AADエンタイトルメント管理とは?
Azure ADのP2ライセンスをお持ちの場合に利用できる機能です。
組織に新たに参加するユーザに対して権限割り当てが必要なリソース(セキュリティグループ・アプリケーション・SharePointOnlineサイト)と、そのリソースにおける権限(メンバーor所有者)を予めパッケージとして作成しておくことで、実際に新規のユーザが参画した場合にそのパッケージへの利用要求と承認フローのみで適切な権限が付与され、業務の開始が可能になる、といった機能です。
このパッケージを作成するには、カタログという上位の存在があります。カタログに対して詳細な権限の設定などを固めたものをパッケージと呼びます。よって、一つのカタログから"メンバー向け"・"管理者向け"といったような複数のパッケージを作成することができます。
Azureでの設定
カタログ作成
Azure Portal上からカタログに対してリソースを追加できます。[グループとチーム]、[アプリケーション]、[SPOサイト]が対象になります。
アクセスパッケージ作成
アクセスパッケージの作成時にそれぞれのリソースに対するロールを設定できます。
承認フローも設定することができます。
アクセスレビューも必要に応じて有効化できます。
作成してみると以下のようになります。
同一のカタログから生成されたパッケージは一覧表示されます。
アクセスパッケージへのユーザ要求
アクセスパッケージの概要ブレードの、[マイアクセスポータルのリンク]を利用ユーザに共有します。すると、AzureADの認証画面が現れます。
マイアクセスポータルへ利用ユーザのアカウントでログインしてみるとこちらのような申請画面が現れるため、理由を記載した上で送信します。
要求の履歴のところから申請中のアクセスパッケージが確認できます。
承認者のユーザで同じリンクもしくはマイアクセスポータルへログインします。このように使用可能なパッケージ一覧が並んでいます。
承認者には先ほど新規ユーザからの申請が届いているため、内容を確認し承認、もしくは拒否をします。
要求やパッケージの中身などの詳細も確認できます。
理由を入れて承認ボタンをクリックすれば完了です。
承認されたことの確認
新規ユーザ側でマイアクセスポータルへログインしてみると、アクティブなアクセスパッケージに先ほどのものが追加されています。
また、パッケージに含めたAzureADのセキュリティグループにも新規ユーザがMemberロールで追加されています。
おわり
このようにエンタイトルメント管理を利用することで新規ユーザに対する権限付与のライフサイクルを最小限の承認フローのみでセルフサービスに近い形で実装することができます。予め仕事内容及びロールに応じたパッケージさえ作っておくだけでよいので、IDガバナンスの目標の一つである生産性の向上にもつながる機能だと思います。