Azure AD のゲストユーザーの棚卸しについて、アクセスレビュー機能を利用する方法が Identity Support Blog にて設定方法の詳細と共に紹介されています。
ゲスト ユーザーの棚卸をする方法 | Japan Azure Identity Support Blog
アクセスレビューは、Microsoft Entra Identity Governance の機能で、Identity Governance 自体がもともと Azure Active Directory Premium P2 に含まれていました。
アクセスレビューの棚卸しは特定グループやアプリケーションに割り当てられたユーザーを対象に、1回または定期的にレビューを実行し、そのまま継続か、不要ならばユーザー削除やアプリの割り当て削除が出来ます。
レビュー担当者が一括して実施するか、ゲストユーザー自身に応答を求めるか、いずれかを設定できます。
・ レビュー担当者が定期的にレビューを実施、要不要の処理を実行
・ ゲストユーザー自身が定期的なレビュー通知を受け取り、セルフレビューで要不要を入力
レビュー応答の設定では、「拒否」(=不要) の場合の挙動に以下のいずれかを選択できます。
・ レビュー対象のグループやアプリから削除
(テナント自体には、引き続きサインインできる)
・ 30日間サインインをブロックした後に、テナントからゲストユーザー削除
アクセスレビューのライセンスは、Azure AD Premium P2 が必要となり、以下に該当するユーザーには割り当てる必要があります。
・ レビュー担当者
・ セルフレビューを実行するユーザー
・ アクセスレビューの実行対象のグループ所有者
・ アクセスレビューの実行対象のアプリケーション所有者
(※アクセスレビューを設定、構成するグローバル管理者には必要ない)
アクセス レビューとは - Microsoft Entra - Microsoft Entra | Microsoft Learn
なお、ゲストユーザー側のライセンスについては、前回投稿したように MAUの課金モデルとする場合は、毎月 50,000 ユーザーまでは無料になります。
Azure AD ゲスト(外部 ID)のライセンス - tos-akibaのブログ
また、冒頭のブログ情報の後半では、Azure AD Premium P2 ライセンスを持っていない場合(アクセスレビューは利用できません)、ゲストユーザーの最終サインイン日時を抽出してリストアップするスクリプトが紹介されています。