アクセスレビュー機能を使ってチーム所属ユーザーの棚卸しを自動化する-自動でチームからユーザーを削除する

以前、以下の記事で、アクセスレビュー機能を使ってチーム所属ユーザーの棚卸しを自動化する方法をご紹介しました。
blog.jbs.co.jp

今回は、アクセスレビュー機能にて、特定の期間非アクティブなユーザーを自動的にチームから削除する方法をご紹介します。

棚卸しだけでなく、「棚卸しした結果チームに残すかどうか」の判断についても自動化することができます。

前提

アクセスレビュー機能を利用する際には、アクセスレビューを作成する管理者と、アクセスレビューの対象となるユーザー数分、以下ライセンスが必要となります。

  • Microsoft Entra ID P2(Microsoft 365 E5 ライセンスに含まれる)
  • Microsoft Entra ID Governance

実現概要

「特定の期間サインインのないユーザーをチームから自動的に削除する」を実現するための概要は以下となります。

  1. レビューのスコープを「特定の日数、非アクティブなユーザー」とする
  2. レビュー担当者は原則レビューを行わない
  3. レビュー担当者がレビューを行わなかった場合のユーザーの扱いは「アクセスの削除」とする

2.の「レビュアーは原則レビューを行わない」というところがポイントとなります。

例えば1.の「特定の日数」を30日とした場合、30日間Teamsには非アクティブなユーザーがアクセスレビュー対象となります。

レビュー担当者は、アクセスレビューを意図的に対応しないままアクセスレビューの期間を終えることで、この30日間非アクティブなユーザーはアクセス削除される流れとなります。

この2.を実現するために、レビュー担当者はIT部門の管理者など、このレビューの意図をわかっている人に設定しておくことが良いでしょう。

設定方法

以下の内容でアクセスレビューを作成していきます。

まず、「レビューの種類」のタブにて、レビュー対象や範囲など任意の値を選択します。

新しいアクセスレビュー

画面の一番下でスコープ(レビュー対象となるユーザーの条件)を選択できますが、この時に「非アクティブなユーザー(テナントレベル)のみ」にチェックを入れ、「非アクティブな日数」へ任意の日数を入力します。

※この場合は30日で指定しますが、これにより30日アクティブでないユーザーはアクセスレビュー対象となります。

非アクティブな日数を指定

続いて、「レビュー」のタブにて、レビュー担当者を設定します。「レビュー担当者を選択する」にて「ユーザーまたはグループが選択済み」を選択し、任意のユーザーを指定します。

指定するユーザーはこのアクセスレビューの意図(アクセスレビューにあえて応答しない)をわかっているIT管理者等のユーザーを指定します。

レビュー担当者の設定

次に進み、「設定」のタブにて、レビュー担当者が応答しない場合にアクセスレビュー対象のユーザーをどう扱うかが指定できます。ここでは「レビュー担当者が応答しない場合」にて「アクセスの削除」を選択します。

これにより、レビュー担当者がレビューを実施しなかった場合、該当のグループ・チームからユーザーは削除されます。

レビュー担当者が応答しない場合の動作を指定

最後に「確認と作成」タブにて、アクセスレビュー名などを指定し、「作成」ボタンをクリックしてアクセスレビューの作成を完了させます。

アクセスレビュー名の設定

このアクセスレビューにより、アクセスレビューの対象としたグループ・チームにおいては、30日間非アクティブのユーザーはアクセスレビュー対象となり、またレビュー担当者にてレビューの対応を行わないことにより、自動でアクセスの削除(チームからの脱退)が行われるようになります。

終わりに

アクセスレビューは、指定したレビュー期間中にレビュー担当者が「該当ユーザーがチームに必要かどうか」を検討し、都度ユーザーの扱い(チームに残す/チームから削除する)を判断します。

ですが、どのユーザであっても特定日数非アクティブであればチームに残しておかない方針とするなら、今回のようにアクセスレビューの設定を工夫することにより、レビュー担当者の判断が無くても自動でチームから削除することができます。

執筆担当者プロフィール
Hiroko, Kimura

Hiroko, Kimura(日本ビジネスシステムズ株式会社)

Microsoft 365製品の提案~運用が担当領域、特にTeams/Teams Phone多めです。趣味は音楽とテレビと映画。趣味にしたいのは筋トレ(エンジニアには筋肉が必要)。

担当記事一覧