エンタイトルメント管理でAADのゲスト招待とアクセス権付与を効果的に

この記事の内容

  • Azure AD(現 Microsoft Entra ID)のエンタイトルメント管理機能の概要と基本概念を解説します
  • アクセスパッケージとカタログの関係性、リソースの追加方法を紹介します
  • 承認ワークフローや有効期限などのポリシー設定オプションを説明します
  • 接続されている組織の概念と外部ユーザーの管理方法を解説します
  • カスタム拡張機能による拡張性と、必要なライセンス要件を確認します

はじめに:ゲスト管理の課題とエンタイトルメント管理

Azure ADのゲストアカウント管理をセキュアに行うためには、いくつかのフェーズに分けて考える必要があります。その第1フェーズとして「ゲストを招待してアカウントを作成し、アクセス権を割り当てる」という工程があります。

テナントに招待されるゲストアカウントをしっかり管理したい、見覚えのないテナントのアカウントが存在する事態を避けたい——そのような課題に対して有効なのが、エンタイトルメント管理という機能です。

エンタイトルメント管理の基本概念

エンタイトルメント管理の中心となる概念がアクセスパッケージです。

個別のグループ・アプリ・SharePointサイト・Teamsといったリソースに対してバラバラにアクセス権を付与するのではなく、複数のリソースへのアクセス権をまとめた「パッケージ」として定義します。このパッケージに対してユーザーがリクエストし、承認されれば、まとめてアクセス権が付与される仕組みです。

アクセス権を失う際も、このアクセスパッケージ単位で失効します。これにより、アクセス権管理の一貫性と追跡可能性が大きく向上します。

管理画面へのアクセス方法

エンタイトルメント管理はAzureポータルから操作します。

  1. Azureポータルにアクセスする
  2. Azure Active Directory(Microsoft Entra ID)を開く
  3. Identity Governance(アイデンティティガバナンス) をクリックする
  4. エンタイトルメント管理 のセクションに移動する

管理画面には、アクセスパッケージ・カタログ・接続されている組織・レポート・設定のメニューが用意されています。

カタログ:アクセスパッケージの入れ物

カタログとは

アクセスパッケージを作成する前に、まずカタログの概念を理解することをお勧めします。カタログは、リソースとアクセスパッケージのコンテナ(入れ物) です。関連するリソースとアクセスパッケージをグループ化して、その管理をカタログの所有者に委任することができます。

初期状態では General というビルトインのカタログが1つ用意されています。この1つのカタログだけですべてを管理することもできますし、部門ごと・組織ごとに複数のカタログを作成して使い分けることも可能です。

カタログのロールと委任

カタログには以下のロールを割り当てることができます。

  • カタログ所有者:カタログ全体を管理できる
  • カタログ閲覧者:カタログの内容を閲覧できる
  • アクセスパッケージマネージャー:アクセスパッケージを作成・管理できる
  • アクセスパッケージ割り当てマネージャー:アクセスパッケージの割り当てを管理できる

カタログを作成して管理を委任することで、IT管理者がすべてを一元管理するのではなく、部門ごとの担当者に管理を分散させることが可能です。

カタログへのリソース追加

カタログにはアクセスパッケージの対象となるリソースを事前に登録しておきます。現在追加できるリソースの種類は以下の3つです。

リソース種別概要
グループとチームセキュリティグループ、M365グループ、Teamsのチームなど
アプリケーションAzure AD認証を使用するアプリケーション
SharePointサイトコミュニケーションサイトなど各種SharePointサイト

アクセスパッケージの作成時に、カタログ未登録のリソースも選択できますが、その場合はバックグラウンドでカタログへの追加が自動的に行われます(適切な権限が必要です)。

属性の要求

リソースに対しては、ユーザーに対して追加情報の入力を求める属性を設定することもできます。たとえば「このアプリケーションは居住都市の情報が必要」という場合、ユーザーの City 属性への入力を要求する設定が可能です。回答形式は短いテキスト・複数選択・長いテキストから選べます。

アクセスパッケージの作成

カタログへのリソース登録が完了したら、アクセスパッケージを作成します。

リソースの選択とロール

アクセスパッケージにはカタログ内のリソースを複数追加できます。各リソースに対してロールを指定します。

  • グループ:オーナーまたはメンバー
  • アプリケーション:アプリ内で定義されたロール
  • SharePointサイト:メンバー、閲覧者などのアクセス権限

要求ポリシーの設定

誰がこのアクセスパッケージをリクエストできるかを細かく制御できます。

リクエスト元の種別:

  • 自分のディレクトリ内のユーザー(特定のユーザー・グループ、全メンバー、全ユーザー+ゲスト、などを選択可能)
  • 外部ユーザー(特定の接続済み組織、構成済みのすべての接続組織、すべての外部ユーザー)
  • 管理者が直接割り当てるのみ

承認設定:

承認プロセスは最大3段階まで設定可能です。各ステージで以下を設定できます。

  • 承認者:申請者のマネージャー自動指定、または特定ユーザーの指定
  • 承認期限:承認が何日以内に行われるべきか
  • 承認者の理由の要求:オン/オフ
  • フォールバック承認者:マネージャーが未設定の場合の代替承認者
  • エスカレーション:一定期間でアクションがない場合の転送先

なお、外部ユーザーに対してすべてのユーザーを対象にする設定の場合、承認なしにはできない設計になっています。

要求元からの情報収集

アクセスパッケージを要求したユーザーに対して、任意の質問を設定することも可能です。回答形式は短いテキスト・複数選択・長いテキストに対応しており、正規表現によるパターンマッチングでの入力バリデーションも設定できます。

ライフサイクル管理

アクセスパッケージには有効期限を設定できます。

  • 特定の日時に有効期限を設定する
  • 承認からX日後、またはX時間後に失効させる
  • 有効期限なし

また、有効期限前にユーザーが延長申請を行えるかどうかも設定可能です。延長申請時に再度承認を必要とするかどうかも制御できます。

定期的なアクセス権の棚卸しにはアクセスレビュー機能を活用できます(本記事では詳細は割愛します)。

カスタム拡張機能:Logic Appsとの連携

エンタイトルメント管理は、カスタム拡張機能を通じてAzure Logic Appsと連携できます(プレビュー機能)。

以下のタイミングでLogic Appsを呼び出すことが可能です。

  • 要求が作成された時
  • 要求が承認された時
  • アクセス権が付与された時
  • 有効期限切れが近づいた時
  • 割り当てが削除された時

Logic Appsはほぼあらゆる処理を自動化できるため、「アクセス権が付与されたことをメールで通知する」から「データベースを更新する」まで、独自のワークフローを組み込むことができます。

接続されている組織

特定の外部組織を「信頼済みの組織」として登録できるのが、接続されている組織機能です。

重要なパートナー企業など、特別扱いしたい外部テナントのAzure ADディレクトリをここに登録することで、アクセスパッケージのリクエスト対象として「構成済みの接続組織からのユーザーのみ許可」といった細かな制御が可能になります。

スポンサーの概念

接続されている組織に対してはスポンサーを指定できます。

  • 内部スポンサー:自テナント内のユーザーで、その外部組織の担当者として位置づけられる人物
  • 外部スポンサー:外部組織から招待済みのゲストユーザーで、その組織からのアクセスパッケージ要求を承認できる人物

外部ユーザーのライフサイクル設定

設定画面では、アクセスパッケージによって招待された外部ユーザーが、すべてのアクセスパッケージの割り当てを失った際の動作を指定できます。

  • テナントへのサインインをブロックする
  • テナントからユーザーを削除する(X日後に実行するよう設定可能)

これにより、不要になったゲストアカウントが自動的にクリーンアップされる運用を実現できます。

委任の設定

エンタイトルメント管理の設定画面では、カタログ作成者ロールの追加が可能です。カタログ自体の作成・管理権限を特定ユーザーに委任することができます(個々のカタログ内の管理は、カタログ側のロール設定で行います)。

ユーザー側の体験

アクセスパッケージを作成すると専用のURLが生成されます。ユーザーはこのURLにアクセスし、My Access(マイアクセス) ポータルからアクセスパッケージへのリクエストを行います。

  1. ユーザーがアクセスパッケージの一覧を確認する
  2. 必要なパッケージを選択し、リクエストの理由を入力する
  3. 設定した質問への回答を入力する
  4. リクエストを送信する

設定された承認者にメール通知が届き、承認・拒否を行うことができます。承認されると、パッケージに含まれるすべてのリソースへのアクセス権がまとめて付与されます。

必要なライセンス

エンタイトルメント管理を利用するには、以下のいずれかのライセンスが必要です。

  • Azure AD Premium P2
  • Enterprise Mobility + Security(EMS)E5
  • Microsoft 365 E5(上記を含む)

セキュリティやガバナンスの観点から、適切なライセンスを用意した上でこれらの機能を活用することをお勧めします。

まとめ

エンタイトルメント管理は、Azure ADにおけるゲストアカウントの招待とアクセス権管理を体系的に行うための強力な機能です。本記事の内容を振り返ります。

  • カタログがリソースとアクセスパッケージの入れ物となり、管理の委任が可能
  • アクセスパッケージにグループ・アプリ・SharePointサイトなどを束ねて、まとめてアクセス権を制御できる
  • 承認ワークフローは最大3段階まで設定でき、要求者・有効期限・延長申請などのポリシーを細かく制御可能
  • カスタム拡張機能によりLogic Appsと連携して独自処理を組み込める
  • 接続されている組織を使うことで、特定の外部テナントを信頼済み組織として特別扱いできる
  • 利用には Azure AD Premium P2 相当のライセンスが必要

この機能を活用することで、「誰が・どのリソースに・いつまでアクセスできるか」を一元的に管理し、ゲストアカウントのライフサイクルをエンドツーエンドで制御できるようになります。