<p><!--META { "title": "Microsoft Entra ID Governance", "primary_category": "クラウド>Azure", "secondary_categories": ["アイデンティティ管理", "セキュリティ"], "tags": ["Microsoft Entra ID Governance", "Azure AD", "Identity Governance", "Access Reviews", "Entitlement Management", "Privileged Identity Management"], "summary": "Microsoft Entra ID Governanceのアーキテクチャ、設定、運用、コスト、セキュリティについて解説します。", "mermaid": true, "verify_level": "L0", "tweet_hint": {"text":"Microsoft Entra ID Governanceの導入・運用ガイド。アーキテクチャからコスト最適化、セキュリティまで網羅。Entra IDの権限管理を効率化しましょう。","hashtags":["#AzureAD","#IdentityGovernance","#EntraID"]}, "link_hints": ["https://learn.microsoft.com/ja-jp/entra/id-governance/", "https://learn.microsoft.com/ja-jp/entra/id-governance/licensing"] } --> 本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">Microsoft Entra ID Governance</h1> <p>Microsoft Entra ID Governanceは、IDとアクセスのライフサイクルを自動化し、権限を可視化、管理、レビューするための機能群を提供します。これにより、組織はセキュリティとコンプライアンスを強化しつつ、管理の効率化を実現できます。</p> <h2 class="wp-block-heading">アーキテクチャ</h2> <p>Microsoft Entra ID Governanceは、Microsoft Entra ID P2ライセンスに含まれる主要な機能（Entitlement Management、Access Reviews、Privileged Identity Management (PIM)、Lifecycle Workflows）で構成されます。これらの機能はMicrosoft Entra IDを基盤とし、ユーザーのアクセス権限、特権ロール、IDライフサイクル全体にわたるガバナンスを提供します。</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> flowchart TD USR["ユーザー/グループ"] -->|アクセスパッケージ要求| EMA["Entitlement Management"] EMA -->|アクセスパッケージ付与/削除| EIDA["Microsoft Entra ID"] EIDA -->|アプリケーションへ適用| APPA["アプリケーション/リソース"] ADM["管理者"] -->|アクセスレビューポリシー定義| ARR["Access Reviews"] ARR -->|定期的な権限棚卸し実行| EIDA USR -->|特権ロール昇格要求| PIMZ["Privileged Identity Management (PIM)"] PIMZ -->|JITアクセスを許可/拒否| EIDA HRS["人事システム"] -->|ユーザーのライフサイクルイベント連携| LWFZ["Lifecycle Workflows"] LWFZ -->|IDプロビジョニング/デプロビジョニング| EIDA EIDA -->|ID同期を確立| OAD["オンプレミス AD"] EIDA -->|ID連携を確立| EXTIDP["外部IDプロバイダー"] </pre></div> <h2 class="wp-block-heading">設定手順</h2> <p>Microsoft Entra ID Governanceの機能は、Azureポータル、Microsoft Graph API、またはAzure CLI/PowerShellを通じて設定可能です。以下にGraph APIとPowerShellを用いたEntitlement ManagementのAccess Package作成例を示します。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># Microsoft Graph PowerShell SDKをインストール # Install-Module -Name Microsoft.Graph.Identity.Governance # 必要なアクセス許可を設定し、接続（例: EntitlementManagement.ReadWrite.All） Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All" # Access Packageの作成 $AccessPackage = @{ DisplayName = "Sales Team Access" Description = "Access package for Sales team members to core applications." IsHiddenInMyAccess = $false } $CreatedAccessPackage = New-MgEntitlementManagementAccessPackage -BodyParameter $AccessPackage Write-Host "Access Package ID: $($CreatedAccessPackage.Id)" # Access Packageにリソース（例: グループ、アプリケーション）を追加 # （ここでは詳細なリソース設定は割愛、Graph APIでリソースカタログ、グループ、アプリのIDを取得し追加） # $ResourceRoleScope = @{ # ResourceId = "resource-id" # Role = @{Id = "role-id"} # Scope = @{Id = "scope-id"} # } # New-MgEntitlementManagementAccessPackageResourceRoleScope -AccessPackageId $CreatedAccessPackage.Id -BodyParameter $ResourceRoleScope </pre> </div> <h2 class="wp-block-heading">運用監視</h2> <p>運用監視では、Microsoft Entra IDの監査ログ、サインインログ、プロビジョニングログが中心となります。これらのログをAzure Log Analyticsワークスペースに診断設定でエクスポートし、Azure MonitorやAzure Sentinelで監視します。</p> <ul class="wp-block-list"> <li><strong>可観測性</strong>: アクセス要求、承認、拒否、PIMロールのアクティブ化、アクセスレビューの結果など、IDガバナンス関連のイベントを追跡します。カスタムダッシュボードやアラートを作成し、異常な活動やポリシー違反を即座に検知します。</li> <li><strong>ログ</strong>: Entra IDの各ログカテゴリ（Audit, SignIn, Provisioning, PIM, Entitlement Management）をLog Analyticsに集約します。</li> <li><strong>SLA</strong>: Microsoft Entra IDのプレミアムSKUは99.9%の月間SLAを提供し、高可用性を保証します。</li> <li><strong>バックアップ/DR</strong>: Microsoft Entra ID自体はMicrosoftがグローバルに分散されたデータセンターで管理しており、ユーザーが直接バックアップやDR計画を立てる必要はありません。しかし、ガバナンスポリシーや設定の定義は定期的にドキュメント化し、コードとしての管理（IaC）を検討することが大切です。</li> </ul> <h2 class="wp-block-heading">セキュリティ</h2> <p>Microsoft Entra ID Governanceは、アイデンティティと権限境界を厳密に管理することでセキュリティを強化します。</p> <ul class="wp-block-list"> <li><strong>アイデンティティと権限境界</strong>: Entra IDのRBAC（ロールベースアクセス制御）により、管理者ロールを最小権限の原則で割り当てます。Entitlement Managementは、ユーザーがリソースにアクセスするために必要な最小限の権限を持つAccess Packageを定義します。</li> <li><strong>条件付きアクセス (CA)</strong>: PIMによる特権ロール昇格やEntitlement Management経由のアクセス時に、多要素認証 (MFA) やデバイス準拠、場所などの条件を強制します。これにより、高リスクなアクセスを未然に防ぎます。</li> <li><strong>Privileged Identity Management (PIM)</strong>: 永続的な特権アクセスを排除し、Just-In-Time (JIT) および Just-Enough-Access (JEA) の原則に基づいて、必要な期間だけ必要な権限を付与します。</li> <li><strong>Access Reviews</strong>: 定期的にユーザーのアクセス権限を棚卸しし、不要な権限や期限切れの権限を特定して削除します。</li> <li><strong>Microsoft Defender for Cloud Apps (MDCAS)</strong>: Entra IDと連携し、クラウドアプリケーションへのアクセスを監視します。異常な行動やシャドーITを検知し、セッションポリシーでアクセスガバナンスを強化します。</li> </ul> <h2 class="wp-block-heading">コスト</h2> <p>Microsoft Entra ID Governanceの主要機能は、<strong>Microsoft Entra ID P2ライセンス</strong>に含まれています。ユーザーごとにP2ライセンスが必要となり、このライセンスがコストの主な要因です。</p> <ul class="wp-block-list"> <li><strong>ライセンス</strong>: Entitlement Management、Access Reviews、PIM、Lifecycle Workflowsの利用にはMicrosoft Entra ID P2ライセンスが必要です。</li> <li><strong>コスト最適化</strong>: <ul> <li><strong>適切なライセンス割り当て</strong>: P2ライセンスが必要なユーザーのみに割り当て、不要な場合はMicrosoft Entra ID P1やFree SKUで十分な機能を活用します。</li> <li><strong>使用状況の監視</strong>: P2機能の利用状況を定期的に確認し、投資対効果を評価します。</li> <li><strong>Log Analytics</strong>: ログデータの保持期間を最適化し、ストレージコストを管理します。</li> </ul></li> </ul> <h2 class="wp-block-heading">落とし穴</h2> <p>Microsoft Entra ID Governanceの導入には、いくつかの注意点があります。</p> <ul class="wp-block-list"> <li><strong>複雑なポリシー設計</strong>: アクセス権限の構造が複雑な場合、Entitlement ManagementのAccess PackageやAccess Reviewのポリシー設計が煩雑になり、管理オーバーヘッドが増大する可能性があります。シンプルな構造から段階的に導入を検討することが推奨されます。</li> <li><strong>Access Reviewsの実行忘れ</strong>: 定期的なアクセスレビューが適切に実行されないと、過剰な権限が付与されたままとなり、セキュリティリスクが高まります。自動化された通知と適切なレビューアの選定が不可欠です。</li> <li><strong>PIMの適用範囲の誤り</strong>: PIMを過度に適用すると、正当な管理者が必要なタスクを実行できなくなる可能性があります。逆に適用範囲が不十分だと、特権アクセスのリスクが残存します。</li> <li><strong>オンプレミス連携の課題</strong>: オンプレミスActive DirectoryとのID同期（Azure AD Connect）の健全性が、Entra ID Governance全体の有効性に影響します。同期エラーや遅延がガバナンスの抜け穴となり得ます。</li> <li><strong>組織文化との不一致</strong>: IDガバナンスは、組織全体のコンプライアンス意識やセキュリティ文化に深く根ざすものです。ツールの導入だけでなく、適切なポリシーとプロセスの周知徹底が必要です。</li> </ul> <h2 class="wp-block-heading">まとめ</h2> <p>Microsoft Entra ID Governanceは、IDとアクセスのライフサイクルを効率的かつセキュアに管理するための強力なフレームワークを提供します。Entitlement Management、Access Reviews、PIM、Lifecycle Workflowsといった機能を適切に活用することで、組織はセキュリティ体制を強化し、コンプライアンス要件を満たしつつ、管理業務の自動化と効率化を図ることが可能です。導入にあたっては、複雑な設定を避け、段階的なアプローチと組織文化への適合を考慮することが成功の鍵となります。</p>

flowchart TD
    USR["ユーザー/グループ"] -->|アクセスパッケージ要求| EMA["Entitlement Management"]
    EMA -->|アクセスパッケージ付与/削除| EIDA["Microsoft Entra ID"]
    EIDA -->|アプリケーションへ適用| APPA["アプリケーション/リソース"]

    ADM["管理者"] -->|アクセスレビューポリシー定義| ARR["Access Reviews"]
    ARR -->|定期的な権限棚卸し実行| EIDA

    USR -->|特権ロール昇格要求| PIMZ["Privileged Identity Management (PIM)"]
    PIMZ -->|JITアクセスを許可/拒否| EIDA

    HRS["人事システム"] -->|ユーザーのライフサイクルイベント連携| LWFZ["Lifecycle Workflows"]
    LWFZ -->|IDプロビジョニング/デプロビジョニング| EIDA
    EIDA -->|ID同期を確立| OAD["オンプレミス AD"]
    EIDA -->|ID連携を確立| EXTIDP["外部IDプロバイダー"]

# Microsoft Graph PowerShell SDKをインストール
# Install-Module -Name Microsoft.Graph.Identity.Governance

# 必要なアクセス許可を設定し、接続（例: EntitlementManagement.ReadWrite.All）
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

# Access Packageの作成
$AccessPackage = @{
    DisplayName = "Sales Team Access"
    Description = "Access package for Sales team members to core applications."
    IsHiddenInMyAccess = $false
}
$CreatedAccessPackage = New-MgEntitlementManagementAccessPackage -BodyParameter $AccessPackage

Write-Host "Access Package ID: $($CreatedAccessPackage.Id)"

# Access Packageにリソース（例: グループ、アプリケーション）を追加
# （ここでは詳細なリソース設定は割愛、Graph APIでリソースカタログ、グループ、アプリのIDを取得し追加）
# $ResourceRoleScope = @{
#     ResourceId = "resource-id"
#     Role = @{Id = "role-id"}
#     Scope = @{Id = "scope-id"}
# }
# New-MgEntitlementManagementAccessPackageResourceRoleScope -AccessPackageId $CreatedAccessPackage.Id -BodyParameter $ResourceRoleScope