AEON TECH HUBPublicationへの投稿
🔧

【Azure】アクセスレビュー機能を使用したEntra IDユーザーの棚卸し

Masahiko Kawada
に公開
Azure
Entra ID
accessreview
tech

初めまして。イオンスマートテクノロジー株式会社 SREチームの川田です。

Microsoft Entra ID(以下、Entra ID)の定期的な棚卸しを目的に、Azureの「アクセスレビュー」機能を活用した取り組みを実施しました。本記事では、その内容を整理し、実践知として共有します。

背景

社内では毎年のように新たな挑戦のために退職される方や、プロジェクト完了等によって業務を離れる協力会社の方が一定数います。
実運用においては、こうしたユーザーのアカウントが適切に無効化・削除されず、Entra ID上に残存しているケースが散見されます。

また、緊急の要件から一時的に必要でグループに所属したユーザー等が登録されたままになっていることも散見され、時間の経過とともにメンバーが増加してしまうことがしばしばあります。

このような状態では、アクセス管理が形骸化し、セキュリティリスクに繋がります。
そのため、Azureのアクセスレビュー機能を使って、定期的なユーザー棚卸しの仕組み化をつくり、改善に取り組むことにしました。

アクセスレビューとは

アクセス レビューとは(公式ドキュメント)

Microsoft Entra ID のアクセス レビューは Microsoft Entra の一部であり、組織はこれを使用することで、グループ メンバーシップ、エンタープライズ アプリケーションへのアクセス、ロールの割り当てを効率的に管理できます。 ユーザーのアクセスを定期的にレビューし、適切なユーザーのみが継続的なアクセス権を持っていることを確認できます。

Entra IDには「アクセスレビュー」という機能が用意されています。
これは、ユーザーやグループ、ロールなどのアクセス状況を定期的に見直すための仕組みです。

Entra IDのアクセスレビューは以下の2つの対象に対して使えます:

  • グループ(Microsoft 365グループ、セキュリティグループなど)
  • ロール(PIM:Privileged Identity Management と連携してロールごとのレビュー)

※今回はグループに対するアクセスレビューについて説明していきます。

またグループのアクセスレビューでは、レビュワーを以下の4つから選択することができます:

  • グループ所有者
  • ユーザーまたはグループ
  • ユーザーによる自身でのレビュー
  • ユーザーの管理者

アクセスレビューを開始すると、選択したレビュワーに対してメールが届き、ユーザーがグループに所属する必要があるかどうかを選択します。
レビューが完了すると、レビュワーの選択に基づいてAzure側で自動的にグループから除外処理が実行されます。(未選択のまま終了した場合に、自動で30日ログインしていないユーザーをグループから削除するオプションもあります)

ここまでが大まかなグループに対するアクセスレビューの説明になります。

棚卸しの流れとしては、

  1. 特定のグループ(ユーザー数が多い、作成日が古い等)に対してアクセスレビューを実施
             ↓
  2. 既に利用されていないユーザー・グループに所属する必要がないユーザーを選別
             ↓
  3. アクセスレビュー後、グループから削除され、利用されていないユーザーについてはアカウント削除
    も併せて実施

これによって、

  • グループから不要なユーザーを削除することで、余計な権限の付与を防ぐことができる
  • 利用されていないアカウントを発見し、増え続けるアカウントを管理できる

の2つが達成できると考えました。

実際に使ってみた

実際にアクセスレビューを実施しました。

1. アクセスレビューを設定する

  • Microsoft Entra IDからIdentity Governanceを選択

  • Access reviews → New access reviewを選択

  • 項目を選択していきます。今回は特定グループに所属しているユーザー全員をレビュー対象にします。
    (他にもアプリケーションやゲストユーザーを対象にすることもできます)

  • レビュワーにユーザー自身を選択しました。各ユーザーに所属する必要性を確認してもらいます。
    また四半期ごとに実行するなど、自動で定期実行することもできます。

  • settingではレビュワーが回答しなかった場合のアクションを選択できます。
    「take recommendations」では、30日間以上Azure Portalにサインインしていないユーザーのみを削除対象とみなし自動で削除してくれます。この機能が棚卸し時に非常に便利でした。
    回答がない場合、1.既に利用されていないユーザー と 2.利用しているが回答を忘れているユーザー
    がいます。1は自動で削除され、2はアクセスレビュー後に確認するなど別対応をとれます。

  • 設定が完了したら、アクセスレビュー開始です。
     レビュワーに対し、レビュー実施を促す通知メールが自動送信されます。

2. アクセスレビューに回答する

  • レビュワーには↓のようなメールが届きます
    「アクセスレビューを行う」から回答することができます

  • 実際の回答画面です。「いいえ」を選択すると、アクセスレビュー後に自動でグループから削除されます。

  • 管理画面では、各ユーザーの回答や推奨されるアクションを確認することができます。
    推奨されるアクションがDeniedになっている場合、アクセスレビュー期間に回答がないと自動で削除されます。

  • Overviewでは円グラフで状況が一目で確認できます。
    後はレビュワーからの回答を待つのみです、設定した期限になると完了メールが届きます。

課題

アクセスレビューを実際に利用した感じたのは以下の通りです。

  • レビュワーに通知するにはメールアドレスが登録されている必要がある
      社内には一部アカウントにメールアドレスが登録されていない方もいます。
     その場合、通知が届かないためアクセスレビューに気づくことが難しいです。

  • 回答率を上げる工夫が必要
      現状、通知手段がメールに限定されているため、ユーザーの認知率・回答率に課題が残ります。
     レビュー前にSlackやteamsなどで事前通知するなど、今後も回答率を向上させる方法を検討していこうと思います。

まとめ

Entra IDのアクセスレビューを活用することで、ユーザーアカウントやグループメンバーの棚卸しが効率的に行えることを実感しました。
特に「定期的なレビューの自動化」や「未対応ユーザーへの自動処理」の仕組みが、セキュリティ維持と運用効率化に大きく貢献します。

今後も、通知手段の工夫やレビュー対象の拡大など、取り組んでいきたいと思います。

イオングループで、一緒に働きませんか?

イオングループでは、エンジニアを積極採用中です。少しでもご興味もった方は、キャリア登録やカジュアル面談登録などもしていただけると嬉しいです。
皆さまとお話できるのを楽しみにしています!

AEON TECH HUB
AEON TECH HUBPublication

AEONグループのテックブログです!今後様々なグループ会社を巻き込みながらAEONのテクニカルな側面をお届けしていきます!(いきたい!)

Discussion