Entra IDガバナンスのアクセスパッケージにおける有効期限とは
アクセスパッケージの以下の赤枠の項目の意味について確認しました。
アクセスパッケージによってアクセス権がユーザに割り当たるまでの大まかな流れ
①管理者によりアクセスパッケージを作成。その中で、アクセスパッケージを要求できるユーザを指定する
②アクセスパッケージを要求できるユーザは、マイアクセスポータルからアクセスパッケージを要求することで、そのユーザにアクセス権が割り当たる(ユーザが要求してから、割り当ての間に、管理者の承認を挟むことも可能)
有効期限について
ここで設定する有効期限は、「②が完了してから、アクセス権がユーザから外れるまでの期間」のこととなります。
よく勘違いされていますが、以下の期間ではありません
× 「①で管理者が、アクセスパッケージを要求できるユーザを指定してから(アクセスパッケージを作成してから)、対象ユーザがアクセスパッケージを要求し続けられる期間」
その他関連事項
アクセスパッケージによりアクセス権がユーザに一定期間割り当たっている状態で、アクセスパッケージで設定された有効期限を迎える前に、ユーザからアクセス権を外したい場合はどうすればよいか
[Microsoft Entra 管理センター] – [エンタイトルメント管理] – [アクセスパッケージ] より該当のアクセス パッケージを選択し、[割り当て] より該当アクセス パッケージが割り当てられたユーザーを削除する操作をすればOKです(この[割り当て]に表示されるユーザは、実際にアクセス権が付与されているユーザが表示されています)
上記の操作を実施することで該当のアクセス パッケージにて割り当てられた全てのリソースのアクセス権が該当ユーザーから削除されます。リソース種別により操作は変わらず、アクセス パッケージに含まれユーザーに割り当てられたリソース種別毎に割り当て削除の操作をする必要はなく、一括でアクセスパッケージに含まれるリソースへのアクセス権をすべて外すことができます。
一括ではなく、リソース毎にアクセス権を外す/外さないを選択したい場合はどうすればよいか
アクセス パッケージが割り当たっている状態でも割り当てられたリソース種別毎に割り当て削除の操作をすることで、該当リソースへのアクセス権を削除することが可能であることを検証環境にて確認しました。
例として、グループの “メンバー" からユーザーを削除する手順やエンタープライズ アプリケーションの “ユーザーとグループ" からユーザーを削除する手順について記載します。
公開情報:グループを管理する方法 – Microsoft Entra | Microsoft Learn
該当項目:グループのメンバーまたは所有者を削除する
公開情報:アプリケーションへのユーザーとグループの割り当てを管理する – Microsoft Entra ID | Microsoft Learn
該当項目:アプリケーションからユーザーとグループの割り当てを解除する
また、アクセス パッケージが割り当たっている状態でリソース種別毎に割り当てが削除された場合、アクセス パッケージに割り当てられた全てのリソースのアクセス権をユーザーに再度割り当てることも可能です。
以下が手順となります。
======
手順例(アクセス権の再割り当て)
======
1. Microsoft Entra 管理センター (https://entra.microsoft.com/) に管理者としてサインインします。
2. [エンタイトルメント管理] – [アクセス パッケージ] より、再度割り当て処理を行いたい該当アクセス パッケージを選択します。
3. [割り当て] にてアクセス パッケージが割り当てられているユーザーが表示されますので、アクセス パッケージに含まれるアクセス権を再度割り当てたいユーザーにチェックを入れて再処理を選択します。
手順例は以上です。
上記の手順につきましては、以下公開情報にも記載があります。
公開情報:エンタイトルメント管理でアクセス パッケージの割り当てを再処理する – Microsoft Entra ID Governance | Microsoft Learn