Microsoft Entra ID でのアプリケーション管理は、クラウドでアプリケーションの作成、構成、管理、監視を行うプロセスです。 アプリケーションが Microsoft Entra テナントに登録されている場合、既に割り当てられているユーザーは安全にアクセスできます。 Microsoft Entra ID には多くの種類のアプリケーションを登録できます。 詳細については、「 Microsoft ID プラットフォームのアプリケーションの種類」を参照してください。
この記事では、アプリケーションのライフサイクルを管理する上で重要な次の側面について説明します。
- 開発、追加、接続 - 独自のアプリケーションを開発しているか、事前に統合されたアプリケーションを使用しているか、オンプレミス アプリケーションに接続しているかによって、さまざまなパスを使用します。
- アクセスの管理 – アクセスを管理するには、シングル サインオン (SSO) を使用し、リソースを割り当て、アクセスの許可と同意の方法を定義し、自動プロビジョニングを使用します。
- プロパティの構成 – アプリケーションにサインインするための要件と、ユーザー ポータルでのアプリケーションの表現方法を構成します。
- アプリケーションのセキュリティ保護 - アクセス許可、多要素認証、条件付きアクセス、トークン、証明書の構成を管理します。
- 管理と監視 – エンタイトルメント管理とリソースのレポートおよび監視を使用して、対話を管理し、アクティビティを確認します。
- クリーンアップ – アプリケーションが不要になったら、アプリケーションへアクセス権を削除し、アプリケーションを削除して、テナントをクリーンアップします。
開発、追加、または接続
Microsoft Entra ID では複数の方法でアプリケーションを管理できます。 アプリケーションの管理を開始する最も簡単な方法は、SaaS とオンプレミスまたはプライベート クラウドの両方でホストされているアプリケーションに対して、Microsoft Entra ギャラリーから事前に統合されたアプリケーションを使用することです。 独自のアプリケーションを開発し、Microsoft Entra ID に登録することもできます。
次の図は、これらのアプリケーションがどのように Microsoft Entra ID とやり取りするかを示したものです。
事前に設定されたアプリケーション
多くのアプリケーションは既に事前に統合されており (この記事の前の図では クラウド アプリケーション として示されています)、最小限の労力で設定できます。 Microsoft Entra ギャラリー内の各アプリケーションには、アプリケーションを構成するために必要な手順を示す記事が用意されています。 ギャラリーから Microsoft Entra テナントにアプリケーションを追加する方法の簡単な例については、「クイックスタート: エンタープライズ アプリケーションを追加する」を参照してください。
独自のアプリケーション
独自のビジネス アプリケーションを開発する場合は、それを Microsoft Entra ID で登録して、テナントが提供するセキュリティ機能を利用できます。 アプリケーションを [アプリの登録] で登録するか、新しいアプリケーションを [エンタープライズ アプリケーション] で追加するときに [独自のアプリケーションの作成] リンクを使用して登録できます。 Microsoft Entra ID との統合のためにアプリケーションでどのように認証を実装するかを検討します。
ギャラリーを通じてアプリケーションを使用できるようにする場合は、アプリケーション を使用可能にする要求を送信できます。
オンプレミスのアプリケーション
オンプレミス アプリケーションをデプロイする場合、または既存のオンプレミス アプリケーションを引き続き使用する場合、Microsoft Entra ID が提供するものを利用する場合は、サポートされているアプリケーションのプロトコルに応じて、 Microsoft Entra Private Access、 Microsoft Entra アプリケーション プロキシ、または プロビジョニングを使用して Microsoft Entra ID に接続します。 アプリケーション プロキシは、オンプレミスのアプリケーションを外部に発行する場合に実装できます。 これにより、内部アプリケーションにアクセスする必要があるリモート ユーザーが、安全にそれらにアクセスできるようになります。
アクセスを管理する
アプリケーションのアクセスを管理するには、次の質問に回答する必要があります。
- アプリケーションに対するアクセスをどのように許可および同意するか。
- アプリケーションで SSO をサポートするか。
- どのユーザー、グループ、所有者をアプリケーションに割り当てる必要があるか。
- アプリケーションをサポートする他の ID プロバイダーが存在するか。
- ユーザー ID とロールのプロビジョニングを自動化すると役立ちますか?
アクセスと同意
ユーザーの同意設定を管理して、ユーザーがアプリケーションまたはサービスにユーザー プロファイルと組織のデータへのアクセスを許可できるかどうかを選択できます。 アプリケーションにアクセス権が付与されていると、ユーザーは Microsoft Entra ID と統合されたアプリケーションにサインインでき、アプリケーションは組織のデータにアクセスして、高機能なデータ駆動型エクスペリエンスを提供できます。
アプリケーションが要求しているアクセス許可にユーザーが同意できない状況の場合は、管理者の同意ワークフローを構成することを検討してください。 ワークフローを使用すると、ユーザーが正当な理由を提供し、管理者によるアプリケーションのレビューと承認を要求することができるようになります。 Microsoft Entra テナントで管理者の同意ワークフローを構成する方法については、「管理者の同意ワークフローの構成」を参照してください。
管理者は、アプリにテナント全体の管理者の同意を付与できます。 テナント全体の管理者の同意は、通常のユーザーが許可されていないアクセス許可をアプリケーションが求める場合に必要です。 テナント全体の管理者の同意を付与することで、組織は独自のレビュー プロセスを実装することもできます。 同意を付与する前に、常にアプリケーションで要求されているアクセス許可をよく確認してください。 アプリケーションにテナント全体の管理者の同意が付与されると、ユーザーの割り当てを要求するように構成しない限り、すべてのユーザーがアプリケーションにサインインできます。
単一サインイン
アプリケーションでの SSO の実装を検討してください。 ほとんどのアプリケーションを SSO 用に手動で構成できます。 Microsoft Entra ID で最も一般的なオプションは、SAML ベース SSO と OpenID Connect ベース SSO です。 開始する前に、SSO の要件とデプロイを計画する方法を理解していることを確認してください。 Microsoft Entra テナントのエンタープライズ アプリケーションに対して SAML ベース SSO を構成する方法の詳細については、「Microsoft Entra ID を使用したアプリケーションに対するシングル サインオンの有効化」を参照してください。
ユーザー、グループ、所有者の割り当て
テナント内のすべてのユーザーがエンタープライズ アプリケーションに割り当てられなくてもアクセスできることを選択できます。 ただし、アプリケーションを一連のユーザーに割り当てる場合は、ユーザーの割り当てを要求するようにアプリケーションを構成し、選択ユーザーをアプリケーションに割り当てます。 ユーザー アカウントを作成してアプリケーションに割り当てる方法の簡単な例については、ユーザー アカウントの作成と割り当てに関するクイックスタートを参照してください。
サブスクリプションに含まれている場合は、 グループをアプリケーションに割り当てる か、 アプリケーション ロールをアクセス パッケージに含めます 。そのため、グループ所有者に継続的なアクセス管理を委任できます。 また、アプリケーションの既存のユーザーを Microsoft Entra に取り込むこともできます。
所有者の割り当ては、アプリケーションの Microsoft Entra 構成のすべての側面を管理する能力を付与するための簡単な方法です。 所有者であるユーザーは、アプリケーションの組織固有の構成を管理できます。 ベスト プラクティスとして、 従業員が退職したとき、またはサブスクリプションに含まれていない場合のライフサイクル ワークフローを構成し、テナント内のアプリケーションを事前に監視して、所有者のないアプリケーションの状況を回避するために、少なくとも 2 人の所有者が含まれていることを確認する必要があります。
プロビジョニングを自動化する
アプリケーションのプロビジョニングとは、ユーザーがアクセスする必要のあるアプリケーションに、ユーザーの ID とロールを自動的に作成することを意味します。 自動プロビジョニングには、ユーザー ID の作成に加えて、状態または役割が変化したときのユーザー ID のメンテナンスおよび削除が含まれます。
ID プロバイダー
Microsoft Entra ID にやり取りをさせたい ID プロバイダーが存在しますか? ホーム領域検出は、ユーザーがサインインするときに、どの ID プロバイダーで認証する必要があるかを Microsoft Entra ID が決定できるようにする構成を提供します。
ユーザー ポータル
Microsoft Entra ID には、組織内のユーザーにアプリケーションをデプロイするためのカスタマイズ可能な方法が用意されています。 たとえば、マイ アプリ ポータルや Microsoft 365 アプリケーション起動ツールなどです。 マイ アプリを使用すると、ユーザーは 1 か所で作業を開始し、アクセスできるすべてのアプリケーションを見つけることができます。 アプリケーションの管理者は、 組織内のユーザーがマイ アプリを使用する方法を計画する必要があります。
プロパティの構成
アプリケーションを Microsoft Entra テナントに追加する際、ユーザーがアプリケーションとやり取りする方法に影響するプロパティを構成する機会があります。 サインインする機能を有効または無効にしたり、ユーザーの割り当てを要求するようにアプリケーションを設定したりすることができます。 また、アプリケーションの可視性、アプリケーションを表すロゴ、およびアプリケーションに関するメモを決定できます。 構成可能なプロパティの詳細については、「エンタープライズ アプリケーションの プロパティ」を参照してください。
アプリケーションをセキュリティで保護する
エンタープライズ アプリケーションのセキュリティを維持するために使用できる複数の方法があります。 たとえば、テナントのアクセスを制限したり、可視性、データ、分析を管理したり、場合によってはハイブリッド アクセスを提供できます。 エンタープライズ アプリケーションをセキュリティで保護するには、アクセス許可、MFA、条件付きアクセス、トークン、証明書の構成を管理する必要もあります。
権限
アプリケーションまたはサービスに付与されたアクセス許可を定期的に確認し、必要に応じて管理することが重要です。 疑わしいアクティビティが存在するかどうかを定期的に評価することで、アプリケーションへの適切なアクセスのみを許可してください。
アクセス許可の分類を使用すると、組織のポリシーとリスク評価に応じて、さまざまなアクセス許可の影響を特定できます。 たとえば、同意ポリシーでアクセス許可の分類を使用して、ユーザーが同意を許可された一連のアクセス許可を識別できます。
多要素認証と条件付きアクセス
Microsoft Entra 多要素認証を使用すると、2 つ目の形式の認証を使用して別のセキュリティ層が提供され、データやアプリケーションへのアクセスを保護できます。 2 つ目の要素の認証に使用できる方法は多数あります。 開始する前に、組織内のアプリケーションへの MFA の展開を計画します。
組織は、条件付きアクセスを使用して MFA を有効にすることで、ソリューションを組織の特定のニーズに適合させることができます。 管理者は、条件付きアクセス ポリシーを使用して、特定のアプリケーション、アクション、認証コンテキストにコントロールを割り当てることができます。
トークンと証明書
Microsoft Entra ID の認証フローでは、使用されるプロトコルに応じて、さまざまな種類のセキュリティ トークンが使用されます。 たとえば、SAML プロトコルでは SAML トークンが使用され、OpenID Connect プロトコルでは ID トークンとアクセス トークンが使用されます。 トークンは、Microsoft Entra ID によって生成される一意の証明書と、特定の標準アルゴリズムによって署名されます。
トークンを暗号化することで、セキュリティをさらに強化できます。 また、アプリケーションで許可されているロールを含め、トークン内の情報を管理することもできます。
Microsoft Entra ID は、既定では SHA-256 アルゴリズムを使用して、SAML 応答に署名します。 アプリケーションで SHA-1 が必要でない限り、SHA-256 を使用してください。 証明書の有効期間を管理するためのプロセスを確立してください。 署名証明書の最長有効期間は 3 年です。 証明書の期限切れによる停止を防止または最小限にするには、ロールとメール配布リストを使用して、証明書関連の変更通知が厳重に監視されるようにします。
管理と監視
Microsoft Entra ID ガバナンスを使用すると、セキュリティや従業員の生産性に対する組織のニーズと、適切なプロセスや可視性とのバランスを取ることができます。 その機能により、適切なユーザーが適切なタイミングで組織内の適切なリソースに適切なアクセス権を持つことができます。 コンプライアンス要件またはリスク管理計画がある組織には、機密性の高いアプリケーションまたはビジネス クリティカルなアプリケーションがあります。 これらのアプリケーションでは、通常、組織内のすべてのユーザーのサブセットのみがアクセスを許可され、アクセスは文書化されたビジネス要件に基づいてのみ許可する必要があります。 Microsoft Entra 機能を使用してこれらのアプリケーションに適切なアクセスを設定し、アクセス チェックを適用し、レポートを生成して、コンプライアンスとリスク管理の目標を満たすためにこれらのコントロールがどのように使用されているかを示す方法の詳細については、 環境内のアプリケーションのアクセスを管理する方法のガイドを参照してください。
Microsoft Entra ID のエンタイトルメント管理を使用すると、アプリケーションと管理者、カタログ所有者、アクセス パッケージ マネージャー、承認者、要求元との間のやり取りを管理できます。
Microsoft Entra のレポートおよび監視ソリューションは、法令、セキュリティ、運用の要件と、既存の環境およびプロセスに依存します。 Microsoft Entra ID で管理されているログがいくつかあります。 そのため、アプリケーションに対して可能な限り最適なエクスペリエンスを維持するために、 デプロイのレポートと監視を計画 する必要があります。
クリーンアップ
アプリケーションへのアクセス権をクリーンアップできます。 たとえば、ユーザーのアクセス権を削除します。 また、ユーザーがサインインする方法を無効にすることもできます。 そして最後に、組織で不要になったアプリケーションを削除することができます。 Microsoft Entra テナントからエンタープライズ アプリケーションを削除する方法の詳細については、「クイックスタート: エンタープライズ アプリケーションを削除する」を参照してください。
ガイド付き攻略
この記事の推奨事項の多くのガイド付きチュートリアルについては、「 Microsoft 365 Secure your cloud apps with Single Sign On (SSO) guided walkthrough and Integrating applications with Microsoft Entra ID and establishing a baseline of reviewed access(シングル サインオン (SSO) を使用してクラウド アプリをセキュリティで保護する」を参照してください。
次のステップ
- 「クイック スタート: エンタープライズ アプリケーションを追加する」を使用して、最初の エンタープライズ アプリケーションを追加することから始めます。