機能
Access Fabric がユーザーに代わって実行する処理
Microsoft Graph 上のオペレーター UI で Entra のアクセスガバナンスを実現 — レビュー、クリーンアップ、JML、監査エクスポートを 1 か所に集約。
-
ゲストアクセスレビュー
Microsoft Graph からゲストユーザーのインベントリを読み取り、Entra エンタイトルメント管理を通じてレビューを推進します。レビュー担当者は、決定する前にスポンサー、ソースアプリ、最終サインインを確認できます。
-
アプリケーションアクセスレビュー
各アプリ登録、割り当てられたロール、最終サインイン日を 1 つのキャンペーンで一覧表示します。レビュー担当者は Entra 管理センターで複数のブレードを開くことなく承認または削除できます。
-
休眠アカウント
最近のサインインがないユーザーをフラグ付けし、アクセスレビューにルーティングします。レビュー担当者が不要と判断すると、削除は Graph を通じて実行されます。
-
孤立したロール
所有者が組織を離れたロールの割り当てを検出します。レビュー担当者は Teams で承認または取り消しを行い、孤立した割り当ては Graph を通じてクリーンアップされます。
-
ITSM への JML フック
HR フィードと Entra ライフサイクルワークフローからの入社、異動、退職イベントが、アクセス要求と取り消しを ITSM にルーティングします。アカウントを無効化するだけでなく、ロールも引き抜かれます。
-
Teams の承認確認とリマインダー
マネージャーの承認確認とレビュー担当者へのリマインダーが Microsoft Teams に届きます。Access Fabric はキャンペーンの期限前になっても回答していないレビュー担当者に通知します。
-
ゲストインベントリ
最終サインイン、招待元のアプリケーション、記録上のスポンサーを含むすべてのゲストを 1 つのリストにまとめます。古いゲストをフィルタリングしてレビューキャンペーンに直接送信します。
-
キャンペーンごとの監査エクスポート
各キャンペーンは、決定事項、レビュー担当者の ID、タイムスタンプを CSV または JSON としてエクスポートします — ISO 27001:2022 A.5.15、A.5.16、A.5.18 および NIS2 第 21 条にマッピングされます。
-
マルチテナントコンソール
MSP プランでは、顧客テナントを横断する単一のオペレーターコンソールを利用できます。顧客ごとのレポートと分離された環境は、内部的に独立して維持されます。
-
Entra ディレクトリのバックアップ
ユーザー、グループ、ロールの割り当て、アプリケーション、サービスプリンシパル、条件付きアクセスポリシーを毎日ポイントインタイムでスナップショット。各バックアップは保持され、監査や復元のためにエクスポートできます。
-
構成ドリフト
各バックアップは直前のものと比較され、ディレクトリで何が変わったか(追加・削除・変更)を、手作業でエクスポートを突き合わせることなく正確に把握できます。
-
特権ロールのアラート
グローバル管理者や Exchange 管理者などの組み込み特権ロールが付与された瞬間、Access Fabric がスナップショットに対してアラートを発生させ、変更を見逃しません。
キャンペーンの実行方法
-
テナントを接続
Access Fabric Graph アプリケーションに管理者の同意を付与します。ユーザー、グループ、ゲスト、ロールの割り当てを読み取ります — 接続時にディレクトリ内の何も変更されません。
-
キャンペーンの範囲を決定
ゲスト、アプリケーション、または休止中のアクセスを選択します。Access Fabric はエンタイトルメント管理でレビューを作成し、Entra ディレクトリからレビュー担当者を割り当てます。
-
レビュー担当者は Teams で決定
マネージャーとアプリの所有者が Microsoft Teams で証明します。Access Fabric は期限までに回答していないレビュー担当者にリマインダーを送信します。
-
実行してエクスポート
承認されたアクセスは維持されます。削除と孤立したロールは Graph を通じてクリーンアップされ、離職者の取り消しは ITSM を通じて実行され、キャンペーンの決定は監査記録としてエクスポートされます。