Entra ID Governance アクセスPKGの割り当てとは
アクセスPKGをユーザに割り当てることで、アクセスPKGに含まれる各種リソースへのアクセス権をユーザに付与できます。
リソースは以下が選択できます。
・グループとチーム
・アプリケーション
・SharePointサイト
・Microsoft Entra ロール
上記リソースを含むアクセスPKGがユーザに割り当てられると、各種リソースにおいて、どのような変化が生じるのでしょうか。
グループとチーム
セキュリティグループやMicrosoft 365グループ(= Teamsチーム)に、メンバ(または所有者)として追加ができます。
このリソースを含むアクセスPKGをユーザに適用されることで、実際にEntra IDのグループ画面においてもメンバー(または所有者)として追加されます。
メンバーで追加されるか、所有者で追加されるかは、アクセスPKG構成時に指定できます。
アプリケーション
Entra IDをIDPとしたSSOを構成しているアプリケーションへのアクセス権を付与できます(Entra IDでアクセス権を制御するには、Entra IDをIDPとしたSSOを構成しておく必要があります)
アプリケーションへのアクセス権を付与するには、Entra IDにおける”エンタープライズアプリケーション”の以下の画面にユーザを追加する必要があります。
このリソースを含むアクセスPKGがユーザに適用されることで、以下の画面にユーザが自動的に追加されます。
SharePoint サイト
サイトへのアクセス権を付与できます。
このリソースを含むアクセスPKGがユーザに適用されることで、以下の画面(赤枠部分)にユーザが自動的に追加されます
所有者、メンバ、閲覧者のどれで追加されるかは、アクセスPKGの構成時に指定できます。
Microsoft Entra ロール
Entra ロールをユーザに割り当てることができます。
アクセス パッケージとして、Entra ロールを含めている場合、そのアクセス パッケージの要求が承認されたタイミングで PIM 側の画面 (PIM – 管理 – Microsoft Entra ロール – 管理 – 割り当て – 資格のある割り当て もしくは、アクティブな割り当て) に反映されます。
”資格のある割り当て”、”アクティブな割り当て”のどちらかで割り当てるかは、アクセスPKG構成時に指定できます。
参考
アクセスパッケージの各種設定項目の意味についてわかりやすいサイト
https://jpazureid.github.io/blog/azure-active-directory/access-management-with-access-package