Microsoft Entra ID とアプリケーションの統合のファースト ステップ ガイド

この記事では、アプリケーションと Microsoft Entra ID を統合するプロセスの概要を示します。 以降の各セクションには、このファースト ステップ ガイドのどの部分が自分に関連するかを特定できるように、より詳細な記事の簡単な概要が含まれています。

詳細な展開計画をダウンロードするには、次のステップを参照してください。

インベントリの取り込み

アプリケーションを Microsoft Entra ID と統合する前に、自分がどこにいるか、どこに行きたいかを知る必要があります。 次の質問は、Microsoft Entra のアプリケーション統合プロジェクトについて考える際に役立つように設計されています。

アプリケーション インベントリ

• すべてのアプリケーションがどこに存在するか。 どのユーザーがそのアプリケーションを所有しているか。
• どの種類の認証がアプリケーションで必要とされるか。
• どのユーザーがどのアプリケーションにアクセスする必要があるか。
• 新しいアプリケーションをデプロイする必要があるか。
  • 社内で開発して Azure コンピューティング インスタンスにデプロイするか。
  • Azure アプリケーション ギャラリーで利用できるものを使用するか。

ユーザーとグループのインベントリ

• どこにユーザー アカウントが存在するか。
  • オンプレミスの Active Directory
  • マイクロソフト エントラ ID
  • 自社で所有する独立したアプリケーション データベース内
  • 承認されていないアプリケーション内
  • ここに示されたオプションすべて
• 個々のユーザーは現在どのようなアクセス許可とロールの割り当てを所有しているか。 アクセス権を見直す必要があるか、それともユーザーのアクセス権とロールの割り当てが適切であることを確認済みか。
• オンプレミスの Active Directory でグループが既に確立されているか。
  • グループをどのように編成するか。
  • だれがグループのメンバーか。
  • グループは現在どのようなアクセス許可やロールの割り当てを所有しているか。
• 統合する前にユーザーやグループのデータベースをクリーンアップする必要があるか。 (これは重要な質問です。ゴミを入れるとゴミが出てきます。)

アクセス管理インベントリ

• アプリケーションへのユーザーのアクセスを現在どのように管理しているか。 変更する必要があるか。 Azure RBAC など、他の方法でアクセスを管理することを検討したか。
• どのユーザーが何にアクセスする必要があるか。

一部の質問にはあらかじめ回答できないこともありますが、それでもかまいません。 このガイドにより、そのような質問の一部に回答し、一部に情報に基づいて判断できるようになります。

承認されていないクラウド アプリケーションを Cloud Discovery で検出する

前のセクションで説明したように、組織が今まで管理しているアプリケーションが存在する可能性があります。 インベントリ プロセスの一環として、承認されていないクラウド アプリケーションを見つけることができます。 「Cloud Discovery の設定」を参照してください。

Microsoft Entra ID を使用したアプリケーションの統合

次の記事では、アプリケーションを Microsoft Entra ID と統合するさまざまな方法について説明し、ガイダンスをいくつか示します。

• 使用する Active Directory の決定
• Azure アプリケーション ギャラリーのアプリケーションの使用
• SaaS アプリケーションのチュートリアルの一覧の統合

Microsoft Entra ギャラリーに記載されていないアプリの機能

組織に既に存在する任意のアプリケーション、または Microsoft Entra ギャラリーにまだ含まれていないベンダーのサードパーティ製アプリケーションを追加できます。 使用許諾契約書に応じて、以下の機能を使用することができます。

• Security Assertion Markup Language (SAML) 2.0 ID プロバイダーをサポートする任意のアプリケーションのセルフサービス統合 (SP または IdP によって開始)
• パスワードベースの SSO
• ユーザー プロビジョニング用の System for Cross-Domain Identity Management (SCIM) プロトコルを使用するアプリケーションのセルフサービス接続
• Office 365 アプリ ランチャーまたはマイ アプリでの任意のアプリケーションへのリンクの追加機能

カスタム アプリケーションと Microsoft Entra ID を統合する方法に関する開発者向けガイダンスをお探しの場合は、Microsoft Entra ID の認証シナリオに関するページを参照してください。 OpenId Connect/OAuth などの最新のプロトコルを使用してユーザーを認証するアプリを開発する場合は、Microsoft ID プラットフォームに登録します。 Azure portal の アプリ登録エクスペリエンスを 使用して登録できます。

認証の種類

アプリケーションごとに異なる認証要件がある場合があります。 Microsoft Entra ID では、証明書の署名に、パスワードによるシングル サインオンだけでなく、SAML 2.0、WS-Federation、OpenID Connect プロトコルを使用するアプリケーションを使用することができます。 アプリケーション認証の種類の詳細については、「Microsoft Entra ID およびパスワード ベースのシングル サインオンでのフェデレーション シングル サインオンの証明書の管理」を参照してください。

Microsoft Entra アプリケーション プロキシを使用した SSO の有効化

Microsoft Entra アプリケーション プロキシを使用すると、プライベート ネットワーク内に置かれたアプリケーションへの、任意の場所および任意のデバイスからのアクセスを安全に許可することができます。 環境内にプライベート ネットワーク コネクタをインストールすると、Microsoft Entra ID で簡単に構成できます。

カスタム アプリケーションの統合

カスタム アプリケーションを Azure アプリケーション ギャラリーに追加する場合は、「アプリを Microsoft Entra アプリ ギャラリーに公開する」を参照してください。

アプリケーションへのアクセスの管理

次の記事では、アプリケーションが Microsoft Entra Connectors と Microsoft Entra ID を使用して Microsoft Entra ID と統合された後で、アプリケーションへのアクセスを管理する方法について説明します。

• Microsoft Entra ID を使用したアプリへのアクセスの管理
• Microsoft Entra コネクタを使用した自動化
• アプリケーションへのユーザーの割り当て
• アプリケーションへのグループの割り当て
• アカウントの共有

次のステップ

詳細については、GitHub から Microsoft Entra のデプロイ計画をダウンロードできます。 ギャラリーのアプリケーションでは、シングル サインオン、条件付きアクセス、およびユーザー プロビジョニングの展開プランを Microsoft Entra 管理センター からダウンロードすることができます。

Microsoft Entra 管理センターから展開プランをダウンロードするには:

1. Microsoft Entra 管理センターにサインインします。
2. エンタープライズ アプリケーション | を選択し、 | デプロイ計画アプリケーションを使用します。