Microsoft Entra ID でグループとアプリケーションのアクセス レビューを作成する

従業員およびゲストに対するグループやアプリケーションへのアクセスは、時間の経過と共に変化します。 アクセスの割り当てが古いことで生じるリスクを軽減するために、管理者は Microsoft Entra ID を使用して、グループ メンバーまたはアプリケーションのアクセスに対するアクセス レビューを作成することができます。

Microsoft 365 とセキュリティ グループの所有者は、少なくとも ID ガバナンス管理者ロールを持つユーザーが [アクセス レビューの設定] ウィンドウを使用して設定を有効にしている限り、Microsoft Entra ID を使用してグループ メンバー のアクセス レビュー を作成することもできます。 これらのシナリオの詳細については、「 アクセス レビューの管理」を参照してください。

アクセスレビューの有効化について説明した短いビデオをご覧ください。

この記事では、グループ メンバーまたはアプリケーションのアクセスに対して 1 つ以上のアクセス レビューを作成する方法について説明します。

• アクセス パッケージの割り当てを確認するには、 エンタイトルメント管理でアクセス レビューを構成するを参照してください。
• Azure リソースまたは Microsoft Entra ロールを確認するには、「 Privileged Identity Management」の「Azure リソースと Microsoft Entra ロールのアクセス レビューを作成する」を参照してください。
• グループの PIM のレビューについては、「グループの PIM のアクセス レビューを作成する」を参照してください。

前提条件

この機能を使用するには、Microsoft Entra ID ガバナンスまたは Microsoft Entra スイートのライセンスが必要です。 要件に適したライセンスを見つけるには、 Microsoft Entra ID ガバナンス のライセンスの基礎を参照してください。

アプリケーションへのアクセスを確認する場合は、レビューを作成する前に、アプリケーションへの ユーザーのアクセスレビューを準備して、アプリケーション がテナント内の Microsoft Entra ID と統合されていることを確認する方法に関する記事を参照してください。

単一ステージのアクセス レビューを作成する

Scope

1. 少なくとも ID ガバナンス管理者として Microsoft Entra 管理センターにサインインします。

2. ID ガバナンス>アクセス レビューを参照します。

3. [新しいアクセス レビュー] を選択して、新しいアクセス レビューを作成します。

   

4. [ レビュー対象の選択 ] ボックスで、確認するリソースを選択します。

   

5. Teams + グループを選択した場合は、次の 2 つのオプションがあります。

   • ゲスト ユーザーを含むすべての Microsoft 365 グループ: 組織内のすべてのMicrosoft Teamsおよび Microsoft 365 グループに対して、すべてのゲスト ユーザーに対して定期的なレビューを作成する場合は、このオプションを選択します。 動的グループとロール割り当て可能なグループは含まれません。 [除外するグループの選択] を選択して、個々 のグループを除外することもできます。

   • Teams + グループの選択: レビューするチームまたはグループの有限のセットを指定する場合は、このオプションを選択します。 選択できるグループの一覧が右側に表示されます。

     

6. アプリケーションを選択した場合は、1つまたは複数のアプリケーションを選択してください。

   

7. 次に、レビューのスコープを選択できます。 次のようなオプションがあります。

   • ゲスト ユーザーのみ: このオプションでは、ディレクトリ内の Microsoft Entra B2B ゲスト ユーザーのみにアクセス レビューが制限されます。
   • すべてのユーザー: このオプションは、リソースに関連付けられているすべてのユーザー オブジェクトにアクセス レビューのスコープを設定します。

   注

   ゲスト ユーザーが含まれるすべての Microsoft 365 グループを選択した場合、唯一のオプションはゲスト ユーザーのみを確認することです。

8. あるいは、グループ メンバーシップ レビューを実行している場合は、グループ内の非アクティブなユーザーに対してのみアクセス レビューを作成できます。 [ ユーザー スコープ ] セクション で、[非アクティブなユーザー ( テナント レベル)] の横にあるチェック ボックスをオンにします。 このチェック ボックスをオンにすると、レビューの範囲は非アクティブなユーザー (テナントに対して対話式にも非対話式にもサインインしていないユーザー) のみに絞られます。 次に、 非アクティブな日数 を指定します。非アクティブな日数は最大 730 日 (2 年) です。 非アクティブな状態が指定の日数に達したグループのユーザーのみが、レビューに含まれるようになります。

   注

   最近作成されたユーザーは、非アクティブ時間を構成しても影響を受けません。 アクセス レビューでは、構成された時間枠内にユーザーが作成されているかどうかを確認し、少なくともその期間存在していないユーザーを無視します。 たとえば、非アクティブ時間を 90 日に設定し、ゲスト ユーザーが作成または招待されてから 90 日未満の場合、ゲスト ユーザーはアクセス レビューの対象になりません。 これにより、ユーザーは削除されるまでに少なくとも 1 回サインインできるようになります。

9. [ 次へ: レビュー] を選択します。

次へ: レビュー

1. 単一ステージまたは複数ステージのレビューを作成できます。 単一ステージのレビューについては、こちらに進んでください。 マルチステージ アクセス レビューを作成するには、「マルチステージ アクセス レビューを作成する」の手順に従います

2. [ 校閲者の指定 ] セクションの [ 校閲者の選択 ] ボックスで、アクセス レビューで決定を下すユーザーを 1 人以上選択します。 次の項目から選択できます。

   • グループ所有者: このオプションは、チームまたはグループでレビューを行う場合にのみ使用できます。
   • 選択したユーザーまたはグループ
   • ユーザーが自分のアクセス権を確認する
   • ユーザーのマネージャー

   ユーザーのマネージャーまたはグループ所有者を選択した場合は、フォールバック レビュー担当者を指定することもできます。 フォールバック レビュー担当者は、そのユーザーの管理者がディレクトリで指定されていないか、またはそのグループに所有者がいない場合にレビューを実行するよう求められます。

   注

   チームまたはグループのアクセス レビューでは、(レビュー開始時の) グループ所有者のみがレビュー担当者と見なされます。 レビュー中に、グループ所有者の一覧が更新された場合、新しいグループ所有者はレビュー担当者とは見なされません。古いグループ所有者はレビュー担当者と見なされます。 ただし、レビューが定期的に行われる場合は、グループ所有者一覧の変更内容がそのレビューの次のインスタンスで考慮されます。

   重要

   グループの PIM のアクセス レビュー (プレビュー) の場合、レビュー担当者としてグループ所有者を選択するときは、少なくとも 1 人のフォールバック レビュー担当者を割り当てる必要があります。 レビューでは、レビュー担当者としてアクティブな所有者のみが割り当てられます。 対象となる所有者は含まれません。 レビューの開始時にアクティブな所有者がいない場合は、フォールバック レビュー担当者がレビューに割り当てられます。

   

3. [ レビューの繰り返しの指定 ] セクションで、次の選択項目を指定します。

   • 期間 (日数): 校閲者からの入力に対してレビューが開かれている期間。

   • 開始日: 一連のレビューが開始されたとき。

   • 終了日: 一連のレビューが終了したとき。 [Never ends]( 終了しない ) を指定できます。 または、[ 特定の日付に終了 ] または [ 出現回数の後に終了] を選択できます。

     

4. [ 次へ: 設定] を選択します。

開始日を指定することはできますが、開始時刻はシステム処理に基づいて数時間変わる場合があります。

次へ: 設定

1. [ 完了時の設定 ] セクションでは、レビューが完了した後の動作を指定できます。

   

   • リソースに結果を自動適用する: レビュー期間の終了後に拒否されたユーザーのアクセスを自動的に削除する場合は、このチェック ボックスをオンにします。 このオプションが無効になっている場合は、レビューが完了したときに結果を手動で適用する必要があります。 レビューの結果の適用の詳細については、「 アクセス レビューの管理」を参照してください。

   • 校閲者が応答しない場合: このオプションを使用して、レビュー期間内にレビュー担当者がレビューしなかったユーザーの動作を指定します。 この設定は、レビュー担当者によってレビューされたユーザーには影響を与えません。 ドロップダウン リストには、次のオプションが表示されます。

     • 変更なし: ユーザーのアクセスは変更されません。
     • アクセス権の削除: ユーザーのアクセス権を削除します。
     • アクセスの承認: ユーザーのアクセスを承認します。
     • 推奨事項を取得する: ユーザーの継続的なアクセスを拒否または承認するためのシステムの推奨事項を受け取ります。

     警告

     [ レビュー担当者が応答しない ] 設定が [アクセスの削除 ] または [ 推奨事項の取得 ] に設定されていて、 リソースへの結果の自動適用 が有効になっている場合、レビュー担当者が応答できなかった場合、このリソースへのすべてのアクセスが取り消される可能性があります。

   • 拒否されたゲスト ユーザーに適用するアクション: このオプションは、アクセス レビューのスコープにゲスト ユーザーのみが含まれるように設定されている場合にのみ使用できます。ゲスト ユーザーがレビュー担当者によって拒否された場合、または [レビュー担当者が 応答しない場合 ] 設定によって拒否された場合に、ゲスト ユーザーに何が起こるかを指定します。

     • リソースからユーザーのメンバーシップを削除する: このオプションを選択すると、レビュー対象のグループまたはアプリケーションに対する拒否されたゲスト ユーザーのアクセス権が削除されます。 これらのユーザーは、そのテナントに引き続きサインインでき、他のどのアクセスも失いません。
     • ユーザーのサインインを 30 日間ブロックしてから、テナントからユーザーを削除します。このオプションは、拒否されたゲスト ユーザーが他のリソースにアクセスできるかどうかにかかわらず、テナントへのサインインをブロックします。 このアクションが誤って実行された場合、管理者は、ゲスト ユーザーが無効になってから 30 日以内にそのユーザーのアクセスを再び有効にすることができます。 無効になったゲスト ユーザーに対して 30 日後まで何もアクションが実行されなかった場合、これらのユーザーはテナントから削除されます。

   組織内のリソースにアクセスできなくなったゲスト ユーザーを削除するためのベスト プラクティスの詳細については、「 Microsoft Entra ID ガバナンスを使用して、リソースアクセス権を持っていない外部ユーザーを確認および削除する」を参照してください。

   注

   拒否されたゲスト ユーザーに適用するアクション は、ゲスト ユーザーを超える範囲のレビューでは構成できません。 また、 ゲスト ユーザーを含むすべての Microsoft 365 グループ のレビュー用に構成することもできません。構成できない場合、リソースからユーザーのメンバーシップを削除する既定のオプションは、拒否されたユーザーに対して使用されます。

2. レビューの終了時に通知を送信するオプションを使用して、完了の更新を含む通知を他のユーザーやグループに送信します。 この機能により、レビュー作成者以外の利害関係者も、通知を受け取ってレビューの進行状況を把握できます。 この機能を使用するには、[ ユーザーまたはグループの選択 ] を選択し、完了の状態を受け取る別のユーザーまたはグループを追加します。

3. [ レビューの意思決定ヘルパーを有効にする ] セクションで、レビュー プロセス中にレビュー担当者が推奨事項を受け取るかどうかを選択します。

   1. 30 日以内に [サインインなし] を選択した場合は、過去 30 日間にサインインしたユーザーを承認することをお勧めします。 過去 30 日間にサインインしていないユーザーは拒否するよう推奨されます。 この 30 日間の間隔は、サインインが双方向だったかどうかは関係ありません。 また、指定したユーザーの最終サインイン日も推奨事項と共に表示されます。
   2. ユーザーからグループへの所属を選択した場合、レビュー担当者は、組織のレポート構造におけるユーザーの平均距離に基づいて、ユーザーのアクセスを承認または拒否する推奨事項を受け取ります。 グループ内の他のすべてのユーザーから非常に離れているユーザーは、"所属が低い" と見なされ、グループ アクセス レビューで拒否の推奨事項が表示されます。

   注

   アプリケーションに基づいてアクセス レビューを作成する場合、その推奨事項は、ユーザーがテナントにではなく、アプリケーションにいつ最後にサインインしたかに応じた 30 日の期間に基づきます。

   

4. [ 詳細設定] セクションで、次の項目を選択できます。

   • 理由が必要: レビュー担当者に承認または拒否の理由を指定するよう求める場合は、このチェック ボックスをオンにします。
   • 電子メール通知: アクセス レビューの開始時に Microsoft Entra ID からレビュー担当者に電子メール通知を送信し、レビューが完了したときに管理者に電子メール通知を送信するには、このチェック ボックスをオンにします。
   • アラーム: Microsoft Entra ID が進行中のアクセス レビューのリマインダーをすべてのレビュー担当者に送信するには、このチェック ボックスをオンにします。 レビュー担当者は、レビューを完了しているかどうかには関係なく、レビューの途中でリマインダーを受信します。
   • 校閲者の電子メールの追加コンテンツ: レビュー担当者に送信されたメールの内容は、レビュー名、リソース名、期限などのレビューの詳細に基づいて自動生成されます。 詳細情報を伝える必要がある場合は、指示や連絡先情報などの詳細をボックスに指定できます。 入力する情報は招待に含まれ、割り当てられたレビュー担当者にリマインダー電子メールが送信されます。 次の画像で強調表示されているセクションは、この情報が表示される場所を示しています。
   • アクセス レビュー エージェント (プレビュー): レビュー担当者が自然言語、分析情報、および推奨事項を使用してMicrosoft Teamsでアクセス レビューを完了できるようにするには、このチェック ボックスをオンにします。

   注

   この設定は、Access Review Agent で現在サポートされているレビュー構成でのみ使用でき、追加のセットアップ手順が必要です。 詳細については、「 Access Review Agent with Microsoft Security Copilot」を参照してください。

5. [ 次へ: 確認と作成] を選択します。

   

次へ: 確認および作成

1. アクセス レビューに名前を付けます。 必要に応じて、そのレビューに説明を加えます。 その名前と説明がレビュアーに示されます。

2. 情報を確認し、[ 作成] を選択します。

複数ステージのアクセス レビューを作成する

複数ステージのレビューでは、管理者が 2 組または 3 組のレビュー担当者を定義して、次々にレビューを完了することができます。 単一ステージのレビューでは、すべてのレビュー担当者が同じ期間内に決定を下し、最後に決定を下したレビュー担当者の決定が適用されます。 複数ステージのレビューでは、2 つまたは 3 つの独立したレビュー担当者のグループがそれぞれ独自のステージ内で決定を行います。 ステージはシーケンシャルであるため、前のステージで決定が記録されるまで次のステージは発生しません。 複数ステージのレビューは、後のステージのレビュー担当者の負担を軽減するため、レビュー担当者のエスカレーションを可能にするため、または独立したレビュー担当者のグループが決定に合意するために使うことができます。

1. レビューのリソースとスコープを選択したら、[ レビュー ] タブに移動します。

2. [マルチステージ レビュー] の横にあるチェック ボックスをオンにします。

3. [ 最初のステージ レビュー] で、[レビュー担当者の選択] の横にあるドロップダウン メニューから レビュー担当者を選択します。

4. [グループ所有者] または [ユーザーのマネージャー] を選択した場合は、フォールバック レビュー担当者を追加できます。 フォールバックを追加するには、[ フォールバック レビュー担当者の選択 ] を選択し、フォールバック レビュー担当者にするユーザーを追加します。

   

5. 最初のステージの期間を追加します。 期間を追加するには、[ステージ期間 ] の横のフィールドに数値 を入力します (日数)。 これは、最初のステージのレビュー担当者が決定を下すために最初のステージを開く日数です。

6. [ 第 2 段階のレビュー] で、[校閲者の選択] の横にあるドロップダウン メニューから レビュー担当者を選択します。 これらのレビュー担当者は、最初のステージのレビュー期間が終了した後にレビューを求められます。

7. 必要に応じて、予備のレビュー担当者を追加します。

8. 2 つ目のステージの期間を追加します。

9. 複数ステージのレビューを作成すると、既定では 2 つのステージが表示されます。 ただし、最大 3 つのステージを追加することができます。 3 番目のステージを追加する場合は、[ + ステージの追加] を選択し、必要なフィールドに入力します。

10. 2 つ目、3 つ目のステージのレビュー担当者に、前のステージで下された決定を提示することを決定できます。 前に行われた決定を表示できるようにする場合は、[レビュー結果の表示] の下で、後のステージのレビュー担当者に前のステージの決定を表示する] の横にあるボックスを選択します。 レビュー担当者が個別にレビューするようにする場合は、この設定を無効にするためにボックスをオフのままにします。

    マルチステージ レビューで、期間を表示し、前のステージを表示する設定が有効になっていることを示すスクリーンショット。

11. 各繰り返しの期間は、各ステージで指定した期間の日数の合計に設定されます。

12. レビューの 繰り返し、 開始日、および 終了日 を指定します。 繰り返しの種類は、少なくとも繰り返しの合計期間と同じ長さにする必要があります (つまり、毎週繰り返されるレビューの最大期間は 7 日間です)。

13. どのレビューがステージからステージに進むかを指定するには、[次のステージに 進むレビュー者の指定 ] の横にある次のオプションの 1 つまたは複数を選択します。レビューの

    1. 承認されたレビュー者 - 承認されたレビュー者のみが次のステージに進みます。
    2. 拒否されたレビュー者 - 拒否されたレビュー者のみが次のステージに進みます。
    3. レビューされていないレビュー者 - レビューされていないレビュー者のみが次のステージに進みます。
    4. "知らない" とマークされた レビュー者 - "知らない" とマークされたレビュー者のみが次のステージに進みます。
    5. すべて: レビュー担当者のすべてのステージで決定を行いたい場合は、全員が次のステージに進みます。

14. [ 設定] タブ に進み、残りの設定を完了してレビューを作成します。 「 次へ: 設定」の指示に従います。

Teams 共有チャネルにアクセスしている B2B 直接接続ユーザーとチームをアクセス レビューに含める

B2B 直接接続ユーザーのアクセス レビューを、Microsoft Teams の共有チャネルを介して作成できます。 外部との共同作業を行う場合は、Microsoft Entra アクセス レビューを使用して、共有チャネルへの外部アクセスの最新状況を確認することができます。 共有チャネルの外部ユーザーは、B2B 直接接続ユーザーと呼ばれます。 Teams 共有チャネルと B2B 直接接続ユーザーの詳細については、 B2B 直接接続 に関する記事を参照してください。

共有チャネルを使用してチームのアクセス レビューを作成すると、レビュー担当者は、共有チャネル内の外部ユーザーおよびチームの継続的なアクセスの必要を確認できます。 同じレビューで、B2B 接続ユーザーと他のサポートされている B2B コラボレーション ユーザー、そして B2B 以外の内部ユーザーのアクセスを確認できます。

B2B 直接接続のユーザーとチームは、共有チャネルが含まれている Teams 対応 Microsoft 365 グループのアクセス レビューに含まれます。 レビューを作成するには、少なくともユーザー管理者または ID ガバナンス管理者のロールが必要です。

共有チャネルのチームについてアクセス レビューを作成するには、次の手順に従います。

1. 少なくとも ID ガバナンス管理者として Microsoft Entra 管理センターにサインインします。

2. ID ガバナンス>アクセス レビューを参照します。

3. [+ 新しいアクセス レビュー] を選択します。

4. [Teams + グループ] を選択し、[チーム + グループの選択] を選択してレビュー スコープを設定します。 B2B 直接接続ユーザーとチームは、 ゲスト ユーザーを含むすべての Microsoft 365 グループのレビューには含まれません。

5. 1 つ以上の B2B 直接接続のユーザーまたはチームと共有している共有チャネルを持つチームを選択します。

6. スコープを設定 します。

   

   • 以下を含む [すべてのユーザー] を選択します。
     • すべての内部ユーザー
     • チームのメンバーである B2B コラボレーション ユーザー
     • B2B 直接接続ユーザー
     • 共有チャネルにアクセスするチーム
   • または、[ ゲスト ユーザー] を選択して、B2B 直接接続ユーザーと Teams および B2B コラボレーション ユーザーのみを含めます。

7. [ レビュー ] タブに進みます。レビュー担当者を選択してレビューを完了し、 期間 と レビューの繰り返しを指定します。

   注

   • 「レビュー担当者の選択」を「ユーザーが自分のアクセス権をレビューする」または「ユーザーのマネージャー」に設定した場合、B2B 直接接続ユーザーと Teams はテナント内で自分のアクセス権を見直すことができません。 レビュー対象のチームの所有者は、B2B 直接接続ユーザーと Teams を確認するように所有者に求める電子メールを受け取ります。
   • ユーザーのマネージャーを選択した場合、選択したフォールバック レビュー担当者は、ホーム テナントにマネージャーがいないユーザーをレビューします。 管理者がいない場合、これには、B2B 直接接続のユーザーとチームが含まれます。

8. [ 設定] タブに移動し、追加の設定を構成します。 次に、[ 校閲と作成 ] タブに移動して、アクセス レビューを開始します。 レビューと構成設定の作成の詳細については、 シングルステージ アクセス レビューの作成に関する記事を参照してください。

グループ所有者が自分のグループのアクセス レビューを作成および管理できるようにする

1. 少なくとも ID ガバナンス管理者として Microsoft Entra 管理センターにサインインします。

2. ID ガバナンス>Access Reviews>Settings に移動します。

3. [ アクセス レビューを作成および管理できる代理人 ] ページで、[ グループ所有者が所有するグループのアクセス レビューを作成および管理できる ] を [はい] に設定します。

   

   注

   既定では、設定は [いいえ] に設定されています。 グループ所有者がアクセス レビューを作成および管理できるようにするには、設定を [はい] に変更します。

プログラムでアクセス レビューを作成する

Microsoft Graph または PowerShell を使用して、アクセス レビューを作成することもできます。

Graph を使用してアクセス レビューを作成するには、Graph API を呼び出して アクセス レビュー スケジュール定義を作成します。 呼び出し元は、委任された AccessReview.ReadWrite.All アクセス許可を持つアプリケーション付きの適切なロールのユーザーであるか、AccessReview.ReadWrite.All アプリケーションのアクセス許可を持つアプリケーションである必要があります。 詳細については、 アクセス レビュー API の概要 と、 セキュリティ グループのメンバーを確認 する方法、または Microsoft 365 グループのゲストを確認する方法に関するチュートリアルを参照してください。

さらに、New-MgIdentityGovernanceAccessReviewDefinitionの コマンドレットを使用して、PowerShell でアクセス レビューを作成することもできます。 詳細については、 例を参照してください。

アクセス レビューが開始された時

アクセス レビューの設定を指定して作成したら、アクセス レビューとそのステータスのインジケーターが一覧に表示されます。

既定では、1 回限りのレビューまたは定期的なレビューの繰り返しが開始された直後に、Microsoft Entra ID がレビュー担当者にメールを送信します。 Microsoft Entra ID からメールを送信することを選択しなかった場合は、アクセス レビューが実行待ちになっていることを必ずレビュー担当者に伝えてください。 グループまたはアプリケーションへのアクセスを確認する方法の手順を示すことができます。 レビューでゲストが自分のアクセス権をレビューする場合は、 自分のグループまたはアプリケーションへのアクセスをレビューする方法の手順を説明します。

ゲストがレビュー担当者として割り当てられていても、テナントへの招待を受け入れていない場合、そのゲストはアクセス レビューからの電子メールを受信しません。 ゲストがレビューを開始するには、まず招待を受け入れる必要があります。

アクセス レビューを更新する

1 つ以上のアクセス レビューが開始された後、既存のアクセス レビューの設定を変更または更新することもできます。 考慮すべきいくつかの一般的なシナリオを次に示します。

• 設定または校閲者を更新する: アクセス レビューが繰り返し行われる場合は、[ 現在] と [ 系列] の下に個別の設定があります。 現在の設定またはレビュー担当者を更新すると、 現在の アクセス レビューにのみ変更が適用されます。 [系列] の設定を更新すると、今後のすべての繰り返しの設定が更新されます。

  

• レビュー担当者の追加と削除: アクセス レビューを更新するときに、プライマリ レビュー担当者に加えてフォールバック レビュー担当者を追加することもできます。 プライマリ レビュー担当者は、アクセス レビューを更新したときに削除される可能性があります。 フォールバック レビュー担当者は、設計上削除できません。

  注

  フォールバック レビュー担当者は、レビュー担当者の種類が管理者またはグループ所有者である場合にのみ追加できます。 レビュー担当者の種類が選択されたユーザーである場合は、プライマリ レビュー担当者を追加できます。

• 校閲者に通知する:アクセス レビューを更新するときに、[詳細設定] で [アラーム] オプションを有効にすることを選択できます。 その場合、ユーザーはレビューを完了しているかどうかには関係なく、レビュー期間の途中で電子メール通知を受信します。

  

次のステップ

• グループまたはアプリケーションのアクセス レビューを完了する
• グループの PIM のアクセス レビューを作成する (プレビュー)
• グループまたはアプリケーションへのアクセスを確認する
• グループまたはアプリケーションへの自分のアクセスを確認する
• PIM で Azure リソースと Microsoft Entra ロールのアクセス レビューを作成する