キャンペーン

キャンペーンは、認定とコンプライアンスの観点からのユーザーアクセスレビューです。キャンペーンを実行すると、ユーザーがアプリ（および関連するエンタイトルメント）やグループなどのリソースに適切なレベルでアクセスできるようにするのに役立ちます。

各キャンペーンで、次を指定できます。

キャンペーンの開始日と期間。
レビューに含めるリソース（アプリまたはグループ）。
キャンペーンに含めるユーザーまたはチーム。
各ユーザーおよびリソースのアクセスをレビューする必要があるレビュアー。

次のタイプのキャンペーンを実行できます。

事前構成されたキャンペーン: 事前構成されたキャンペーンは、すぐに使用できます。そのため、手動構成なしにキャンペーンを開始できます。アクセス認定の開始をサポートするた、Oktaは2つのキャンペーンの設定を予め設定しています。非アクティブなユーザーを検出する（Discover inactive users）を使用すると、orgで非アクティブなユーザーの数が最も多いアプリを確認できます。Admin Consoleへの管理者アクセスをレビューするには、Okta管理者レビュー（Okta administrator review）を使用します。
リソースキャンペーン: リソースキャンペーンはキャンペーンのリソーススコープを設定することに重点を置いているため、それらのリソースと管理者ロールにアクセスできるすべてのユーザーを確認することができます。このキャンペーンタイプは、機密リソースとリソースコレクションへのアクセスをレビューし、エンタイトルメントの割り当ての中から職務分離ルールに矛盾するものを特定し、コンプライアンス要件を満たす上で役立ちます。; Okta Privileged Accessをサブスクライブしている場合は、Okta Privileged Accessで管理されるサービスアカウントへのアクセスも認証できます。サービスアカウントを認定するを参照してください。
ユーザーキャンペーン: ユーザーキャンペーンは、キャンペーンのユーザースコープを定義することに重点を置いているため、そのユーザーに割り当てられたすべてのリソースと管理者ロールの包括的なレビューを実行することができます。このキャンペーンタイプは、部門、ロール、プロジェクトの変更などの特定のイベントが発生した場合に、リソース（リソースコレクションを含む）へのユーザーのアクセスを確認する上で役立ちます。

［リソースコレクション - リソースキャンペーンの認定］と［リソースコレクション - ユーザーキャンペーンの認定］を有効にすると、リソースコレクションへのアクセスを認定するリソースキャンペーンとユーザーキャンペーンを実行できます。

Okta Identity Governanceをサブスクライブしている場合は、リソースキャンペーンとユーザーキャンペーンの両方を使用して、Okta管理者ロールを管理するためのユーザーの管理者ロールの割り当てを確認することができます。

レルム機能を有効にした場合は、Okta Expression Languageを使用して、特定のレルムからのユーザーが含まれるようにキャンペーンを制限することもできます。

キャンペーンを事前にスケジュールしたり、特定の間隔で繰り返したり、開始前に変更したりできます。

キャンペーンは開始日にアクティブになり、終了日を迎えるか、キャンペーンのレビュアー全員がレビューを完了するかのいずれか早いときに終了済みとしてマークされます。開始日の前にキャンペーンを開始したり、スケジュールされた終了日の前にアクティブなキャンペーンを終了したりすることができます。ただし、キャンペーンの開始後に実行できるのは、レビューアイテムの再割り当てとキャンペーンの終了のみとなります。終了したキャンペーンを変更することはできません。

アクティブなキャンペーン、予定されたキャンペーン、終了済みキャンペーンは、アクセス認定キャンペーン（Access certification campaigns）ページで確認できます。スケジュール設定済み（Recurring）タブでは、繰り返しキャンペーンに繰り返し（Recurring）（Scheduled）ラベルが付けられ、一連の繰り返しキャンペーンの一部であることが示されます。終了済みキャンペーンは12か月間保存されます。

キャンペーンをスケジュールすると、スケジュールされた開始日にアクティブになります。

スケジュールされたキャンペーンの開始に失敗した場合は、メール通知が届きます。エラーを表示するには、次のいずれかの手順を実行できます。

メール通知からキャンペーンを表示（View Campaign）をクリックします。
アクセス認定キャンペーン（Access certification campaigns）（Closed）ページの終了済み（Closed）（Access certification campaigns）タブからキャンペーンを開きます。
システムログに移動します。

キャンペーンを再作成する前に、エラーを解決してください。キャンペーンを再作成する前に、概要（Overview）セクションにあるユーザーおよびレビュアーのOkta Expression Languageを書き留めておくことをお勧めします。アクション（Actions）メニューから開始に失敗したキャンペーンを削除できます。

キャンペーンのレビュアーは、ダッシュボードの OktaAccess Certification Reviewsアプリタイルから、自分に割り当てられたレビューアイテムにアクセスできます。レビュアーはレビューアイテムを承認、取り消し、または再割り当てできます。レビューアイテム数の多いキャンペーンでは、レビュアーはスマートレビュー（Smart review）を使用して、より計画的かつ正確なアクセス判断を効率的に行うことができます。「スマートレビュー」を参照してください。

orgのGovernance Analyzer機能を有効にし、推奨事項とインサイトを構成した場合、Oktaはユーザーのアクセスに関するインサイトをレビュアーに提供し、インサイトに基づいてアクセスを承認または取り消すことを推奨します。

スーパー管理者とレビュアーは、レビュアーの代理でGovernanceタスクを完了する代理人を割り当てることもできます。Governance代理人を参照してください。

リソースコレクションを構成した場合は、キャンペーン設定をカスタマイズして、アプリとエンタイトルメントを割り当てるリソースコレクションに関する情報を含めることができます。これにより、レビューアーがユーザーアクセスの承認または取り消しを決定する際に、コンテキスト情報がさらに提供されます。

キャンペーン作成者がキャンペーンにエンタイトルメントを含めた場合、レビュアーは、リソースに関連付けられているエンタイトルメントまたはバンドルと、エンタイトルメントまたはバンドルがレビューアイテムのユーザーにどのように割り当てられたかを確認することもできます。レビュアーは、エンタイトルメントとバンドルへのアクセスを、アプリとグループへのユーザーのアクセスをレビューする場合と同様の方法でレビューできます。レビュアーは、エンタイトルメントまたはバンドルを個別のユニットとして取り消すことはできますが、ユーザーに割り当てられたバンドルの一部である特定のエンタイトルメントを取り消すことはできません。レビュアーは、ポリシールールによってユーザーに割り当てられたエンタイトルメントを手動で修復する必要があります。

注:

アプリのエンタイトルメントをレビューするためのキャンペーンを実行できるのは、Governance Engineがアプリに対して有効になっている場合のみです。「を有効にするGovernance Engine 」と「制限事項」を参照してください。

また、以前に終了したキャンペーンを表示し、レポートを生成することもできます。さらに、キャンペーン固有のレポートを作成して、監査とコンプライアンスの準備に役立てることができます。

管理者ロールのガバナンス

この機能を有効にすると、スーパー管理者はリソース、ユーザー、またはOkta管理者のレビューキャンペーンを使ってユーザーの管理者割り当てをレビューできるようになります。アクセス認定は、管理者割り当てをOkta Admin Consoleに関連付けられたエンタイトルメントとして扱います。具体的には、管理者ロールとユーザーの管理者割り当て内のリソースセットは、エンタイトルメントのキー/値ペアとして扱われます。

Okta Identity Governanceをサブスクライブしていない場合、ユーザーキャンペーンは利用できません。考慮事項を参照してください。

この機能を有効にしてから、管理者ロールの確認のためにキャンペーンを実行できるようになるまで、数時間待たなければならない場合があります。