ある企業がEntra ID Governanceのエンタイトルメント管理を使って外部パートナーに一時的なプロジェクトアクセスを提供したい。プロジェクト終了後は自動でアクセスが削除される要件がある。この要件を満たす機能として最も適切なものはどれか。
- A. アクセスパッケージに有効期限(Expiration date)を設定し、期限後に自動でアクセスを削除する
- B. Entra ID Protection のリスクポリシーで時間経過後に外部ユーザーをブロックする
- C. 条件付きアクセスポリシーに「プロジェクト終了日」の条件を追加する
- D. 外部ユーザーアカウントのサインイン有効期限をAzure ADの認証ポリシーで設定する
解答と解説を見る
正解: A
エンタイトルメント管理のアクセスパッケージには有効期限(Expiration)を設定する機能があり、日数または固定日付でアクセス期限を設定できる。期限が到来すると自動的にアクセスが削除(アクセスパッケージの割り当てが失効)されるため、プロジェクト終了後のアクセス削除漏れを防ぐことができる。選択肢Cの条件付きアクセスに「プロジェクト終了日」条件を追加する機能は存在しない。条件付きアクセスは動的なポリシーだが、日付ベースの自動アクセス削除には対応していない。選択肢Dのサインイン有効期限の設定はエンタイトルメント管理のような自動アクセス削除機能ではなく、概念的に異なる。選択肢BのEntra ID Protectionはリスクベースのセキュリティ機能であり、時間経過による自動アクセス削除機能ではない。