承認について話し合う
承認には、ID がアクセスできる内容と、アクセスを取得した後に許可される操作が含まれます。 ID 承認では、次のものが提供されます。
- エンタイトルメントを割り当てる方法により、セキュリティを強化し、管理を減らします
- ポリシー制御を管理する機能
- 一般的なアプローチを標準化して適用を簡素化します
承認とは、検証済み ID へのアクセス権の付与、アクセス権を持つ必要がある内容に関するすべてです。 そのアクセスと使用の追跡と適用。 承認について、次の点に焦点を当てています。
| 承認の概念 | 説明と使用方法 |
|---|---|
| エンタイトルメントの種類 | エンタイトルメントでは、ID に対して特定のリソースへのアクセスが許可された ("権利付与") かどうかに焦点を当てています。 そのため、エンタイトルメントはさまざまな種類を使用して処理されます。 エンタイトルメントの割り当ては、ロールベースのアクセス制御または属性 (ABAC) を介して定義されたグループを介して一元的にアプリケーション レベルで行われる場合や、ポリシーベース (PBAC) アプローチを使用して一元的に適用される場合があります。 |
| アクセス ポリシー | アクセス ポリシーは、一連のアプリケーション、データ、およびアクティビティを実行できるユーザーとグループに焦点を当てています。 これは、ジョブの完了に関する一連のルールと考えてください。 必要最小限のアクセスに焦点を当てています。 |
| 適用 | 適用機能では、組織が承認アクティビティの適用をどのように処理するかに焦点を当てています。 ほとんどの場合、組織はアプリケーション層で適用を処理します。 つまり、アプリケーション自体内の API によって適用が完了します。 適用の一部の形式は、リバース プロキシ (UAG など) を使用して承認の適用を外部化することによって構成されます。 現在の傾向では、外部ポリシー ソース (XACML など) を使用して、ID がリソースとやり取りする方法を決定します。 |
承認とは
承認 (AuthZ と省略されることもあります) は、リソースまたは機能へのアクセスを評価するために使用されるアクセス許可を設定するため使用されます。 これに対し、認証 (AuthN と省略されることもあります) は、ユーザーまたはサービスのようなエンティティが、主張する本人であることを証明することに重点を置いています。 承認には、エンティティがアクセスできる機能 (またはリソース) の指定を含めることができます。 または、そのエンティティがアクセスできるデータに焦点を当てています。 そして最後に、そのデータを使用して実行できる操作に焦点を当てることがてきます。 アクセス制御の確かな定義を行います。
一般的な種類の承認方法:
- アクセス制御リスト (ACL) - リソースまたは機能にアクセスできる、またはアクセスできない特定のエンティティの明示的なリスト。 リソースを細かく制御できますが、多くの場合、ユーザーとリソースの大規模なグループで管理することは困難です。
- ロールベースのアクセス制御 (RBAC) - 承認を適用するための最も一般的な方法。 あるエンティティが実行できるアクティビティの種類を記述するためにロールが定義されます。 個々のエンティティではなくロールに対してアクセスを許可します。 その後管理者は、さまざまなエンティティにロールを割り当てて、どのエンティティがどのリソースと機能にアクセスできるかを制御できます。
- 属性ベースのアクセス制御 (ABAC) - エンティティの属性、アクセスされるリソース、および現在の環境にルールが適用されて、何らかのリソースまたは機能へのアクセスが許可されるかどうかが決定されます。 例として、マネージャーであるユーザーのみが、営業日の午前 9 時から午後 5 時までの時間帯に "営業時間中のマネージャーのみ" というメタデータ タグで識別されたファイルにアクセスできるようにすることがあります。 この場合、アクセスは、ユーザーの属性 (マネージャーとしてのステータス)、リソースの属性 (ファイルのメタデータ タグ)、および環境属性 (現在の時刻) を調べることによって決定されます。
- ポリシー ベースのアクセス制御 (PBAC) - 1 つ以上のシステムへのユーザー アクセスを管理するための戦略。ユーザーのビジネス ロールとポリシーを組み合わせて、ユーザーが持つアクセスを決定します。
認証コンテキスト
プレビュー段階にある Microsoft Entra ID の新機能。 認証コンテキストを使用すると、アプリケーションのデータとアクションをさらにセキュリティで保護することができます。 これらのアプリケーションには、独自のカスタム アプリケーション、カスタム基幹業務 (LOB) アプリケーション、SharePoint のようなアプリケーション、Microsoft Defender for Cloud Apps によって保護されるアプリケーションが該当します。 たとえば、組織がランチ メニューや秘伝のバーベキュー ソース レシピなどのファイルを SharePoint サイトに保持することがあります。 全員がランチ メニュー サイトにアクセスできます。 ただし、秘密のバーベキュー ソース レシピ サイトにアクセスできるユーザーは、マネージド デバイスから接続する必要があります。 特定の使用条件に同意するように強制することもできます。