「年に1回の権限棚卸し、本当に面倒じゃないですか?」
こんな状況、心当たりありませんか?
- Excelに出力した権限リストを各部署に送ったまま、1ヶ月経っても半分しか返ってこない
- 「去年と同じで」と中身を確認せず返信してくる部署長が毎回いる
- 催促メールを送り続けるだけで、まる1週間が終わっていた
自分も最初は、全ユーザーの権限リストをExcelに出力し、各部署の責任者にメールで送って確認を依頼していました。Excelの回収だけで1ヶ月かかり、催促の連絡をするのが本当にストレスでした。しかも、結局「去年と同じで」と中身を見ずに返信されることも多く、形骸化しているのが実情でした。
Microsoft Entra IDのアクセスレビュー機能を使えば、このEntraIDアクセスレビュー自動化がほぼ全自動で実現できます。 この記事では、自分が実際に試して効果があった具体的な設定手順と、そのまま使える報告テンプレートを紹介します。
Microsoft Entra ID アクセスレビューとは?社内SEが知るべき基本
結論から言うと、アクセスレビューは「ユーザー権限の自動棚卸しツール」です。
手動での権限チェックは、どうしても抜け漏れが発生し、セキュリティリスクに繋がります。アクセスレビューを使えば、このプロセスを定期的かつ自動的に実行し、ID管理のセキュリティレベルを大きく向上させられます。
| 機能 | 概要 | 主な用途 |
|---|---|---|
| 定期的なレビュー | ユーザーのグループメンバーシップやアプリへのアクセス権を定期的(月次・四半期など)に検証します。 | 退職者・異動者の不要な権限の削除 |
| レビュー担当者の指定 | レビュー担当を、グループ所有者・本人の上長・本人自身などに自動で割り当てます。 | 責任の明確化と現場主導の権限管理 |
| 自動的なアクション | レビューで「拒否」されたアクセス権を、自動的に削除(無効化)します。 | 棚卸し後の手作業による権限削除が不要に |
| 監査証跡の記録 | 「誰が」「いつ」「どの権限を」「承認/拒否したか」の記録がすべて自動で保存されます。 | 内部監査やセキュリティ監査への対応 |
失敗談:Excelで管理し続けた結果、退職者のVPNアクセスが残り続けていた
正直なところ、自分が関わった現場でもこういうケースがありました。アカウント管理をExcelで行っていた結果、退職時の手続きでシステム担当への連絡が漏れ、退職者がVPN経由でファイルサーバーにアクセスできる状態が数ヶ月続いていた、という話です。発覚したのはたまたま監査ログを見直したときで、もし見ていなければ気づかなかったかもしれません。「うちは大丈夫」と思っていても、棚卸しをExcel運用に頼っている限り、同じリスクは常に潜んでいます。
アクセスレビュー設定前の準備と確認事項
設定を始める前に、必ず以下の2点を確認してください。
必要なライセンスと権限
アクセスレビュー機能を利用するには、特定のライセンスと管理者権限が必要です。
- ライセンス: 以下のいずれかが必要です。
- Microsoft Entra ID P2
- Microsoft Entra ID Governance
- 管理者権限: 以下のいずれかのロールが必要です。
- 全体管理者
- Identity Governance 管理者
⚠️ よくある落とし穴: ライセンスが割り当てられていないユーザーはレビューの対象にできません。レビュー対象者とレビュー担当者の両方にライセンスが必要な点に注意してください。
レビュー対象の特定と整理
いきなり全社展開するのではなく、まずは対象を絞ってスモールスタートするのが成功のコツです。
- レビュー対象の選定:まずは「全社」グループや「退職済み社員」グループなど、影響範囲が広くクリティカルなものから始めます。
- レビュー担当者の決定:グループの所有者や、ユーザーの上長(マネージャー)を指定するのが一般的です。
- レビュー頻度の決定:四半期(3ヶ月)に1回、もしくは半期(6ヶ月)に1回が現実的な運用に合っています。
EntraIDアクセスレビュー自動化の設定手順(Microsoft Entra管理センター)
準備が整ったら、実際にアクセスレビューを作成します。
レビューのスコープと頻度を設定する
- Microsoft Entra 管理センター にサインインします。
- [ID ガバナンス] > [アクセス レビュー] の順に移動します。
- [+ 新しいアクセス レビュー] をクリックします。
- [レビューする対象を選択します] で「チーム + グループ」または「アプリケーション」を選択します。
- レビュー対象の具体的なグループやアプリケーションを指定します。
- [スコープ] で「すべてのユーザー」または「ゲスト ユーザーのみ」を選択します。
- [レビュー] タブで、レビューの頻度(1回限り、週単位、月単位、四半期、年単位)と期間(例:14日間)を設定します。
レビューアの指定と完了時のアクション設定
- [レビュー担当者] セクションで、レビューを行う担当者を選択します。
グループの所有者選択したユーザーまたはグループユーザーは自分のアクセスをレビューするユーザーのマネージャー- おすすめ:
ユーザーのマネージャーを指定すると、現場の判断で権限を整理しやすくなります。
- [完了時の設定] タブに移動します。
- [結果をリソースに自動適用する] を [有効化] します。ここが自動化のキモです。
- [レビュー担当者が応答しない場合] のアクションを決めます。
– おすすめ:アクセス権を削除 に設定すると、未回答のまま放置されるリスクを防げます。
- [レビューと作成] をクリックし、設定内容を確認してから [作成] をクリックします。
⚠️ よくある落とし穴: 「結果をリソースに自動適用する」を有効にしないと、レビュー結果が出ても権限は削除されません。結局、社内SEが手動で削除する羽目になり、自動化の意味がなくなってしまいます。
関連記事:社内SEが自動化すべき業務10選|現場で使える具体例と実装手順
アクセスレビューの実行・監視・結果確認
アクセスレビューは作成して終わりではありません。適切に運用されているかを確認するプロセスも大切です。
レビューアへの通知と進捗管理
- レビューが開始されると、設定したレビュー担当者に自動でメール通知が届きます。
- 管理者は、アクセスレビューのダッシュボードから、各レビューの進捗状況(未開始、進行中、完了など)をリアルタイムで確認できます。
- 回答期限が近づくと、未対応のレビュー担当者には自動でリマインダーメールが送信されます。
結果のエクスポートとレポーティング
- レビューが完了すると、結果をCSVファイルとしてダウンロードできます。
- このCSVには、「誰が」「どの権限を」「承認/拒否したか」「その理由は何か」といった詳細な情報が含まれており、監査証跡としてそのまま利用できます。
アクセスレビューをより効率化・自動化するコツ
標準機能に加えて、いくつかの工夫でさらに効率化できます。
Power Automateと連携した通知のカスタマイズ
標準のメール通知では見逃されてしまう、という場合はPower Automateとの連携が有効です。
- 具体例:レビュー担当者が未対応の場合、Teamsのチャネルにメンション付きでリマインダーを自動投稿するフローを作成します。
- これにより、通知の視認性が格段に向上し、レビューの回答率を高めやすくなります。
自分の環境では、メール通知だけの状態だと回答率が70%前後だったのが、Teams通知を追加してから90%を超えるようになりました。「メールは見落とすが、Teamsのメンションは気づく」という人が思っていたより多かったです。
関連記事:Power Automate入門|社内SEが最初に作るべきフロー3選【テンプレ付き】
定期報告に使えるテンプレート活用術
レビュー結果を経営層や監査部門へ報告する際に、そのまま使えるメールテンプレートを紹介します。ダウンロードしたCSVから数値を転記するだけで、分かりやすい報告書が約5分で完成します。
件名:【セキュリティ報告】YYYY年第X四半期 アクセス権レビュー結果のご報告
関係各位
お疲れ様です。情報システム部です。
YYYY年第X四半期のアクセス権レビューが完了しましたので、結果をご報告いたします。
■ レビュー期間:YYYY/MM/DD 〜 YYYY/MM/DD
■ レビュー対象:XX個のグループおよびアプリケーション
■ レビュー結果サマリ
・レビュー対象ユーザー数:XXX名
・承認されたアクセス権:XXX件
・拒否されたアクセス権(自動削除済み):XXX件
・レビュー回答率:XX.X%
今回のレビューにより、XXX件の不要なアクセス権を自動的に削除し、
セキュリティリスクの低減を実現しました。
詳細なレビュー結果(監査証跡)は添付ファイルをご確認ください。
ご不明な点がございましたら、情報システム部までお問い合わせください。
よろしくお願いいたします。
⚠️ よくある落とし穴: 報告を怠ると「何のためにやっているのか分からない」と他部署から思われがちです。定期的に効果を数値で見せることで、全社のセキュリティ意識向上にも繋がります。
実際に使ってみた結果
- かかった時間: 初期設定に約2時間。2回目以降は設定のコピーで30分以内に完了しました。
- 削減できた時間: 以前は四半期ごとの棚卸しにExcel集計・催促込みで約10時間かかっていたのが、設定後はほぼゼロになりました。年換算で約40時間の削減です。
- 詰まったポイント: 「結果をリソースに自動適用する」の設定を最初に有効にし忘れて、1回目のレビューが終わっても権限が消えず首をかしげました。設定画面を見直して気づいたので、同じミスをしないよう本記事に明記しています。
- 正直な感想: 最初は「担当者がちゃんと回答するか不安」と思っていましたが、Teams通知と合わせると思った以上に回答率が上がりました。設定自体よりも、現場への説明・巻き込みのほうが手間だったというのが率直な感想です。
結論(社内SEならこう使う)
EntraIDアクセスレビュー自動化は、まず「退職者・異動者が多い全社グループ」を対象に四半期レビューを1本立ち上げることから始めると、効果を実感しやすいです。運用が回り始めたら対象グループを少しずつ広げていくのが、現実的なスモールスタートの形だと思います。
まとめ:EntraIDアクセスレビュー自動化でセキュアな権限管理を実現する
Entra IDのアクセスレビューは、面倒な権限棚卸しを自動化し、組織のセキュリティを強化するための機能です。
- 結論:手動での権限管理には限界があり、EntraIDアクセスレビュー自動化への移行は先延ばしにするほどリスクが積み上がります。
- 理由:人的ミスを防ぎ、監査対応の工数を大幅に削減できます。
- 具体例:四半期ごとのレビューを自動化することで、年間約40時間かかっていた棚卸し作業をほぼゼロにできます。
- まとめ:まずは「全社」グループなど、クリティカルな対象からスモールスタートし、セキュアで効率的な権限管理体制を構築していきましょう。
実際に設定してみると、これまでいかに不要な権限が放置されていたかに驚くはずです。
関連記事:社内SE向けAI利用ガイドライン|情報漏洩を防ぐ実務ルールとテンプレート
関連記事:ChatGPTで業務効率化する方法|社内SEがすぐ使える具体例5選
