アクセスレビュー

Microsoft Entra アクセスレビュー入門

グループのメンバーシップ、エンタープライズアプリへのアクセス権、特権ロールの割り当てを定期的に棚卸しし、自動的に最適化する機能です。MIM のアクセス棚卸・証明の移行先となります。

実行フロー(4ステップ)

1

自動通知

スケジュール時にレビュアーへメール配信。

2

レビュー実施

My Access ポータルで「承認」「拒否」「わからない」を選択。

3

AI 支援

「30 日以上サインインなし」などの情報を提示。

4

自動適用

拒否された権限を自動で削除。

ライセンス要件

ライセンス対応機能
Microsoft Entra ID P2基本機能のみ
Entra ID Governance / Suite高度な連携・AI 支援、エンタイトルメント管理連携

主な機能

対象スコープ指定

Microsoft 365 / セキュリティグループ、各アプリ、外部ゲストの絞り込み、特権ロール(PIM 連携)。

レビュアー指定

所有者・マネージャーの動的指定、自己レビュー、最大 3 段階の多段階承認。

AI 判断支援

非アクティブ推奨、類似ユーザー比較による異常値検出。

自動適用・制御

権限の自動剥奪、未応答時の処理(削除 / 維持 / 推奨に従う)を定義。

代表的な運用シナリオ

実践のポイント ― Teams ゲスト棚卸しを例に

「Teams(Microsoft 365 グループ)の外部ゲストの定期棚卸し」を題材にした実践例です。設定はウィザード形式の3ステップ(①レビューの種類と対象リソース → ②レビュー担当者とスケジュール → ③完了時の設定)で、数分でポリシーを構築できます。

設定項目シナリオ設定値の例
対象リソース / ユーザー特定の Teams(Microsoft 365 グループ)/ゲストユーザーのみ
レビュー担当者グループの所有者(自己レビュー・上司・特定ユーザー/グループも指定可)
スケジュール / 期間四半期に1回/レビュー期間 14日間
結果の自動適用有効(拒否されたゲストを自動的に削除)
未応答時の動作推奨事項を採用(期限内に回答がない場合はシステム判定に委ねる)
事前準備: 本シナリオ(ゲストのレビューと推奨事項の利用)には、設定を行う管理者とレビュー担当者の双方に Microsoft Entra ID P2 ライセンスが必要です(意思決定ヘルパー「ユーザー対グループの所属」は Entra ID Governance / Entra Suite が必要)。作成には グローバル管理者/Identity Governance 管理者/ユーザー管理者 のいずれかのロールが必要です。
Point 1

入れ子グループに注意

対象グループが入れ子構造の場合、子グループのメンバーもレビュー対象に表示されますが、拒否しても子グループからは削除されません。子グループ自体にもアクセスレビューを実施する対策が必要です。

Point 2

複数レビュー担当者の挙動

担当者にグループを指定すると所属ユーザー全員に依頼が届き、最終結果は「最後に設定されたレビュー内容」で上書きされます。確実なダブルチェックには、担当者が個別にレビューする多段階レビュー(最大3ステージ)が有効です。

Point 3

迷ったら「推奨事項」

意思決定ヘルパーを有効にすると「最後のサインインから30日以上」といった明確な根拠つきの推奨が表示されます(サインインのないユーザーは拒否を推奨)。属人的な判断を避け、客観的な棚卸しができます。

Point 4

CSV で監査証跡

レビュー結果は CSV でダウンロードでき、「定期的に権限の棚卸しを実施している証跡」として利用できます。担当者のコメントは CSV の Reason 列で確認可能。「正当な理由が必要」を有効にすれば承認時の理由入力を必須化できます。

なお「結果の自動適用」を無効にしておき、レビュー完了後に管理者が内容を確認してから手動で「適用」する、より安全な運用も可能です。

設定手順の詳細:アクセスレビュー実践編を読む ↗

関連する移行トピック

← MIM → Entra ID Governance 移行マッピングへ戻る

MIM 移行のご相談は QUICK E-Solutions へ

20年以上の Microsoft ID 管理実績で、安全な移行を支援します。

移行について相談する →