AD FS から Microsoft Entra ID にアプリケーション認証を移行するステージについて理解する

Microsoft Entra ID によって提供されるユニバーサル ID プラットフォームでは、ユーザー、パートナー、顧客に対し、任意のプラットフォームやデバイスからアプリケーションにアクセスして共同作業を行うための 1 つの ID が提供されます。 Microsoft Entra ID には、必要な ID 管理機能がすべて備わっています。 アプリケーション認証と承認を Microsoft Entra ID に標準化すると、次のような利点があります。

移行するアプリの種類

アプリケーションでは、認証に最新のプロトコルまたはレガシ プロトコルが使用されている場合があります。 Microsoft Entra ID への移行を計画する場合は、先進認証プロトコル (SAML や OpenID Connect など) を使用するアプリを最初に移行することを検討してください。

これらのアプリは、Azure アプリ ギャラリーの組み込みコネクタを使用するか、Microsoft Entra ID にカスタム アプリケーションを登録することによって、Microsoft Entra ID で認証を行うように再構成できます。

古いプロトコルを使用するアプリは、アプリケーション プロキシまたは安全なハイブリッド アクセス (SHA) パートナーのいずれかを使用して統合できます。

詳細については、以下を参照してください:

移行プロセス

Microsoft Entra ID にアプリ認証を移動するプロセスの間に、アプリと構成をテストします。 運用環境に移動する前の移行テスト用に、既存のテスト環境を引き続き使用することをお勧めします。 テスト環境を現在使用できない場合は、アプリケーションのアーキテクチャに応じて、Azure App Service または Azure Virtual Machines を使用して設定できます。

アプリの構成を開発するためのテスト Microsoft Entra テナントを別に設定することもできます。

移行プロセスは次のようになります。

ステージ 1 – 現在の状態: 運用アプリは AD FS で認証を行っている

Diagram showing migration stage 1.

ステージ 2 – (省略可能) アプリのテスト インスタンスがテスト用の Microsoft Entra テナントを指し示すようにする

アプリのテスト インスタンスがテスト用の Microsoft Entra テナントを指し示すように構成を更新し、必要な変更を行います。 テスト用 Microsoft Entra テナントのユーザーを使用してアプリをテストできます。 開発プロセスの間に、Fiddler などのツールを使用して、要求と応答を比較および検証できます。

テスト用のテナントを別に設定できない場合は、このステージをスキップし、下のステージ 3 で説明するように、アプリのテスト インスタンスが運用環境の Microsoft Entra テナントを指し示すようにします。

Diagram showing migration stage 2.

ステージ 3 – アプリのテスト インスタンスが運用環境の Microsoft Entra テナントを指し示すようにする

アプリのテスト インスタンスが運用環境の Microsoft Entra テナントを指し示すように構成を更新します。 これで、運用テナントのユーザーを使用してテストできるようになります。 必要に応じて、この記事の、ユーザーの移行に関するセクションを確認してください。

Diagram showing migration stage 3.

ステージ 4 – 運用アプリが運用環境の Microsoft Entra テナントを指し示すようにする

運用アプリの構成を更新して、運用環境の Microsoft Entra テナントを指し示すようにします。

Diagram showing migration stage 4.

AD FS で認証を行うアプリでは、アクセス許可に Active Directory グループを使用する可能性があります。 移行を始める前にオンプレミス環境と Microsoft Entra ID の間で ID データを同期するには、Microsoft Entra Connect 同期を使用します。 アプリケーションが移行されるときに同じユーザーにアクセス権を付与できるよう、移行前にそれらのグループとメンバーシップを確認します。

基幹業務アプリ

基幹業務アプリは、組織が開発したアプリ、または標準のパッケージ製品であるアプリです。

OAuth 2.0、OpenID Connect、または WS-Federation を使用する基幹業務アプリは、アプリの登録として Microsoft Entra ID と統合できます。 Microsoft Entra 管理センターのエンタープライズ アプリケーション ページで、SAML 2.0 または WS-Federation を使用するカスタム アプリをギャラリー以外のアプリケーションとして統合します。

次のステップ