環境内のアプリケーションのアクセスを制御する
Microsoft Entra ID Governance を使うと、セキュリティや従業員の生産性に対する組織のニーズと、適切なプロセスや可視性とのバランスを取ることができます。 その機能により、適時に組織内の適切なユーザーが適切なリソースにアクセスできることが保証されます。
コンプライアンス要件またはリスク管理計画がある組織には、機密性の高いアプリケーションまたはビジネス クリティカルなアプリケーションがあります。 アプリケーションの機密性は、その目的やそれに含まれるデータ (組織の顧客の財務情報や個人情報など) に基づいている場合があります。 そのようなアプリケーションでは、通常、組織内のすべてのユーザーのサブセットのみがアクセスを許可され、文書化されたビジネス要件に基づいてのみアクセスを許可する必要があります。 アクセスを管理するための組織のコントロールの一環として、Microsoft Entra の機能を使って、次のことを実行できます。
- 適切なアクセス権を設定する
- アプリケーションにユーザーをプロビジョニングする
- アクセス チェックを適用する
- コンプライアンスとリスク管理の目標を満たすためにこれらのコントロールがどのように使用されているかを示すレポートを生成する
アプリケーション アクセス ガバナンス シナリオに加えて、他の組織のユーザーの確認と削除や、条件付きアクセス ポリシーから除外されたユーザーの管理などのその他のシナリオでも、Microsoft Entra ID ガバナンス機能とその他の Microsoft Entra 機能を使用できます。 組織に Microsoft Entra ID または Azure の複数の管理者がいて、B2B またはセルフサービス グループ管理を使用している場合は、これらのシナリオ用のアクセス レビューのデプロイを計画する必要があります。
ライセンスの要件
この機能を使用するには、Microsoft Entra ID ガバナンス ライセンスが必要です。 要件に適したライセンスを見つけるには、「Microsoft Entra ID ガバナンス ライセンスの基礎」をご覧ください。
アプリケーションへのアクセス ガバナンスの概要
Microsoft Entra ID ガバナンスは、OpenID Connect、SAML、SCIM、SQL、LDAP などの標準を使用して、多くのアプリケーションと統合できます。 これらの標準を通して、Microsoft Entra ID を多くの一般的な SaaS アプリケーション、オンプレミス アプリケーション、および組織が開発したアプリケーションと共に使用できます。 以下のセクションで説明するように、Microsoft Entra 環境の準備が完了したら、3 ステップの計画でアプリケーションを Microsoft Entra ID に接続する方法をカバーし、そのアプリケーションで ID ガバナンス機能を使用できるようにします。
- アプリケーションへのアクセスを管理するための組織のポリシーを定義する
- アプリケーションを Microsoft Entra ID と統合して、許可されているユーザーのみがアプリケーションにアクセスできるようにし、アプリケーションへのユーザーの既存のアクセスを確認して、確認されたすべてのユーザーのベースラインを設定します。 これにより、認証とユーザー プロビジョニングが可能になります
- シングル サインオン (SSO) を制御し、そのアプリケーションのアクセス割り当てを自動化するためのポリシーをデプロイする
ID ガバナンスのために Microsoft Entra ID と Microsoft Entra ID ガバナンスを構成する前の前提条件
Microsoft Entra ID ガバナンスからのアプリケーション アクセスを管理するプロセスを開始する前に、Microsoft Entra 環境が適切に構成されていることを確認する必要があります。
Microsoft Entra ID と Microsoft Online Services 環境が、アプリケーションを統合して適切にライセンス設定するためのコンプライアンス要件に対する準備ができていることを確認します。 コンプライアンスは、Microsoft、クラウド サービス プロバイダー (CSP)、および組織の間での共同責任です。 アプリケーションへのアクセスの管理に Microsoft Entra ID を使用するには、テナントに次のいずれかのライセンスの組み合わせが必要です。
- Microsoft Entra ID ガバナンスとその前提条件、Microsoft Entra ID P1
- Microsoft Entra ID Governance Step Up for Microsoft Entra ID P2 とその前提条件、Microsoft Entra ID P2 または Enterprise Mobility + Security (EMS) E5 のいずれか
テナントには、管理対象となるメンバー (ゲスト以外) ユーザーの数と同数以上のライセンスが必要です。これには、アプリケーションへのアクセスを要求したり、アプリケーションへのアクセスを承認またはレビューしたりできるユーザーが含まれます。 これらのユーザーに適切なライセンスを使用すると、ユーザーごとに最大 1500 のアプリケーションへのアクセスを管理できます。
アプリケーションへのゲストのアクセスを管理する場合は、Microsoft Entra テナントを MAU 課金のためのサブスクリプションにリンクします。 このステップは、ゲストにアクセスを要求またはレビューさせる前に必要です。 詳細については、「Microsoft Entra 外部 IDの課金モデル」を参照してください。
Microsoft Entra ID が、監査ログおよび必要に応じて他のログを Azure Monitor に既に送信していることを確認します。 Microsoft Entra では監査イベントが監査ログに保存されるのは最大 30 日間だけであるため、Azure Monitor は省略可能ですがアプリへのアクセスの管理に有用です。 監査データは、「Microsoft Entra ID にレポート データが保存される期間は?」で説明されている既定の保持期間よりも長く保持でき、Azure Monitor ブック、カスタム クエリ、監査データ履歴に関するレポートを使用できます。 Microsoft Entra 管理センターの [Microsoft Entra ID] で [Workbooks] をクリックすることで、Microsoft Entra 構成をチェックしてこれが Azure Monitor を使用しているかどうかを確認できます。 この統合が構成されておらず、Azure サブスクリプションが手元にあり、自分が
Global AdministratorまたはSecurity Administratorロールに含まれている場合は、Azure Monitor を使用するように Microsoft Entra ID を構成できます。許可されているユーザーのみが Microsoft Entra テナントの高い特権を持つ管理者ロールに含まれるようにします。 グローバル管理者、ID ガバナンス管理者、ユーザー管理者、アプリケーション管理者、クラウド アプリケーション管理者、特権ロール管理者に含まれる管理者は、ユーザーとそのアプリケーション ロールの割り当てを変更できます。 これらのロールのメンバーシップが最近レビューされていない場合は、これらのディレクトリ ロールのアクセス レビューが確実に開始されるようにするために、"グローバル管理者" または "特権ロール管理者" のユーザーが必要です。 また、Azure Monitor、Logic Apps、Microsoft Entra 構成の操作に必要なその他のリソースを保持するサブスクリプションの Azure ロールのユーザーが確認済みであることを確かめる必要もあります。
テナントが適切に分離されていることを確認します。 組織がオンプレミスで Active Directory を使用していて、それらの AD ドメインが Microsoft Entra ID に接続されている場合は、クラウドでホストされるサービスに対する高い特権を使用する管理操作が、オンプレミス アカウントから分離されていることを確認する必要があります。 オンプレミスの侵害から Microsoft 365 のクラウド環境を保護するようにシステムを構成していることを確認します。
Microsoft Entra 環境の準備ができていることを確認したら、アプリケーションのガバナンス ポリシーの定義に進みます。