Azure AD アクセス レビューを使用して非アクティブなゲストを確認する

Azure AD アクセス レビューを使用して非アクティブなゲストを確認する

非アクティブなゲストを Microsoft 365 グループから削除する

Azure AD のアクセス レビューは、役立つ優れた ID ガバナンス機能です。 組織は、リソースへのユーザーおよびゲストのアクセスを定期的に確認しますこれには、Microsoft 365 グループのメンバーシップが含まれます。この種の自動化は、管理者がグループ、ゲスト、アクセス許可、およびロールの割り当てを追跡するのが難しいと感じる大企業で最も価値があります。Graph API を使用すると、アクセス レビューのさらなる自動化とレポート作成が可能です。

テナントは、 Azure AD Premium P2 の 30 日間無料トライアルこれは、長期的なコミットメントを決定する前にアクセスレビューをテストする場合に必要です。レビューの範囲内のグループ内のゲスト アカウントのライセンスは、Azure サブスクリプションを必要とする Azure AD の月間アクティブ ユーザー (MAU) 課金モデルの対象となります。

非アクティブなゲストの検索

Microsoft が 2016 年後半に Office 365 グループに対して Azure AD ゲスト サポートを導入した直後、ゲスト アカウントを管理するための管理サポートがあまり利用できないことが明らかになりました。それ以来、テナント内のゲスト アカウントの数は、主に Teams の成功だけでなく、SharePoint Online がドキュメント共有用のゲスト アカウントを作成するためにも、爆発的に増加しました。ただし、急成長しているゲストアカウントを管理するために使用できるツールセットはまだまばらです。

最近、Microsoft は Azure AD アクセス レビューの新しいプレビュー機能を導入し、組織が非アクティブなゲスト アカウントのアクセス レビューを実行できるようにしました。テナントに対話的または非対話的にサインインしていない人。

非アクティブなゲストを検索するアクセスレビューを作成するのは簡単です。レビューは以下をカバーしています:

  • ゲストメンバーを持つすべての Microsoft 365 グループ (ゲストユーザーのみをチェックします)。
  • 非アクティブを判別する期間は、1 日から 730 日までです。

他のタブには、レビューが 1 回限りのイベントであるかスケジュールどおりに行われるか、レビュー担当者が応答しない場合の対処方法、レビュー期間の完了時に何が起こるかを説明する設定があります。

図 1 は、過去 365 日間非アクティブなゲストを見つけるために作成したアクセス レビューを示しています。

非アクティブなゲスト アカウントの Azure AD アクセス レビューの作成
図 1: 非アクティブなゲスト アカウントの Azure AD アクセス レビューの作成

非アクティブなゲストの確認

レビューを作成すると、Azure AD のバックグラウンド処理によって、テナント内のゲスト メンバーを持つ Microsoft 365 グループが検索されます。Azure AD は、レビュー期間のサインイン レコードを使用して、グループ内のゲストが非アクティブと見なされるかどうかを判断し、Azure AD はグループ所有者に電子メールを送信し (図 2)、非アクティブなグループを確認し、非アクティブなゲストに対してグループのメンバーシップを継続するかどうかを決定するように依頼します。

グループ所有者が非アクティブなゲストを確認するためのメール通知
図 2: グループ所有者が非アクティブなゲストを確認するための電子メール通知

メッセージ内の[レビューの開始]リンクをクリックすると、グループの所有者は MyAccess.microsoft.com のページに移動し、非アクティブなゲストを表示して、それぞれのゲストに対して決定を下すことができます (図 3)。この場合、Azure AD はゲスト アカウントのサインイン データを見つけることができませんでした。

非アクティブなゲストに対する Azure AD アクセス レビューの実行
図 3: 非アクティブなゲストに対する Azure AD アクセス レビューの実行

グループ所有者はレビューを無視することを決定でき、その場合、アクセスレビューの設定によって何が起こるかが決まります。これは何もしないということかもしれません。また、非アクティブなゲストのアクセス権を削除することもできます。グループの所有者がレビューを実行するのが最善です (管理者が作業を行うためにグループ所有者をだます必要がある場合でも)。

レビュー期間が終了すると、Azure AD はレビューの決定を実装し、非アクティブなゲストを削除するか、そのままにしておきます。

良い音が、Outlookグループについて

アクセスレビューを実行してグループメンバーシップから非アクティブなゲストを削除することは素晴らしいアイデアのように聞こえ、実装は機能します。ただし、このスキームには 1 つの大きな欠陥があり、それがサインイン データへの依存です。これは Azure AD のレビューであり、ゲスト アカウントが使用されているかどうかを判断するために Azure AD が利用できる最良のデータはサインイン履歴であるため、理解できます。

問題は、一部のゲストアカウントがテナントにサインインせずにアクティブになる可能性があることです。Outlook グループのゲスト メンバー (Office 365 グループの元の実装) は、電子メールを使用して通信し、SharePoint Online サイトやプランナーなどの他のグループ リソースにアクセスしない限り、グループをホストしているテナントにサインインする必要はありません。

私このカテゴリに複数の Outlook グループがあります。アクセスレビューでは、これらのグループのほとんどのゲストが強調表示されました。アクセスレビューでタグ付けされなかったゲストは、Teams または別のアプリケーションを使用するためにテナントにサインインしたゲストのみでした。

Microsoft 365 グループアクティビティの大部分は、セッション中に 1 時間ごとにサインインするアプリケーションである Teams に焦点を当てるようになりました。Teams で使用されるゲスト アカウントが非アクティブな状態を Azure AD が認識できないという危険はありません。

日曜大工非アクティブ ゲストレビュー

非アクティブな可能性があるゲスト アカウントを見つけるために、Azure AD アクセス レビューに料金を支払う必要はありません。長年にわたり、私はこのトピックについて書いてきましたが、最近では私のアプローチを説明しました 非アクティブなゲストアカウントの検出、レポート、および管理 PowerShell を使用します。さらに簡単な方法は、特定の年齢以上のすべてのゲストアカウントとそのグループメンバーシップのレポートを作成することです。

このような洞察は簡単には得られません。テクノロジーを知り、舞台裏の見方を理解する必要があります。の知識と経験から利益を得る Office 365 for IT プロフェッショナル Office 365とより広いMicrosoft 365エコシステムをカバーする最高の電子書籍を購読することでチーム。

未分類

Posted by admin