「ユーザーはアプリケーションを登録できる」の設定について
こんにちは、Azure Identity チームの宮林です。
今回は Azure Active Directory における、アプリケーションの登録の制限について紹介します。
Azure Active Directory では、お客様が開発したアプリケーションを登録することで、Azure Active Directory に登録されているアカウントを利用したシングルサインオンを実現することが可能です。既定では、一般ユーザーでも、[アプリの登録] から自身で開発したアプリケーションを自由に登録することができます。一般ユーザーによるアプリケーションの登録は、Azure Active Directory 内の [ユーザー設定] にある「ユーザーはアプリケーションを登録できる」で制御が可能です。下記画面のとおり本設定は既定で「はい」となっており、この状態での運用をお勧めします (お勧めしている理由は後述します)。
一方、ゲスト ユーザーは、「ユーザーはアプリケーションを登録できる」が「はい」となっていた場合でもアプリケーションを登録することができません。
ユーザーがアプリケーションを登録できる状態を推奨する理由
管理者としては、一般のユーザーにアプリケーションを登録できるようにしておくことについて抵抗感を持たれるようなことがあるのではないかとも思います。
しかし、この設定を「いいえ」に設定してユーザーによる登録を制限した場合には、ユーザーは自身で Azure Active Directory のテナントを作成して組織の管理が及ばないテナントにアプリケーションを登録して作業を行う可能性が高くなります。このような状況は、いわゆるシャドー IT を促進してしまうことに繋がるため、「ユーザーはアプリケーションを登録できる」の設定を「はい」にすることを推奨しています。
組織で管理されているユーザーがビジネスを目的として組織アカウントを使用してアプリケーションを利用されることで、管理者はどのようなアプリケーションが、どのユーザーによって利用されているか確認することができます。また、その利用が適切でない場合には、ユーザーに注意を促すこともできますし、ユーザーが組織を離れた場合にも、その組織アカウントを削除することでアプリケーションへのアクセスも停止させることができるなど一元管理のメリットを得られます。
アプリケーションの追加に関して、以下の公開情報を併せてご参照ください。
アプリケーションを Azure AD に追加する方法と理由
/ja-jp/azure/active-directory/develop/active-directory-how-applications-are-added
アプリケーションの登録を制限する方法
Azure Active Directory の [ユーザー設定] で、「ユーザーはアプリケーションを登録できる」を「いいえ」に変更することによって、一般ユーザーによるアプリの登録を行えなくすることが可能です。このとき、一般ユーザーがアプリケーションの登録を行おうとすると、十分な権限が無い旨のエラーが表示されます。
なお、「ユーザーはアプリケーションを登録できる」を「いいえ」に設定した場合は、以下のロールを持つアカウントからのみ、アプリケーションの登録が可能です。
- 全体管理者
- アプリケーション管理者
- アプリケーション開発者
- クラウド アプリケーション管理者
従来、「ユーザーはアプリケーションを登録できる」を「いいえ」に設定した場合、アプリケーションを登録することができるのは全体管理者のみでした。しかし、現在では全体管理者以外にもアプリケーションの登録が可能なロールが追加されています。そのため、アプリケーションの登録の際に、必要以上の権限を与えずにアプリケーションの登録が行えます。
アプリケーション管理者など、各管理者ロールが行える操作の詳細については、以下の弊社公開情報をご参照ください。
Azure Active Directory での管理者ロールの割り当て
/ja-jp/azure/active-directory/users-groups-roles/directory-assign-admin-roles
ご不明な点がございましたら弊社サポートまでお気軽にお問い合わせください。
上記内容が少しでも皆様の参考となりますと幸いです。
※本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。