この記事では、エンタイトルメント管理でリソースやアクセス パッケージのカタログを作成して管理する方法について説明します。
カタログを作成する
カタログは、リソースとアクセス パッケージのコンテナーです。 関連するリソースとアクセス パッケージをグループ化するときは、カタログを作成します。 管理者はカタログを作成できます。 さらに、 カタログ作成者 ロールに委任されたユーザーは、自分が所有するリソースのカタログを作成できます。 管理者以外のユーザーがカタログを作成すると、そのユーザーが最初のカタログ所有者になります。 カタログ所有者は、カタログ所有者としてユーザー、ユーザーのグループ、またはアプリケーション サービス プリンシパルを追加できます。
カタログを作成するには:
少なくとも ID ガバナンス管理者として Microsoft Entra 管理センターにサインインします。
ヒント
このタスクを完了できる他の最小特権ロールには、カタログ作成者があります。 ユーザー管理者ロールが割り当てられているユーザーは、カタログを作成したり、所有していないカタログ内のアクセス パッケージを管理したりできなくなります。 組織内のユーザーに、エンタイトルメント管理でカタログ、アクセス パッケージ、またはポリシーを構成するためにユーザー管理者ロールが割り当てられている場合は、代わりに、これらのユーザーに ID ガバナンス管理者ロールを割り当てる必要があります。
ID ガバナンス>エンタイトルメント管理>カタログ を参照します。
[ 新しいカタログ] を選択します。
カタログの一意の名前と説明を入力します。
この情報は、アクセス パッケージの詳細に表示されます。
このカタログ内のアクセス パッケージをユーザーが作成後すぐに要求できるようにする場合は、[ 有効] を [はい] に設定します。
接続された組織の外部ディレクトリのユーザーがこのカタログのアクセス パッケージを要求できるようにする場合は、[ 外部ユーザーに対して有効] を [はい] に設定します。 アクセス パッケージには、接続された組織のユーザーが要求できるようにするポリシーも必要です。 このカタログ内のアクセス パッケージがディレクトリに既に存在するユーザーのみを対象としている場合は、[ 外部ユーザーに対して有効] を [いいえ] に設定します。
![[新しいカタログ] ウィンドウを示すスクリーンショット。](media/entitlement-management-shared/new-catalog.png)
[ 作成] を選択してカタログを作成します。
カタログをプログラミングで作成する
プログラムでカタログを作成するには 2 つの方法があります。
Microsoft Graph でカタログを作成する
Microsoft Graph を使用してカタログを作成できます。 委任された EntitlementManagement.ReadWrite.All アクセス許可を持つアプリケーションを持つ適切なロールのユーザー、または EntitlementManagement.ReadWrite.All アプリケーションのアクセス許可を持つアプリケーションは、API を呼び出して カタログを作成できます。
PowerShell でカタログを作成する
カタログはまた、PowerShell で New-MgEntitlementManagementCatalog モジュール バージョン 2.2.0 以降の コマンドレットを使用して作成することもできます。
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$catalog = New-MgEntitlementManagementCatalog -DisplayName "Marketing"
カタログにリソースを追加する
アクセス パッケージにリソースを含めるには、リソースがカタログ内に存在している必要があります。 カタログに追加できるリソースの種類は、グループ、アプリケーション、および SharePoint Online サイトです。
グループとしては、クラウドで作成された Microsoft 365 グループ、またはクラウドで作成された Azure AD セキュリティ グループを指定できます。
オンプレミスの Active Directory に由来するグループは、その所有者またはメンバー属性を Microsoft Entra ID で変更できないため、リソースとして割り当てることができません。 AD セキュリティ グループ メンバーシップを使用するアプリケーションへのアクセス権をユーザーに付与するには、Microsoft Entra ID で新しいセキュリティ グループを作成し、 AD へのグループ ライトバックを構成し、 そのグループを AD に書き込んで、クラウドで作成されたグループを AD ベースのアプリケーションで使用できるようにします。
配布グループとして Exchange Online に由来するグループも Microsoft Entra ID で変更できないため、カタログに追加できません。
アプリケーションとしては、Microsoft Entra エンタープライズ アプリケーションを指定できます。これには、SaaS (サービスとしてのソフトウェア) アプリケーション、および Microsoft Entra ID と統合された独自のアプリケーションが含まれます。
アプリケーションがまだ Microsoft Entra ID と統合されていない場合は、 環境内のアプリケーションのアクセス権を管理 し、 アプリケーションと Microsoft Entra ID を統合 し、アプリケーションをカタログに追加する前にディレクトリに追加します。
複数のロールを持つアプリケーションに適したリソースを選択する方法の詳細については、 アクセス パッケージに含めるリソース ロールを決定する方法を参照してください。
サイトとしては、SharePoint Online サイトまたは SharePoint Online サイト コレクションを指定できます。
注意
サイト名または正確な URL で SharePoint サイトを検索します。検索ボックスでは大文字と小文字が区別されます。
前提条件ロール:カタログにリソースを追加するために必要なロールを参照してください。
カタログにリソースを追加するには:
少なくとも ID ガバナンス管理者として Microsoft Entra 管理センターにサインインします。
ID ガバナンス>エンタイトルメント管理>カタログ を参照します。
[カタログ] ページで、リソースを追加するカタログを開きます。
左側のメニューで、[リソース] を選択 します。
[ リソースの追加] を選択します。
リソースの種類として、グループと Teams、アプリケーション、または SharePoint サイトを選択します。
追加するリソースが表示されない、またはリソースを追加できない場合は、必要な Microsoft Entra ディレクトリ ロールおよびエンタイトルメント管理ロールを持っていることを確認してください。 必要なロールを持つ人物に、カタログへのリソース追加を依頼することが必要な場合があります。 詳細については、「 リソースをカタログに追加するために必要なロール」を参照してください。
カタログに追加する種類の 1 つ以上のリソースを選択します。
![[カタログへのリソースの追加] ウィンドウを示すスクリーンショット。](media/entitlement-management-catalog-create/catalog-add-resources.png)
完了したら、[追加] を選択 します。
これらのリソースをカタログ内のアクセス パッケージに含めることができるようになりました。
カタログでリソース属性を追加する
属性とは、要求元がアクセス要求を送信する前に回答するよう求められる必須フィールドです。 これらの属性への回答は承認者に示されると共に、Microsoft Entra ID のユーザー オブジェクトにもスタンプされます。
注意
リソースが含まれているアクセス パッケージへの要求を送信するには、その前に、そのリソースに設定されているすべての属性への回答が必要です。 要求元が回答を指定しない場合、その要求は処理されません。
アクセス要求のための属性を必要とするには:
左側のメニューで [ リソース ] を選択すると、カタログ内のリソースの一覧が表示されます。
属性を追加するリソースの横にある省略記号を選択し、[ 属性を必須にする] を選択します。
![[必須属性] の選択を示すスクリーンショット](media/entitlement-management-catalog-create/resources-require-attributes.png)
属性の種類を選択します。
- 組み込み には、Microsoft Entra ユーザー プロファイル属性が含まれています。
- ディレクトリ スキーマ拡張機能 は、Microsoft Entra ユーザーにより多くのデータを格納する方法を提供します。 拡張属性を作成することで、スキーマを拡張できます。 これらのユーザー オブジェクトの拡張機能属性は、プロビジョニングまたはシングル サイン オン中にアプリケーションに対する要求の送信に使用できます。
[組み込み] を選択した場合は、ドロップダウン リストから属性を選択します。 ディレクトリ スキーマ拡張機能を選択した場合は、テキスト ボックスに属性名を入力します。
注意
User.mobilePhone 属性は、一部の管理者のみが更新できる機密性の高いプロパティです。 詳細については、「 機密性の高いユーザー属性を更新できるユーザー」を参照してください。
要求元がその回答のために使用する回答形式を選択します。 回答形式には、 短いテキスト、 複数の選択肢、 長いテキストが含まれます。
複数の選択肢を選択した場合は、[ 編集とローカライズ] を選択して回答オプションを構成します。
- 表示される [ 質問の表示/編集 ] ウィンドウで、[回答 の値 ] ボックスに質問に回答するときに要求者に提供する応答オプションを入力します。
- 回答のオプションの言語を選択します。 追加の言語を選択した場合は、回答のオプションをローカライズできます。
- 必要な数の応答を入力し、[保存] を選択 します。
直接割り当ておよびセルフサービス要求中に属性値を編集可能にする場合は、[ はい] を選択します。
注意
- [属性値は編集可能] ボックスで [いいえ] を選択し、属性値が空の場合、ユーザーはその属性の値を入力できます。 保存した後、この値を編集することはできません。
- [属性値は編集可能] ボックスで [いいえ] を選択し、属性値が空でない場合、ユーザーは直接割り当てとセルフサービス要求中に既存の値を編集できません。
ローカライズを追加する場合は、[ ローカライズの追加] を選択します。
[ 質問のローカライズの追加 ] ウィンドウで、選択した属性に関連する質問をローカライズする言語の言語コードを選択します。
構成した言語で、[ ローカライズされたテキスト ] ボックスに質問を入力します。
必要なすべてのローカライズを追加したら、[ 保存] を選択します。
[属性を 必須にする ] ページですべての属性情報が完了したら、[ 保存] を選択します。
Multi-Geo SharePoint サイトを追加する
SharePoint で複数地域 が有効になっている場合は、サイトを選択する環境を選択します。
![[SharePoint Online サイトの選択] ウィンドウを示すスクリーンショット。](media/entitlement-management-catalog-create/sharepoint-multi-geo-select.png)
次に、カタログに追加するサイトを選択します。
プログラムでカタログにリソースを追加する
Microsoft Graph を使用して、カタログにリソースを追加することもできます。 委任された EntitlementManagement.ReadWrite.All アクセス許可を持つアプリケーションを持つ適切なロールのユーザー、またはカタログとリソースの所有者は、API を呼び出して resourceRequest を作成できます。 アプリケーションのアクセス許可 EntitlementManagement.ReadWrite.All とリソースを変更するアクセス許可 (Group.ReadWrite.All など) を持つアプリケーションによって、カタログにリソースを追加することもできます。
PowerShell を使用してカタログにリソースを追加する
New-MgEntitlementManagementResourceRequest モジュール バージョン 2.1.x またはそれ以降のモジュール バージョンからの コマンドレットを使用して、PowerShell 内でカタログにリソースを追加することもできます。 次の例は、Microsoft Graph PowerShell コマンドレット モジュール バージョン 2.4.0 を使用して、カタログにリソースとしてグループを追加する方法を示します。
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All,Group.ReadWrite.All"
$g = Get-MgGroup -Filter "displayName eq 'Marketing'"
if ($null -eq $g) {throw "no group" }
$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Marketing'"
if ($null -eq $catalog) { throw "no catalog" }
$params = @{
requestType = "adminAdd"
resource = @{
originId = $g.Id
originSystem = "AadGroup"
}
catalog = @{ id = $catalog.id }
}
New-MgEntitlementManagementResourceRequest -BodyParameter $params
sleep 5
$ar = Get-MgEntitlementManagementCatalog -AccessPackageCatalogId $catalog.Id -ExpandProperty resources
$ar.resources
カタログからリソースを削除する
カタログからリソースを削除できます。 カタログからリソースを削除できるのは、それが、そのカタログのどのアクセス パッケージでも使用されていない場合だけです。
前提条件ロール:カタログにリソースを追加するために必要なロールを参照してください。
カタログからリソースを削除するには:
少なくとも ID ガバナンス管理者として Microsoft Entra 管理センターにサインインします。
ID ガバナンス>エンタイトルメント管理>カタログ を参照します。
[カタログ] ページで、リソースを削除するカタログを開きます。
左側のメニューで、[リソース] を選択 します。
削除するリソースを選択します。
[ 削除] を選択します。 必要に応じて、省略記号 (...) を選択し、[ リソースの削除] を選択します。
カタログ所有者を追加する
カタログを作成したユーザーが最初のカタログ所有者になります。 カタログの管理を委任するには、カタログ所有者ロールにユーザーを追加します。 カタログ所有者を追加すると、カタログ管理の責任を共有するのに役立ちます。
カタログ所有者ロールにユーザーを割り当てるには:
少なくとも ID ガバナンス管理者として Microsoft Entra 管理センターにサインインします。
ヒント
このタスクを完了できる他の最小特権ロールには、カタログ所有者があります。
ID ガバナンス>エンタイトルメント管理>カタログ を参照します。
[カタログ] ページで、管理者を追加するカタログを開きます。
左側のメニューで、[ ロールと管理者] を選択します。
所有者を追加を選択して、これらの役割のメンバーを選びます。
選択 を選択して、これらのメンバーを追加します。
カタログを編集する
カタログの名前と説明を編集できます。 この情報は、アクセス パッケージの詳細に表示されます。
カタログを編集するには:
少なくとも ID ガバナンス管理者として Microsoft Entra 管理センターにサインインします。
ヒント
このタスクを完了できる他の最小特権ロールには、カタログ作成者があります。
ID ガバナンス>エンタイトルメント管理>カタログ を参照します。
[カタログ] ページで、編集するカタログを開きます。
カタログの [概要 ] ページで、[ 編集] を選択します。
カタログの名前、説明、または有効になっている設定を編集します。
[保存] を選択します。
カタログを削除する
カタログを削除できるのは、そのカタログにどのアクセス パッケージも含まれていない場合に限られます。
カタログを削除するには:
少なくとも ID ガバナンス管理者として Microsoft Entra 管理センターにサインインします。
ヒント
このタスクを完了できる他の最小特権ロールには、カタログ作成者があります。
ID ガバナンス>エンタイトルメント管理>カタログ を参照します。
[カタログ] ページで、削除するカタログを開きます。
カタログの [概要 ] ページで、[削除] を選択 します。
表示されたメッセージ ボックスで、[ はい] を選択します。
プログラムでカタログを削除する
Microsoft Graph を使用してカタログを削除することもできます。 委任された EntitlementManagement.ReadWrite.All アクセス許可を持つアプリケーションを有する適切なロールのユーザーは、API を呼び出して、EntitlementManagement.ReadWrite.Allことができます。