せっかく機能があるのにもったいない、Microsoft 365 E5 を使いこなそう！ Microsoft Entra Identity Governance活用ガイド

目次

• はじめに
• Microsoft Entra Identity Governanceとは
• 1-強力な権限を持つ管理者ロールを安全に運用したい（特権アクセス管理）
• 2-管理者ロールに割り当てたユーザーを棚卸したい（アクセスレビュー）
• 3-プロジェクトに必要なリソースのアクセス権を一括で管理したい（エンタイトルメント管理）
• おわりに

はじめに

Microsoft 365 E5には多くの便利な機能がありますが、すべてを使いこなすのは難しく、便利な機能があっても利用しきれないことがあります。
今回は、その中でもMicrosoft Entra Identity Governanceの機能に焦点を絞り、どのようなことができるのかをご紹介したいと思います。

この記事でわかること

• Microsoft Entra Identity Governanceの概要
• 特権アクセス管理 で強力な権限を持つ管理者ロールを安全に運用する方法
• アクセスレビューで管理者ロールに割り当てたユーザーを棚卸する方法
• エンタイトルメント管理でプロジェクトに必要なリソースのアクセス権を一括で管理する方法

Microsoft Entra Identity Governanceとは

Microsoft Entra Identity Governanceとは、Microsoft365でユーザーロールやアクセス権限を効率的かつ安全に管理するための機能です。
Microsoft 365 E5に付属するMicrosoft Entra ID P2ライセンスで、一部機能を使用できます。

Microsoft Entra Identity Governanceのすべての機能を使うには、Microsoft Entra ID Governanceライセンスが必要になります。今回は、Microsoft 365 E5に含まれるEntra ID P2ライセンスで使用出来る機能の中から、よく使う3つを抜粋して紹介します。

• 特権アクセス管理（Privileged Identity Management）
  • グローバル管理者などの重要なロールをセキュリティを保ちながら安全に運用します
• アクセスレビュー
  • グループやロール、エンタイトルメント管理を利用しているユーザーの棚卸をします
• エンタイトルメント管理
  • 誰がどのアプリやデータを使えるかをまとめて管理します

1. 強力な権限を持つ管理者ロールを安全に運用したい（特権アクセス管理）

Microsoft 365のロールでも特に強力な権限を持つ管理者ロールのことを特権ロールと言います。特権ロールは、必要な時だけ有効にして不必要な時には無効にすることが推奨されています。

そこで役立つのが、特権アクセス管理 です。
この機能を使えば、特権ロールを必要なときだけ一時的に付与することができます。

特権アクセス管理のメリット

• 特権ロールの使用時間を制限し、短時間だけ権限を付与する
• 責任者は管理者ロールの承認処理を行うだけで良くなるため、運用負荷が軽減される

設定手順

今回の例では、グローバル管理者ロールを一時的に付与できるよう設定します。また、グローバル管理者ロールを一時的に有効化する手順についてもまとめました。

ここをクリック

初期設定の手順

1. Microsoft Entra 管理センターにアクセスし、「ID ガバナンス」 → 「Privileged Identity Management」 → 「Microsoft Entra ID ロール」を開きます
   

2. グローバル管理者ロールをクリックします
   

3. 「ロールの設定」画面から設定を編集します。今回の例では、以下のように設定しました

   • アクティブ化は3時間以内とする
   • アクティブ化時には理由欄の記入とMFA、指定したユーザーの承認が必要
     

   投稿時現在、Entra ID管理センターやAzureにアクセスするにはMFAが必須となっているため、上記の設定に関係なくMFAが必要となります。
   参考：Azureやその他の管理ポータルにおける多要素認証の義務化の計画

4. グローバル管理者ロールのページに戻り、「割り当ての追加」を開きます。
   

5. グローバル管理者ロールを使用するユーザーを選択して割り当てます
   

グローバル管理者ロールの有効化設定

1. グローバル管理者ロール割り当てたユーザーにメールが届きます。「View or activate role」と書かれたリンクを開きます
   

2. グローバル管理者の「アクティブ化」をクリックして開きます
   

3. グローバル管理者を使用する時間や理由欄を記述してアクティブ化します
   

   「カスタム アクティブ化の開始時刻」を設定することで、アクティブ化を今すぐ行わずに予約できます

4. 責任者にメール通知が届きます。「要求の承認または拒否」と書かれたリンクを開きます
   

5. 承認を行うユーザーにチェックを付けて、承認/拒否をクリックします
   

6. 承認/拒否の理由を記載し、「確認」をクリックします
   

7. 承認が完了すると、グローバル管理者を利用できるようになります
   

8. 最後に、Entra ID ロールのページに戻り、「リソースの監査」を確認します。ここでは、一連の設定や承認のログを確認できます
   

2. 管理者ロールに割り当てたユーザーを棚卸したい（アクセスレビュー）

Microsoft 365の運用が長くなると、昔の業務で付与した権限がそのまま残ってしまうことがあります。そのまま放置すると、不要なユーザーが強力な権限を持ち続けることになり、セキュリティリスクが増大します。

そこで役立つのが、ロールを対象にしたアクセスレビューです。
この機能を使えば、定期的に「ロールを誰が持っているか」を棚卸し、不要な権限を削除できます。

ロールを対象にしたアクセスレビューのメリット

• ロールの棚卸を仕組み化して運用できる
• 不要な権限の保持を抑制することができる

設定手順

今回の例では、ユーザー管理者ロールを付与しているユーザーを定期的に棚卸しするアクセスレビューを作成します。

ここをクリック

初期設定の手順

1. Microsoft Entra 管理センターにアクセスし、「ID ガバナンス」 → 「Privileged Identity Management」 → 「Microsoft Entra ID ロール」を開きます
   

2. 「アクセス レビュー」のページを開き、「新規」をクリックします
   

3. ここでは、アクセス レビューの内容を設定することができます。今回の例では、以下のように設定しました

   • 毎月アクセスレビューを行い、7日以内にレビュー完了させる
   • アクセスレビューの対象はユーザー管理者
   • レビュー担当者として指定されたユーザーが実施する
   • レビューの結果、アクセス権が必要ないと判断した場合には割り当てを解除する

   

アクセスレビューでユーザー管理者の棚卸しを実施する

1. アクセスレビューの期間が始まると、レビュー担当者にメール通知が届きます。「レビューを開始する」と書かれたリンクを開きます
   

2. リンクを開くと、レビュー対象者の一覧が表示されます。レビューを行うために、対象者の「監査の詳細」列の「表示」をクリックします
   

3. ここでは、レビュー対象者に関する特権アクセス管理やアクセスレビューに関する操作の監査ログを確認できます
   

4. 前の画面に戻ります。ユーザーにチェックを付けて、理由を記載し承認/拒否をクリックします
   

5. 最後に、アクセスレビューの結果を確認するために「フィルター」から「未レビュー」「承認済み」「拒否」全てにチェックを入れ、全てのユーザーを表示するように設定します。承諾したユーザーと拒否したユーザーをそれぞれ確認できます
   

3. プロジェクトに必要なリソースのアクセス権を一括で管理したい（エンタイトルメント管理）

新しいプロジェクトが始まると、プロジェクト関係者を各リソース（Teamsチーム・SharePointサイト・グループ・アプリケーションなど）にそれぞれ追加することがあります。
しかし、これを一人ひとり手作業で設定すると時間がかかり、追加漏れや権限の設定ミスが発生しやすくなります。

そこで役立つのが、エンタイトルメント管理です。
この機能を使えば、プロジェクトに必要なリソースをまとめて 「アクセスパッケージ」 として定義し、ユーザーを一括で追加できます。

エンタイトルメント管理のメリット

• 複数のリソースにアクセス権を一括追加＆削除
• まとめて設定し作業を効率化

また、エンタイトルメント管理でリソースを管理していても、プロジェクト終了後にユーザーが権限を持ち続ける場合があります。
その結果、過去のプロジェクトメンバーが不要なリソースにアクセスできる状態となり、情報漏えいのリスクが高まります。

そこで役立つのが、エンタイトルメント管理のアクセスレビューです。
この機能を利用することで、アクセスパッケージに含まれるユーザーが今後も権限を必要としているかを定期的に確認できます。ユーザー自身が権限を見直し、不要な場合は無効化できるため、プロジェクトメンバーの権限管理を自動化することができます。

アクセスパッケージを対象にしたアクセスレビューのメリット

• 棚卸しを移管することで責任者の運用負荷を軽減
• アクセスパッケージを仕組み化して運用できる

エンタイトルメント管理の設定手順

今回の例では、ABCプロジェクトで使用しているTeamsチームとSharePointサイトの閲覧権限を付与するアクセスパッケージを作成します。アクセスパッケージを作成するには、まず対象となるリソース（今回の例では、TeamsチームとSharePointサイト）を「カタログ」に登録する必要があるため、カタログの作成から行っています。その後、アクセスパッケージの作成を行い、権限を付与するまでの手順をまとめました。

ここをクリック

カタログの新規作成

1. Microsoft Entra 管理センターにアクセスし、「ID ガバナンス」 → 「エンタイトルメント管理」 → 「カタログ」を開きます
   「新しいカタログ」をクリックします。
   

2. 「名前」と「説明」を入力して「新しいカタログ」を作成します
   

   外部ユーザーを管理対象に含める場合は「外部ユーザーに有効」を「はい」に設定してください。

3. 作成したカタログを開き、「リソース」を開くと空の状態になっています。この中にアクセス権を付与する対象のリソースを追加します
   

4. 今回の例では、「グループとチーム」からTeamsのグループ（チーム）を、「SharePoint サイト」からSharePoint サイトを追加します
   

5. カタログにリソースを追加すると、以下のように表示されます
   

アクセスパッケージの新規作成

1. エンタイトルメント管理のページに戻り、「アクセスパッケージ」を開いて「新しいアクセスパッケージ」をクリックします
   

2. 「基本」タブでは、アクセスパッケージの「名前」と「説明」欄を記入します。「カタログ」は先ほど作成したカタログを指定します
   

3. 「リソースロール」タブでは、カタログに登録したリソースの中からアクセスパッケージで管理するものを指定します。今回の例では、カタログに追加したTeamsチームとSharePointサイトの両方を追加します。さらに、各リソースに対してロールを指定します。今回は、Teamsチームの「Memberロール」とSharePointサイトの「閲覧者ロール」を指定しました
   

4. 「要求」タブでは、アクセスパッケージのアクセス権有効化手続きに関する設定を行います。今回の例では、以下の内容を設定しました

   • アクセス権は組織内の全ユーザーが要求可能
   • アクセス権の有効化にはマネージャー（上司）の承認が必要。マネージャーが設定されていない場合はフォールバックとして設定したユーザーからの承認が必要
   • アクセス権の要求と承認にはそれぞれ理由欄の記載が必要

   

5. 「要求元情報」タブでは、アクセス権の要求時に追加で質問事項を追加できます。今回の例では、次の手順でプロジェクトルールの同意をイメージした選択欄を追加します
   まずは、「質問」と「回答形式」を入力します。その後、「編集およびローカライズ」をクリックします
   

6. 「ライフサイクル」タブでは、アクセス権の有効期限に関する設定を行います。今回の例では、1年（365日）後に有効期限が切れるように設定します
   

7. 「カスタム拡張機能」タブでは、Logic Appsと組み合わせてアクセスパッケージのイベントをトリガーに実行できますが、Microsoft Entra ID Governanceライセンスが必要な機能のためスキップします
   

8. 最後に設定値を確認し、「作成」をクリックしてアクセスパッケージを作成します
   

9. 作成したアクセスパッケージを開くと、共有リンクが作成されているためこちらを利用者に共有します
   

   アクセスパッケージを作成すると、自動的に「Initial Policy」という名前でポリシーが作成されます。アクセスパッケージで設定した内容はこのポリシーに対して設定されるため、設定変更したい場合は「Initial Policy」の内容を編集してください。

アクセスパッケージのアクティブ化

1. 利用者が上記の手順で作成された共有リンクを開きます。「続行」をクリックしてアクセスパッケージの申請を行います
   

   マイアクセスからアクセスパッケージを開いても同様に進めることができます

2. 同意の選択肢で「はい」を選択します。アクセス権を要求する理由を記載し、「要求を送信する」をクリックします
   

3. アクセス権の承認を行う責任者にメール通知が届きます。「要求の承認または拒否」と書かれたリンクを開きます
   

4. 承認を行うユーザーにチェックを付けて、承認する/拒否をクリックします
   

5. 理由を記載して「送信」をクリックします
   

6. 利用者にメール通知が届きます。「はじめる」と書かれたリンクを開きます
   

7. 有効化されたアクセスパッケージを表示することができ、具体的なアクセス権の内容も確認できます
   

8. ここで、付与されたアクセス権を確認します。まずは、Teamsを開くとプライベートチームが表示されており、メンバー一覧にも表示されていることが確認可能です
   

9. また、SharePointサイトは閲覧者の権限を付与されていることが確認可能です
   

   SharePointサイトの権限確認方法

   確認したいSharePointサイトをそのサイトの管理者が開き、画面右上の設定から、「サイトのアクセス許可」を開きます。

   

   その後、「高度なアクセス許可」を開いてください。
   

アクセスレビューの設定手順

今回の例では、ABCプロジェクトに参加しているゲストユーザーが自身に付与された権限を定期的にセルフチェックするためのアクセスレビューを作成します。

ここをクリック

初期設定の手順

1. Microsoft Entra 管理センターにアクセスし、「ID ガバナンス」 → 「エンタイトルメント管理」 → 「アクセスパッケージ」を開きます。

2. 棚卸しを行うアクセスパッケージを開きます
   

3. 「ポリシー」のページから、「Initial Policy」を開き「編集」をクリックします
   

4. 「ライフサイクル」のタブを開き、「アクセス レビューが必要」をチェックします。今回の例では、以下のように設定しました

   • 半年ごとにアクセスレビューを行い、90日以内に完了させる
   • レビュー担当者として指定されたユーザーが実施する
     

5. 最後に「カスタム拡張機能」のタブを開き、更新して設定を完了します
   

アクセスレビューでアクセスパッケージの棚卸しを実施する

1. アクセスレビューの期間が始まると、レビュー担当者にメール通知が届きます。「ユーザーのアクセス権をレビューを開始する」と書かれたリンクを開きます
   

2. リンクを開くと、レビュー対象者の一覧が表示されます。レビュー対象者の「詳細」を開きます
   

3. 「承諾する」「拒否」「不明」の中から選択し、理由を記載してレビューを完了します
   

4. レビューを行ったユーザーは「決定」列にレビュー結果が表示されます
   

おわりに

Microsoft 365/Entra IDの機能の中でも、Microsoft Entra Identity Governance
は一見複雑で利用ハードルが高いかもしれません。しかし、この機能を活用することでロールやアクセス権限を効率的に管理することができるようになります。運用負荷を減らし、セキュリティリスクを最小化するために、ぜひ一度試してみてください。

公式ドキュメント

• Microsoft Entra Identity Governance全般

• 特権アクセス管理

• エンタイトルメント管理

• アクセスレビュー

We Are Hiring!