目次
前提
アクセスレビューを作成するには、以下のロールのいずれかが必要になります。
- グローバル管理者
- Identity Governance 管理者
以下のいずれかのライセンスが必要です。
- Entra ID P2
- EMS E5
- Microsoft 365 E5
想定シナリオ
- エンタープライズアプリケーションに割り当てられているユーザーのアクセスをレビューする
- 1段階のレビュー
- 情シス担当者グループのメンバーがレビューする
- レビュー期間は14日間
- 四半期に一度レビューを実行する
設定手順
- Entra 管理センターへアクセスします。
- 「Identity Governance」→【アクセスレビュー】をクリックします。
- 【新しいアクセスレビュー】をクリックします。
- 「レビュー対象を選択する」から「アプリケーション」を選択し、対象アプリケーションを選択し、【次へ】をクリックます。
- ここでは、Merakiのダッシュボードへアクセスできるユーザーのアクセスレビューをする形にします。
- 「レビュー担当者を選択する」から「ユーザーまたはグループが選択済み」を選択します。
- 【レビュー担当者を選択する】をクリックし、レビューをするユーザーまたはグループを選択します。
- レビューの繰り返し設定を以下のように設定し、【次へ】をクリックします。
| 期間(日数) | 14 |
| 確認の繰り返し | 四半期ごと |
| 開始日 | レビューを開始したい日付 クォータはじめの1日とかがいいかと思います |
| 終了 | なし |
- 設定完了時の設定を状況にあわせて設定していきます。
- ここでは以下のように設定しました。
| リソースへの結果の自動適用 | 有効 |
| レビュー担当者が応答しない場合 | 変更なし |
| レビュー終了時の通知の送信先 | 通知先を選択 |
- 以下は標準設定のまま、【次へ】をクリックします。
- 「レビュー名」と「説明」を入力します。
- 設定内容を確認し、問題なければ【作成】をクリックします。
レビューを実行する
- MyAppsへアクセスします。または以下のように対応依頼通知がメールでくるので、メール内にある「レビューを開始する」のリンクをクリックします。
- 上部のプルダウンから「アクセスレビュー」を選択します。
- 設定したアクセスレビュー名をクリックします。
- レビュー対象のユーザーが表示されるので、レビューするユーザーを選択し、【承認する】をクリックします。
今回は全員を一括承認します。
レコメンデーションには、このアプリケーションに対して30日以上アクセスしていない場合には、拒否の提案が表示されます。
- 【承認する】をクリックします。
- 今回の設定では、承認する場合でも理由の記入が必要としているため理由を記入し、【送信】をクリックします。
- アクセスレビュー管理画面を確認すると、レビューされ承認された人数等が表示されます。
- 以上でアクセスレビューは完了です。
まとめ
エンタープライズアプリケーションに直割当したユーザーがそのままになっていないかなどを定期的に確認するのは良いことなので、Entra ID P2ライセンスをお持ちの場合にはぜひ活用してみてください。
色々なところで定期的な棚卸しを求められることも多いと思いますので、うまく活用すると自動レビューとなり運用が楽になるかと思います。
アクセスレビューの通知をSlackに通知できるようにしてほしいですね。
