Microsoft Entra ID にアプリを統合する 5 つのステップ

クラウドベースの ID およびアクセス管理 (IAM) サービスである Microsoft Entra ID とお使いのアプリケーションとの統合について説明します。 組織は Microsoft Entra ID を使用して、顧客、パートナー、従業員がセキュリティが確保された認証と認可によって必要なアプリケーションにアクセスできるように手配します。

Microsoft Entra ID を使用すると、条件付きアクセス、Microsoft Entra 多要素認証、シングル サインオン (SSO)、アプリケーション プロビジョニングなどの機能により、ID とアクセスの管理が容易になり、セキュリティも強化されます。

詳細情報:

• 条件付きアクセスとは
• しくみ: Microsoft Entra 多要素認証
• Microsoft Entra シームレス シングル サインオン
• Microsoft Entra ID でのアプリ プロビジョニングとは

会社が Microsoft 365 のサブスクリプションを契約している場合、おそらく Microsoft Entra ID を使用しているでしょう。 しかし、Microsoft Entra ID は各種アプリケーションにも使用できます。 アプリケーション管理を一元化している場合は、アプリポートフォリオ向けツールやポリシーが ID 管理に含まれます。 これにより、セキュリティの強化、コストの削減、生産性の向上、コンプライアンスの有効化につながる統合ソリューションを確立できます。 さらに、オンプレミス アプリへのリモート アクセスも提供します。

詳細情報:

• Microsoft 365 の ID インフラストラクチャをデプロイする
• Microsoft Entra ID でのアプリケーション管理とは

新しいアプリケーションでの Microsoft Entra ID の使用

会社が新しいアプリケーションを取得したら、それを Microsoft Entra テナントに追加してください。 Microsoft Entra ID に新しいアプリを追加する会社のポリシーを策定します。

参照: クイックスタート: エンタープライズ アプリケーションを追加する

Microsoft Entra ID には統合アプリケーションのギャラリーがあり、簡単に使用を始められるようになっています。 Microsoft Entra 組織にギャラリーのアプリを追加し (前のリンクを参照)、サービスとしてのソフトウェア (SaaS) の統合に関するチュートリアルを確認します。

参照: SaaS アプリケーションの Microsoft Entra ID との統合に関するチュートリアル

統合に関するチュートリアル

次のチュートリアルで、一般的なツールを Microsoft Entra シングル サインオン (SSO) と統合する方法について確認してください。

• チュートリアル: Microsoft Entra SSO と ServiceNow の統合
• チュートリアル: Microsoft Entra SSO と Workday の統合
• チュートリアル: Microsoft Entra SSO と Salesforce の統合
• チュートリアル: Microsoft Entra SSO と AWS Single-Account Access の統合
• チュートリアル: Microsoft Entra SSO と Slack の統合

ギャラリーにないアプリ

ギャラリーに表示されないアプリケーション (社内アプリケーション、ベンダーの提供するサードパーティ製アプリケーションなど) も統合することができます。 ギャラリーにアプリを公開する要求を送信してください。 社内で開発されたアプリの統合については、「社内開発者が構築したアプリを統合する」を参照してください。

詳細情報:

• クイックスタート: エンタープライズ アプリケーションを表示する
• Microsoft Entra アプリケーション ギャラリーでのアプリケーション公開要求を送信する

アプリケーションの使用状況を確認し、統合の優先順位を決定する

従業員が使用しているアプリケーションを検出し、アプリと Microsoft Entra ID との統合の優先順位を設定します。 Microsoft Defender for Cloud Apps Cloud Discovery ツールを使用して、IT チームが管理していないアプリを検出して管理します。 Microsoft Defender for Endpoint (旧称 Microsoft Defender for Endpoint) は、検出プロセスを簡素化し、かつ対象範囲を拡張します。

詳細情報:

• Cloud Discovery の設定
• Microsoft Defender for Endpoint

さらに、Azure portal の Active Directory フェデレーション サービス (AD FS) を使用して、社内の AD FS アプリを検出できます。 各アプリにサインインした一意のユーザーを検出し、統合の互換性に関する情報を確認します。

参照: アプリケーション アクティビティ レポートを確認する

アプリケーションの移行

環境内のアプリを検出したら、アプリの移行と統合の優先順位を設定します。 以下の要素を考慮してください。

• 最も頻繁に使用されているアプリ
• 最もリスクの大きいアプリ
• 使用停止するため移行に含まないアプリ
• オンプレミスのままとするアプリ

参照: アプリケーションを Microsoft Entra ID に移行するためのリソース

アプリと ID プロバイダーを統合する

検出時に、IT チームが追跡していないアプリケーションが発見される可能性があり、そのようなアプリケーションは脆弱性を引き起こします。 一部のアプリケーションでは、AD FS を含む代替 ID ソリューションや他の ID プロバイダー (IdP) を使用しています。 ID およびアクセス管理を統合することをお勧めします。 そのメリットは次のとおりです。

• オンプレミスのユーザー設定や認証が減り、IdP ライセンス料金が削減される
• ID およびアクセス管理プロセスの合理化により管理オーバーヘッドが削減される
• マイ アプリ ポータルでアプリケーションへのシングル サインオン (SSO) アクセスを有効にする
  • 参照: マイ アプリ ポータルでコレクションを作成する
• Microsoft Entra ID 保護と条件付きアクセスを使用してアプリ使用信号を増やし、最近追加されたアプリにメリットを拡張する
  • ID 保護とは
  • 条件付きアクセスとは

アプリ所有者の認識

Microsoft Entra ID によるアプリ統合の管理には、次の資料を使用してアプリケーション所有者の認識と関心の向上を促してください。 お客様のブランディングにより資料を修正してください。

以下の資料をダウンロードできます。

• Zip ファイル: 1 ページにまとめた編集可能な Microsoft Entra アプリ統合に関する資料
• Microsoft PowerPoint プレゼンテーション: Microsoft Entra アプリケーション統合ガイドライン

Active Directory フェデレーション サービス

SaaS アプリ、基幹業務アプリ (LOB)、さらに Microsoft 365 および Microsoft Entra アプリにおける、AD FS を用いた認証状況を評価してください。

アプリケーション認証を Microsoft Entra ID に移行することで、前の図に示された構成を改善できます。 アプリのサインオンを有効にし、マイ アプリ ポータルを使用してアプリケーションを検出しやすくします。

詳細情報:

• アプリケーション認証を Microsoft Entra ID に移行する
• マイ アプリ ポータルからサインインしてアプリを開始する

次の図に、Microsoft Entra ID による簡素化された認証方式を示します。

Microsoft Entra ID を一元化された IdP にすると、AD FS の使用を廃止できるでしょう。

さまざまなクラウド ベースの IdP を使用するアプリを移行できます。 組織内で複数の ID アクセス管理 (IAM) ソリューションを使用している場合があります。 1 つの Microsoft Entra インフラストラクチャに移行することで、IAM ライセンスへの依存を減らし、インフラストラクチャ コストを削減することができます。 ご購入いただいた Microsoft 365 ライセンスに Microsoft Entra ID が含まれている場合、別途 IAM ソリューションを購入する必要はないと思われます。

オンプレミスのアプリケーションを統合する

従来は、法人ネットワークへの接続時にはアプリケーション セキュリティによってアクセスが有効化されていました。 ただし、組織は、場所に関係なく、顧客、パートナー、従業員にアプリへのアクセス権を付与します。 Microsoft Entra のアプリケーション プロキシ サービスは、オンプレミス アプリを Microsoft Entra ID に接続し、エッジ サーバーなど他のインフラストラクチャを必要としません。

参照: Microsoft Entra アプリケーション プロキシを使用して、リモート ユーザーにオンプレミス アプリを公開する

アプリケーション プロキシ サービスがユーザー要求を処理する仕組みを次の図に示します。

参照: チュートリアル: Microsoft Entra ID のアプリケーション プロキシを使用して、リモート アクセス向けにオンプレミス アプリケーションを追加する

さらに、F5 BIG-IP APM や Zscaler Private Access などのアプリケーション デリバリー コントローラーを Microsoft Entra ID に統合します。 そのメリットは、最新の認証と ID 管理、トラフィック管理、セキュリティ機能が得られることです。 このソリューションは、「安全なハイブリッド アクセス」と呼ばれています。

参照: 安全なハイブリッド アクセス: Microsoft Entra ID を使用してレガシ アプリを保護する

次の各サービスについて、Microsoft Entra への統合に関するチュートリアルがあります。

• チュートリアル: Microsoft Entra SSO と Akamai の統合
• チュートリアル: Microsoft Entra SSO と Citrix ADC Security Assertion Markup Language (SAML) Connector for Microsoft Entra ID の統合 (Kerberos ベースの認証)
  • 旧称 Citrix NetScaler
• F5 BIG-IP と Microsoft Entra ID と統合する
• チュートリアル: Microsoft Entra ID と Zscaler Private Access (ZPA) の統合

社内開発者が構築したアプリの統合

社内開発者が構築したアプリの場合は、認証と承認に Microsoft ID プラットフォームを使用します。 統合されたアプリケーションは、ポートフォリオ内の他のアプリと同様に登録および管理されます。

詳細情報:

• Microsoft ID プラットフォームのドキュメント
• クイック スタート: Microsoft ID プラットフォームにアプリケーションを登録する

開発者は、社内向けおよび顧客向けアプリにこのプラットフォームを使用できます。 たとえば、Microsoft Authentication Libraries (MSAL) を使用して、アプリにアクセスするための多要素認証とセキュリティを有効化できます。

詳細情報:

• Microsoft Authentication Library (MSAL) の概要
• Microsoft ID プラットフォームのコード サンプル
• ビデオ: 開発者向け Microsoft ID プラットフォームの概要 (33:54)

次のステップ

アプリケーションを Microsoft Entra ID に移行するためのリソース