アプリケーションの Azure AD テスト環境を設定する

開発、テスト、運用のライフサイクルを通じてアプリを移動するには、Azure Active Directory (Azure AD) テスト環境を設定します。 アプリ開発の初期段階で Azure AD テスト環境を使用し、永続的なテスト環境として長期的に使用できます。

専用テスト テナントまたは運用 Azure AD テナント

最初のタスクは、テスト専用の Azure AD テナントを使用するか、テスト環境として運用テナントを使用するかを決定することです。

運用テナントを使用すると、アプリケーション テストの一部の側面が簡単になりますが、テスト リソースと運用リソース間の適切なレベルの分離が必要です。 高い特権のシナリオでは、分離が特に重要です。

次の場合は、運用 Azure AD テナントを使用しないでください。

  • アプリケーションで、テナント全体の一意性を必要とする設定を使用する。 たとえば、アプリでは、ユーザーに代わってではなく、それ自体としてテナント リソースにアクセスする必要がある場合があります (アプリ専用のアクセス許可を使用します)。 アプリ専用アクセスには、テナント全体に適用される管理者の同意が必要です。 このようなアクセス許可は、テナントの境界内で安全にスコープ ダウンするのは困難です。
  • テナント メンバーによるテスト リソースへの不正アクセスの可能性に対するリスクの許容度が低い。
  • 構成の変更によって、運用環境の重要な操作に悪影響を与える可能性がある。
  • 運用テナントにユーザーまたはその他のテスト データを作成することができない。
  • 認証時にユーザーの操作を必要とする運用テナントでポリシーが有効になる。 たとえば、すべてのユーザーに多要素認証が必要な場合は、統合テストのための自動サインインを使用できない場合があります。
  • 非運用リソースやワークロードを実稼働テナントに追加すると、そのテナントのサービスまたは調整の制限を超える可能性がある。

これらの制限事項のいずれかに該当する場合は、別のテナントにテスト環境を設定する必要があります。

これらの制限事項に該当しない場合は、運用テナントにテスト環境を設定できます。 運用テナントのグローバル管理者は、いつでもリソースにアクセスして構成を変更できることに注意してください。 テスト リソースまたは構成へのアクセスを禁止するには、そのデータを別のテナントに配置します。

別のテナントにテスト環境を設定する

実稼働テナントでテスト アプリを安全に制限できない場合は、開発とテストの目的で別のテナントを作成します。

テスト テナントを取得する

まだ専用のテスト テナントがない場合は、Microsoft 365 開発者プログラムを使用して無料で作成することも、自分で手動で作成することもできます。

Microsoft 365 開発者プログラムは無料であり、テスト ユーザー アカウントとサンプル データ パックをテナントに自動的に追加できます。

  1. 画面の [今すぐ参加] ボタンをクリックします。
  2. 新しい Microsoft アカウントでサインインするか、既に所有している既存の (職場) アカウントを使用します。
  3. サインアップ ページで、リージョンを選択し、会社名を入力して、プログラムの使用条件に同意してから、 [次へ] をクリックします。
  4. [サブスクリプションの設定] をクリックします。 新しいテナントを作成するリージョンを指定し、ユーザー名とドメインを作成して、パスワードを入力します。 これにより、新しいテナントとテナントの最初の管理者が作成されます。
  5. 新しいテナントの管理者アカウントを保護するために必要なセキュリティ情報を入力します。 これにより、アカウントに多要素認証が設定されます。

テナントを手動で作成する

テナントを手動で作成できます。これは作成時には空で、テスト データを使用して構成する必要があります。

テナントにユーザーを設定する

便宜上、自分や開発チームの他のメンバーをテナントのゲスト ユーザーに招待することもできます。 これにより、テスト テナントに別のゲスト オブジェクトが作成されますが、企業アカウントとテスト アカウントの資格情報のセットを 1 つだけ管理すれば済むことを意味します。

  1. Azure portal で、 [Azure Active Directory] をクリックします。
  2. [Users] タブに移動します。
  3. [新しいゲスト ユーザー] をクリック し、仕事用アカウントの電子メール アドレスを招待します。
  4. アプリケーションの開発やテストのチームの他のメンバーに対して繰り返します。

テスト テナントでテスト ユーザーを作成することもできます。 Microsoft 365 サンプル パックのいずれかを使用した場合は、テナントにテスト ユーザーが既に存在している可能性があります。 そうではない場合は、テナント管理者として自分で作成できます。

  1. Azure portal で、 [Azure Active Directory] をクリックします。
  2. [Users] タブに移動します。
  3. [新しいユーザー] を クリックし、ディレクトリに新しいテスト ユーザーを作成します。

Azure AD サブスクリプションを作成する (省略可能)

アプリケーションで Azure AD Premium の機能を完全にテストする場合は、Premium P1 または Premium P2 ライセンスのテナントにサインアップする必要があります。

Microsoft 365 開発者プログラムを使用してサインアップした場合、テスト テナントには Azure AD P2 ライセンスが付属しています。 そうでない場合でも、引き続き 1 か月間の Azure AD Premium の無料試用版を有効にできます。

アプリの登録を作成して構成する

テスト環境で使用するアプリの登録を作成する必要があります。 これは、テスト環境と運用環境の間のセキュリティ分離を維持するために、最終的な運用アプリの登録とは別の登録である必要があります。 アプリケーションの構成方法は、構築するアプリの種類によって異なります。 詳細については、Web アプリケーションの登録に関するこの記事のように、左側のナビゲーション ウィンドウでアプリのシナリオのアプリ登録手順を確認してください。

テナントにポリシーを設定する

アプリが主に 1 つの組織 (一般にシングル テナントと呼ばれます) によって使用され、その実稼働テナントにアクセスできる場合は、アプリの動作に影響を与える可能性がある実稼働テナントの設定をレプリケートしてみてください。 そうすると、運用時に予期しないエラーが発生する可能性が低くなります。

条件付きアクセス ポリシー

条件付きアクセス ポリシーをレプリケートすると、運用環境に移行するときに予期しないアクセスのブロックを確実に発生させず、アプリケーションで受信する可能性があるエラーを適切に処理できます。

実稼働テナントの条件付きアクセス ポリシーの表示は、会社の管理者が実行する必要がある場合があります。

  1. 実稼働テナントのアカウントを使用して Azure portal にサインインします。
  2. [Azure Active Directory]>[エンタープライズ アプリケーション]>[条件付きアクセス] の順に移動します。
  3. テナントのポリシーのリストを表示します。 最初のものをクリックします。
  4. [クラウド アプリまたはアクション] に移動します。
  5. ポリシーがアプリの選択したグループにのみ適用される場合は、次のポリシーに進みます。 そうではない場合は、運用環境に移行するときにアプリにも適用される可能性があります。 ポリシーをテスト テナントにコピーする必要があります。

新しいタブまたはブラウザー セッションで、Azure portal に移動し、テスト テナントにサインインします。

  1. [Azure Active Directory]>[エンタープライズ アプリケーション]>[条件付きアクセス] の順に移動します。
  2. [新しいポリシー] をクリックします
  3. 前の手順によって識別された実稼働テナント ポリシーから設定をコピーします。

アクセス許可付与ポリシー

アクセス許可付与ポリシーをレプリケートすると、運用環境に移行するときに、管理者の同意を求める予期しないプロンプトが表示されることはありません。

  1. 実稼働テナントのアカウントを使用して Azure portal にサインインします。
  2. [Azure Active Directory] をクリックします。
  3. [エンタープライズ アプリケーション] に移動します。
  4. 運用テナントで [Azure Active Directory]>[エンタープライズ アプリケーション]>[同意とアクセス許可]>[ユーザーの同意] 設定を選択します。 そこで設定をテスト テナントにコピーします。

トークンの有効期間ポリシー

トークンの有効期間ポリシーをレプリケートすると、アプリケーションに発行されたトークンが、運用環境で予期せず期限切れになることはありません。

トークンの有効期間ポリシーは、現在は PowerShell を使用してのみ管理できます。 運用組織全体に適用されるトークンの有効期間ポリシーを特定する方法については、構成可能なトークンの有効期間に関するページを参照してください。 これらのポリシーをテスト テナントにコピーします。

実稼働テナントでテスト環境を設定する

実稼働テナントでテスト アプリを安全に制限できる場合は、テスト目的でテナントを設定します。

アプリの登録を作成して構成する

テスト環境で使用するアプリの登録を作成する必要があります。 これは、テスト環境と運用環境の間のセキュリティ分離を維持するために、最終的な運用アプリの登録とは別の登録である必要があります。 アプリケーションの構成方法は、構築するアプリの種類によって異なります。 詳細については、左側のナビゲーション ウィンドウのアプリのアプリ登録手順のシナリオに関するページを確認してください。

テスト ユーザーを作成する

シナリオのテスト中に使用する、テスト データが関連付けられたテスト ユーザーを作成する必要があります。 この手順は、管理者が実行する必要がある場合があります。

  1. Azure portal で、 [Azure Active Directory] をクリックします。
  2. [Users] タブに移動します。
  3. [新しいユーザー] を クリックし、ディレクトリに新しいテスト ユーザーを作成します。

テスト ユーザーをグループに追加する (省略可能)

便宜上、これらのすべてのユーザーをグループに割り当てることができます。これにより、他の割り当て操作が簡単になります。

  1. Azure portal で、 [Azure Active Directory] をクリックします。
  2. [グループ] に移動します。
  3. [新しいグループ] をクリックします。
  4. グループの種類で [セキュリティ] または [Microsoft 365] を選択します。
  5. グループに名前を付けます。
  6. 前の手順で作成したテスト ユーザーを追加します。

テスト アプリケーションを特定のユーザーに制限する

ユーザー割り当てを使用して、テスト アプリケーションの使用が許可されるテナント内のユーザーを、特定のユーザーまたはグループに制限することができます。 アプリの登録を使用してアプリを作成した場合、アプリの表現も [エンタープライズ アプリケーション] で作成されています。 [エンタープライズ アプリケーション] の設定を使用して、テナントでアプリケーションを使用できるユーザーを制限します。

重要

アプリがマルチテナント アプリである場合、この操作では他のテナントのユーザーがアプリにサインインして使用できないように制限されません。 ユーザー割り当てが構成されているテナントのユーザーのみが制限されます。

アプリをテナントの特定のユーザーに制限する方法の詳細については、一連のユーザーへのアプリの制限に関するページを参照してください。

次のステップ

テスト環境の設定中に発生する可能性のある調整とサービスの制限について説明します。

テスト環境の詳細については、Azure Active Directory を使用した Azure 環境のセキュリティ保護に関するページを参照してください。