Azure ADのエンタープライズアプリケーションに対するアクセスレビュー機能を試してみた
Microsoft Entra にはユーザーの利用状況を棚卸しできるアクセスレビュー機能があります。
アクセス レビューとは - Microsoft Entra | Microsoft Learn
今回は、Microsoft Entra に含まれる Azure AD のエンタープライズアプリケーションに対するアクセスレビューを試してみたいと思います。
試してみた
前提条件として、アクセスレビューの利用には Azure AD Premium P2 ライセンスが必要です。詳細な条件は次のドキュメントに記載があります。
アクセスレビューを用いることで、アクセス権の棚卸しができます。例えば、異動や退職で不要となったユーザーの棚卸しなどに活用できます。
アクセスレビューを使用すべき状況は次のドキュメントにまとまっています。
アクセスレビューの設定
本ブログでは、Azure AD のエンタープライズアプリケーションに対するアクセスレビューを構成して確認してみます。
対象とするエンタープライズアプリケーションには AWS IAM Identity Center (旧 AWS Single Sign-on) を関連付けています。
始めに、Azure AD のエンタープライズアプリケーションの「アクセスレビュー」から「新しいアクセス レビュー」を作成します。
対象のエンタープライズアプリケーションを選択します。スコープはすべてのユーザーとしています。
次に、レビュープロセスに関する設定を行います。今回はテスト目的なので、レビュー期間 (日数) は1 日とし、確認の繰り返しも1 回としています。
次に、リソースへの結果の自動適用(レビュー完了後にアクセスを拒否したユーザーを削除するかどうか)やレビュー担当者が応答しない場合の対応、レビューの通知先を設定します。今回は「リソースへの結果の自動適用」は無効にしています。また、レビュー担当者が応答しない場合でも何もしない設定としています。
最後に、アクセスレビュー名を入力し、設定内容を確認してから作成します。
以上で設定は完了です。
アクセスレビューの詳細画面です。レビュー実施前なので、レビュー対象のユーザーはすべて未レビュー状態です。
アクセスレビューの実施
レビュー担当者に指定したユーザーに次のような依頼メールが届いていました。
メールの「レビューを開始する」をクリックするとレビュー画面が表示されます。
レコメンデーションでは、サインインしてから 30 日未満のユーザーは承認するが推奨されています。
利用中のユーザーを選択して「承認する」を選択してみます。理由欄を入力して「送信」します。
30 日以上サインインしていないユーザーでは拒否が推奨されています。
承認時と同様に、利用していないユーザーは「拒否」を選択してみます。理由欄を入力して「送信」します。
レビュー後は決定欄に選択した結果が表示されます。
以上の要領ですべてのユーザーのレビューを終わらせます。
レビュー内容は Azure Portal のアクセスレビューの詳細画面にも反映されています。
期限である 1 日が経過するとレビューが終了したことを告げるメールを受信しました。
改めて結果を確認してみます。結果欄で承認済みなのか拒否なのか確認できます。レビュー結果は CSV ファイルとしてダウンロードすることもできます。
以上で、アクセスが不要なユーザーの棚卸しができました。今回はアクセスレビューの設定で「リソースへの結果の自動適」を無効にしているため、アクセスを拒否したユーザーでも削除されずに残ったままです。
なお、レビュー後の設定画面は非活性となっており、変更できなくなっていました。
さいごに
AZ-500 の勉強をしており、自身の復習も兼ねて Azure AD のアクセスレビュー機能を試してみました。
このブログがどなたかのご参考になれば幸いです。
