胡田のObsidian

    エンタイトルメント管理

    エンタイトルメント管理とは

    • エンタイトルメント管理は下記を自動化するAzure Active DirectoryのIDガバナンス機能
      • アクセス要求ワークフロー
      • アクセス割り当て
      • レビュー
      • 期限切れ処理
    • 組織内部、組織外部のユーザーに対して適用可能
    • 対応する課題
      • 誰が、どんな権限を、だれに承認してもらえばよいのかわからない
      • 誰がいつ誰に権限を割り当てる許可を出したのかわからない
      • 付与されている権限が適切にレビューされたものなのか、権限が付いたままになってしまっているのかわからない

    エンタイトルメント管理で行えること

    • 複数ステージの承認
    • 期間限定のアクセス割り当て
    • 繰り返しのアクセスレビュー
    • ユーザーのプロパティに基づいたアクセス権付与の自動化とはく奪
    • アクセスパッケージ作成権限の他者への委任
    • アクセス権を要求できる外部組織の指定
    • ゲストに対しての権限付与時の自動的な招待
    • ゲストに対しての権限削除時の自動的なアカウント削除
    • ポリシー定義
      • アクセス権を要求できるのは誰かの指定
      • 承認プロセスとアクセス権を承認、拒否できる宇yz-アー
      • アクセス権割り当て期間

    アクセスパッケージ

    • ユーザーがプロジェクトで作業したりタスクを遂行するために必要となるリソースとアクセス権をパッケージ化したもの
    • 組織内部、外部のユーザーのアクセス権管理のために利用する。
    • 現在アクセスパッケージの対象とすることが可能なもの
      • Azure ADセキュリティグループのメンバーシップ
      • Microsoft 365グループとチームのメンバーシップ
      • Azure ADエンタープライズアプリケーションへの割り当て
      • SahrePoint Onlineサイトのメンバーシップ
    • Microsoft 365グループおよびセキュリティグループへの割り当てが可能なため、それらを対象に割り当てられたライセンスやAzureロールの割り当ても自動化可能

    権限の委任

    • アクセスパッケージは「カタログ」と呼ばれるコンテナーに定義される。カタログ単位で委任が可能。
    • カタログの所有者はほかのユーザーをカタログの共同所有者として追加したり、アクセスパッケージマネージャーとして追加することが可能。