Microsoft Teamsの利用中に、各チームに所属しているユーザー・ユーザーの役割(所有者/メンバー)が適切であるかの棚卸しをどう行っていくかは、Teamsの管理者であれば誰しもが抱える運用課題の一つですが、Microsoft Entraの機能である「アクセスレビュー」を利用すると、チームの棚卸しをほぼ自動で行うことが可能となります。
アクセスレビュー作成方法
まずは管理者でのアクセスレビュー作成手順を説明します。
前提
アクセスレビュー機能を利用する際には、アクセスレビューを作成する管理者とアクセスレビューの対象となるユーザー数分、以下ライセンスが必要となります。
ユーザー棚卸のシナリオ
今回は以下のような内容で、ユーザー棚卸を行うアクセスレビューを作成します。
| 設定項目 | 設定内容 |
| 棚卸対象ユーザー | チームに所属するユーザー全員(所有者・メンバー・ゲストユーザー) |
| 棚卸を行うユーザー | 該当チームの所有者 |
| 棚卸内容 | 該当チームのユーザーが適切であるかを判断する。 適切である場合は「承認」(チームにそのまま残す)、不適切である場合は「拒否」(チームから削除)する。 レビューが行われなかった場合は、「拒否」を自動で適用する(チームから削除する)。 |
| 頻度 | 毎月 |
| レビュー期間 | 1週間 |
これでチームの所有者にチームの所属ユーザーが適切であるかを毎月判断させることができます。
また、今回は厳しめに、レビューを行わなかった場合はユーザーをチームから削除する設定とします。
アクセスレビュー作成方法
Entra管理センターの[Identity Governance]内の[アクセスレビュー]メニューにて、[新しいアクセスレビュー]をクリックしてアクセスレビューを新規作成します。
[レビューの種類]タブにて、以下内容を設定します。
| 設定項目 | 設定内容 | 補足 |
| レビュー対象を選択する | チームとグループ | |
| 範囲の確認 | チームとグループの選択 | |
| グループ | アクセスレビューを設定するグループ(チーム)を選択 | |
| スコープ | すべてのユーザー | |
| 非アクティブなユーザー(テナントレベル)のみ | チェックなし | 特定の日数サインインがないユーザーのみをレビュー対象にできます ※この選択肢を利用する場合はMicrosoft Entra ID Governanceライセンスが必要です |
[レビュー]タブにて、以下内容を設定します。
| 設定項目 | 設定内容 | 補足 |
| 複数ステージのレビュー | チェックなし | チェックありの場合、レビューを多段にすることができます(最大3段) |
| (レビュー担当者の指定) レビュー担当者を選択する |
グループ所有者 | グループ所有者=チーム所有者 |
| (レビュー担当者の指定) フォールバックレビュー担当者 |
チェックなし | チェックありの場合、上記で選択したレビュー担当者がいなくなった場合に担当者となるユーザーを設定できます |
| (レビューの繰り返しの指定) 期間(日数) |
7 | レビュー期間を指定します |
| (レビューの繰り返しの指定)確認の繰り返し | 毎月 | レビューの頻度を指定します |
| (レビューの繰り返しの指定)開始日 | 任意の日付 | レビューを開始する日を指定します |
| (レビューの繰り返しの指定)終了 | しない | レビューを終了する日を指定します |
[設定]タブにて、以下内容を設定します。
| 設定項目 | 設定内容 | 補足 |
| (設定完了時) リソースの結果への自動適用 |
チェックあり | チェックなし(自動適用なし)の場合、レビュー完了後に管理者にてレビュー結果の適用作業が必要となります |
| (設定完了時) レビュー担当者が応答しない場合 |
アクセスの削除 | レビュー担当者がレビューを放置した場合、ユーザーへ承認/拒否のレビュー結果を自動で適用します 【選択肢】 ・"アクセスの削除":チームから削除する ・"アクセスを承認":チームに残す ・"変更なし":ユーザーへどのレビュー結果も適用しない ※承認も拒否もしない、即ちチームに残る ・"推奨事項の実行":チームから削除する ※推奨事項=チームから削除、のようです |
| (設定完了時) 拒否されたゲストユーザーに適用するアクション |
ユーザーのメンバーシップをリソースから削除します | ゲストユーザーに対して[拒否]のレビュー結果を適用した場合の動作を指定できます 【選択肢】 ・"ユーザーのメンバーシップをリソースから削除します":チームから削除 ・"ユーザーのサインインを30日間ブロックした後、テナントからユーザーを削除します":サインインを30日ブロックした後、ユーザー削除 |
| (設定完了時) レビュー終了時の通知の送信先 |
指定なし | レビュー期間が終了したときにメール通知が必要な場合は通知先を設定します |
| (レビュー担当者の意思決定ヘルパーを有効にする) 30 日間サインインなし |
チェックあり | チェックありにした場合、レビュー対象ユーザーが30日間サインインしてない場合は レビュー時にその旨の補足コメントが表示されます |
| (レビュー担当者の意思決定ヘルパーを有効にする) ユーザー対グループの所属 |
チェックなし | チェックありにした場合、レビュー時にチーム内の他のユーザーとの関連性が低いユーザーを拒否するよう推奨されます ※この選択肢を利用する場合はMicrosoft Entra ID Governanceライセンスが必要です |
| (詳細設定) 正当な理由が必要 |
チェックあり | チェックありの場合、レビュー担当者は承認の理由を記載しなければレビュー結果を適用できなくなります |
| (詳細設定) メールの通知 |
チェックあり | チェックありの場合、アクセスレビューの開始時・完了時にレビュー担当者へメールを送信します |
| (詳細設定) リマインダー |
チェックあり | チェックありの場合、レビュー期間の中間時点にレビュー担当者へリマインドメールを送信します |
| (詳細設定) レビュー担当者のメールの追加コンテンツ |
任意の内容 | レビュー開始時にレビュー担当者へ送られるメールの文面を指定できます |
[確認と作成]タブにて、以下内容を設定します。
| 設定項目 | 設定内容 | 補足 |
| レビュー名 | 任意の名称 | レビュー開始時にレビュー担当者へ送られるメールの文面に表示されます |
| 説明 | 任意の内容 | メールの文面には利用されません(管理者が参照する用) |
これでアクセスレビュー作成作業(管理者での作業)は終了です。
アクセスレビュー実施方法
アクセスレビュー作成にてレビュー担当者に指定されたユーザーは、以下のような手順でチーム所属ユーザーの棚卸しを行います。
アクセスレビュー開始の通知
レビュー開始日が来ると、アクセスレビューの担当者(この手順ではチームの所有者)に以下のようなメールが届きます。
このメール内の[レビューを開始する]をクリックすると、レビュー画面が開きます。
アクセスレビュー実施
レビュー画面では、対象のユーザーが一覧表示され、各ユーザーに対して[承認する][拒否]などの選択肢が選べるようになっています。
レビュー担当者が複数おり、既に他担当者によりレビュー結果が選択されている場合は、[決定]欄にレビュー結果、[レビュー担当者]欄にはレビューを行ったユーザー名が表示されます。
なお他担当者が更新したレビュー結果は、レビュー期間中であれば上書きすることが可能です。
レビュー結果ごとのユーザーへの対応については、今回行った設定では以下のようになります。
| 選択されたレビュー結果 | ユーザーへの対応 | 設定箇所 |
| [承認する]を選択 | チームに残る | - |
| [拒否]を選択 | チームから削除される | - |
| [拒否]を選択 ※ゲストユーザーの場合 |
チームから削除される | [設定]タブの[拒否されたゲストユーザーに適用するアクション] |
| [不明]を選択 | 何も適用されない | [設定]タブの[レビュー担当者が応答しない場合] |
| ユーザーに対してレビューを行わなかった | 何も適用されない | [設定]タブの[レビュー担当者が応答しない場合] |
終わりに
チームの棚卸しの方法としては、Teams管理センターよりチームの一覧を出力して一つ一つ目視確認していく地道な方法もありますが、大きな組織となると管理者の負担はかなり大きくなります。
チーム一覧の出力やチームからのメンバー削除をスクリプト化するなどして半自動とする方法もありますが、それでも管理者の負担は少なくありません。
このアクセスレビューを利用することにより、チーム一覧の出力・整理や各チームの責任者への棚卸し依頼、さらにチームに所属していることが不適切と判断されたユーザーへの対処までを自動化することができ、管理者での作業がほぼ不要となります。
*1:今回設定するアクセスレビューでは利用しません。
*2:Microsoft Entra ID ガバナンス ライセンスの基礎 - Microsoft Entra ID Governance | Microsoft Learn
Hiroko, Kimura(日本ビジネスシステムズ株式会社)
Microsoft 365製品の提案~運用が担当領域、特にTeams/Teams Phone多めです。趣味は音楽とテレビと映画。趣味にしたいのは筋トレ(エンジニアには筋肉が必要)。
担当記事一覧