アプリケーションへのアクセスの管理

アプリを組織の ID システムに統合すると、アクセス管理、使用状況評価、レポートに課題が生じます。 通常、IT 管理者またはヘルプ デスクのスタッフがアプリへのアクセスを監視する必要があります。 アクセスの割り当ては、一般または部門の IT チームに任せることができますが、理想的には、IT がプロセスを完了する前に、ビジネス上の意思決定者が関与して承認を与える必要があります。

他の組織は、既存の自動 ID との統合に投資し、ロール ベースの Access Control (RBAC)、属性ベースの Access Control (ABAC) などの管理システムにアクセスします。 統合とルールの開発はいずれも専門知識や高いコストが求められる傾向にあります。 いずれの管理方法でも、監視またはレポートには別途コストがかかり、複雑な投資が必要になります。

Microsoft Entra ID の活用方法

Microsoft Entra ID では、構成済みのアプリケーション用に広範なアクセスの管理がサポートされているため、組織は、属性に基づく自動的な割り当て (ABAC または RBAC シナリオ) から、委任、また管理者の管理までにわたり、適切なアクセス ポリシーを簡単に達成できます。 Microsoft Entra ID を使用すると、1 つのアプリケーションに対して複数の管理モデルを組み合わせて複雑なポリシーを簡単に達成できるだけでなく、同じ対象ユーザーに対して、アプリケーション全体で管理ルールを再利用することもできます。

Microsoft Entra ID では、使用量と割り当てのレポートが完全に統合されるため、管理者は割り当ての状態、割り当てに関するエラーのほか、使用量に関して簡単にレポート作成できます。

ユーザーとグループをアプリに割り当てる

Microsoft Entra のアプリケーション割り当ては、次の 2 つの主要な割り当てモードが中心となります。

  • 個別の割り当て ディレクトリのクラウド アプリケーション管理者のアクセス許可を持つ IT 管理者は個々のユーザー アカウントを選択してアプリケーションへのアクセス権を付与できます。

  • グループ ベースの割り当て (Microsoft Entra ID P1 または P2 が必要) ディレクトリのクラウド アプリケーション管理者のアクセス許可を持つ IT 管理者はアプリケーションにグループを割り当てることができます。 特定のユーザーのアクセスは、アプリケーションにアクセスしようとしたときに、そのグループのメンバーであるかどうかによって決まります。 言い換えると、管理者は "割り当てられたグループの現在のメンバーは誰でもアプリケーションにアクセスできる" ことを示す割り当てルールを効率的に作成できます。この割り当てオプションを使用することで、管理者は属性ベースの動的メンバーシップ グループ、外部システム グループ (オンプレミスの Active Directory や Workday など)、管理者によって管理またはセルフサービスで管理されたグループなど、あらゆる Microsoft Entra グループ管理オプションからメリットが得られます。 1 つのグループを複数のアプリに簡単に割り当てて、割り当てアフィニティを持つアプリケーションで割り当てルールを共有し、全体的な管理の複雑さを軽減できます。

    Note

    現在、アプリケーションに対するグループベースの割り当てでは、入れ子になったグループ のメンバーシップはサポートされてされていません。

これら 2 つの割り当てモードを使用して、管理者は自分にとって理想的な割り当て管理方法を実現できます。

アプリのユーザー割り当ての要求

特定の種類のアプリケーションでは、アプリケーションにユーザーを割り当てることを要求できます。 そうすることで、明示的に割り当てたユーザー以外の人がアプリケーションにサインインすることを禁止します。 次の種類のアプリケーションでこのオプションがサポートされています。

  • SAML ベースの認証を使用したフェデレーション シングル サインオン (SSO) 用に構成されたアプリケーション
  • Microsoft Entra 事前認証を使用する アプリケーション プロキシのアプリケーション
  • ユーザーまたは管理者がそのアプリケーションに同意した後に OAuth 2.0/OpenID Connect 認証を使用する Microsoft Entra アプリケーション プラットフォームに構築されたアプリケーション。 エンタープライズ アプリケーションには、サインインを許可されるユーザーをより詳細に制御できるものがあります。

ユーザー割り当てが要求される場合は、アプリケーションに (直接のユーザー割り当てを使用して、またはグループ メンバーシップに基づいて) 割り当てたユーザーのみがサインインできます。 アプリには、各自の [マイ アプリ] ポータルで、または直接リンクを使用してアクセスできます。

ユーザー割り当てが要求されない場合、割り当てられていないユーザーのマイ アプリにはそのアプリが表示されませんが、その場合でもアプリケーション自体にサインインする (SP によって開始されるサインオンともいう) か、またはアプリケーションの [プロパティ] ページで [ユーザー アクセス URL] を使用する (IDP によって開始されるサイン オンともいう) ことができます。 ユーザー割り当て構成の要求の詳細については、「アプリケーションの構成」を参照してください。

この設定は、アプリケーションが [マイ アプリ] に表示されるかどうかには影響しません。 アプリケーションにユーザーまたはグループを割り当てると、アプリケーションはユーザーの [マイ アプリ] ポータルに表示されます。

Note

アプリケーションが割り当てを要求する場合、そのアプリケーションに対するユーザーの同意は許可されません。 これは、そのアプリに対するユーザーの同意がそれ以外の場合に許可されている場合でも当てはまります。 割り当てを必要とするアプリに対して、テナント全体の管理者の同意を付与してください。

一部のアプリケーションでは、アプリケーションのプロパティにユーザー割り当てを要求するオプションがありません。 そのような場合、PowerShell を利用し、サービス プリンシパルで appRoleAssignmentRequired プロパティを設定できます。

アプリにアクセスするときのユーザー エクスペリエンスを決定する

Microsoft Entra ID には、組織内のエンド ユーザーにアプリケーションを展開するためのカスタマイズ可能な複数の方法が用意されています。

  • Microsoft Entra のマイ アプリ
  • Microsoft 365 アプリ起動ツール
  • フェデレーション アプリへの直接サインオン (service-pr)
  • フェデレーション アプリ、パスワードベースのアプリ、または既存のアプリへのディープ リンク

企業アプリに割り当てられているユーザーがマイ アプリや Microsoft 365 アプリケーション起動プログラムでそれを表示できるかどうかを決定できます。

例: Microsoft Entra ID を使用した複雑なアプリケーションの割り当て

Salesforce のようなアプリケーションについて考えます。 多くの企業では、Salesforce は主にマーケティング チームや販売チームが使用します。 通常、マーケティング チームのメンバーは Salesforce に対する高い特権アクセスを持つ一方、販売チームのメンバーのアクセスは制限されます。 多くの場合、インフォメーション ワーカーの大多数が、このアプリケーションへのアクセスを制限されます。 これらのルールに対する例外が、問題を複雑にします。 通常、マーケティングまたは販売の指揮部隊には、これらの一般的なルールとは無関係に、ユーザーにアクセス権を付与したり、そのロールを変更したりする特権があります。

Microsoft Entra ID では、Salesforce のようなアプリケーションをシングル サインオン (SSO) やプロビジョニングの自動化向けに事前構成できます。 アプリケーションが構成されたら、管理者は 1 回限りの操作を実行して、適切なグループを作成、割り当てることができます。 この例では、管理者は次のような割り当てを実行できます。

  • 動的なグループ を定義して、部門や役割などの属性を使用してマーケティング チームと営業チームのすべてのメンバーを自動的に表すことができます。

    • マーケティング グループのすべてのメンバーは、Salesforce で "marketing" ロールに割り当てられます。
    • 販売チームのすべてのメンバーは、Salesforce で "sales" ロールに割り当てられます。 さらに調整するために、さまざまな Salesforce ロールに割り当てられた地域の販売チームを表す複数のグループを使用することもできます。
  • 例外のメカニズムを有効にするには、各ロールについてセルフ サービス グループを作成できます。 たとえば、"salesforce marketing 例外" グループを、セルフ サービス グループとして作成します。 このグループを Salesforce marketing ロールに割り当て、マーケティングの指揮部隊を所有者にすることができます。 マーケティングの指揮部隊のメンバーはユーザーを追加または削除、参加ポリシーを設定できるほか、各ユーザーの参加要求を承認または拒否することもできます。 このメカニズムは、インフォメーション ワーカーにとって適切なエクスペリエンスを通してサポートされ、所有者またはメンバーになるための特別なトレーニングを必要としません。

この場合、割り当てられたすべてのユーザーは、Salesforce に自動的にプロビジョニングされます。 彼らが別のグループに追加されると、そのロール割り当ては Salesforce で更新されます。 ユーザーは、マイ アプリ、Office Web クライアントを通じて、また組織の Salesforce サインイン ページに移動して、Salesforce を探してアクセスできます。 管理者は Microsoft Entra ID レポート機能を使用して、使用量や割り当ての状態を簡単に確認できます。

管理者は、Microsoft Entra 条件付きアクセス を使用して、特定のロールのアクセス ポリシーを設定できます。 これらのポリシーには、企業環境の外部でアクセスが許可されるかどうかや、場合によっては、さまざまな状況でアクセスを実現するための多要素認証やデバイス要件も含めることができます。

Microsoft アプリケーションへのアクセス

Microsoft アプリケーション (Exchange、SharePoint、Yammer など) の割り当てと管理の方法は、シングル サインオンのために Microsoft Entra ID と統合する Microsoft 以外の SaaS アプリケーションやその他のアプリケーションとは少し異なります。

Microsoft が公開したアプリケーションにユーザーがアクセスする方法は、主に 3 つあります。

  • Microsoft 365 またはその他の有料のスイートのアプリケーションでは、ライセンスの割り当てによってユーザーにアクセス権が付与されます。ライセンスの割り当ては、ユーザー アカウントに直接、またはグループ ベースのライセンス割り当て機能を使用してグループを通じて行われます。

  • Microsoft または Microsoft 以外の組織が誰でも使用できるように無料で公開するアプリケーションでは、ユーザーの同意によってユーザーにアクセスを許可します。 ユーザーは、自分の Microsoft Entra 職場または学校アカウントでアプリケーションにサインインし、そのアカウントの限定されたデータ セットにアクセスすることが許可されます。

  • Microsoft または Microsoft 以外の組織が誰でも使用できるように無料で公開するアプリケーションでは、管理者の同意によってユーザーにアクセスを許可することもできます。 これは組織の全員がそのアプリケーションを使用してもよいと管理者が判断していることを意味しており、特権ロール管理者ロールを使用してアプリケーションにサインインし、組織の全員にアクセスを許可します。

一部のアプリケーションでは、これらのメソッドを組み合わせています。 たとえば、一部の Microsoft アプリケーションは Microsoft 365 サブスクリプションに含まれていますが、同意する必要が依然としてあります。

ユーザーは Office 365 ポータルから Microsoft 365 アプリケーションにアクセスできます。 また、ディレクトリの [ユーザー設定] にある Office 365 表示切り替え機能を利用し、マイ アプリで Microsoft 365 アプリケーションの表示と非表示を切り替えることができます。

企業アプリケーションと同様に、Microsoft Entra 管理センターから特定の Microsoft アプリケーションにユーザーを割り当てることができます。あるいは、PowerShell を利用してユーザーを割り当てることができます。

ローカル アカウントを使用したアプリケーション アクセスの防止

Microsoft Entra ID を使用すると、組織はシングル サインオンを設定して、条件付きアクセスや多要素認証などでユーザーがアプリケーションに対して認証する方法を保護できます。従来、一部のアプリケーションには独自のローカル ユーザー ストアがあり、ユーザーはシングル サインオンを使用するのではなく、ローカル資格情報またはアプリケーション固有のバックアップ認証方法を使用してアプリケーションにサインインできます。 これらのアプリケーション機能は悪用される可能性があり、ユーザーが Microsoft Entra ID でアプリケーションに割り当てられなくなったり、Microsoft Entra ID にサインインできなくなったりした後でもアプリケーションへのアクセスを保持でき、攻撃者が Microsoft Entra ID ログに表示されずにアプリケーションを侵害しようとする可能性があります。 これらのアプリケーションへのサインインが Microsoft Entra ID によって保護されるようにするには、

  • シングル サインオンのためにディレクトリに接続されているアプリケーションを特定すると、エンド ユーザーはローカル アプリケーション資格情報またはバックアップ認証方法でシングル サインオンをバイパスできます。 可能かどうか、および使用可能な設定を理解するには、アプリケーション プロバイダーによって提供されるドキュメントを確認する必要があります。 次に、これらのアプリケーションで、エンド ユーザーが SSO をバイパスできるようにする設定を無効にします。 InPrivate でブラウザーを開き、アプリケーションのサインイン ページに接続し、テナント内のユーザーの ID を指定して、エンド ユーザー エクスペリエンスがセキュリティで保護されていることをテストし、Microsoft Entra 経由以外にサインインするオプションがないことを確認します。
  • アプリケーションでユーザー パスワードを管理するための API が提供されている場合は、ローカル パスワードを削除するか、API を使用してユーザーごとに一意のパスワードを設定します。 これにより、エンド ユーザーがローカル資格情報を使用してアプリケーションにサインインできなくなります。
  • アプリケーションでユーザーを管理するための API が提供されている場合は、ユーザーがアプリケーションまたはテナントのスコープに入っていない場合にユーザー アカウントを無効または削除するように、そのアプリケーションへの Microsoft Entra ユーザー プロビジョニングを構成します。

次のステップ