アプリケーションのエンドユーザー エクスペリエンス

  • [アーティクル]

Microsoft Entra ID には、組織内のエンド ユーザーにアプリケーションを展開するためのカスタマイズ可能な複数の方法が用意されています。

  • Microsoft Entra のマイ アプリ
  • Microsoft 365 アプリケーション起動プログラム
  • フェデレーション アプリへの直接サインオン
  • フェデレーション アプリ、パスワードベースのアプリ、または既存のアプリへのディープ リンク

管理者は、自分の判断で、組織内でのデプロイにどの方法を使用するかを決定することができます。

Microsoft Entra のマイ アプリ

マイ アプリは Web ベースのポータルで、Microsoft Entra ID 内の組織ユーザーは、Microsoft Entra 管理者がアクセスを許可したアプリケーションを表示および起動できます。 Microsoft Entra ID P1 または P2 のエンド ユーザーの場合、マイ アプリを介してセルフサービスのグループ管理機能を利用することもできます。

既定では、すべてのアプリケーションが 1 つのページにまとめて表示されます。 しかし、コレクションを使用して関連するアプリケーションをグループ化し、別々のタブで表示すれば、アプリケーションが見つけやすくなります。 たとえば、コレクションを使用して、特定の担当業務、タスク、プロジェクトなどに関連したアプリケーションの論理グループを作成することができます。 詳細については、「マイ アプリ ポータルでコレクションを作成する」を参照してください。

マイ アプリは Microsoft Entra 管理センターから独立しているため、ユーザーが Azure サブスクリプションや Microsoft 365 サブスクリプションを持っている必要はありません。

Microsoft Entra のマイ アプリの詳細については、マイ アプリの概要に関するページを参照してください。

Microsoft 365 アプリケーション起動プログラム

Microsoft 365 アプリケーション起動ツールは、Microsoft 365 を使用する組織に推奨されるアプリ起動ソリューションです。

Office 365 アプリケーション起動プログラムの詳細については、 Office 365 アプリ起動プログラムにアプリを表示する方法に関するページを参照してください。

フェデレーション アプリへの直接サインオン

SAML 2.0、WS-Federation、または OpenID Connect をサポートするほとんどのフェデレーション アプリでは、ユーザーがアプリケーションから開始する機能もサポートしています。 その後、ユーザーは、自動リダイレクトで、またはサインイン用リンクを選んで、Microsoft Entra ID でサインインします。 直接サインオンはサービス プロバイダーが開始するサインオンであり、Microsoft Entra アプリケーション ギャラリーのほとんどのフェデレーション アプリケーションがサポートしています。 詳細については、Microsoft Entra 管理センターにあるアプリのシングル サインオン構成ウィザードからリンクされているドキュメントを参照してください。

Microsoft Entra ID は、パスワードベースのシングル サインオン、リンクされたシングル サインオン、任意の形式のフェデレーション シングル サインオンをサポートする個々のアプリケーションへの直接シングル サインオン リンクもサポートしています。

直接サインオンのリンクは、特定のアプリケーションの Microsoft Entra サインイン プロセスを通じてユーザーを送信するように作成された URL です。 ユーザーは、マイ アプリまたは Microsoft 365 からアプリケーションを起動する必要はありません。 これらのユーザー アクセス URL は、使用できるエンタープライズ アプリケーションのプロパティの下にあります。 Microsoft Entra 管理センターで、[ID][アプリケーション][エンタープライズ アプリケーション] の順に選択します。 アプリケーションを選択し、[プロパティ] を選択します。

Example of the User access URL in Twitter properties

直接サインオンのリンクをコピーし、選んだアプリケーションへのサインイン リンクを提供する必要がある任意の場所に貼り付けることができます。 これらは、メールや、ユーザー アプリケーション アクセス用に設定したカスタムの Web ベースのポータルに配置できます。 次の URL は、Twitter 用の Microsoft Entra ID 直接シングル サインオン URL の例です。

https://myapps.microsoft.com/signin/Twitter/230848d52c8745d4b05a60d29a40fced

組織に固有のマイ アプリの URL と同様、myapps.microsoft.com ドメインの後にディレクトリに対してアクティブまたは検証済みドメインのうちの 1 つを追加して、直接サインオン URL をさらにカスタマイズできます。 直接サインオン URL をカスタマイズすると、ユーザーが最初にユーザー ID を入力しなくても、必ずサインイン ページで組織のブランド設定が即座に読み込まれます。

https://myapps.microsoft.com/contosobuild.com/signin/Twitter/230848d52c8745d4b05a60d29a40fced

許可されているユーザーがこれらのアプリケーションに固有のリンクのいずれかを選ぶと、(まだサインインされていないと想定して) 最初に組織のサインイン ページが表示されます。 サインイン後、最初にマイ アプリで停止することなく、アプリにリダイレクトされます。 パスワードベースのシングル サインオン用ブラウザー拡張機能など、ユーザーがアプリケーションにアクセスするための前提条件を満たしていない場合、リンクをクリックすると、ユーザーは不足している拡張機能をインストールするよう要求されます。 アプリケーションのシングル サインオン構成が変更された場合でもリンク URL は変わりません。

これらのリンクでは、マイ アプリおよび Microsoft 365 と同じアクセス制御メカニズムが使用されます。 Microsoft Entra 管理センターでアプリケーションに割り当てられたユーザーまたはグループのみが、正常に認証できます。 ただし、許可されていないユーザーには、アクセス権が付与されていないことを説明するメッセージが表示されます。 許可されていないユーザーには、本人がアクセス権を持つ使用可能なアプリケーションを表示するためのマイ アプリを読み込むためのリンクが示されます。

ヒント

この記事の手順は、開始するポータルによって若干異なる場合があります。

プレビュー設定を管理する

管理者は、新しいアプリ起動ツール機能を試すことができます。ただし、これはプレビュー段階です。 プレビュー機能を有効にすると、組織に対してその機能が有効になり、すべてのユーザーのマイ アプリ ポータルやその他のアプリ起動ツールに反映されます。

アプリ起動ツールのプレビューを有効または無効にするには:

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
  2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション] の順に移動します。
  3. 左側のメニューで [App launchers] (アプリ起動ツール)[設定] の順に選びます。
  4. [プレビューの設定] で、有効または無効にするプレビューのチェックボックスを切り替えます。 プレビューにオプトインするには、関連するチェック ボックスをオンの状態に切り替えます。 プレビューからオプトアウトするには、関連するチェック ボックスをオフの状態に切り替えます。
  5. [保存] を選択します。 変更が有効になるまで、数分待ちます。 マイ アプリ ポータルに移動し、有効または無効にしたプレビューが反映されていることを確認します。

次のステップ