Entra IDゲストユーザーの棚卸 ~ Entra Suite編

Active Directory, Microsoft Azure

皆さんこんにちは。国井です。
先日、Entra IDゲストユーザーの棚卸についてブログに書きました。

Always on the clock
【Q&Aコーナー】Entra IDゲストユーザーの棚卸について
https://azuread.net/archives/14260
皆さんこんにちは。国井です。Microsoft Entra IDの外部ユーザー(ゲストユーザー)って作る方法はわかったけど、不要になった時の削除っていつすればよいの?というご質問をいただいたので、お答えしていきます。■ ■ ■ゲストユーザーは基本的にMicrosoft Entra IDテナントを保有する会社以外のユーザー、つまり社外のユーザーに対するクラウドサービスへのアクセス権を割り当てるために存在します。よくあるところではMicrosoft Teamsへのアクセス権を割り当てたり、OneDrive for Businessでフォルダーを共有するためにアクセス権を割り...

そのあとEMS勉強会に参加したらMicrosoft Entra Suiteライセンスの中にMicrosoft Entra Identity Governance というライセンスがあり、その中で非アクティブなゲストユーザーを検出する機能というのがあることを知り、勉強会の振り返りの位置づけで記してみることにしました。

Microsoft Entra Suiteライセンス

ゲストユーザーの棚卸機能として今日紹介する機能は Microsoft Entra Suite ライセンスが必要です。Microsoft Entra IDにはP1とP2という有償ライセンスがありますが、これらのライセンスのアドオンライセンスとして購入できるのがMicrosoft Entra Suiteです。
(P1のライセンスが650円もするなんて高い!などと言っていた時代が懐かしい..)

まつこさんの発表資料にもありましたが、Microsoft Entra Suiteのライセンスには以下のようなものがあり、Microsoft Entra Identity Governanceはその中のひとつでMicrosoft Entra Suiteとしてまとめて買うことも、Microsoft Entra Identity Governance単体で買うこともできます。

image

ゲストユーザーの状況を調べる

ゲストユーザーの棚卸をすべくMicrosoft Entra Identity Governance のライセンスを買ったら早速 Microsoft Entra 管理センターの Microsoft Entra Identity Governance > ダッシュボード > 非アクティブのゲストを表示する をクリックします。

image

するとこんな感じで作成したゲストユーザーの総数と非アクティブなゲストユーザーの数が確認できます。ちなみに非アクティブの定義は「90日間一度も弊社テナントにサインインしていないユーザー」です。画面の [非アクティブなしきい値] というところを見ると [非アクティブなゲストアカウント] 部分の紫が90日どころか一度もサインインしたことない人、緑が90日以内に一度もサインインしなった人になります。

image

ダッシュボード画面ではそれぞれのゲストユーザーが最後にサインインしたのが何日前なのかをグラフで表示してくれています。

image

先ほど非アクティブの定義を「90日間一度もサインインしていない」と言いましたが、90日という数字は0~360の範囲で変更することもできるため、私は設定を180日に変えてみました。

image

画面には表示されていないのですが、マウスカーソルをポイントすると90日後では174名、180日後では162名のゲストが非アクティブであることがわかりました。
つまり90日でも180日でも大して変わらないってことです。これは「非アクティブなゲストがいたら一定期間の後に無効化しよう」という運用設計をするときに90日でも180日でも (もっと言ったら60日でも) 変わらないんだったら、ゲストユーザーの棚卸の一環としてゲストを60日後に無効にしてしまおうなどという案を合理的に導き出すことができるのです。

ゲストユーザーの棚卸の実行

ゲストユーザーの棚卸をすべく、誰を無効化 (もしくは削除) すべきかを特定するにはダッシュボード画面の下部にあるユーザー一覧で確認できます。この一覧はCSVファイルでダウンロードできるので、ダウンロードしたファイルから非アクティブなユーザーだけを取り出して、Microsoft Entra管理センターのユーザーメニューの一括操作 > 一括削除を使ったり、PowerShellを使ったりして無効化または削除をすればよいのです。

image

まとめ

ゲストユーザーの棚卸をする方法としてMicrosoft Entra Identity Governanceライセンスを使った方法を見てきました。
前に紹介したように Log Analytics ワークスペースからクエリを書いて調査する方法もアリなのですが、クエリを書くのがとにかく面倒。その意味では工数も省けて良さそうです。
あと、ここでは紹介しなかったけどMicrosoft Entra Identity Governanceライセンスに含まれるアクセスレビューって機能を使うとゲストユーザー/メンバーユーザー関係なく非アクティブなユーザーを検出することも可能です。
それだけの目的でライセンス買うのかよって声が聞こえてきそうですが、(マイクロソフトのライセンスっていつでもそうですけど) 特定の機能のためだけに買うというよりはライセンスに含まれる他のサービスと共に利用することでメリットが出せるものです。
ですのでこれをきっかけに他の色々な機能を見て検討するのが良いかなと思います。

Suguru KUNII