Microsoft Graph を使用したMicrosoft Entra ID ガバナンスの概要
Microsoft Entra ID ガバナンスを使用すると、セキュリティや従業員の生産性に対する組織のニーズと、適切なプロセスや可視性とのバランスを取ることができます。 適切なプリンシパルが適切なリソースと適切なタイミングで適切なアクセス権を持っていることを保証する機能が提供されます。
アクセス権を管理できるプリンシパル (または ID) には、ユーザー、グループ、アプリケーション (またはサービス プリンシパル) が含まれます。 ユーザーには、従業員、ビジネス パートナー、ベンダー、または請負業者を指定できます。 アクセスを管理できるリソースには、グループ、アクセス パッケージ、特権ロールが含まれます。
Microsoft Entra ID ガバナンス機能は、Microsoft Graph で次の API を使用してプログラムで管理します。
Microsoft Entra ID ガバナンスの詳細については、「Microsoft Entra ID ガバナンスとは」を参照してください。
organizationでユーザーのライフサイクルを管理する
組織には、従業員のライフ サイクルの少なくとも 3 つの段階 (organizationに参加するとき、organization内に移動するとき、organizationを離れたとき) に実行されるプロセスがあります。 このようなプロセスには、必要に応じて、アクセスとリソースのプロビジョニングとプロビジョニング解除が含まれる場合があります。
Microsoft Graph のライフサイクル ワークフロー API を使用すると、organizationのユーザーの基本的なライフサイクル プロセスを自動化できます。 これらのライフサイクル プロセスを使用すると、organizationとそのユーザーを効率的、安全、または準拠させることができます。
リソースへのユーザー アクセスを自動化する
組織の従業員は、ジョブを実行するためにさまざまなリソースにアクセスする必要があります。 パートナーやベンダーは、リソースへのアクセスも必要になる場合があります。 複雑な組織では、ユーザーが必要なアクセス、アクセスを要求する方法、アクセス権を付与する必要があるユーザーを特定することが困難な場合があります。
Microsoft Graph のエンタイトルメント管理 API を 使用すると、アクセス要求ワークフロー、アクセス割り当て、レビュー、有効期限を自動化できます。
プリンシパルがリソースに対して持つアクセスを証明する
プリンシパルがorganization内のリソースにアクセスできる場合は、プリンシパルに引き続きアクセス権が必要であることを定期的に確認することが重要です。 アクセス レビュー API を使用して、プログラムによってアクセスを確認します。
たとえば、organizationが特定のビジネスに依存するリソースへの従業員のアクセスを自動化するとします。 ゲストの場合は、グループを介してリソースへのアクセス権を付与しました。 ゲストが引き続きグループと拡張リソースにアクセスするための正当な必要性を持っていることを定期的に確認することが重要です。
アクセス レビューは、organizationの内部コントロールの有効性を監査する一形態です。 詳細については、 アクセス レビューの概要に関するページを参照してください。
特権ロールへのアクセスを管理する
すべてのorganizationには、職務を遂行するために特権管理者ロールを必要とする従業員がいます。 Microsoft Entra IDでは、組み込みロールMicrosoft Entra使用して、このような特権割り当てを付与できます。 これらのロールが許可するアクセス許可の種類のため、特権ロールの過剰、不要、または誤用のリスクを軽減することが重要です。
Microsoft Graph の特権 ID 管理 API を使用すると、テナント内の特権Microsoft Entraロールのライフサイクルをプログラムで管理できます。
リソースに使用条件を適用する
すべてのorganizationには、ユーザーがorganizationのリソースにアクセスする前に従う必要がある使用条件があります。 これらの使用条件は、Microsoft Entra使用条件を通じて定義および適用できます。
使用条件は、organizationのすべてのユーザーに対する一般的な会社ポリシー、ゲストや請負業者などの個々のユーザーの条件、またはユーザーがテナントで機密性の高いアプリを使用する前に同意する必要がある用語です。
Microsoft Graph の使用条件 API を 使用すると、ユーザーがリソースにアクセスする前に同意して同意する必要がある可能性がある使用条件を構成できます。
ゼロ トラスト
この機能は、組織がテナントを ゼロ トラスト アーキテクチャの 3 つの基本原則に合わせるのに役立ちます。
- 明確に確認する
- 最小特権を使用する
- 侵害を想定する
ゼロ トラストとその他の方法の詳細については、organizationをガイド原則に合わせる方法については、ゼロ トラスト ガイダンス センターを参照してください。
ライセンス
Microsoft Entra ID ガバナンス機能は、Microsoft Entra ライセンスのさまざまなスイートの一部として利用できます。 ライセンスごとに使用できるライセンスの種類と ID ガバナンス機能については、「Microsoft Entra ID ガバナンスライセンスの基礎」を参照してください。