以前、以下の記事で、アクセスレビュー機能を使ってチーム所属ユーザーの棚卸しを自動化する方法をご紹介しました。
blog.jbs.co.jp
今回は、アクセスレビュー機能にて、特定の期間非アクティブなユーザーを自動的にチームから削除する方法をご紹介します。
棚卸しだけでなく、「棚卸しした結果チームに残すかどうか」の判断についても自動化することができます。
前提
アクセスレビュー機能を利用する際には、アクセスレビューを作成する管理者と、アクセスレビューの対象となるユーザー数分、以下ライセンスが必要となります。
- Microsoft Entra ID P2(Microsoft 365 E5 ライセンスに含まれる)
- Microsoft Entra ID Governance
実現概要
「特定の期間サインインのないユーザーをチームから自動的に削除する」を実現するための概要は以下となります。
- レビューのスコープを「特定の日数、非アクティブなユーザー」とする
- レビュー担当者は原則レビューを行わない
- レビュー担当者がレビューを行わなかった場合のユーザーの扱いは「アクセスの削除」とする
2.の「レビュアーは原則レビューを行わない」というところがポイントとなります。
例えば1.の「特定の日数」を30日とした場合、30日間Teamsには非アクティブなユーザーがアクセスレビュー対象となります。
レビュー担当者は、アクセスレビューを意図的に対応しないままアクセスレビューの期間を終えることで、この30日間非アクティブなユーザーはアクセス削除される流れとなります。
この2.を実現するために、レビュー担当者はIT部門の管理者など、このレビューの意図をわかっている人に設定しておくことが良いでしょう。
設定方法
以下の内容でアクセスレビューを作成していきます。
まず、「レビューの種類」のタブにて、レビュー対象や範囲など任意の値を選択します。
画面の一番下でスコープ(レビュー対象となるユーザーの条件)を選択できますが、この時に「非アクティブなユーザー(テナントレベル)のみ」にチェックを入れ、「非アクティブな日数」へ任意の日数を入力します。
※この場合は30日で指定しますが、これにより30日アクティブでないユーザーはアクセスレビュー対象となります。
続いて、「レビュー」のタブにて、レビュー担当者を設定します。「レビュー担当者を選択する」にて「ユーザーまたはグループが選択済み」を選択し、任意のユーザーを指定します。
指定するユーザーはこのアクセスレビューの意図(アクセスレビューにあえて応答しない)をわかっているIT管理者等のユーザーを指定します。
次に進み、「設定」のタブにて、レビュー担当者が応答しない場合にアクセスレビュー対象のユーザーをどう扱うかが指定できます。ここでは「レビュー担当者が応答しない場合」にて「アクセスの削除」を選択します。
これにより、レビュー担当者がレビューを実施しなかった場合、該当のグループ・チームからユーザーは削除されます。
最後に「確認と作成」タブにて、アクセスレビュー名などを指定し、「作成」ボタンをクリックしてアクセスレビューの作成を完了させます。
このアクセスレビューにより、アクセスレビューの対象としたグループ・チームにおいては、30日間非アクティブのユーザーはアクセスレビュー対象となり、またレビュー担当者にてレビューの対応を行わないことにより、自動でアクセスの削除(チームからの脱退)が行われるようになります。
終わりに
アクセスレビューは、指定したレビュー期間中にレビュー担当者が「該当ユーザーがチームに必要かどうか」を検討し、都度ユーザーの扱い(チームに残す/チームから削除する)を判断します。
ですが、どのユーザであっても特定日数非アクティブであればチームに残しておかない方針とするなら、今回のようにアクセスレビューの設定を工夫することにより、レビュー担当者の判断が無くても自動でチームから削除することができます。
Hiroko, Kimura(日本ビジネスシステムズ株式会社)
Microsoft 365製品の提案~運用が担当領域、特にTeams/Teams Phone多めです。趣味は音楽とテレビと映画。趣味にしたいのは筋トレ(エンジニアには筋肉が必要)。
担当記事一覧