覚書 22-09 企業全体の ID 管理システム

[アーティクル]
10/29/2023

省および機関の長宛ての M 22-09 覚書では、機関が ID プラットフォームの統合計画を策定することを求めています。その目標は、機関が公開日 (2022 年 3 月 28 日) から 60 日以内に機関マネージド ID システムの数をできるだけ持たないようにすることです。 ID プラットフォームを統合する利点は複数あります。

ID ライフサイクル、ポリシーの適用、監査可能な制御の管理が一元化されます
適用の一様な可能性と奇偶性
複数のシステムにわたってリソースをトレーニングする必要性が削減されます
ユーザーが一度サインインしたら、IT 環境内のアプリケーションとサービスにアクセス可能になります
可能な限り多くの機関アプリケーションと統合されます
共有認証サービスと信頼関係を使用して、複数機関にわたる統合が促進されます

Microsoft Entra ID を採用する理由

Microsoft Entra ID を使用することで、覚書 22-09 からの推奨事項を実装します。 Microsoft Entra ID には、ゼロトラストイニシアチブをサポートする広範な ID 制御が備わっています。 Microsoft Office 365 または Azure では、Microsoft Entra ID は ID プロバイダー (IdP) です。エンタープライズ全体の ID システムとして Microsoft Entra ID にアプリケーションとリソースを接続します。

シングルサインオンの要件

覚書では、ユーザーが一度サインインしてから、アプリケーションにアクセスすることを求めています。 Microsoft シングルサインオン (SSO) を使用して、ユーザーは一度サインインしてから、クラウドサービスやアプリケーションにアクセスします。「Microsoft Entra シームレスシングルサインオン」を参照してください。

複数機関にわたる統合

複数機関にわたる統合およびコラボレーションの促進という要件を満たすには、Microsoft Entra B2B コラボレーションを使用します。ユーザーは、同じクラウド内の Microsoft テナントに存在できます。テナントは、別の Microsoft クラウド、または Azure AD 以外のテナント (SAML または WS-Fed ID プロバイダー) に存在できます。

Microsoft Entra テナント間アクセス設定を使用して、機関は、他の Microsoft Entra 組織や他の Microsoft Azure クラウドとのコラボレーション方法を管理します。

ユーザーがアクセスできる Microsoft テナントを制限する
多要素認証の適用やデバイス信号など、外部ユーザーアクセスの設定

詳細情報:

アプリケーションの接続

エンタープライズ全体の ID システムとして Microsoft Entra ID を統合して使用するには、スコープ内の資産を確認します。

アプリケーションとサービスをドキュメント化する

ユーザーがアクセスするアプリケーションおよびサービスのインベントリを作成します。 ID 管理システムでは、認識しているものを保護します。

資産の分類:

その中のデータの秘密度
主要システムにおけるデータや情報の機密性、整合性、または可用性に関する法律および規制
- システム情報保護の要件に適用される当該の法律および規制

アプリケーションインベントリでは、クラウド対応プロトコルまたはレガシ認証プロトコルを使用するアプリケーションを判別する必要があります。

クラウド対応アプリケーションでは、認証のための最新のプロトコルがサポートされています。
- SAML
- WS-Federation/Trust
- OpenID Connect (OIDC)
- OAuth 2.0。
レガシ認証アプリケーションは、以前の、または独自の認証方法に依存しています。
- Kerberos または NTLM (Windows 認証)
- ヘッダーベースの認証
- LDAP
- [基本認証]

Microsoft Entra と認証プロトコルの統合の詳細についてはこちらを参照してください。

アプリケーションとサービスの検出ツール

Microsoft は、アプリケーションとサービスの検出をサポートするために次のツールを提供しています。

ツール	使用
Active Directory Federation Services (AD FS) の利用状況分析	フェデレーションサーバー認証トラフィックを分析します。「Microsoft Entra Connect Health を使用して AD FS を監視する」を参照してください。
Microsoft Defender for Cloud Apps	ファイアウォールログをスキャンして、クラウドアプリ、サービスとしてのインフラストラクチャ (IaaS) サービス、サービスとしてのプラットフォーム (PaaS) サービスを検出します。 Windows クライアントデバイスから分析されたデータを検出するには、Defender for Cloud Apps を Defender for Endpoint と統合します。「Microsoft Defender for Cloud Apps の概要」を参照してください
アプリケーション検出ワークシート	アプリケーションの現在の状態を文書化します。アプリケーション検出ワークシートを参照してください

お使いのアプリは Microsoft 以外のシステムに存在する場合があり、Microsoft のツールがそれらのアプリを検出しないことがあります。完全なインベントリを確実に行ってください。プロバイダーには、自社サービスを使用するアプリケーションを検出するメカニズムが必要です。

接続に関するアプリケーションの優先順位を付ける

お使いの環境内のアプリケーションを検出したら、移行の優先順位を付けます。以下を検討してください。

ビジネス上の重要度
ユーザープロファイル
使用
有効期間

詳細情報: 「アプリケーション認証を Microsoft Entra ID に移行する」を参照してください。

クラウド対応アプリを優先順位に従って接続します。レガシ認証プロトコルを使用するアプリを特定します。

レガシ認証プロトコルを使用するアプリの場合:

最新の認証を使用するアプリは、Microsoft Entra ID を使用するよう再構成します
最新の認証を使用しないアプリの場合は、次の 2 つの選択肢があります。
- Microsoft Authentication Library (MSAL) を統合して、最新のプロトコルを使用するようアプリケーションコードを更新します
- 安全にアクセスできるように、Microsoft Entra アプリケーションプロキシまたは安全なハイブリッドパートナーアクセスを使用します
不要になった、またはサポートされていないアプリへのアクセスを停止します

詳細情報

デバイスの接続

ユーザーが物理および仮想デバイスにサインインできるようにすることは、ID 管理システムの一元化の一部です。一元化された Microsoft Entra システム内で Windows および Linux デバイスに接続でき、これによって複数の異なる ID システムが不要になります。

インベントリとスコープ設定の実行中に、Microsoft Entra ID と統合するデバイスとインフラストラクチャを特定します。統合により、Microsoft Entra ID を通じて多要素認証が適用される条件付きアクセスポリシーを使用して、認証と管理が一元化されます。

デバイスを検出するためのツール

Azure Automation アカウントを使用し、Azure Monitor に接続されたインベントリコレクションを通じてデバイスを特定できます。 Microsoft Defender for Endpoint には、デバイスインベントリ機能があります。 Defender for Endpoint が構成されているデバイスと構成されていないものを検出します。デバイスインベントリは、System Center Configuration Manager などのオンプレミスシステムや、デバイスとクライアントを管理する他のシステムから取得されます。

詳細情報:

Microsoft Entra ID にデバイスを統合する

Microsoft Entra ID に統合されたデバイスは、ハイブリッド参加済みデバイスまたは Microsoft Entra 参加済みデバイスです。デバイスのオンボードは、クライアントとユーザーのデバイスで、さらにインフラストラクチャとして動作する物理マシンと仮想マシンで分けてください。ユーザーデバイスの展開戦略の詳細については、次のガイダンスを参照してください。

次のステップ

次の記事は、このドキュメントセットの一部です。