Microsoft Entra ID Governance どんな時に活用できるの?
今年は Microsoft Entra Suite がリリースされたこともあり多くのお問い合わせをお客様から頂きました
各お客様で Microsoft Entra のニーズはかなり高く各所で基礎的な勉強会やセッションも多数させていただく機会があり大変ありがたかったです。
お問い合わせの中でも SSE が一番多かったかな?と思っていたところ案件数としては ID Governance が圧倒的に多かったこともあり(個人調べ)今回はこちらを取り上げようと思います。
そもそも IGA とは?
Microsoft Entra ID Governance とはいわゆる IGA 製品のカテゴリに位置するソリューションです
IGA (Identity Governance and Administration) とは Gartner で以下ように定義されています
(原文)
Maintaining digital identities, their relationships with the organization and their attributes during the entire process, from creation to eventual archiving.Most organizations have multiple distinct identity life cycles, such as for employees,contractors, business partners, clients, students and patients.
(超意訳)
組織における異なる属性(従業員、請負業者、ビジネスパートナー、クライアント、学生、患者など)の ID ライフサイクルを作成から最終的なアーカイブまでの全プロセスにおいて維持すること。
ISO / IEC 24760-1:2019 などもありますが現在後継のドキュメントがドラフトのようです。新旧 URL 以下ですのでご興味があればこちらも参照してみてください
Microsoft Entra ID Governance とは?
Microsoft Entra ID を利用して ID やアクセス管理プロセスの自動化、委任、可視性の向上を行って適切なユーザーが適切なリソースに適切なアクセス権を持てるようにするソリューションです
主に以下のような価値を享受できます
- ID ライフサイクルの管理
- アクセス権のライフサイクルの管理
- 特権アクセスの管理
特権に関しては Microsoft Entra ID PIM の機能など世に多くブログなど存在するので今回は案件で特にご質問の多かった ID / アクセス権のライフサイクルについて記載したいと思います。
ID ライフサイクルの管理
Microsoft Entra ID では HR システムと連携しユーザープロビジョニングを実施し入社/異動/離職のプロセスに応じた自動化を行います
多くの企業では入社/異動/離職といった社員の ID ライフイベントがある際に決まったプロセスが存在するかと思います。このイベントをトリガーにして様々なタスクを自動化する機能がライフサイクルワークフローという機能です
Workday や SAP SuccessFactor などはシームレスな統合ができるようになっている他、API を通じて他の HR システムやオンプレミスの独自基盤からの連携ができるようにもなっています。
属性の追加や加工が必要な際には LogicApps と連携し追加で取り込みなどができるオプションもあります。
アクセス権のライフサイクルの管理
Microsoft Entra ID ではエンタイトルメント管理やアクセスパッケージを利用しアクセス権付与することができる機能です
例えば、営業部のパッケージを用意しておきユーザーが必要な時にアクセス権を申請、承認プロセスを経てアクセス権を付与、有効期限近くになった場合に再度レビューする機能があります
また、アクセスパッケージには Microsoft Entra ID のユーザー/グループなどを割り当てする他、セルフサービスでアクセス権の申請をすることができます
また、この方法はテナント内に存在するゲストユーザーにも適応させることができます。特にゲストユーザーを招待しっぱなしというケースも多くアクセスレビューやゲスト向けのインサイトを利用することで適切なアクセス権運用のサポートを行うことが出来ます
Microsoft Entra シリーズでは Microsoft Entra Private Access という ZTNA の機能を利用し、Entra ID 配下にオンプレミスのシステムをエンタープライズアプリケーションとして登録することも可能です。
この機能を利用することでオンプレミスアプリケーションに関しても Microsoft Entra ID 配下にあるものはエンタイトルメント管理やアクセスパッケージに含めてまとめて管理することが可能です
なぜ Microsoft Entra ID Governance が必要なの?
アクセス権の付与を申請制、棚卸は Excel など運用でどうにか回すケースがありますが、前述の Gartner や ISO などを参照しても ID やアクセス権に関して一気通貫で管理監査ができる状態が望ましいと言えます
しかし、現状運用で回せていることから以下のような課題をお聞きするケースがあります
このような課題を解決するために Microsoft Entra ID ではシンプルに自動化とセルフサービス化でアプローチする上述の機能を提供しています
機能を組み合わせることで以下のような運用を Microsoft Entra ID のみで実現することが可能です
- HR システムに入力されたユーザーが Microsoft Entra ID に自動プロビジョニングされ配属される営業部向けのアプリケーションパッケージのアクセス権を自動付与、更にセルフサービスで必要なアプリケーションのアクセス権を申請
- 異動に伴いユーザーの既存で利用している営業部関連のアクセス権は自動またはアクセスレビューを通じてはく奪されます
- 異動先の総務部のアクセスパッケージを新たに付与し、セルフサービスでアプリケーションのアクセス権を個別申請します
- 退職に伴いアクセス権の自動またはアクセスレビューを通じたはく奪、ID の無効化や削除を自動で行う
※最近話題に上がる Microsoft 365 Copilot のオーバーシェアリング課題にアプローチにも最適です
Microsoft Entra ID では監査の機能ももちろんあるので Office 365 や Microsoft Entra ID を既にご利用いただいている場合にはスマートに IGA 領域の課題にアプローチできる製品となっています
動的グループとは何が違うの?
Microsoft Entra ID では動的グループを利用したアクセス権付与が行われているケースも多いですが、この機能はあくまでメンバーシップ管理のための機能でありアクセス権管理を行うための機能ではありません。
多くの企業でワークフローを実装したい、細かなアクセス権付与(この人には General 、別のひとには Admin など)など検討している場合には是非 Microsoft Entra ID Governance をご検討ください
実は Microsoft でも使われている
元々他社の IGA 製品を使っていたようですがメンテナンスが大変で運用に苦労していたようです。
Microsoft Entra ID Governance を利用したシンプルな運用にすることで(移行は 6 カ月で 25 万ユーザー対象)年間 150 万ドル費やしていたコストを回収することができた、という事例がでています。
オマケ1 (w/ Security Copilot)
今後 Microsoft Entra ID Governance と Security Copilot の連携などがアナウンスされています。ライフサイクルワークフローのテンプレート作成を依頼することなどができるようになる予定です。
※以下は動作イメージ
オマケ2(Microsoft Entra 総復習 & Microsoft Entra Suite 紹介)
今年 Microsoft では AI 分野での発表が顕著でしたが是非全てのソリューションの中核にいる Microsoft Entra ID もフル活用をし、安心安全な ID 基盤の運用にお役立ていただければ幸いです
Discussion