適当おじさんの適当ブログ

技術のことやゲーム開発のことやゲームのことなど自由に雑多に書き連ねます

AzureADのアクセスレビューでライセンスの棚卸しをする

SaaS AzureAD

AzureADで不要なライセンス割り当てを整理するためにアクセスレビューを調べた時のメモです。

docs.microsoft.com

アクセスレビューは、「AzureADのリソースに割り当てられたユーザーの棚卸し」に役立つ機能です。現在、この機能でレビュー可能なリソースは、「グループ(チーム)」「アプリケーション」「アクセスパッケージ」の3つです。

ライセンスはこの機能の対象ではないので、直接アクセスレビューを使うことはできません。そこで、ライセンス割り当てに利用しているグループに対してアクセスレビューを作成・実行することで、ライセンスの棚卸をすることにしました。ユーザー単位でライセンスを割り当てている場合は、この記事の方法で棚卸しできません。

アクセスレビュー実行時の注意点

必要なライセンスについて

アクセスレビューの利用には Azure AD Premium P2 ライセンスが必要です。ゲストユーザーをレビュー対象にする場合にはライセンスは必要ありませんが、レビュワーにする場合は必要です。その他、必要なライセンスの詳細は アクセスレビューとは#ライセンスの要件 に記載されています。

機能制約について

現在の仕様では、入れ子になったユーザーはアクセスレビューで自動削除することができません。つまり、グループもアプリケーションも直接割り当てされたユーザーしか削除することはできません。削除できないだけでレビュー自体は実施できます。アプリケーションの場合、レビュー結果反映時に以下のような「メンバーシップ削除できない」メッセージが表示されます。

ネストされたグループも同様にメンバーシップの削除ができないメッセージが表示されてしまいます。

「アプリケーションの場合は割り当てられているグループに対してレビューを実施する」「グループの場合は子グループに対してレビューを実施する」といった運用で回避できるかと思います。

アクセスレビューを作成する

まずは、ライセンス割り当てに利用しているグループに対してアクセスレビューを作成します。いくつかのオプションを指定することで、簡単に非アクティブ=不要ライセンスが割り当てられていそうなユーザーを抽出できます。なお、非アクティブとは「対話式にも非対話式にも一定期間サインインしていない」状態のことを指します。

非アクティブなユーザー (テナント レベル) のみ にチェックを入れ、非アクティブな日数 に希望する日数を入力するだけで、〇〇日非アクティブなユーザーのみがレビューに含まれるようになります。抽出に必要な設定はこれだけです。他の項目には何を設定しても構いません。

非アクティブな日数を指定する場合、30 日間サインインなし のチェックを外すことができません。リソースの自動結果の適用 にチェックを入れておくとレビュー実施時に「拒否」したユーザーを自動的にグループから削除できます。チェックを入れておくことで余計な手間を減らすことができます。

レビュー担当者が応答しない場合 の対応は運用ポリシー次第かと思います。「削除」にしておくことで不要なライセンスを剥奪できる可能性は高くなりますが、剥奪する必要のないライセンスまで剥奪してしまう可能性があるので注意が必要です。

設定が終わったら「作成」することで、レビュワーに割り当てられたユーザーがアクセスレビューを実施できるようになります。アクセスレビュー作成時の他の項目の詳細については以下のドキュメントを参照してください。

docs.microsoft.com

アクセスレビューを実施する

アクセスレビューが作成できたら、レビューを実施します。自身がレビュワーとなっているアクセスレビューは、マイアクセス で確認できます。

レビューは、ユーザーを選択して「承認」「拒否」をしていくだけの簡単な作業です。「拒否」にしたユーザーがグループから削除されていきます。冒頭でも述べたように削除できるのは直接割り当てられたメンバーだけです。一切判断を挟まないのであれば、推奨事項の承認 でまとめて推奨値を設定できます。

マイアクセスでのレビューが終わっても即座に結果が反映されるわけではありません。レビュー期間が終了するか、アクセスレビューを「停止」した時点で結果が反映されます。テスト時などさっさと結果を確認したい場合は、「停止」でレビューを強制終了させてしまいましょう。停止後、少し待つとレビュー結果が適用されます。

これで「拒否にしたユーザー」がグループから削除されて、不要なライセンス割り当てを剥奪できました。アクセスレビューの実行と終了については以下にそれぞれ詳細が記載されています。

docs.microsoft.com

docs.microsoft.com

さいごに

ライセンスが割り当てられたグループに対してアクセスレビューを実施することで、不要ライセンスが割り当てられたユーザーを抽出、ライセンスを剥奪することができました。

アクセスレビューは設定値さえ理解できれば、GUIをポチポチ押すだけで簡単に棚卸ができるようになります。今回の記事では触れていませんでしたが、「毎月」「半年ごと」などの定期的なレビューも定義できます。過去の実行履歴がきちんと残る点も良いです。

まだ少し機能制約がありますが、これからの進化に期待して利用可能なところでどんどん使っていきたいと思います。