グループのメンバーシップ、エンタープライズアプリへのアクセス権、特権ロールの割り当てを定期的に棚卸しし、自動的に最適化する機能です。MIM のアクセス棚卸・証明の移行先となります。
スケジュール時にレビュアーへメール配信。
My Access ポータルで「承認」「拒否」「わからない」を選択。
「30 日以上サインインなし」などの情報を提示。
拒否された権限を自動で削除。
| ライセンス | 対応機能 |
|---|---|
| Microsoft Entra ID P2 | 基本機能のみ |
| Entra ID Governance / Suite | 高度な連携・AI 支援、エンタイトルメント管理連携 |
Microsoft 365 / セキュリティグループ、各アプリ、外部ゲストの絞り込み、特権ロール(PIM 連携)。
所有者・マネージャーの動的指定、自己レビュー、最大 3 段階の多段階承認。
非アクティブ推奨、類似ユーザー比較による異常値検出。
権限の自動剥奪、未応答時の処理(削除 / 維持 / 推奨に従う)を定義。
「Teams(Microsoft 365 グループ)の外部ゲストの定期棚卸し」を題材にした実践例です。設定はウィザード形式の3ステップ(①レビューの種類と対象リソース → ②レビュー担当者とスケジュール → ③完了時の設定)で、数分でポリシーを構築できます。
| 設定項目 | シナリオ設定値の例 |
|---|---|
| 対象リソース / ユーザー | 特定の Teams(Microsoft 365 グループ)/ゲストユーザーのみ |
| レビュー担当者 | グループの所有者(自己レビュー・上司・特定ユーザー/グループも指定可) |
| スケジュール / 期間 | 四半期に1回/レビュー期間 14日間 |
| 結果の自動適用 | 有効(拒否されたゲストを自動的に削除) |
| 未応答時の動作 | 推奨事項を採用(期限内に回答がない場合はシステム判定に委ねる) |
対象グループが入れ子構造の場合、子グループのメンバーもレビュー対象に表示されますが、拒否しても子グループからは削除されません。子グループ自体にもアクセスレビューを実施する対策が必要です。
担当者にグループを指定すると所属ユーザー全員に依頼が届き、最終結果は「最後に設定されたレビュー内容」で上書きされます。確実なダブルチェックには、担当者が個別にレビューする多段階レビュー(最大3ステージ)が有効です。
意思決定ヘルパーを有効にすると「最後のサインインから30日以上」といった明確な根拠つきの推奨が表示されます(サインインのないユーザーは拒否を推奨)。属人的な判断を避け、客観的な棚卸しができます。
レビュー結果は CSV でダウンロードでき、「定期的に権限の棚卸しを実施している証跡」として利用できます。担当者のコメントは CSV の Reason 列で確認可能。「正当な理由が必要」を有効にすれば承認時の理由入力を必須化できます。
なお「結果の自動適用」を無効にしておき、レビュー完了後に管理者が内容を確認してから手動で「適用」する、より安全な運用も可能です。