Teamsメンバーの棚卸をアクセスレビューで実施

皆さんこんにちは。国井です。
Microsoft Teamsでチームやチャネルを使ってコミュニケーションを取る際、
チームやチャネルを利用するメンバーを追加して利用すると思います。
しかし、使い続けていると誰がメンバーなのか、
そして追加したメンバーは果たして必要なメンバーなのか
ということがわからなくなるケースもきっとあるでしょう。

そうしたときにAzure AD Premium P2で用意されているアクセスレビューを利用する方法があります。(いきなりライセンス上のハードルが上がった!)
ちょこちょこお客さんにご質問でいただくことがあるので、まとめておきます。

アクセスレビューとは

Azure ADのMicrosoft 365グループ、セキュリティグループやAzure ADに関連付けられたアプリに対するアクセス許可を参照し、不要なメンバーがいないかを確認する、
いわゆる棚卸のためのサービスです。
Microsoft 365グループって、Microsoft Teamsにおけるチームの実体です。
ですので、Microsoft 365グループのメンバーの棚卸をするってことは
言い方を換えればTeamsチームのメンバーの棚卸をするってことでもあります。

アクセスレビューのサービスはAzure AD Privileged Identity Managementのサービスの一部として提供されるものであり、それゆえにAzure AD Premium P2のライセンスが必要になります。

レビューの開始

では早速レビュー(棚卸)を始めましょう。
レビューの設定はAzure AD管理センターのIdentity Governance > アクセスレビューから行います。最初にレビュー対象となるグループを選択し、

image

続いてレビュー担当者(レビュアー)を設定します。
ここでポイントなのは今見ているウィザードを実行している人(レビュー作成者)と
レビューを実行する人(レビュアー)は異なるユーザーだということです。
もちろん同じユーザーでもいいのですが、特定のチームのメンバーが必要・不要なんて
業務のことがわかっていなかったら判断できないので、
レビュー作成者ではなく、実際にチームを使っている人をレビュアーに指定します。

image

最後にレビューの詳細設定を行います。
[リソースへの結果の自動適用]ではレビュアーが「この人要らない」と
判断した時にチームのメンバーから自動削除するか?という設定、
[30日間サインインなし]ではサインインのなかったユーザーを
「この人、もう要らないんじゃない?」というアドバイスをしたりします。

image

以上の設定が完了したら、レビューの名前を設定してできあがり。

レビュアーの作業

レビューを開始するとレビュアーに1通のメールが届きます。
(Teams上で処理できるといいんだけどね)
[レビューを開始する]をクリックしてスタートします。

image

すると[マイアクセス]のページに飛んで、レビュー画面が表示されます。
ここでチームのメンバー一覧とそれぞれのユーザーが最後にアクセスした日時、
そしてメンバーとして残す、残さない、の推奨事項が表示されます。
これらをもとにレビュアーはメンバーとして残すことを承認or拒否を判断します。

image

設定はこれだけです。

レビュー作成者側での確認

レビュアーの作業が完了すると、レビュー作成者は
[Identity Governance]画面で、レビュアーの作業結果が確認できます。

image

以上のような感じで棚卸作業をサービスとして提供してくれるのがアクセスレビューです。
実際に使ってて思うことは「レビュアーの協力は大事」ってことです。

まず協力してくれるような仕掛けを社内に作っていくことも必要ですし、
必要・不要を判断するための「ある程度の基準」を設けておくことも必要だと思います。
なんでもそうですけどツールだけ使えばOKとか、そんなことはないですよね。

  • このエントリーをはてなブックマークに追加
  • Evernoteに保存Evernoteに保存

コメントをどうぞ

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

*

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください