Microsoft Entra にはユーザーの利用状況を棚卸しできるアクセスレビュー機能があります。
アクセス レビューとは - Microsoft Entra | Microsoft Learn
今回は、Microsoft Entra に含まれる Azure AD のエンタープライズアプリケーションに対するアクセスレビューを試してみたいと思います。
試してみた
前提条件として、アクセスレビューの利用には Azure AD Premium P2 ライセンスが必要です。詳細な条件は次のドキュメントに記載があります。
アクセスレビューを用いることで、アクセス権の棚卸しができます。例えば、異動や退職で不要となったユーザーの棚卸しなどに活用できます。
アクセスレビューを使用すべき状況は次のドキュメントにまとまっています。
アクセスレビューの設定
本ブログでは、Azure AD のエンタープライズアプリケーションに対するアクセスレビューを構成して確認してみます。
対象とするエンタープライズアプリケーションには AWS IAM Identity Center (旧 AWS Single Sign-on) を関連付けています。
始めに、Azure AD のエンタープライズアプリケーションの「アクセスレビュー」から「新しいアクセス レビュー」を作成します。
対象のエンタープライズアプリケーションを選択します。スコープはすべてのユーザーとしています。
次に、レビュープロセスに関する設定を行います。今回はテスト目的なので、レビュー期間 (日数) は1 日とし、確認の繰り返しも1 回としています。
次に、レビュー担当者が応答しない場合の対応やレビューの通知先を設定します。
最後に、アクセスレビュー名を入力し、設定内容を確認してから作成します。
以上で設定は完了です。
アクセスレビューの詳細画面です。レビュー実施前なので、レビュー対象のユーザーはすべて未レビュー状態です。
アクセスレビューの実施
レビュー担当者に指定したユーザーに次のような依頼メールが届いていました。
メールの「レビューを開始する」をクリックするとレビュー画面が表示されます。
レコメンデーションでは、サインインしてから 30 日未満のユーザーは承認するが推奨されています。
利用中のユーザーを選択して「承認する」を選択してみます。理由欄を入力して「送信」します。
30 日以上サインインしていないユーザーでは拒否が推奨されています。
承認時と同様に、利用していないユーザーは「拒否」を選択してみます。理由欄を入力して「送信」します。
レビュー後は決定欄に選択した結果が表示されます。
以上の要領ですべてのユーザーのレビューを終わらせます。
レビュー内容は Azure Portal のアクセスレビューの詳細画面にも反映されています。
期限である 1 日が経過するとレビューが終了したことを告げるメールを受信しました。
改めて結果を確認してみます。結果欄で承認済みなのか拒否なのか確認できます。レビュー結果は CSV ファイルとしてダウンロードすることもできます。
上記画像で拒否したユーザーはグループに所属するユーザーとなるのですが、その場合はレビュー結果を元に別途ユーザーを削除する必要があります(もしくはグループを削除します)。レビューで拒否したら、アクセス不可になっているわけではないことに注意が必要です。今回は、結果が拒否のユーザーを削除してレビューを終わらせました。
なお、レビュー後の設定画面は非活性となっており、変更できなくなっていました。
さいごに
AZ-500 の勉強をしており、自身の復習も兼ねて Azure AD のアクセスレビュー機能を試してみました。
このブログがどなたかのご参考になれば幸いです。
2
