Entitlement Management(エンタイトルメント管理)
Entitlement Management(エンタイトルメント管理) は、Microsoft Entra ID Governance の機能の一つで、組織がアクセス要求ワークフロー・アクセス割り当て・レビュー・失効を自動化することで、アイデンティティとアクセスのライフサイクルを大規模に管理できる仕組みです。
なぜ Entitlement Management が必要か
企業では、グループ・アプリケーション・SharePoint Online サイトなど、様々なリソースへのアクセスを管理する必要があります。以下のような課題が生じがちです。
- アクセスの発見が困難: どのリソースに誰がアクセスできるかを把握しにくい
- 承認プロセスが不明確: 誰に承認を求めればよいか分からない
- アクセスの長期保持: 業務上不要になってもアクセス権が残り続ける
- 外部ユーザーの管理: 他組織からのゲストユーザーの招待・管理が煩雑
Entitlement Management はこれらの課題を解決します。内部ユーザーだけでなく、組織外のユーザー(B2B コラボレーション)のアクセスも管理できます。
主な機能
- グループ・アプリケーション・Teams・SharePoint サイト・SAP IAG アクセス権などへのアクセスを一元管理
- 多段階承認と、時間制限付きアクセス割り当ておよび定期的なアクセスレビューによる期限管理
- 部門やコストセンターなどの属性変化に基づくアクセスの自動付与と自動削除
- 管理者以外のユーザーに対するアクセスパッケージ作成権限の委譲
- 外部組織(Connected Organization)からのアクセス要求受け付けと、アクセス期限切れ時の B2B アカウント自動削除
主要な概念
アクセスパッケージ(Access Package)
アクセスパッケージは、プロジェクトや業務に必要なリソースとアクセス権をまとめたバンドルです。必ずカタログ内に含まれます。
管理できるリソースの種類:
| リソース種別 | 説明 |
|---|---|
| Microsoft Entra セキュリティグループ | グループメンバーシップ |
| Microsoft 365 グループ・Teams | コラボレーションツールへのアクセス |
| エンタープライズアプリケーション | SaaS アプリや SSO 統合アプリへの割り当て |
| SharePoint Online サイト | サイトメンバーシップ |
| API アクセス許可(プレビュー) | エージェント ID・サービスプリンシパル向け |
| SAP IAG ビジネスロール(プレビュー) | SAP のアクセス権 |
また、Microsoft Entra セキュリティグループや Microsoft 365 グループを介して間接的に以下も管理できます。
- Microsoft 365 ライセンス(グループベースライセンスを使用)
- Azure リソースへの RBAC ロール割り当て
- Microsoft Entra ロール(ロール割り当て可能グループを使用)
カタログ(Catalog)
カタログはアクセスパッケージの入れ物(コンテナー)です。委譲の仕組みとして機能し、管理者以外のユーザーが自分のリソースを使った独自のアクセスパッケージを作成できます。
| 特権レベル | 説明 |
|---|---|
| Standard | 通常のリソースを含むカタログ |
| Privileged | 昇格権限を付与するリソースを含むカタログ |
カタログオーナーは他のユーザーをカタログの共同オーナーやアクセスパッケージマネージャーとして追加できます。
ポリシー(Policy)
ポリシーは、アクセスのライフサイクルを定義するルール(ガードレール)の集合です。アクセスパッケージにリンクされます。
ポリシーで定義できる内容:
- 対象者: アクセスを要求できるユーザーまたはグループ
- 承認フロー: 承認者と承認手順(最大3段階)
- 有効期限: アクセス割り当ての期間
- 自動割り当て: 属性変化に基づくアクセスの自動付与・削除
一つのアクセスパッケージに複数のポリシーを設定できます(例: 社内用と外部用で別ポリシー)。
承認ワークフロー(Approval Workflow)
アクセス要求に承認フローを設定できます。最大3段階の承認が可能です。
承認者の種類:
- マネージャー(Manager as approver): 要求者の上長が自動的に承認者
- スポンサー(Sponsor): 内部スポンサーまたは外部スポンサー
- 特定のユーザー/グループ: 個別に指定した承認者
要求者
↓(アクセス要求)
第1承認ステージ(例: 直属マネージャー)
↓(承認)
第2承認ステージ(例: リソースオーナー)
↓(承認)
第3承認ステージ(例: セキュリティレビュアー)
↓(承認)
アクセス割り当て(有効期限付き)
承認が指定された日数内に行われない場合、自動的に拒否されます。また、代替承認者(Alternate Approver)を設定することでタイムアウトを防ぐことができます。
Connected Organization(接続された組織)
外部の Microsoft Entra ディレクトリやドメインとの関係を設定できます。接続された組織のユーザーはアクセスパッケージを要求でき、承認されると自動的にゲストとして招待されます。アクセス期限切れや割り当てがなくなった場合は、B2B アカウントが自動的に削除されます。
Entitlement Management のロール
委譲の仕組みにより、管理者権限を持たないユーザーにも適切な権限を付与できます。
| ロール | 説明 |
|---|---|
| Identity Governance Administrator | 全機能へのフルアクセス |
| Connected Organization Administrator | 接続された組織の管理 |
| Catalog creator | 新しいカタログの作成権限 |
| Catalog owner | 所有するカタログとそのリソースの管理 |
| Access package manager | アクセスパッケージの作成・管理 |
| Access package assignment manager | アクセスパッケージへの直接割り当て |
用語まとめ
| 用語 | 説明 |
|---|---|
| アクセスパッケージ | リソースとアクセス権のバンドル。カタログ内に含まれる |
| アクセス要求 | アクセスパッケージへのアクセスを求める要求。通常は承認ワークフローを経る |
| 割り当て | アクセスパッケージがアイデンティティに割り当てられた状態。通常は有効期限付き |
| カタログ | 関連リソースとアクセスパッケージのコンテナー。委譲に使用される |
| Catalog creator | 新しいカタログを作成する権限を持つユーザーのコレクション |
| Connected Organization | 関係性のある外部 Microsoft Entra ディレクトリまたはドメイン |
| ポリシー | アクセスのライフサイクルを定義するルールの集合 |
| リソース | グループ・アプリケーション・SharePoint サイトなどのアセット |
| リソースロール | リソースに関連付けられた権限のコレクション(例: グループのメンバー・オーナー) |
利用シーン(いつ使うか)
Entitlement Management が特に適している状況:
- 一時的なアクセスが必要な場合: プロジェクト期間中のみアクセスが必要なリソース
- 承認が必要なアクセス: 上長や担当者の承認を経てアクセスを付与したい場合
- 外部コラボレーション: 他社ユーザーへのリソース提供(B2B)
- 自部門のアクセス管理を IT に依頼したくない: 部門が独自にアクセスポリシーを管理したい場合
- サードパーティ製 Enterprise Role Management からの移行: 既存のロール定義を Microsoft Entra ID に移行する場合
自動化との連携
Entitlement Management は他のガバナンス機能やサービスと連携できます。
| シナリオ | 手段 |
|---|---|
| 属性変化に基づく自動割り当て | 自動割り当てポリシー |
| アクセス有効期限の管理 | ライフサイクル設定 |
| 要求・付与・削除時のカスタムワークフロー | Azure Logic Apps との統合 |
| 外部ゲストの定期的なレビュー | アクセスレビュー |
| プログラムによる管理 | Microsoft Graph API(EntitlementManagement.ReadWrite.All) |
ライセンス要件
Entitlement Management には Microsoft Entra ID Governance または Microsoft Entra Suite サブスクリプションが必要です(一部機能は Microsoft Entra ID P2 で利用可能)。
ライセンスの詳細は Microsoft Entra ID Governance ライセンスの基礎 を参照してください。