Microsoft Entraのエンタイトルメント管理を使うと、アクセス要求ワークフロー、アクセス割り当て、レビューおよび期限切れ処理を自動化し、IDとアクセスのライフサイクルを大規模に管理することができます。
エンタイトルメント管理を利用することで、複数のステージ承認により、アプリケーション、グループ、などのアクセス権を取得できるかを制御し、期間限定の割り当てと繰り返しのアクセスレビューを使用して、ユーザーがアクセス権を無期限に保持できないように棚卸しすることができます。
また、グループ、アプリケーション、SharePointサイトへのアクセスを、内部ユーザーだけでなく、リソースのアクセスをする必要がある外部ユーザーに対しても管理することが可能となります。
過去記事である、下記のPrivileged Identity Management(PIM)と併せて利用することで、アクセスパッケージで承認を受けたユーザーが所属するセキュリティグループのみPIMの申請を行うことができる、といった運用も可能となります。
本記事では、エンタイトルメント管理からのアクセスパッケージの作成と、実際に利用ユーザーがパッケージに参加する手順をご紹介します。
アクセスパッケージ作成
1. Microsoft Entra 管理センターに管理者権限でログインします。
2. 左ペインの「Identity Governance」 > 「エンタイトルメント管理」を選択します。
3.左メニューから「アクセスパッケージ」を選択します。
4.「+新しいアクセスパッケージ」を選択します。
5.「基本」タブで、下記の表を参考に設定項目を入力し、「次へ:リソースロール」をクリックします。
項目 | 説明 | 設定値 |
名前 | ユーザーがアクセスパッケージを要求する際にこちらの情報が表示される | 任意の名前 |
説明 | ユーザーがアクセスパッケージを要求する際にこちらの情報が表示される | 任意の名前 |
カタログ | 関連するリソースとアクセスパッケージをグループ化する際に使用される | 任意のカタログ(既定ではGeneral) |
6. 「リソースロール」タブで、下記の表を参考に設定項目を入力し、「次:要求」をクリックします。
項目 | 説明 | 設定値 |
リソース | ロールを割り当てる対象を選択する ※「+グループとチーム」を選択して、グループに対してリソースを割り当てる手順を記載 |
任意のグループ |
ロール | リソースに対して、ユーザーに割り当てるロールを選択する | OwnerまたはMember |
7. 「要求」タブで、下記の表を参考に設定項目を入力し、「次へ:要求元情報」をクリックします。
項目 | 説明 | 設定値 |
アクセス権を要求できるユーザー | アクセス権を要求できるユーザーの範囲を設定できる | "自分のディレクトリ内のユーザー"、"自分のディレクトリ内以外のユーザー"、"なし"のいずれかを選択可 |
※上記で「特定のディレクトリ内のユーザー」を選択した場合 | オプションで該当ユーザー範囲を設定できる | "特定のユーザーとグループ"、"すべてのメンバー(ゲストを除く)"、"すべてのユーザー(ゲストを含む)"のいずれかを選択可 |
承認を要求する | アクセス権を要求する際に、承認を利用させる設定ができる | "はい"または"いいえ"を選択可 |
要求者の理由を要求する | ユーザーがアクセス権を要求する際に、理由を要求させる設定ができる | "はい"または"いいえ"を選択可 |
ステージの数 | 承認のステージ数を設定できる | 1,2,3のいずれかを選択可 |
第一の承認者 | 承認者の種類を設定できる | "承認者としてのマネージャー"または"特定の承認者の選択"を選択可 |
承認者の選択 | 承認者を設定できる | 任意の承認者 |
決定は何日以内に行わなければなりませんか? | 承認行為の日数を設定できる | 任意の日数(上限14) |
承認者からの理由が必要 | 承認者が承認行為をする際に理由を要求させる設定ができる | "はい"または"いいえ"を選択可 |
アクションが実施されない場合は、別の承認者に転送しますか? | 承認が実行されない場合に、別の承認者に転送させる設定ができる | "はい"または"いいえ"を選択可 |
有効化 | アクセスパッケージを要求ポリシー内のユーザーが要求のためにすぐに利用できる設定ができる | "はい"または"いいえ"を選択可 |
8. 「要求元情報」タブで、設定項目を入力します。
※要求元情報には、要求元に確認したい質問や要求元が回答する形式を選択することができます。本記事では、必須の設定ではないため設定対象外としています。
9. 「ライフサイクル」タブで、下記の表を参考に設定項目の入力し、「次へ:ルール」をクリックします。
項目 | 説明 | 設定値 |
アクセスパッケージ割り当ての有効期限が切れる | アクセスパッケージに対するユーザーの割り当ての有効期限を設定する | "日付"、"日数"、"時間数"、"なし"のいずれかを選択可 |
割り当ては(日数)後に有効期限が切れます | アクセスパッケージに対するユーザーの割り当ての有効期限を設定する(日数) ※本記事では、日数を選択した場合で記載している |
任意の日数 |
ユーザーは特定のタイムラインを要求できます | 特定の開始日と終了日をユーザーがアクセスする際に要求できる | "はい"または"いいえ"を選択可 |
ユーザーがアクセス権を延長することを許可する | ユーザーが割り当てを延長する場合に設定する | "はい"または"いいえ"を選択可 |
延長を許可するには承認が必要 | 延長には承認が必要とする場合に設定する | "はい"または"いいえ"を選択可 |
アクセスレビューが必要 | アクセスレビューが必要な場合に設定する | "はい"または"いいえ"を選択可 |
開始日 | アクセスレビューの開始日を設定できる | 任意の日付 |
レビュー頻度 | アクセスレビューの頻度を設定できる | "毎年"、"半年毎"、"四半期ごと"、"毎月"、"週単位"のいずれかを選択可 |
期間(日数) | アクセスレビューを実施する期間を設定できる | 任意の日数 |
レビュー担当者 | レビュー担当者を必要とする場合に設定できる | 任意のレビュー担当者 |
レビュー担当者が応答しない場合 | レビュー担当者が応答しない場合の処理を設定できる | "変更なし"、"アクセスの削除"、"推奨事項の実行"のいずれかを選択可 |
レビュー担当者の意思決定ヘルパーを表示する | ユーザーのアクセス情報に基づくシステム推奨事項がレビュー担当者に表示される | "はい"または"いいえ"を選択可 |
レビュー担当者の理由が必要 | レビュー担当者が決定する理由を入力させるように設定できる | "はい"または"いいえ"を選択可 |
10.「カスタム拡張機能」タブで、設定項目の入力し、「次へ:確認および作成」をクリックします。
※カスタム拡張機能には、別途Microsoft Entra ID Governanceサブスクリプションが必要となります。本記事では、必須の設定ではないため設定対象外としています。
11.「確認および作成」タブで、設定内容を確認して「作成」をクリックして、アクセスパッケージの作成は完了となります。
アクセスパッケージへのユーザー要求
1. マイアクセスに、パッケージ申請を行う利用者ユーザーでログインします。
https://myaccess.microsoft.com/
2. 左メニューから「アクセスパッケージ」を選択し、対象のパッケージから「要求」をクリックします。
3. 対象のアクセスパッケージを確認して「続行」をクリックします。
4. 申請理由を入力して「要求を送信する」をクリックします。
5. 左メニューの「要求の履歴」を選択して、該当のパッケージが申請されていることを確認します。
要求の承認
1. マイアクセスに、パッケージ承認を行う承認者ユーザーでログインします。
https://myaccess.microsoft.com/
2. 左メニューの「承認」を選択して、対象のパッケージ申請を選択して「承認する」をクリックします。
3. 任意の理由を入力して、「送信」をクリックします。
アクセスパッケージの参加確認
1. マイアクセスに、パッケージ利用者ユーザーでログインします。
https://myaccess.microsoft.com/
2. 左メニューの「アクセスパッケージ」を選択して、「アクティブ」タブにて対象のアクセスパッケージが割り当てられていることを確認します。
3. Microsoft Entra管理センターにログインして「Identity Governance」 > 「Privileged Identity Management」 > 「自分ロール」に移動し、「資格のある割り当て」に、対象のロールが表示されていることを確認します。
※ アクティブ化を押下するとロールの付与が可能です
最後に
本記事では、Microsoft Entraのエンタイトルメント管理における、グループに対するアクセス権付与する方法を解説しました。決められた期間の中で割り当てをしたユーザーに対するアクセスレビューを利用して、ユーザー自身が無期限に保持できないように棚卸しを行うことが可能となります。
また、PIMと同時に利用することで、ユーザーに対して適切な特権ロールを付与・棚卸しといった運用が可能となります。
真木野 芳紀(日本ビジネスシステムズ株式会社)
業務内容は、Microsoft 365製品やサイバーセキュリティシステムの設計/構築に携わり、特にセキュリティ製品ではCyberArkを主に担当しています。趣味は、旅行やドライブをすることが好きで時間があるとどこかに出掛けていることが多いです。
担当記事一覧