次の方法で共有

アクセス レビューを使用して古いゲスト アカウントを監視およびクリーンアップする

ユーザーが外部パートナーとコラボレーションを行うと、時間の経過と共に多くのゲスト アカウントが Microsoft Entra テナントに作成される可能性があります。 コラボレーションが終了し、ユーザーがテナントにアクセスしなくなると、ゲスト アカウントが古くなる可能性があります。 管理者は、非アクティブなゲスト分析情報を使用して、ゲスト アカウントを大規模に監視できます。 管理者は、アクセス レビューを使用して、非アクティブなゲスト ユーザーを自動的にレビューし、サインインをブロックして、ディレクトリから削除することもできます。

Microsoft Entra ID で非アクティブなユーザー アカウントを管理する方法について説明します。

古いゲスト アカウントの監視およびクリーンアップに有効な推奨されるパターンがいくつかあります:

  1. 非アクティブなゲスト レポートを使用して、組織内の非アクティブなゲストに対するインテリジェントな分析情報を使用して、ゲスト アカウントを大規模に監視します。 組織のニーズに応じて非アクティブしきい値をカスタマイズし、監視するゲスト ユーザーの範囲を絞り込み、非アクティブなゲスト ユーザーを特定します。

  2. ゲストがまだアクセスが必要かどうかを自己証明するマルチステージ レビューを作成します。 第 2 ステージのレビュー担当者が結果を評価し、最終的な決定を行います。 アクセスが拒否されたゲストは無効になり、後で削除されます。

  3. レビューを作成して、非アクティブな外部ゲストを削除します。 管理者は、非アクティブな時間を日数として定義します。 その時間内にテナントにサインインしなかったゲストを無効にし、後で削除します。 既定では、これは最近作成されたユーザーには影響しません。 非アクティブなアカウントを識別する方法の詳細について説明します

次の手順を使用して、非アクティブなゲスト アカウントの監視を大規模に強化し、これらのパターンに従うアクセス レビューを作成する方法について説明します。 構成に関する推奨事項を検討し、環境に合わせて必要な変更を行います。

ライセンス要件

この機能を使用するには、Microsoft Entra ID Governance または Microsoft Entra スイートのライセンスが必要です。 要件に適したライセンスを見つけるには、 Microsoft Entra ID ガバナンス のライセンスの基礎を参照してください。

非アクティブなゲスト分析情報を使用してゲスト アカウントを大規模に監視する

  1. Microsoft Entra 管理センターにサインインします。

  2. ID ガバナンス>Dashboard に移動します

  3. [ゲスト アクセス ガバナンス ] カードに移動し、[非アクティブなゲストの表示] を選択して 、非アクティブなゲスト アカウント レポートにアクセスします。

  4. 非アクティブなゲスト レポートが表示され、90 日間の非アクティブに基づいて非アクティブなゲスト ユーザーに関する分析情報が提供されます。 しきい値は既定で 90 日に設定されていますが、組織のニーズに基づいて[非アクティブしきい値の編集]を使用して構成できます。

  5. このレポートの一部として、次の分析情報が提供されます:

    • ゲスト アカウントの概要(全ゲスト数と、サインインしたことが一度もないゲスト及び少なくとも一度はサインインしたゲストの更なる分類を含む非アクティブ ゲスト数)
    • ゲスト非アクティブ分散(前回のサインインからの日数に基づくゲスト ユーザーの割合分布)
    • ゲスト非アクティブの概要(非アクティブしきい値を構成するためのゲスト非アクティブ ガイダンス)
    • ゲスト アカウントの概要 (エクスポート可能な表形式のビュー。アクティビティの状態に関する分析情報を含む、すべてのゲスト アカウントの詳細が表示されます。アクティビティの状態は、構成されている非アクティビティしきい値に基づいてアクティブまたは非アクティブになります)

  6. 非アクティブ日数は、ユーザーが少なくとも 1 回サインインした場合、最後のサインイン日に基づいて計算されます。 サインインしたことがないユーザーについては、非アクティブ日数は作成日に基づいて計算されます。

ゲスト分析情報を含むレポートは、"すべてのデータをダウンロード" を使用してダウンロードできます。 ダウンロードする各アクションは、ゲスト ユーザーの数に応じて時間がかかる場合があります。最大 100 万人のゲスト ユーザーがダウンロードできます。

ゲストが継続的なアクセスを自己証明するためのマルチステージ レビューを作成する

  1. 確認するゲスト ユーザーの 動的グループ を作成します。 たとえば、 にします。

    (user.userType -eq "Guest") and (user.mail -contains "@contoso.com") and (user.accountEnabled -eq true)

  2. 動的グループ のアクセス レビューを作成 するには、 Microsoft Entra ID > Identity Governance > Access Reviews に移動します。

  3. 新しいアクセス レビューを選択します。

  4. レビューの種類を構成します。

    プロパティ
    レビュー対象を選択する チーム + グループ
    レビューの範囲 Teams とグループを選択する
    グループ 動的グループを選択する
    範囲 ゲスト ユーザーのみ
    (省略可能) 非アクティブなゲストをレビューする 非アクティブなユーザー (テナント レベル) のみのチェック ボックスをオンにします。
    非アクティブな時間を構成する日数を入力します。

    スクリーンショットは、ゲストが継続的なアクセスを自己証明するためのマルチステージ レビューのレビューの種類ダイアログを示しています。

  5. [ 次へ: レビュー] を選択します。

  6. レビューの構成:

    プロパティ
    第 1 段階のレビュー
    複数ステージのレビュー チェックボックスをオンにします。
    レビュー担当者の選択 ユーザーが自分のアクセス権を確認する
    ステージ期間 (日数) 日数を入力します。
    第 2 段階のレビュー
    レビュー担当者の選択 グループ所有者 または 選択したユーザーまたはグループ
    ステージ期間 (日数) 日数を入力します。
    (省略可能) フォールバック レビュー担当者を指定します。
    レビューの繰り返しを指定する
    レビューの繰り返し ドロップダウンから設定を選択します。
    開始日 日付を選択する
    終わり 自分の設定を選択する
    レビュー者を指定して次のステージに進む
    次のステージに進むレビュー対象者 レビュー対象者を選択します。 たとえば、自己承認または返信したユーザー [不明] を選択します。

    スクリーンショットは、ゲストが継続的なアクセスを自己証明するためのマルチステージ レビューの最初のステージ レビューを示しています。

  7. [ 次へ: 設定] を選択します

  8. 設定の構成:

    プロパティ
    完了時の設定
    リソースへの結果の自動適用 チェックボックスをオンにします。
    レビュー担当者が応答しない場合 アクセス権の削除
    拒否されたゲスト ユーザーに適用するアクション ユーザーが 30 日間サインインできないようにしてから、テナントからユーザーを削除する
    (省略可能) レビュー終了時の通知の送信先 通知する他のユーザーまたはグループを指定します。
    レビュー担当者の意思決定ヘルパーを有効にする
    レビュー担当者のメールの追加コンテンツ レビュー担当者向けのカスタム メッセージを追加する
    その他のすべてのフィールド 残りのオプションについては既定値のままにします。

    ゲストが継続的なアクセスを自己証明するためのマルチステージ レビューの設定ダイアログを示すスクリーンショット。

  9. [次へ] を選択: 確認と作成

  10. アクセス レビュー名を入力します。 (省略可能) 説明を入力します。

  11. 作成を選択します。

レビューを作成して、非アクティブな外部ゲストを削除します。

  1. 確認するゲスト ユーザーの 動的グループ を作成します。 たとえば、 にします。

    (user.userType -eq "Guest") and (user.mail -contains "@contoso.com") and (user.accountEnabled -eq true)

  2. 動的グループ のアクセス レビューを作成 するには、 Microsoft Entra ID > Identity Governance > Access Reviews に移動します。

  3. 新しいアクセス レビューを選択します。

  4. レビューの種類を構成します。

    プロパティ
    レビュー対象を選択する チーム + グループ
    レビューの範囲 Teams とグループを選択する
    グループ 動的グループを選択する
    範囲 ゲスト ユーザーのみ
    非アクティブなユーザー (テナント レベル) のみ チェックボックスをオンにします。
    非アクティブな日数 非アクティブな時間を構成する日数を入力します。

    構成した非アクティブな時間は、最近作成されたユーザーには影響しません。 アクセス レビューでは構成された時間にユーザーが作成されたかどうかが検査され、少なくともその時間に存在していなかったユーザーは無視されます。 たとえば、非アクティブ時間を 90 日に設定した場合、作成または招待されてから 90 日未満のゲスト ユーザーは、アクセス レビューの対象範囲外になります。 これにより、ゲストは削除される前に必ず 1 回はサインインできるようになります。

    非アクティブな外部ゲストを削除するレビューの種類ダイアログを示すスクリーンショット。

  5. [ 次へ: レビュー] を選択します。

  6. レビューの構成:

    プロパティ
    校閲者を指定
    レビュー担当者の選択 [グループの所有者] または [ユーザーまたはグループ] を選択します。
    (省略可能) プロセスを自動化したままにするには、アクションを実行しないレビュー担当者を選択します。
    レビューの繰り返しを指定する
    期間 (日数) 設定に基づいて値を入力または選択する
    レビューの繰り返し ドロップダウンから設定を選択します。
    開始日 日付を選択する
    終わり オプションを選択する。

  7. [ 次へ: 設定] を選択します

    非アクティブな外部ゲストを削除するための [レビュー] ダイアログを示すスクリーンショット。

  8. 設定の構成:

    プロパティ
    完了時の設定
    リソースへの結果の自動適用 チェックボックスをオンにします。
    レビューが応答しない場合 アクセス権の削除
    拒否されたゲスト ユーザーに適用するアクション ユーザーが 30 日間サインインできないようにしてから、テナントからユーザーを削除する
    レビュー担当者の意思決定ヘルパーを有効にする
    30 日間サインインなし チェックボックスをオンにします。
    その他のすべてのフィールド 設定に基づいてチェックボックスをオンまたはオフにします。

    非アクティブな外部ゲストを削除するための [設定] ダイアログを示すスクリーンショット。

  9. [ 次へ: 確認と作成] を選択します。

  10. アクセス レビュー名を入力します。 (省略可能) 説明を入力します。

  11. 作成を選択します。

構成した日数の間テナントにサインインしないゲスト ユーザーは、30 日間無効にされてから削除されます。 削除後、最大 30 日間はゲストを復元できます。その後は、新しい招待が必要になります。

アクセス レビューの決定がまだ適用されていない場合は、API accessReviewInstance: stopApplyDecisions を使用してアクティブな適用決定を停止できます。