ビジネスパートナーと外部ユーザー向けの新しいガバナンス シナリオを計画する
概要: ビジネス パートナーと外部ユーザーのシナリオの概要
通常、すべてのビジネス プロセスでは、ある時点で、パートナー、請負業者、またはベンダーとの連携が必要になります。 この連携を容易にするために、ビジネス パートナーと外部ユーザーにあなたの組織へのアクセス権が必要となる場合があります。 パートナー、ベンダー、外部ユーザーに関わるビジネス計画には、組織とパートナー間の効果的なコラボレーション、統合、および目標の調整を可能にするテクノロジ ソリューションの設計と実装が含まれます。
Microsoft では、組織との関係に基づいて、次のペルソナを定義しています。
- 従業員。 組織のフルタイム従業員、パートタイム従業員、または請負業者。
- ビジネス パートナー。 企業とビジネス関係を持つ組織。 これらの組織には、共通の目標を達成するために企業と協力するサプライヤー、ベンダー、コンサルタント、戦略的提携先などが含まれます。
- 外部ユーザー。 ビジネス パートナーやコンシューマーなど、組織外部のユーザー。
ビジネス プロセスおよびビジネス パートナーと外部ユーザーのシナリオの例
ゲスト シナリオまたは外部アクセス シナリオは、ビジネス パートナーまたは外部ユーザーが組織のリソースと対話する特定のユース ケースであり、組織の Microsoft Entra テナントの 1 つで表現する必要があります。 これらのシナリオは、ビジネス プロセスのほとんどすべての側面に及びます。
次の各ビジネス プロセスと、パートナー計画とやり取りがどのように行われるのかを例として考えてみましょう。 次の表は、これらのプロセスの詳細と、ビジネス パートナーおよび外部ユーザーが関与するシナリオの例を示しています。
| ビジネス プロセス | Definition | ビジネス パートナーと外部ユーザーの例 |
|---|---|---|
| ビジネス プロセス管理 | 組織のワークフローと運用を改善するための体系的なアプローチ。 | 信用スコアリング機関と提携してローン承認プロセスを効率化する金融サービス会社。 |
| 統合ビジネス計画 | 組織の戦略目標、運用計画、財務予測を調整し、意思決定のための一貫性のある統一されたフレームワークを作成するための総合的なアプローチ。 | 小売企業は、統合された計画プラットフォームを通じて売上予測と在庫レベルをサプライヤーと共有します。 |
| 顧客関係管理 | 組織と顧客とのやり取りを管理するための戦略的なアプローチとシステム。 | ディーラーとのやり取りを調整、サポート、最適化する自動車会社。 |
| サプライ チェーン オーケストレーション | 調達から配送までのすべての段階で効率性、可視性、応答性を確保するためのすべてのサプライ チェーン プロセスの協調管理。 | サプライ チェーンを持ち、サプライヤーやベンダーと連携する必要がある会社。 |
| ビジネス パートナー アカウントのライフサイクル | 組織とその外部ビジネス パートナー間の関係とやり取りを管理するエンド ツー エンドのプロセス。 | ソフトウェア ベンダーと提携して製品の提供を強化するテクノロジ企業。 |
| 他の組織との B2B コラボレーション | 共有リソース、情報、取り組みを通じて共通の目標を達成するための、2 社以上の企業間の戦略的パートナーシップ。 | ベーカリーと提携して双方のビジネスのサービスを強化する地元のコーヒー ショップ。 |
シナリオを理解することは、適切なアクセス制御を設計し、外部の個人との円滑なコラボレーションを確保するのに役立ちます。
ビジネス パートナーと外部ユーザー向けの新しいガバナンス シナリオの領域
新しいビジネス パートナーと外部ユーザー ソリューションの領域には、通常、次のようなものがあります。 これらは次のとおりです。
- ビジネス要件を把握する - 外部 ID の現在のライフサイクルとガバナンス プロセスを特定します。 この演習は、適用可能なシナリオ、実現可能性、スコープを決定するのに役立ちます。
- セキュリティ態勢を決定する - シナリオごとに組織のセキュリティとコラボレーションのニーズを評価します。
- ビジネスパートナーと外部ユーザーのオンボーディング - ゲストまたは外部 ID に関するオンボーディングは、組織のシステムにこれらの ID を設定するプロセスです。
- ビジネスパートナーと外部ユーザーのオフボーディング - ゲストまたは外部 ID に関するオンボーディングは、組織のシステムからこれらの ID を削除するプロセスです。
ライセンス要件
以下の機能の一部を使用するには、Azure Active Directory Identity Governance または Microsoft Entra スイートのライセンスが必要です。 要件に適したライセンスを見つけるには、「Azure Active Directory Identity Governance のライセンスの基礎」を参照してください。
次のステップ
検出: ビジネス パートナーと外部ユーザーの現在のライフサイクルとガバナンス プロセスを特定する
外部 ID の現在のライフサイクルとガバナンス プロセスを特定します。 この演習は、適用可能なシナリオ、実現可能性、スコープを決定するのに役立ちます。
Azure Active Directory Identity Governance による従業員とゲストのライフサイクルの管理について、外部 ID に重点を置いて確認します。 ここで説明するプロセスは、ゲスト ユーザー、サプライヤー、その他の外部ユーザーが共同作業を行ったりリソースにアクセスしたりするためにも必要になります。 このドキュメントでは、ガバナンス プロセスを検出するために実行できるアクションについて説明します。
ビジネス パートナーと外部ユーザーのガバナンス シナリオではエンタイトルメント管理が使用されるため、「エンタイトルメント管理の一般的なシナリオ」も確認する必要があります。 これは、ユーザーのロールに基づくエンタイトルメント管理の一般的なシナリオを提供します。 ソリューションを計画する際にはこれらを考慮する必要があります。
現在の状態を評価する際に考慮すべきその他の領域のガイドとして、次の表を使用することもできます。
| プロセス | 説明 |
|---|---|
| 外部コラボレーションを開始するユーザーを決定する | 一般的に、外部コラボレーションを求めるユーザーは、使用するアプリケーションと、アクセスの終了時期がわかっています。 そのため、外部ユーザーの招待、アクセス パッケージの作成、アクセス レビューの完了を委任されたアクセス許可を持つユーザーを決定します。 |
| ビジネス パートナーと外部ユーザーを列挙する | 外部ユーザーは、パートナーが管理する資格情報をもつ Microsoft Entra B2B ユーザーであることも、ローカルにプロビジョニングされた資格情報をもつ外部ユーザーであることもあります。 通常、これらのユーザーの UserType は Guest です。 |
| メール ドメインと companyName プロパティを検出する | 外部ユーザーのメール アドレスのドメイン名によって外部の組織を特定できます。 |
| 許可リスト、ブロックリスト、エンタイトルメント管理を使用する | 許可リストまたはブロックリストを使用して、組織とのテナント レベルでのコラボレーション、またはブロックを有効にします。 |
| 外部ユーザー アクセスを決定する | 外部ユーザーと組織のインベントリを使用して、これらのユーザーに付与するアクセス権を決定します。 |
| アプリケーションのアクセス許可を列挙する | 外部アクセスを認識できるように、機密性の高いアプリへのアクセスを調査します。 |
| 非公式の共有を検出する | メールとネットワーク プランが有効になっている場合、メールや許可されていないサービスとしてのソフトウェア (SaaS) アプリ経由で共有されているコンテンツを調査できます。 |
詳細については、「組織内での外部コラボレーションの現在の状態を検出する」を参照してください
例 - 現在のライフサイクルとガバナンス プロセスを特定する
あなたは活気のあるテクノロジ企業 Contoso の IT 管理者であり、コンサルタント、ベンダー、パートナーなどの外部のビジネス ユーザーを効率的かつ安全にオンボーディングするという課題にたびたび直面しています。 現在のオンボーディング プロセスは断片化され、一貫性がないため、セキュリティの脆弱性と非効率性につながっています。 これに取り組むために、あなたは主な要件を特定し、Microsoft Entra をどのように活用できるかを理解するための検出フェーズに着手します。
主な要件には、次のようなものがあります。
- 独自のアクセス レベルを必要とするさまざまな部門による多様なゲスト オンボーディングのニーズ。
- ゲスト ユーザーがタスクを実行するために必要な最小限の権限を持つようにすることが重要であり、機密データを保護するための強力な条件付きアクセス ポリシーと多要素認証が必要です。
- IT 管理者と外部ユーザーの両方にとってシームレスで使いやすいオンボーディング プロセス。 外部ユーザーは、不要な遅延なしに、必要なリソースにすばやく簡単にアクセスできる必要があります。
- Microsoft Teams や SharePoint などの既存のコラボレーション ツールとの統合、およびセルフサービス サインアップ (SSSU) のオプション
- ゲスト ユーザーのアクティビティを定期的に監視し、アクセスの有効期限を設定し、定期的なアクセス レビューによってゲスト アクセスが長期にわたって適切な状態を維持するようにすることで、ゲストを管理する機能。 詳細については、「Microsoft Entra ID Governance を使用して従業員とゲストのライフサイクルを管理する」および「組織内での外部コラボレーションの現在の状態を検出する」を参照してください
これらの重要な要件を念頭に置いて、考慮すべき 2 つの点を次に示します。
- 外部ユーザーをテナントにオンボードする
- 外部ユーザーにリソースへのアクセスを許可する
ビジネス ケースに応じて、さまざまなオプションがあります。 外部ユーザーのオンボーディングと使用可能なオプションについて詳しく見ていきましょう。
次のステップ
セキュリティ態勢: ビジネス パートナーと外部ユーザーのセキュリティ態勢を決定する
外部アクセスのガバナンスを検討するときは、組織のセキュリティとコラボレーションのニーズをシナリオ別に評価します。 まずは、エンド ユーザーの日常的なコラボレーションに対する IT チームの制御レベルから始めることができます。 規制が非常に厳しい業界の組織では、IT チームによる管理がより多く必要になる場合があります。
次に例を示します。
- 防衛関連の請負業者には、外部ユーザー、そのアクセス権、アクセス権の削除を明確に特定して文書化する要件がある場合があります。
- コンサルティング機関は、特定の機能を使用して、エンド ユーザーが共同作業を行う外部ユーザーを特定できるようすることができます。
- 銀行の契約社員は、ソフトウェア会社の契約社員よりも多くの制御を必要とする場合があります
注意
コラボレーションに対する管理を厳しくすると、IT 予算の増加、生産性の低下、ビジネス成果の遅延につながる可能性があります。 公式のコラボレーション チャネルが煩わしいと認識されると、エンド ユーザーは公式チャネルを回避する傾向があります。 たとえば、エンド ユーザーがセキュリティで保護されていないドキュメントを電子メールで送信したりします。
シナリオベースの計画
IT チームは、パートナーにアクセス権を委任して、従業員がパートナーと共同作業できるようにすることができます。 このような委任は、知的財産を保護するための十分なセキュリティを維持しながら行われる場合があります。
従業員とビジネス パートナーのリソースへのアクセスを評価するのに役立つ組織のシナリオをまとめ、評価します。 金融機関には、アカウント情報などのリソースへの従業員のアクセスを制限するコンプライアンス標準がある場合があります。 逆に、同じ機関で、マーケティング キャンペーンなどのプロジェクトに対して、委任されたパートナー アクセスを有効にできます。
シナリオに関する考慮事項
次のリストを使用して、アクセス制御のレベルを測定します。
- 情報の機密性と、その露出に関連するリスク
- 他のエンド ユーザーに関する情報へのパートナー アクセス
- セキュリティ侵害の被害コストと、一元管理の負担やエンドユーザーの不便との兼ね合い
組織ではまずコンプライアンス目標を達成するために厳しい管理を徹底し、その後、必要に応じて一部の管理をエンドユーザーへ委任していくことができます。 組織内には同時に複数のアクセス管理モデルが存在する場合があります。
アーキテクチャに関する考慮事項
適切なセキュリティ アーキテクチャ設計は、セキュリティで保護されたビジネス パートナーと外部ユーザーのシナリオを確保するうえで不可欠な要素です。 セキュリティ プランのドラフトを作成する際には、さまざまな種類の推奨アーキテクチャについて理解しておく必要があります。 Microsoft Identity Governance を使用する推奨アーキテクチャは次のとおりです。
- 従業員とコラボレーション重視のアーキテクチャに関する考慮事項 - 従業員が外部組織のビジネス パートナーと共同作業できるようになります。
- ビジネス パートナーの分離アクセス - 外部ユーザーを組織のテナントから分離します
推奨ドキュメント
最後に、次のドキュメントを確認してください。 このドキュメントを確認することで、ビジネス パートナーと外部ユーザーのシナリオで使用できるセキュリティ プランを考案して作成できるようになります。
- Microsoft Entra を使用した Microsoft Entra 外部 ID デプロイ アーキテクチャ
- セキュリティで保護された外部コラボレーション
- Microsoft Entra B2B コラボレーションのデプロイを計画する。
次のステップ
オンボード: ビジネスパートナーと外部ユーザーのオンボーディング
ビジネス パートナーと外部ユーザーのオンボーディングは、ID およびアクセス管理の重要な側面であり、組織内のセキュリティ、コンプライアンス、運用効率を維持するのに役立ちます。 ビジネス パートナーと外部ユーザーのオンボーディングは、次のように分類できます。
- 外部パートナーを追加するためのオンボーディング プロセスを開発する。
- 外部ユーザーをシステムに追加するためのオンボーディング プロセスを開発する。
ビジネス パートナーのオンボーディング プロセス
次の項目は、組織のビジネス パートナーをオンボードする際に考慮すべき一般的な手順の一覧です。
- ビジネス パートナーとの共同作業の開始日を決定します。
- 具体的な開始日時を関連するすべての部門に通知します。
- ビジネス パートナーによるすべてのシステム (ポータル、ツール、API) へのアクセスの開始を調整します
- パートナーのリンクされたアカウントが追加され、ロールと割り当てが承認されます
外部ユーザーのオンボーディング プロセス
次の項目は、組織の外部ユーザーをオンボードする際に考慮すべき一般的な手順の一覧です。
- 開始日を決定します。
- 個々のユーザー アクセスをシステムに追加するよう IT 部門に通知します。 これは、アクセス パッケージと自己要求を使用して自動化できます。
- 実行したオンボーディング手順を記録します。
- 人事、IT、および関連するすべての部門から最終承認を得て、オンボーディングに関するすべての側面が完了していることを確認します。
エンタイトルメント管理を使用してオンボーディングを容易にする
エンタイトルメント管理では、カタログ、アクセス パッケージ、およびポリシーを使用して、次の処理を行います。
- リソースにアクセスできるユーザーを制御する
- ユーザーに自動的にアクセス権を付与する
- ユーザーのアクセス権を削除する
- アクセス パッケージを作成する権限を、管理者以外の担当者に委任できます。
- 接続先の組織を選択して、その組織のユーザーがアクセス権を要求できるようにすることができます。
詳細については、「エンタイトルメント管理とは」を参照してください
カタログ、アクセス パッケージ、ポリシー
エンタイトルメント管理では、アクセス パッケージに複数のポリシーを設定でき、各ポリシーでは、ユーザーがアクセス パッケージへの割り当てを取得する方法と、その期間を設定します。 エンタイトルメント管理では、ビジネス パートナーと外部ユーザーをオンボードし、そのアクセス権とアカウントをテナントに追加するように構成できます。
一般的なアクセス パッケージには、次の処理が含まれます。
- パッケージに関連付けられているすべてのリソースへのアクセス権を追加する
- 必要なすべてのグループにユーザーを追加する
- ゲスト ユーザー ディレクトリにアカウントを追加する
- コンプライアンスのために監査ログを使用する
- オンボーディングが成功したことを確認する通知を送信する
カタログは、リソースとアクセス パッケージのコンテナーです。 関連するリソースとアクセス パッケージをグループ化したい場合は、カタログを作成できます。 たとえば、Contoso などの別の組織と取引する組織用に、ビジネス パートナー カタログを作成できます。 このカタログ内で、アクセス パッケージを作成できます。 アクセス パッケージを使用すると、リソースとポリシーを 1 回だけ設定して、アクセス パッケージの存続期間中にアクセスを自動的に管理できます。 これらのアクセス パッケージは、Contoso 内のさまざまな外部ユーザーとパートナー、および Contoso 組織全体に合わせて調整できます。 たとえば、Contoso ベンダー用、Contoso 請負業者用、Contoso 組織用のアクセス パッケージを用意することができます。 詳細については、「エンタイトルメント管理でリソースのカタログを作成して管理する」を参照してください
アクセス パッケージを使用すると、リソースとポリシーを 1 回だけ設定して、アクセス パッケージの存続期間中にアクセスを自動的に管理できます。 すべてのアクセス パッケージは、カタログという名前のコンテナーに配置する必要があります。 アクセス パッケージを使うと、カタログにある複数のリソースのロールにアクセスを割り当てることができます。 すべてのアクセス パッケージには、それらにユーザーを割り当てるためのポリシーが少なくとも 1 つ必要です。 詳細については、「エンタイトルメント管理でアクセス パッケージを作成する」を参照してください
ポリシーは、アクセス パッケージを要求できるユーザーを指定するほか、承認とライフサイクルの設定、またはアクセスを自動的に割り当てる方法も指定します。
詳細については、「エンタイトルメント管理を使用し、外部ユーザーをオンボードする」を参照してください
ビジネス パートナーと外部ユーザーにオンボーディング アクセスを提供する
エンタイトルメント管理を使用すると、指定した組織のユーザーがアクセス パッケージをセルフサービスで使用できるようにするポリシーを定義できます。 そのポリシーには、承認が必要かどうか、アクセス レビューが必要かどうか、およびそのアクセスの有効期限が含まれます。
詳細については、「エンタイトルメント管理で外部ユーザーのアクセスを管理する」を参照してください
具体的な例については、「チュートリアル - 承認プロセスを通じて Microsoft Entra ID に外部ユーザーをオンボードする」を参照してください
ライフサイクル ワークフローを使用してオンボーディング タスクを支援する
ライフサイクル ワークフローは Identity Governance 機能です。組織はこれを使用して、次の 3 つの基本的なライフサイクル プロセスを自動化することで、Microsoft Entra ユーザーを管理できます:
- 就職者: 個人がアクセスを必要とするスコープに入るとき。 たとえば、会社や組織に参加する新入社員です。
- 異動者: 個人が組織内の境界間を移動するとき。 この移動には、より多くのアクセスまたは認可が必要になる場合があります。 たとえば、マーケティングに所属していたユーザーが、営業組織のメンバーになった場合などです。
- 退職者: 個人がアクセスを必要とするスコープから外れるとき。 この移動には、アクセスの削除が必要になる場合があります。 たとえば、退職する従業員や解雇された従業員などです。
ワークフローには、ライフサイクルの遷移に合わせてユーザーに対して自動的に実行される特定のプロセスが含まれています。 ワークフローは、タスクと実行条件で構成されています。
ビジネス パートナーと外部ユーザーが作業を開始できるようにするタスクの多くは、ライフサイクル ワークフローを使用して自動化できます。 詳しくは、「ライフサイクル ワークフローとは」を参照してください
これらのタスクやその他のタスクを自動化する方法の詳細については、「従業員とゲストのオンボーディング タスクを自動化する」を参照してください
直接割り当てを使用して追加リソースを反復処理する
ゲスト ユーザーに割り当てる必要がある追加要件があるかもしれません。 これは、アクセス パッケージとエンタイトルメント管理を使用して実行できます。
たとえば、通常のユーザーに割り当てられているアクセス パッケージがあり、同様のパッケージをゲスト ユーザーにも割り当てたい場合があります。 エンタイトルメント管理を使用すると、ゲスト ユーザーをこれらのアクセス パッケージに割り当てることができます。 「エンタイトルメント管理でアクセス パッケージの割り当てを表示、追加、削除する」を参照してください
既存のパッケージを変更せずに新しいパッケージを作成し、そのパッケージにゲスト ユーザーを割り当てることもできます。 詳細については、以下を参照してください。
以下のセクションでは、ゲスト ユーザーをオンボードするさまざまな方法の例を示します
例 - エンタイトルメント管理を使用したユーザーのプロビジョニング
IT 管理者として、Fabrikam の外部コンサルタントをオンボードして共同作業する必要があるプロジェクトを特定しました。 アクセス管理、承認ワークフロー、ライフサイクル管理を自動化することが重要です。 Microsoft Entra のエンタイトルメント管理を使用して、複数のリソース (グループ、アプリケーション、SharePoint サイトなど) をバンドルできるアクセス パッケージを作成し、アクセス権が付与される前に適切な個人がアクセス要求を確認して承認することを保証する承認ワークフローを含めて、アクセスの期間を設定します。
コンサルタントに招待を送信すると、コンサルタントはアクセス パッケージを受け入れるためのリンクが記載されたメールを受信します。 コンサルタントの一人である John は、リンクをたどり、ID を検証し、数分以内に必要なリソースにアクセスできるようになります。 オンボーディング プロセスはスムーズかつ安全で、コンサルタントはすぐに共同作業を開始できます。 プロジェクトは遅延なく開始され、Contoso と Fabrikam 間の生産的なパートナーシップが確保されます。
詳細については、以下を参照してください:
- エンタイトルメント管理を使用し、外部ユーザーをオンボードする
- エンタイトルメント管理でアクセス パッケージの自動割り当てポリシーを構成する
- チュートリアル - 承認プロセスを通じて Microsoft Entra ID に外部ユーザーをオンボードする
- Microsoft Entra の展開シナリオ - 従業員やゲストのオンボーディング、ID、すべてのアプリを対象としたアクセス ライフサイクル ガバナンス
例 - エンド ユーザー主導のコラボレーション
別の設計プロジェクトでは、設計チームのマネージャーから IT 管理者であるあなたに、Global Solutions の John Doe を共同作業に加えるよう依頼がありました。 主な目的は、ユーザーをディレクトリに招待し、ディレクトリに参加させて共同作業を行うことです。 外部ユーザーの John のメール アドレスを使用して、彼をゲスト ユーザーとして招待します。 メールによる招待はシンプルかつ柔軟性があり、Gmail や Microsoft アカウントなどのソーシャル ID など、さまざまなドメインや ID プロバイダーのユーザーを招待できます。 John は自分の資格情報を使用して安全にサインインすることで、パスワードのメンテナンスやアカウントのライフサイクル管理が不要になり、オンボーディング プロセスが簡素化されます。
詳細については、「Microsoft Entra 管理センターで B2B コラボレーション ユーザーを追加する」および「外部コラボレーションの設定を構成する」を参照してください
例 - 直接割り当てを使用して追加リソースを反復処理する
IT 管理者としてあなたは、アクセス要求をバイパスし、特定のユーザーをアクセス パッケージに直接割り当てて、外部チームに即時アクセスを許可する必要があります。 アクセス パッケージに最初のアクセス パッケージ割り当てポリシーを作成します。 アクセス パッケージのポリシーを確認し、外部ユーザーを直接追加することが許可されていることを確認します。
すべての準備が整ったところで、Emma は割り当てのタブに移動しました。彼女は外部チーム メンバーのメール アドレスを入力し、正しくリストされていることを確認しました。 最終確認した後、彼女は [割り当て] ボタンをクリックしました。
ほぼ即座に、外部パートナーは招待を受け取りました。 彼らはシームレスにディレクトリに参加し、遅延なく必要なリソースにアクセスできるようになりました。 この効率的な設定により、両チームはすぐに共同作業を開始できるようになり、生産的で革新的な環境が構築されました。 詳細については、以下を参照してください。
次のステップ
オフボード: ビジネス パートナーと外部ユーザーの効率的なオフボーディング。
ビジネス パートナーと外部ユーザーのオフボーディングは、ID およびアクセス管理の重要な側面であり、組織内のセキュリティ、コンプライアンス、運用効率を維持するのに役立ちます。 ビジネス パートナーと外部ユーザーのオフボーディングは、次のように分類できます。
- 外部パートナーを削除するためのオフボーディング プロセスを開発する。
- システムから外部ユーザーを削除するためのオフボーディング プロセスを開発する。
ビジネス パートナーのオフボーディング プロセス
次の項目は、組織のビジネス パートナーをオフボードする際に考慮すべき一般的な手順の一覧です。
- ビジネス パートナーとの共同作業の終了日を決定します。
- 具体的な終了日時を関連するすべての部門に通知します。
- ビジネス パートナーによるすべてのシステム (ポータル、ツール、API) へのアクセスの終了を調整します
- パートナーのリンクされたアカウントが削除され、ロールと割り当てが取り消されます
- パートナーと共有しているデータを確認し、保持する必要があるデータや安全に削除する必要があるデータを判断します。
- パートナーのシステムから専有データや機密データを収集します
- データの削除が実行され、コンプライアンスが確保されていることを確認します。
外部ユーザーのオフボーディング プロセス
次の項目は、組織の外部ユーザーをオフボードする際に考慮すべき一般的な手順の一覧です。
- 終了日を決定します。
- 保留中の成果物またはタスクが完了していることを確認します。
- 個々のユーザー アクセスをシステムから削除するよう IT 部門に通知します。 これは、アクセス パッケージを使用して自動化できます。
- 外部ユーザーが所有するデータが転送または返却されたことを確認します。
- 外部ユーザー固有のすべてのアカウントが無効になっており、同じ組織の他のユーザーに影響がないことを確認します。
- 実行したオフボーディング手順を記録します。
- 人事、IT、および関連するすべての部門から最終承認を得て、オフボーディングに関するすべての側面が完了していることを確認します。
エンタイトルメント管理を使用してオフボーディングを容易にする
エンタイトルメント管理では、アクセス パッケージに複数のポリシーを設定でき、各ポリシーでは、ユーザーがアクセス パッケージへの割り当てを取得する方法と、その期間を設定します。 エンタイトルメント管理では、ゲスト ユーザーの最後のアクセス パッケージ割り当ての有効期限が切れたときにゲスト ユーザーを自動的にオフボードし、テナントからアクセス権とゲスト ユーザー アカウントを削除するように構成できます。
アクセス パッケージの有効期限が切れたときに、オフボーディング プロセスには次の処理が含まれている必要があります。
- 有効期限切れのパッケージに関連付けられたすべてのリソースへのアクセスを取り消す
- メンバーになっているグループからユーザーを削除する
- ゲスト ユーザー ディレクトリからアカウントを削除する
- コンプライアンスのために監査ログを使用する
- オフボーディングが成功したことを確認する通知を送信する
詳細については、「エンタイトルメント管理で外部ユーザーのアクセスを管理する」を参照してください
ライフサイクル ワークフローを使用してオフボーディング タスクを支援する
ライフサイクル ワークフローは ID ガバナンス機能です。組織はこれを使用して、いくつかの基本的なライフサイクル プロセスを自動化することで、Microsoft Entra ユーザーを管理できます。
ワークフローには、ライフサイクルの遷移に合わせてユーザーに対して自動的に実行される特定のプロセスが含まれています。 ワークフローは、タスクと実行条件で構成されています。
詳細については、「従業員の在籍最終日の後のオフボーディング タスクを Microsoft Entra 管理センターで自動化する」を参照してください
例 - ゲスト アカウントのオフボーディング
John は、アクセス パッケージの有効期限が切れたゲストです。 システムはそのパッケージにリンクされているすべてのリソースへの John のアクセス権を取り消します。 John は所属しているすべてのグループから削除されます。 最後のアクティブ パッケージの有効期限が切れると、John のアカウントはゲスト ユーザー ディレクトリから削除されます。
詳細については、「アクセス レビューを使用してユーザーとゲスト ユーザーのアクセスを管理する」および「従業員の在籍最終日の後のオフボーディング タスクを Microsoft Entra 管理センターで自動化する」を参照してください