Microsoft Entra ID と統合されたアプリケーションへのアクセスを管理するための組織ポリシーのデプロイ

前のセクションでは、 アプリケーションのガバナンス ポリシーを定義し、そのアプリケーションを Microsoft Entra ID と統合しました。 このセクションでは、Microsoft Entra の条件付きアクセス機能とエンタイトルメント管理機能を構成して、アプリケーションへの継続的なアクセスを制御します。 確立すること

• シングル サインオンのために Microsoft Entra ID と統合されたアプリケーションの Microsoft Entra ID に対してユーザーが認証する方法に関する条件付きアクセス ポリシー
• ユーザーがアプリケーション ロールとグループのメンバーシップに対する割り当てを取得して保持する方法に関するエンタイトルメント管理ポリシー
• グループ メンバーシップのレビュー頻度に関するアクセス レビュー ポリシー

これらのポリシーがデプロイされると、ユーザーがアプリケーションへのアクセスを要求し、割り当てられたときに、Microsoft Entra ID の継続的な動作を監視できます。

SSO 適用のための条件付きアクセス ポリシーのデプロイ

このセクションでは、条件付きアクセス ポリシーを確立します。これはユーザーの認証強度やデバイスの状態などの要因に基づいて、許可されているユーザーがアプリにサインインできるかどうかを決定するためのスコープ内にあるものです。

条件付きアクセスは、シングル サインオン (SSO) を Microsoft Entra ID に依存するアプリケーションでのみ可能です。 アプリケーションを SSO 用に統合できない場合は、次のセクションに進んでください。

1. 必要に応じて、使用条件 (TOU) ドキュメントをアップロードしてください。 ユーザーに対してアプリケーションにアクセスする前に利用規約 (TOU) に同意することを要求する場合は、条件付きアクセス ポリシーに含まれるように TOU ドキュメントを作成してアップロードします。
2. ユーザーが Microsoft Entra 多要素認証に対応していることを確認します。 フェデレーションを経由して統合されたビジネス クリティカルなアプリケーションには、Microsoft Entra 多要素認証を要求することをお勧めします。 これらのアプリケーションには、Microsoft Entra ID がアプリケーションへのサインインを許可する前に、ユーザーが多要素認証要件を満たしていることを要求するポリシーが必要です。 組織によっては、場所によるアクセスをブロックしたり、登録済みのデバイスからアクセスするようにユーザーに要求したりする場合もあります。 認証、場所、デバイス、TOU に必要な条件を含む適切なポリシーが既にない場合は、条件付きアクセス デプロイにポリシーを追加します。
3. アプリケーション Web エンドポイントを適切な条件付きアクセス ポリシーのスコープに含めます。 同じガバナンス要件の対象となる別のアプリケーション用に作成された既存の条件付きアクセス ポリシーがある場合は、そのポリシーを更新してそのアプリケーションにも適用できるようにし、ポリシーの数が多くなることを避けることができます。 更新が完了したら、期待どおりのポリシーが適用されていることを確認します。 ユーザーに適用されるポリシーは、条件付きアクセス What if ツールで確認できます。
4. 一時的なポリシーの除外を必要とするユーザーがいる場合は、定期的なアクセス レビューを作成します。 場合によっては、すべての認可済みユーザーに対して条件付きアクセス ポリシーをすぐに適用できないことがあります。 たとえば、一部のユーザーは、適切な登録済みデバイスを持っていない場合があります。 条件付きアクセス ポリシーから 1 人以上のユーザーを除外し、そのユーザーにアクセスを許可する必要がある場合は、条件付きアクセス ポリシーから除外されるユーザー のグループに対してアクセス レビューを構成します。
5. トークンの有効期間とアプリケーションのセッション設定を文書化します。 継続的なアクセスを拒否されたユーザーが、フェデレーション アプリケーションを引き続き使用できる期間は、アプリケーション自体のセッションの有効期間と、アクセス トークンの有効期間によって決まります。 アプリケーション セッションの有効期間は、アプリケーション自体によって異なります。 アクセス トークンの有効期間の制御について詳しくは、構成可能なトークンの有効期間に関する記事をご覧ください。

アクセス割り当て自動化におけるエンタイトルメント管理ポリシーのデプロイ

このセクションでは、ユーザーがアプリケーションのロールまたはアプリケーションによって使用されるグループへのアクセスを要求できるように、Microsoft Entra エンタイトルメント管理を構成します。 これらのタスクを実行するには、"グローバル管理者"、"ID ガバナンス管理者" ロールであるか、カタログ作成者として委任されていて、かつアプリケーションの所有者である必要があります。

1. 管理対象アプリケーションのアクセス パッケージは、指定されたカタログに含まれている必要があります。 アプリケーション ガバナンス シナリオのカタログがまだない場合は、Microsoft Entra エンタイトルメント管理で [カタログの作成] を行ってください。 作成するカタログが複数ある場合は、PowerShell スクリプトを使用して各カタログを作成できます。
2. カタログに必要なリソースを設定します。 アプリケーションと、アプリケーションが依存するすべての Microsoft Entra グループをそのカタログ内のリソースとして追加します。 リソースが多い場合は、PowerShell スクリプトを使用して各リソースをカタログに追加できます。
3. ユーザーが要求できるロールまたはグループごとにアクセス パッケージを作成します。 アプリケーションごとに、またそれらのアプリケーションのロールまたはグループごとに、そのロールまたはグループをリソースとして含むアクセス パッケージを作成します。 これらのアクセス パッケージを構成するこの段階で、管理者のみが割り当てを作成できるように、各アクセス パッケージの最初のアクセス パッケージ割り当てポリシーを直接割り当てのポリシーとして構成します。 そのポリシーでは、既存のユーザーがアクセス権を無期限に保持しないように、既存のユーザーのアクセス レビュー要件 (存在する場合) を設定します。 多数のアクセス パッケージがある場合は、PowerShell スクリプトを使用して、カタログ内に各アクセス パッケージを作成できます。
4. アクセス パッケージを構成して、職務の分離要件を適用します。 職務の分離要件がある場合は、互換性のないアクセス パッケージまたは既存のグループをアクセス パッケージ用に構成します。 シナリオで職務の分離チェックをオーバーライドする機能が必要な場合は、それらのオーバーライド シナリオ用に追加のアクセス パッケージを設定することもできます。
5. 既にアプリケーションへのアクセス権を持っている既存のユーザーの割り当てをアクセス パッケージに追加します。 アクセス パッケージごとに、その対応するロール内のアプリケーションの既存のユーザー、またはそのグループのメンバーをアクセス パッケージに割り当てます。 Microsoft Entra 管理センターを使用してアクセス パッケージに直接ユーザーを割り当てるか、Graph または PowerShell を使用して一括で割り当てることができます。
6. ポリシーを作成して、ユーザーがアクセスを要求できるようにします。 各アクセス パッケージで、ユーザーがアクセスを要求できるように、追加のアクセス パッケージ割り当てポリシーを作成します。 そのポリシーで承認と定期的なアクセス レビューの要件を構成します。
7. アプリケーションで使用される他のグループの定期的なアクセス レビューを作成します。 アプリケーションによって使用されるが、アクセス パッケージのリソース ロールではないグループがある場合は、それらのグループのメンバーシップについて アクセス レビューを作成します。

アクセスに関するレポートの表示

Microsoft Entra ID と Microsoft Entra ID Governance with Azure Monitor では、特定のアプリケーションにどのユーザーがアクセスでき、どのユーザーがそのアクセス権を行使しているかを数種類のレポートで把握できます。

• 管理者またはカタログ所有者は、Microsoft Entra 管理センター、Graph、PowerShell などを使用して、アクセス パッケージの割り当てを持つユーザーの一覧を取得できます。
• また、監査ログを Azure Monitor に送信し、アクセス パッケージに対する変更の履歴を、Microsoft Entra 管理センターまたは PowerShell 経由で表示することもできます。
• アプリケーションへの過去 30 日間のサインインは、Microsoft Entra 管理センターのサインイン レポート、または Graph で確認できます。
• また、サインイン ログを Azure Monitor に送信してサインイン アクティビティを最大 2 年間アーカイブすることもできます。

必要に応じて、エンタイトルメント管理ポリシーとアクセスを調整するために監視する

アプリケーションのアプリケーション アクセス割り当ての変更量に基づいて、毎週、毎月、四半期ごとなどの定期的な間隔で、Microsoft Entra 管理センターを使用して、ポリシーに従ってアクセス権が許可されていることを確認します。 また、承認とレビューのために識別されたユーザーが、これらのタスクの正しい個人であることを確認できます。

• アプリケーションのロール割り当てとグループ メンバーシップの変更を監視します。 監査ログを Azure Monitor に送信するように Microsoft Entra ID が構成されている場合は、Azure Monitor の Application role assignment activity を使用して、 エンタイトルメント管理によって行われていないアプリケーション ロールの割り当てを監視してレポートします。 アプリケーション所有者によって直接作成されたロール割り当てがある場合は、そのアプリケーション所有者に連絡して、その割り当てが承認されたかどうかを判断する必要があります。 さらに、アプリケーションが Microsoft Entra セキュリティ グループに依存している場合は、それらのグループに対する変更も監視します。

• また、アプリケーション内で直接アクセス権が付与されたユーザーも監視します。 次の条件が満たされている場合、ユーザーは Microsoft Entra ID に参加せずに、または Microsoft Entra ID によってアプリケーションのユーザー アカウント ストアに追加されることなく、アプリケーションへのアクセスを取得できます。

  • アプリケーションには、アプリ内にローカル ユーザー アカウント ストアがある
  • ユーザー アカウント ストアはデータベースまたは LDAP ディレクトリーにある
  • アプリケーションは、シングル サインオンで Microsoft Entra ID のみに依存するわけではありません。

  上記一覧のプロパティを持つアプリケーションの場合、ユーザーが Microsoft Entra プロビジョニングによってのみアプリケーションのローカル ユーザー ストアに追加されたことを定期的に確認する必要があります。 アプリケーションで直接作成されたユーザーの場合は、アプリケーション所有者に連絡して、その割り当てが承認されたかどうかを判別してください。

• 承認者とレビュー担当者が最新の状態に保たれていることを確認します。 前のセクションで構成したアクセス パッケージごとに、アクセス パッケージの割り当てポリシーに引き続き正しい承認者とレビュー担当者がいることを確認します。 以前に構成された承認者とレビュー担当者が組織内に存在しなくなった場合、または別のロールにいる場合は、これらのポリシーを更新します。

• レビュー担当者がレビュー中に決定を下していることを検証します。 これらのアクセス パッケージの定期的なアクセス レビュー が正常に完了していることを監視して、レビュー担当者が参加し、ユーザーの継続的なアクセスの必要性を承認または拒否する決定を下していることを確認します。

• プロビジョニングとプロビジョニング解除が期待どおりに機能していることを確認します。 アプリケーションへのユーザーのプロビジョニングを以前に構成していた場合、レビューの結果が適用されたとき、またはアクセス パッケージへのユーザーの割り当ての有効期限が切れたときに、Microsoft Entra ID はアプリケーションから拒否されたユーザーのプロビジョニング解除を開始します。 ユーザーのプロビジョニング解除のプロセスを監視できます。 プロビジョニングでアプリケーションに関するエラーが示される場合は、プロビジョニングのログをダウンロードして、アプリケーションに問題があったかどうかを調査できます。

• アプリケーション内のロールまたはグループの変更で Microsoft Entra 構成を更新します。 アプリケーション管理者がマニフェストに新しいアプリ ロールを追加する場合、既存のロールを更新する場合、または追加のグループに依存している場合は、それらの新しいロールまたはグループに対応するために、アクセス パッケージとアクセス レビューを更新する必要があります。

次のステップ

• アクセス レビューのデプロイ計画