次の方法で共有

エンタイトルメント管理でアクセス パッケージの承認と要求元情報の設定を変更する

ユーザーにアクセスを割り当てるには、各アクセス パッケージに 1 つ以上のアクセス パッケージ割り当てポリシーが設定されている必要があります。 アクセス パッケージが Microsoft Entra 管理センターで作成されると、Microsoft Entra 管理センターによって、そのアクセス パッケージの最初のアクセス パッケージ割り当てポリシーが自動的に作成されます。 このポリシーによって、アクセスを要求できるユーザーと、アクセスを承認する必要があるユーザー (存在する場合) が決定されます。

アクセス パッケージ マネージャーは、アクセスの要求に関する既存のポリシーを編集するか、新しいポリシーを追加して、いつでもアクセス パッケージの承認と要求元の情報の設定を変更できます。

この記事では、アクセス パッケージのポリシーを使用して、既存のアクセス パッケージの承認および要求元情報設定を変更する方法について説明します。

承認

[承認] セクションで、ユーザーがこのアクセス パッケージを要求したときに承認が必要かどうかを指定します。 承認の設定は次のように機能します。

  • 1 段階の承認の場合、選択した承認者またはフォールバック承認者のうち 1 人だけが要求を承認する必要があります。
  • 要求を次の段階に進めるための複数段階の承認では、各段階から選択された承認者のうち 1 人だけが、要求を承認する必要があります。
  • ある段階で、選択された承認者の 1 人が、別の承認者が要求を承認する前に要求を拒否した場合、または誰も承認しない場合、要求は終了し、ユーザーにアクセス権が与えられません。
  • ポリシーによるアクセス管理の対象が誰であるかによって、承認者は、指定されたユーザー、グループのメンバー、要求元のマネージャ、内部スポンサー、または外部スポンサーが可能です。

要求ポリシーに承認者を追加する方法のデモについては、次のビデオをご覧ください。

要求ポリシーに複数段階の承認を追加する方法のデモについては、次のビデオをご覧ください。

承認者は、独自のアクセス パッケージ要求を承認できません。

既存のアクセス パッケージの割り当てポリシー承認設定を変更する

ポリシーを使用してアクセス パッケージの要求承認設定を指定するには、次の手順に従います。

  1. 少なくとも ID ガバナンス管理者として Microsoft Entra 管理センターにサインインします。

    ヒント

    このタスクを完了できる他の最小特権ロールには、カタログ所有者とアクセス パッケージ割り当てマネージャーがあります。

  2. ID ガバナンス>権限管理>アクセスパッケージを参照します。

  3. [アクセス パッケージ] ページで、アクセス パッケージを開きます。

  4. 編集するポリシーを選択するか、またはアクセス パッケージに新しいポリシーを追加します。

    1. 新しい ポリシーを 作成する場合は、[ポリシー] を選択し、[ ポリシーの追加] を選択します。
    2. 編集するポリシーを選択し、[ 編集] を選択します。

  5. [ 要求 ] タブに移動します。

  6. 選択したユーザーからの要求に対して承認を要求するには、[ 承認を要求 する] トグルを [はい] に設定します。 または、要求を自動的に承認するには、トグルを [いいえ] に設定します。 組織に属さない外部ユーザーからのアクセス要求をポリシーで許可している場合は、組織のディレクトリに追加されているユーザーを監視できるよう、承認を要求する必要があります。

  7. アクセス パッケージを要求するための正当な理由をユーザーに提供するよう要求するには、[ 要求者の理由を要求 する] トグルを [はい] に設定します。

  8. 次に、要求で必要な承認が単一ステージか複数ステージかを決定します。 [ ステージの数 ] を、必要な承認のステージ数に設定します。

    アクセス パッケージ - 要求 - 承認設定

次の手順を使用して、必要なステージの数を選択した後で承認者を追加します。

1 段階の承認

  1. 最初の 承認者を追加します。

    ディレクトリ内のユーザーのアクセス権を管理するようにポリシーが設定されている場合は、 承認者として [マネージャー] を選択できます。 または、ドロップダウンメニューで 特定の承認者を選択 を選んだ後、承認者を追加 を選択して特定のユーザーを追加します。

    アクセス パッケージ - 要求 - ディレクトリ内のユーザーの場合 - 最初の承認者

    このポリシーがディレクトリにないユーザーのアクセス権を管理するように設定されている場合は、 外部スポンサー または 内部スポンサーを選択できます。 または、[特定の承認者の選択] の下にある [承認者 またはグループの追加] をクリックして、特定のユーザーを追加します。

    アクセス パッケージ - 要求 - ディレクトリ外のユーザーの場合 - 最初の承認者

  2. 最初の承認者として [マネージャー ] を選択した場合は、[ フォールバックの追加] を選択して、フォールバック承認者としてディレクトリ内の 1 つ以上のユーザーまたはグループを選択します。 エンタイトルメント管理でアクセスを要求しているユーザーのマネージャーが見つからなかった場合、フォールバック承認者が要求を受け取ります。

    マネージャーは、 Manager 属性を 使用してエンタイトルメント管理によって検出されます。 属性は、Microsoft Entra ID のユーザーのプロファイルにあります。 詳細については、「 Microsoft Entra ID を使用してユーザーのプロファイル情報を追加または更新する」を参照してください。

  3. [特定の 承認者の選択] を選択した場合は、[ 承認者の追加 ] を選択して、ディレクトリ内の 1 つ以上のユーザーまたはグループを承認者として選択します。

  4. [ 決定は何日以内に行う必要がありますか?] ボックスで、承認者がこのアクセス パッケージの要求を確認する必要がある日数を指定します。

    この期間内に承認されない要求は、自動的に拒否されます。 ユーザーは、アクセス パッケージに対する別の要求を送信する必要があります。

  5. 承認者に決定の正当な理由を提供するよう要求するには、[承認者の正当性を要求する] を [はい] に設定します。

    理由は、要求者と他の承認者に表示されます。

複数段階の承認

複数ステージの承認を選んだ場合は、追加する各ステージの承認者を追加する必要があります。

  1. 2 番目の承認者を追加します。

    ユーザーがディレクトリ内にある場合は、[特定の承認者の選択] で [承認者の 追加 ] を選択して、特定のユーザーを 2 番目の承認者として追加します。

    アクセスパッケージ - 要求 - ディレクトリユーザー向け - 第二承認者

    ユーザーがディレクトリにない場合は、2 番目の承認者として [内部スポンサー ] または [ 外部スポンサー ] を選択します。 承認者を選択した後、フォールバック承認者を追加します。

    アクセス パッケージ - 要求 - ディレクトリ外のユーザーの場合 - 2 番目の承認者

  2. 2 番目の承認者が [決定を行う必要がある日数] の下のボックスに、要求を承認 する必要がある日数を指定します。

  3. [承認者の理由を要求する] トグルを [はい ] または [いいえ] に設定します。

    また、3 ステージの承認プロセスにステージを追加することもできます。 たとえば、従業員のマネージャーをアクセス パッケージの第 1 段階の承認者にすることができます。 ただし、アクセス パッケージ内のリソースの 1 つには機密情報が含まれています。 この場合は、リソース所有者を 2 番目の承認者として、セキュリティ レビューアーを 3 番目の承認者として指定できます。 これにより、セキュリティ チームは、プロセスを監視することができます。また、たとえば、リソース所有者に知られていないリスク基準に基づいて、要求を拒否することができます。

  4. 3 番目の承認者を追加します。

    ユーザーがディレクトリ内にある場合は、[特定の承認者の選択] で [承認者の 追加 ] をクリックして、特定のユーザーを 3 番目の承認者として追加します。

    ユーザーがディレクトリにない場合は、3 番目の承認者として 内部スポンサー または 外部スポンサー を選択することもできます。 承認者を選択した後、フォールバック承認者を追加します。

      第 2 段階と同様に、ユーザーがディレクトリにいて、承認の最初または 2 番目のステージで [承認者としてマネージャー] が選択されている場合は、承認の第 3 段階に特定の承認者を選択するオプションのみが表示されます。
      マネージャーを 3 番目の承認者として指定する場合は、それ以前の承認ステージで選択内容を調整して、[承認者としてのマネージャー] が選択されないようにすることができます。 この場合、[承認者としてのマネージャー] がオプションとしてドロップダウンに表示されます。
      ユーザーがディレクトリに存在せず、前の段階で承認者として **内部スポンサー** または **外部スポンサー** を選択していない場合は、**第 3 承認者** のオプションとして表示されます。 それ以外の場合は、[特定の承認者の選択] のみを選択できます。

  5. 3 番目の承認者が [決定を行う必要がある日数] の下のボックスに、要求を承認 する必要がある日数を指定します。

  6. [承認者の理由を要求する] トグルを [はい ] または [いいえ] に設定します。

代理承認者

各段階で要求を承認できるプライマリ承認者を指定するのと同じように、代理承認者を指定できます。 代わりの承認者を指定すると、有効期限が切れる (タイムアウトする) 前に確実に要求を承認または拒否できます。 各段階のプライマリ承認者と共に代替承認者を一覧表示できます。

段階の代理承認者を指定すると、プライマリ承認者が要求を承認または拒否できなかった場合、保留中の要求は、ポリシーの設定時に指定した転送スケジュールに従って、代理承認者に転送されます。 彼らは、保留中の要求を承認または拒否するための電子メールを受信します。

要求が代理承認者に転送された後でも、プライマリ承認者は引き続き要求を承認または拒否できます。 代理承認者は、最初の承認者または 2 番目の承認者と同じマイ アクセス サイトを使用して、保留中の要求を承認または拒否します。

承認者と代理承認者となる個人またはグループを一覧表示できます。 最初の承認者、2 番目の承認者、代理承認者には、必ず別のメンバー セットを指定してください。 たとえば、Alice と Bob を第 1 段階の承認者として指定した場合、代理承認者には Carol と Dave を指定します。 次の手順を使用して、アクセス パッケージに代理承認者を追加します。

  1. ステージの承認者の下で、[ 要求の詳細設定の表示] を選択します。

    アクセス パッケージ - ポリシー - 要求の詳細設定を表示する

  2. [アクションが実行されない場合は、代替承認者に転送する] を [はい] に切り替えます。

  3. [ 代替承認者の追加] を選択し、一覧から代替承認者を選択します。

    アクセス パッケージ - ポリシー - 代替承認者の追加

    最初の承認者の承認者としてマネージャーを選択した場合、代替承認者フィールドで選択できる追加のオプションとして、第2レベルマネージャーを代替承認者として選ぶことができます。 このオプションを選択した場合は、システムが第 2 レベルのマネージャーを見つけられない場合に、要求の転送先のフォールバック承認者を追加する必要があります。

  4. [日数 が経過した後に別の承認者に転送 ] ボックスに、承認者が要求を承認または拒否する必要がある日数を入力します。 要求期間内に承認者が要求を承認または拒否しなかった場合、要求の有効期限が切れ (タイムアウトし)、ユーザーはアクセス パッケージに対する別の要求を送信する必要があります。

    要求が開始された翌日以降からのみ、代理承認者へ要求を転送できるようになります。 別の承認を使うには、要求のタイムアウトを 4 日以上にする必要があります。

要求の有効化

  1. 要求ポリシーのユーザーがアクセス パッケージをすぐに使用できるようにする場合は、[有効] トグルを [はい] に移動します。

    アクセス パッケージの作成が完了した後は、これをいつでも有効にすることができます。

    [なし] (管理者の直接割り当てのみ) を選択し、[いいえ] に設定した場合、管理者はこのアクセス パッケージを直接割り当てることはできません。

    アクセス パッケージ - ポリシー - ポリシー設定を有効にする

  2. 新しい要求が有効になっている場合は、 マネージャーが従業員に代わって要求できるようにするかどうかを指定できます (プレビュー)。 要求オプションのマネージャー承認のスクリーンショット。

  3. [ 次へ] を選択します。

承認するための追加の要求元情報を収集する

ユーザーが適切なアクセス パッケージへのアクセスを確実に取得できるように、要求元に、要求の時点でカスタム テキスト フィールドまたは複数選択の質問に回答するよう要求することができます。 これらの質問はその後、承認者に示され、承認者の意思決定に役立ちます。

  1. [ 要求者情報 ] タブに移動し、[ 質問 ] サブタブを選択します。

  2. 質問ボックスに、要求者に質問する内容 (表示文字列とも呼ばれます) を 入力 します。

    アクセス パッケージ - ポリシー - 要求者情報の設定を有効にする

  3. アクセス パッケージにアクセスする必要があるユーザーのコミュニティに共通の優先言語がない場合は、myaccess.microsoft.com でアクセスを要求するユーザーのエクスペリエンスを向上させることができます。 エクスペリエンスを向上させるには、異なる言語に対して代わりの表示文字列を表示できます。 たとえば、ユーザーの Web ブラウザーがスペイン語に設定されていて、スペイン語の表示文字列を構成してある場合は、それらの文字列が要求するユーザーに表示されます。 要求のローカライズを構成するには、[ ローカライズの追加] を選択します。

    1. 質問のローカライズの追加ウィンドウで、質問をローカライズする言語の言語コードを選択します。
    2. 構成した言語で、[ ローカライズされたテキスト ] ボックスに質問を入力します。
    3. 必要なすべてのローカライズを追加したら、[ 保存] を選択します。

    アクセス パッケージ - ポリシー - ローカライズされたテキストを構成する

  4. 要求者に回答を求める回答 形式 を選択します。 回答形式には、 短いテキスト複数の選択肢長いテキストが含まれます

    アクセス パッケージ - ポリシー - [編集] を選択し、複数の選択肢の回答形式をローカライズする

  5. 複数選択を選択する場合は、[ 編集とローカライズ ] ボタンを選択して回答オプションを構成します。

    1. [編集とローカライズ] を選択すると、[ 質問の表示/編集 ] ウィンドウが開きます。
    2. 質問に回答するときに要求者に提供する応答オプションを [ 回答の値 ] ボックスに入力します。
    3. 必要な数の回答を入力します。
    4. 複数選択オプションに独自のローカライズを追加する場合は、特定のオプションをローカライズする 言語のオプション言語コード を選択します。
    5. 構成した言語で、[ローカライズされたテキスト] ボックスにオプションを入力します。
    6. 各複数選択オプションに必要なすべてのローカリゼーションを追加したら、[ 保存] を選択します。

    アクセス パッケージ - ポリシー - 複数の選択肢オプションを入力する

  6. 質問に対するテキスト回答の構文チェックを含める場合、カスタム正規表現パターンを指定することもできます。
    正規表現のローカライズ ポリシーの追加のスクリーンショット。 質問に対するテキスト回答の構文チェックを含める場合は、カスタム正規表現パターンを指定することもできます。

  7. アクセス パッケージへのアクセスを要求するときに要求者にこの質問への回答を要求するには、[ 必須] の下にあるチェック ボックスをオンにします。

  8. ニーズに基づいて、残りのタブ ([ライフサイクル] など) に入力します。

アクセス パッケージのポリシーで要求元の情報を構成した後、質問への要求元の回答を表示できます。 リクエスタ情報の表示に関するガイダンスについては、質問に対 する要求者の回答の表示を参照してください。

次のステップ