべてが専用ライセンス(Microsoft Entra ID Governance/Suite)でしか使えないわけではありません。一部はMicrosoft Entra ID P1/P2でも使え、より高度な機能がGovernance/Suiteで解放される、という階層構造になっています。
製品(SKU)としての「Microsoft Entra ID Governance」は、P1/P2を前提に追加する“高度なID ガバナンス機能のセット”です。前提条件が異なる6つの製品(例:Entra ID Governance, Step Up for P2 など)がありますが、提供される機能は同じです。Microsoft Entra Suiteにも同じID ガバナンス機能が含まれます。
つまり:「PIMを使いたい」「グループの定期レビューをしたい」だけならP2で足りる場合があります。一方で、ライフサイクル ワークフローや、エンタイトルメント管理・アクセスレビューの高度な自動化・AI支援機能を使うには、Microsoft Entra ID Governance(またはMicrosoft Entra Suite)が必要です。いずれもP1/P2が前提となる点にご注意ください。正確な対応は公式の「Microsoft Entra ID ガバナンス ライセンスの基礎」をご確認ください。
始め方
構成を始める前に、まず前提条件とライセンスを確認します。準備が整ったら、Microsoft Entra管理センターの Governanceダッシュボード から、エンタイトルメント管理・アクセスレビュー・ライフサイクル ワークフロー・PIMの利用を開始できます。
進め方のヒント:すべてを一度に導入しようとせず、自組織で課題になっている領域(入退社の自動化なのか、ゲストの棚卸しなのか、特権管理なのか)を1つ選んで、小さく始めるのがおすすめです。「まずP2の範囲でPIMとアクセスレビューを回し、ライフサイクル ワークフローが必要になったらGovernanceへ」という段階的な進め方も現実的です。
よくある運用シナリオと自動化の入り口
各機能を使い始めると、定型的な運用を段階的に自動化できます。代表的なシナリオと、その出発点となる仕組みを整理しました。
プレビュー情報:近年はAIエージェント自身が組織のリソースにアクセスする場面も増えています。Microsoftは、エージェントのIDとアクセスをユーザーと同じ仕組みで統制する「エージェントのID ガバナンス」もプレビュー提供しています(仕様は今後変わる可能性があります)。
まとめ
Microsoft Entra ID Governanceは、「ID」「アクセス」「特権アクセス」という3つのライフサイクルを軸に、ID管理を担当者の手作業からポリシーと自動化へと移すソリューションです。要点を整理すると次のとおりです。
- 人事システムと連動したIDの自動プロビジョニング(入社・異動・退職)
- ワークフローとエンタイトルメント管理による、申請・承認・割り当ての自動化
- アクセスレビューとPIMによる、継続的な棚卸しと特権の最小化
「適切なユーザーに、適切なアクセスを、適切な期間だけ」という原則を、人手ではなく仕組みで実現できる点が最大の価値です。まずはGovernanceダッシュボードから、自組織の課題に絞って小さく始めてみてはいかがでしょうか。
QUICK E-Solutionsでは、AIを活用した業務効率化・システム導入のお手伝いをしております。
それ以外でも QESでは様々なアプリケーションの開発・導入を行っております。提供するサービス・ソリューションにつきましては こちら に掲載しております。
システム開発・構築でお困りの問題や弊社が提供するサービス・ソリューションにご興味を抱かれましたら、ぜひ一度 お問い合わせ ください。
※このブログで参照されている、Microsoft、Microsoft Entra、Microsoft 365、Azure、Microsoft Entra ID Governance、SharePoint は、米国およびその他の国におけるMicrosoft Corporationの商標または登録商標です。その他の商標および登録商標は、それぞれの所有者に帰属します。
