Microsoft Entra 展開プラン

Azure Active Directory は Microsoft Entra ID になっており、それを使うと、クラウド ID とアクセス管理で組織を保護できます。 このソリューションは、従業員、顧客、パートナーをアプリ、デバイス、データに結び付けます。

この記事のガイダンスを使うと、Microsoft Entra ID をデプロイする計画を立てるのに役立ちます。 計画作成の基本を理解した後、認証のデプロイ、アプリとデバイス、ハイブリッド シナリオ、ユーザー ID などに関する以下のセクションを使ってください。

関係者とロール

デプロイ計画を開始するときは、主要な利害関係者を含めてください。 関係者、影響を受けるロール、および効果的なデプロイを可能にする所有権と責任の領域を明らかにして文書化します。 役職やロールは組織によって異なりますが、所有権の領域は似ています。 展開プランに影響を与える一般的で影響力のあるロールについては、次の表を参照してください。

ロール	担当
スポンサー	予算とリソースを承認または設定する権限を持つエンタープライズ シニア リーダー。 スポンサーは、マネージャーとエグゼクティブ チームをつなぐ役割を果たします。
エンド ユーザー	実装されているサービスの対象となる人びと。 ユーザーは、パイロット プログラムに参加できます。
IT サポート マネージャー	提案された変更のサポート可能性に関する入力を提供します。
ID アーキテクトまたは Azure グローバル管理者	変更を ID 管理インフラストラクチャに整合させる方法を定義します。
アプリケーション ビジネス所有者	影響を受けるアプリケーションに責任を負います。責任にはアクセス管理が含まれることがあります。 ユーザー エクスペリエンスに関する入力を提供します。
セキュリティ所有者	変更計画がセキュリティ要件を満たしていることを確認します。
コンプライアンス マネージャー	企業、業界、または政府の要件への準拠を確保します。

RACI

実行責任者、説明責任者、相談先、報告先 (responsible/accountable/consulted/informed: RACI) とは、プロジェクトまたはビジネス プロセスに関するタスクや成果物を完了するためにさまざまなロールが参加するモデルです。 このモデルを使うと、組織内のロールがデプロイの責任を確実に理解するのに役立ちます。

• 実行責任者: タスクの正しい完了について責任を負う人。
  • 少なくとも 1 人の実行責任者ロールがいますが、他の人に委任して作業を手伝うことができます。
• 説明責任者: 成果物またはタスクの正確さと完了について最終的に回答できる人。 説明責任者ロールは、タスクの前提条件が満たされていることを確認し、実行責任者ロールに作業を委任します。 説明責任者ロールは、実行責任者が提供する作業を承認します。 タスクまたは成果物ごとに、1 人の説明責任者を割り当てます。
• 相談先: 相談先ロールはガイダンスを提供します。通常は領域の専門家 (SME) です。
• 報告先: 一般にタスクまたは成果物の完了時に、最新の進行状況を知らされる人。

認証のデプロイ

次の一覧を使用して、認証のデプロイを計画してください。

• Microsoft Entra の多要素認証 (MFA): 多要素認証で管理者が承認した認証方法を使用すると、簡単なサインインの要求を満たしながら、データやアプリケーションへのアクセスを保護できます。

  • 「多要素認証を構成してテナントに適用する方法」のビデオをご覧ください
  • 「Microsoft Entra 多要素認証のデプロイを計画する」を参照してください

• 条件付きアクセス - 条件に基づいて、ユーザーがクラウド アプリにアクセスするための自動化されたアクセス制御の決定を実装します。

  • 「条件付きアクセスとは」を参照してください。
  • 「条件付きアクセスのデプロイを計画する」を参照してください。

• Microsoft Entra のセルフサービス パスワード リセット (SSPR) - ユーザーが管理者の介入なしでパスワードをリセットできるようにします。

  • 「Microsoft Entra ID のパスワードレス認証オプション」を参照してください

  • 「Microsoft Entra セルフサービス パスワード リセットの展開を計画する」をご覧ください

• パスワードレス認証 - Microsoft Authenticator アプリまたは FIDO2 セキュリティ キーを使用してパスワードレス認証を実装します。

  • 「Microsoft Authenticator を使ったパスワードレスのサインインを有効にする」を参照してください。
  • 「Microsoft Entra ID でのパスワードレス認証のデプロイを計画する」を参照してください

アプリケーションとデバイス

次の一覧を使用して、アプリケーションとデバイスのデプロイに役立ててください。

• シングル サインオン (SSO): 資格情報を入力し直すことなく、1 回のサインインでユーザーがアプリやリソースにアクセスできるようにします。
  • 「Microsoft Entra ID での SSO とは」を参照してください
  • SSO のデプロイの計画に関するページを参照してください。
• マイ アプリ ポータル - アプリケーションを検出してアクセスします。 たとえば、グループへのアクセスを要求したり、他のユーザーに代わってリソースへのアクセスを管理したりして、セルフサービスによりユーザーが生産性を高められるようにします。
  • 「マイ アプリ ポータルの概要」を参照してください。
• デバイス - デバイスと Microsoft Entra ID の統合方法の評価、実装計画の選択、その他多くのことを行います。
  • 「Microsoft Entra デバイスの展開を計画する」を参照してください

ハイブリッド シナリオ

次の一覧では、ハイブリッド シナリオでの機能とサービスについて説明します。

• Active Directory フェデレーション サービス (AD FS) - パススルー認証またはパスワード ハッシュ同期を使用して、ユーザー認証をフェデレーションからクラウドに移行します。
  • 「Microsoft Entra ID とのフェデレーションとは」を参照してください
  • 「フェデレーションからクラウド認証に移行する」を参照してください。
• Microsoft Entra アプリケーション プロキシ: 従業員が、デバイスから生産性を高められるようにします。 クラウド内の SaaS (サービスとしてのソフトウェア) アプリやオンプレミスの企業アプリについて学習してください。 Microsoft Entra アプリケーション プロキシを使用すると、仮想プライベート ネットワーク (VPN) や非武装地帯 (DMZ) なしでのアクセスが可能になります。
  • 「Microsoft Entra アプリケーション プロキシからのオンプレミス アプリケーションへのリモート アクセス」を参照してください
  • 「Microsoft Entra アプリケーション プロキシのデプロイを計画する」を参照してください
• シームレス シングル サインオン (シームレス SSO) - 企業ネットワークに接続されている会社のデバイスでは、ユーザーのサインインにシームレス SSO を使用します。 ユーザーは、Microsoft Entra ID にサインインするためにパスワードは必要なく、通常はユーザー名を入力する必要もありません。 認可されたユーザーは、追加のオンプレミス コンポーネントなしでクラウド ベースのアプリにアクセスします。
  • Microsoft Entra SSO: クイックスタートに関するページを参照してください
  • Microsoft Entra シームレス SSO: 技術的な詳細に関するページを参照してください

ユーザー

• ユーザー ID - Dropbox、Salesforce、ServiceNow などのクラウド アプリでユーザー ID を作成、保持、削除するための自動化について学習してください。
  • 「Microsoft Entra ID で自動ユーザー プロビジョニング デプロイを計画する」を参照してください
• Microsoft Entra ID ガバナンス: ID ガバナンスを作成し、ID データに依存するビジネス プロセスを強化します。 Workday や Successfactors などの HR 製品で、規則を使用して従業員や臨時社員の ID ライフサイクルを管理します。 これらの規則は、新規採用、退職、異動などの就職者 - 異動者 - 退職者 (JLM) プロセスを、作成、有効化、無効化などの IT アクションにマップします。 詳しくは、次のセクションをご覧ください。
  • 「Microsoft Entra のユーザー プロビジョニングにクラウド HR アプリケーションを計画する」を参照してください
• Microsoft Entra B2B コラボレーション - アプリケーションへのセキュリティで保護されたアクセスを使用して、外部ユーザー コラボレーションを改善します。
  • 「B2B コラボレーションの概要」を参照してください。
  • 「Microsoft Entra B2B コラボレーションのデプロイを計画する」を参照してください

ID ガバナンスとレポート

Azure Active Directory Identity Governance を利用すると、組織は生産性を向上させ、セキュリティを強化し、コンプライアンスと規制の要件をより簡単に満たすことができます。 適切なリソースに対する適切なアクセス権を適切なユーザーに付与するには、Azure Active Directory Identity Governance を使います。 ID およびアクセス管理プロセスの自動化、ビジネス グループへの委任、可視性を向上させます。 次の一覧を使用して、ID ガバナンスとレポートについて学習してください。

詳細情報:

• 接続された世界のためのセキュリティで保護されたアクセス - Microsoft Entra の紹介

• 環境内のアプリケーションのアクセスを制御する

• Privileged Identity Management (PIM): Microsoft Entra ID、Azure リソース、他の Microsoft オンライン サービスにまたがって特権管理者ロールを管理します。 これを Just-In-Time (JIT) アクセス、要求承認のワークフロー、統合アクセス レビューに使用すると、悪意のあるアクティビティを防止できます。

  • 「Privileged Identity Management の使用開始」を参照してください。
  • 「Privileged Identity Management のデプロイを計画する」を参照してください。

• レポートと監視: Microsoft Entra のレポートと監視ソリューションの設計には、法令、セキュリティ、運用、環境、プロセスに関する依存関係や制約があります。

  • 「Microsoft Entra のレポートと監視のデプロイの依存関係」を参照してください

• アクセス レビュー - リソースへのアクセスを理解して管理します。

  • アクセス レビューの概要に関するページを参照してください。
  • 「Microsoft Entra アクセス レビューの展開を計画する」を参照してください。

パイロットのベスト プラクティス

大きなグループまたはすべてのユーザーに関する変更を行う前に、パイロットを使って小さなグループでテストします。 組織内の各ユース ケースが確実にテストされるようにしてください。

パイロット: フェーズ 1

最初のフェーズでは、テストしてフィードバックを提供できる IT、ユーザビリティ、その他のユーザーを対象とします。 このフィードバックを使用して、サポート スタッフの潜在的な問題に関する分析情報を取得し、すべてのユーザーに送信する通信と手順を開発します。

パイロット: フェーズ 2

動的メンバーシップを使用するか、対象グループにユーザーを手動で追加することによって、パイロットをより大きなユーザー グループに拡張できます。

詳細情報: Microsoft Entra ID のグループの動的メンバーシップ ルール