問題
Microsoft 365 E5 サブスクリプションを持っています。
Entra IDロールのアクセス レビューを作成します。
レビュー要求に応答しないユーザーはロールから自動的に削除されるようにする必要があります。
ソリューションは、管理者の労力を最小限に抑える必要があります。
どの2つの設定を変更する必要がありますか?
回答
- レビュー担当者が応答しない場合
- 正当な理由が必要
解説
アクセスレビュー
グループメンバー、アクセス権、ロール権限など放置して過大になりがちなものに対して、定期的に見直しを行うことを補助する機能。
レビュー担当者やレビュー頻度を定義し、グループメンバーやアクセス権の削除などを実行できる。
M365 E5ライセンスやEntra Suiteなどで利用可能
選択肢の影響
- リソースへの結果の自動適用
有効になっている場合は、アクセスレビューのレビュー結果を自動的に反映する。
無効の場合はレビューが終わった後にレビュー履歴から手動で適用をする。
- レビュー担当者が応答しない場合
アクセスレビューは設定した期日になるとレビュー担当者にレビュー依頼の通知を送る。
これに担当者が反応しない場合の挙動を選択できる。
変更なし > ユーザーのアクセス権は変更されない
アクセスの削除 > ユーザーのアクセス権を削除する
アクセスを承認する > ユーザーのアクセス権を承認する
推奨事項の実行 > ユーザーの継続的なアクセスを拒否または継続するためのシステムの推奨事項を受け取る
今回の要件として、「レビュー要求に応答しないユーザーはロールから自動的に削除されるようにする必要があります。」とあるので、この項目を「アクセスの削除」に設定することで実現可能になる。
- 30日間サインインなし
有効にすると、テナントに30日間サインインしていない全てのユーザーに対するアクセスレビューの評価として「拒否」にした方がいいですよ、という推奨がレビュー担当者に送られる。
- ユーザー対グループの所属
有効にすると、機械学習の判定結果で他のグループ内の他のユーザーと絡みが薄いユーザーのアクセスレビューの評価を「拒否」にした方がいいですよ、という推奨がレビュー担当者に送られる。
※ID GovernanceもしくはEntra Suiteライセンスがないと有効化できない機能
- 正当な理由が必要
レビュー担当者が「承認」をする場合、レビュー担当者に承認理由を記載させる
この「正当な理由が必要」の項目は、アクセスレビューの評価をするための追加の作業になるため、「管理者の労力を最小限に」という要件に適さない。
なので、この項目を無効化することが最も要件を満たす回答となる。
おまけ
アクセスレビューの通知はメールで届く(メール通知にチェックを入れていれば)
メールの見落としなどの観点も加味して実運用は検討する必要がある。
コメント