Microsoft Entra Account DiscoveryがID可視性のギャップを解消

はじめに

ID ガバナンスは、管理者が誰にどのアクセス権があるのかを把握できて初めて機能します。Microsoft はこの課題に対応するため、Microsoft Entra ID Governance の新しいパブリック プレビュー機能 Account Discovery を導入しました。これは、接続された SaaS アプリやオンプレミス アプリ内に存在する既存アカウントを可視化するための機能です。

これは重要です。多くのアプリケーションは、最新のガバナンス制御が有効になる以前から導入されているためです。その結果、組織はしばしば、未管理アクセス、孤立アカウント、そして Conditional Access、アクセス レビュー、ライフサイクル ポリシーの対象外にあるアプリへの直接割り当てを引き継ぐことになります。

新機能

Account Discovery は対象アプリケーションに接続し、ユーザー アカウントと属性を取得したうえで、次のような設定可能な一致属性を使って Microsoft Entra 内の ID と照合します。

• User principal name
• Email address

その後、一致したユーザーが Entra のエンタープライズ アプリケーションにすでに割り当てられているかどうかを確認し、次の 3 つの分類を含む検出レポートを生成します。

• 一致済みかつ割り当て済み: ユーザーは Entra に存在し、すでにアプリに割り当てられている
• 一致済みだが未割り当て: ユーザーは Entra に存在するが、アクセス権はアプリケーション側で直接付与されている
• 孤立またはローカル アカウント: アプリ アカウントに対応する Entra ID が存在しない

これにより、IT チームは、どのアカウントがすでにガバナンス対象で、どのアカウントに是正対応が必要かを迅速に把握できます。

管理者にとって重要な理由

ID チームとセキュリティ チームにとって最大の利点は、ポリシーを適用する前に可視性を確保できることです。アプリのオンボーディング時に、管理者は Account Discovery を使って、レガシーなプロセス、手動プロビジョニング、または直接サインアップによってすでにアクセス権を持つユーザーを特定できます。

Microsoft の例では Salesforce が使われており、検出によって次のような状況を明らかにできます。

• 有効な ID を持つが Entra アプリ割り当てがない従業員
• 削除や調査が必要な可能性のあるローカルまたは孤立アカウント
• 個別のレビューが必要なサービス アカウントやテスト アカウント

特定後、管理者は正当なユーザーを Entitlement Management のアクセス パッケージに移行し、承認、期限切れルール、定期的なアクセス レビューを適用できます。また、MFA や Conditional Access を回避している可能性があるローカル アカウントを調査することもできます。

継続的なガバナンスと次のステップ

Account Discovery は初期オンボーディング専用の機能ではありません。Microsoft はこれを、次のような時間経過によるずれを検出するための継続的なガバナンス チェックポイントとして位置付けています。

• 承認済みワークフロー外で新たに作成されたローカル アカウント
• 見逃されたオフボーディング案件
• 想定より長く有効なまま残っている一時的な契約社員アカウントやテスト アカウント

IT チームが今すぐ行うべきこと

• レガシーまたは手動管理のアクセスが残るエンタープライズ アプリケーションを確認する
• 新たにガバナンス対象にするアプリのオンボーディング時に Account Discovery を実行する
• 検出結果を基にユーザーを Entra のガバナンス ワークフローへマッピングする
• 孤立アカウント、サービス アカウント、ローカル アカウントを調査し是正する
• アクセスのずれを検出するため、定期的な検出レビューを計画する

提供状況

Account Discovery は、次のライセンスを保有する組織向けに public preview で利用できます。

• Microsoft Entra ID Governance
• Microsoft Entra Suite
• Microsoft E7

この機能は Microsoft Entra admin center および Microsoft Graph APIs から利用できます。