環境内のアプリケーションのアクセスを制御する

Azure Active Directory (Azure AD) Identity Governance を使用すると、セキュリティや従業員の生産性に対する組織のニーズと、適切なプロセスや可視性とのバランスを取ることができます。 その機能により、適時に組織内の適切なユーザーが適切なリソースにアクセスできることが保証されます。

コンプライアンス要件またはリスク管理計画がある組織には、機密性の高いアプリケーションまたはビジネス クリティカルなアプリケーションがあります。 アプリケーションの機密性は、その目的やそれに含まれるデータ (組織の顧客の財務情報や個人情報など) に基づいている場合があります。 そのようなアプリケーションでは、通常、組織内のすべてのユーザーのサブセットのみがアクセスを許可され、文書化されたビジネス要件に基づいてのみアクセスを許可する必要があります。 アクセスを管理するための組織のコントロールの一環として、Azure AD の機能を使用して、次のことを実行できます。

  • 適切なアクセス権を設定する
  • アクセス チェックを適用する
  • コンプライアンスとリスク管理の目標を満たすためにこれらのコントロールがどのように使用されているかを示すレポートを生成する

アプリケーション アクセス ガバナンス シナリオに加えて、他の組織のユーザーの確認と削除や、条件付きアクセス ポリシーから除外されたユーザーの管理などのその他のシナリオでも、ID ガバナンスとその他の Azure AD 機能を使用できます。 組織に Azure AD または Azure の複数の管理者がいて、B2B またはセルフサービス グループ管理を使用している場合は、これらのシナリオ用に、アクセス レビューのデプロイを計画する必要があります。

アプリケーションへのアクセス ガバナンスの概要

Azure AD ID ガバナンスは、OpenID Connect、SAML、SCIM、SQL、LDAP などの標準を使用して、多くのアプリケーションと統合できます。 これらの標準を使用すると、多くの一般的な SaaS アプリケーション、オンプレミス アプリケーション、および組織が開発したアプリケーションと共に Azure AD を使用できます。 Azure AD 環境を準備したら、以下のセクションで説明するように、3 つのステップの計画で、アプリケーションを Azure AD に接続し、そのアプリケーションで ID ガバナンス機能を使用できるようにします。

  1. アプリケーションへのアクセスを管理するための組織のポリシーを定義する
  2. アプリケーションを Azure AD と統合して、承認されたユーザーのみがアプリケーションにアクセスできることを確認し、ユーザーのアプリケーションへの既存のアクセスをレビューして、レビューされたすべてのユーザーのベースラインを設定します
  3. シングル サインオン (SSO) を制御し、そのアプリケーションのアクセス割り当てを自動化するためのポリシーをデプロイする

ID ガバナンス用に Azure AD を構成するための前提条件

Azure AD からのアプリケーション アクセスを管理するプロセスを開始する前に、Azure AD 環境が適切に構成されていることを確認する必要があります。

  • アプリケーションを統合して適切にライセンスを取得するためのコンプライアンス要件に対して、Azure AD と Microsoft Online Services 環境の準備ができていることを確認します。 コンプライアンスは、Microsoft、クラウド サービス プロバイダー (CSP)、および組織の間での共同責任です。 アプリケーションへのアクセスの管理に Azure AD を使うには、テナントに次のいずれかのライセンスが必要です。

    • Azure AD Premium P2
    • Enterprise Mobility + Security (EMS) E5 ライセンス

    テナントには、アプリケーションへのアクセスを要求したり、アプリケーションへのアクセスを承認またはレビューしたりできるメンバー (ゲスト以外) ユーザーの数と同数以上のライセンスが必要です。 これらのユーザーに適切なライセンスを使用すると、ユーザーごとに最大 1500 のアプリケーションへのアクセスを管理できます。

  • アプリケーションへのゲストのアクセス権を管理する場合は、MAU 課金のために、サブスクリプションに Azure AD テナントをリンクします。 このステップは、ゲスト要求を行うか、アクセス権を確認する前に必要です。 詳細については、Azure AD External Identities の課金モデルを参照してください。

  • Azure AD が、監査ログおよび必要に応じて他のログを Azure Monitor に既に送信していることを確認します。 Azure AD では監査ログに監査イベントが保存されるのは最大 30 日間であるため、Azure Monitor は省略可能ですが、アプリへのアクセスを管理する場合に便利です。 監査データは、既定の保持期間よりも長く保持できます。詳細については、「Azure AD にレポート データが保存される期間」を参照してください。また、Azure Monitor ブックとカスタム クエリとレポートを監査履歴データに対して使用できます。 Azure portal の n Azure Active Directory[ブック] をクリックすると、Azure AD 構成で Azure Monitor を使用しているかどうかを確認できます。 この統合が構成されておらず、Azure サブスクリプションがあり、Global Administrator または Security Administrator ロールに含まれている場合は、Azure Monitor を使用するように Azure AD を構成できます

  • 承認されたユーザーのみが Azure AD テナントの高い特権を持つ管理者ロールに含まれていることを確認します。 グローバル管理者ID ガバナンス管理者ユーザー管理者アプリケーション管理者クラウド アプリケーション管理者特権ロール管理者に含まれる管理者は、ユーザーとそのアプリケーション ロールの割り当てを変更できます。 これらのロールのメンバーシップが最近レビューされていない場合は、これらのディレクトリ ロールのアクセス レビューが確実に開始されるようにするために、グローバル管理者または特権ロール管理者のユーザーが必要です。 また、Azure Monitor、ロジック アプリ、および Azure AD 構成の操作に必要なその他のリソースを保持するサブスクリプションの Azure ロールのユーザーがレビューされていることも確認する必要があります。

  • テナントが適切に分離されていることを確認します。 組織がオンプレミスの Active Directory を使用していて、これらの AD ドメインが Azure AD に接続されている場合は、クラウドでホストされるサービスに対する高い特権を使用する管理操作が、オンプレミス アカウントから分離されていることを確認する必要があります。 オンプレミスの侵害から Microsoft 365 のクラウド環境を保護するようにシステムを構成していることを確認します。

Azure AD 環境の準備ができていることを確認したら、アプリケーションのガバナンス ポリシーの定義に進みます。

次のステップ