次の方法で共有

Microsoft Entra Suite の展開シナリオ - すべてのアプリケーションにおける従業員とゲストのオンボーディング、アイデンティティおよびアクセスライフサイクルガバナンス

Microsoft Entra Suite の展開シナリオでは、次の Microsoft Entra Suite 製品を組み合わせてテストする方法に関する詳細なガイダンスが提供されます。

これらのガイドでは、Microsoft Entra スイートの価値とその機能がどのように連携するかを示すシナリオについて説明します。

シナリオの概要

このガイドでは、架空の組織である Contoso が新しいリモート従業員を雇用し、それらの従業員に必要なアプリとリソースへの安全でシームレスなアクセスを提供するというシナリオで Microsoft Entra スイート製品を構成する方法について説明します。 Contoso は外部ユーザー (パートナー、ベンダー、顧客など) を招待して共同作業を行い、それらのユーザーに関連するアプリやリソースへのアクセスを提供したいと考えています。

Contoso は Microsoft Entra Verified ID を 使用して、新しいリモート従業員 (人事データに基づく) と外部ユーザー (電子メールの招待に基づく) の ID と状態のデジタル証明を発行および検証します。 デジタル ウォレットには、アプリとリソースへのアクセスを許可する ID 証明と状態が保存されます。 追加のセキュリティ対策として、Contoso は資格情報に保存されている画像に基づいて顔チェック顔認識を使用して ID を検証する場合があります。

Contoso は Microsoft Entra ID Governance を使用して、検証可能な資格情報に基づいて従業員と外部ユーザーのアクセス パッケージを作成し付与します。

  • 従業員に対しては、職務権限と部署に基づいてアクセス パッケージを作成します。 アクセス パッケージには、従業員がアクセス権を必要とするクラウドとオンプレミスのアプリとリソースが含まれます。
  • 外部コラボレーターに対しては、外部ユーザー ロールとアクセス許可を定義するための招待に基づいてアクセス パッケージを作成します。 アクセス パッケージに含まれるのは、外部ユーザーがアクセス権を必要とするアプリとリソースだけです。

従業員と外部ユーザーは、セルフサービス ポータルを通してアクセス パッケージを要求できます。このポータルでは本人確認としてデジタル証明を提供します。 シングル サインオンと多要素認証を使用して、従業員と外部ユーザーの Microsoft Entra アカウントは、各自のアクセス パッケージに含まれるアプリとリソースへのアクセスを提供します。 Contoso は手動による承認やプロビジョニングの必要なしで資格情報を検証しアクセス パッケージを付与します。

Contoso は Microsoft Entra ID 保護と条件付きアクセスを使用して、アカウントを監視し危険なサインインやユーザーの動作から保護します。 Contoso は場所、デバイス、リスク レベルに基づいて適切なアクセス制御を適用します。

前提条件を構成する

ソリューションを正常にデプロイしてテストするために、このセクションで説明する前提条件を構成します。

Microsoft Entra Verified ID を構成する

このシナリオでは、以下の前提条件の手順を実行して、クイック セットアップ (プレビュー) を使用して Microsoft Entra Verified ID を構成します。

  1. カスタム ドメインの追加に関する記事の手順に従って、(クイック セットアップに必要な) カスタム ドメインを登録します

  2. Microsoft Entra 管理センターグローバル管理者としてサインインします。

    • [ 確認済み ID] を選択します
    • [ セットアップ] を選択します
    • [ 作業の開始] を選択します

  3. Microsoft Entra テナントに複数のドメインが登録されている場合は、Verified ID に対して使用したいドメインを選択します。

  4. セットアップ プロセスが完了すると、自分の [ マイ アカウント] ページで、テナントの従業員に対して編集と提供を行うために使用できる既定の職場資格情報が表示されます。

    [確認済み ID] の [概要] のスクリーンショット。

  5. Microsoft Entra 資格情報を使用して、テスト ユーザーの マイ アカウント にサインインします。 [ 確認済み ID の取得] を 選択して、確認済みの職場の資格情報を発行します。

    [確認済み ID の取得] コントロールが強調表示されている赤い省略記号が付いた [マイ アカウント] の [概要] のスクリーンショット。

信頼された外部組織 (B2B) を追加する

このシナリオで信頼された外部組織 (B2B) を追加するには、以下の前提条件の手順に従います。

  1. 少なくともセキュリティ管理者として Microsoft Entra 管理センターにサインインします。

  2. Entra ID>外部ID>Cross-tenant アクセス設定に移動します。 [ 組織の設定] を選択します

  3. [ 組織の追加] を選択します

  4. 組織の完全なドメイン名 (またはテナント ID) を入力します。

  5. 検索結果内の組織を選択します。 追加を選択します。

  6. 組織の設定で、新しい組織 (アクセス設定を既定の設定から継承する) を確認します。

    [受信アクセス] 列と [送信アクセス] 列で [既定から継承] が強調表示されている赤色のボックスを含む組織設定のスクリーンショット。

カタログを作成する

このシナリオ用のエンタイトルメント管理カタログを作成するには、以下の手順に従います。

  1. 少なくとも ID ガバナンス管理者として Microsoft Entra 管理センターにサインインします。

  2. ID ガバナンス>エンタイトルメント管理>カタログ を参照します。

  3. [+新しいカタログ] を選択します。

    新しいアクセス レビュー、エンタープライズ アプリケーション、すべてのアプリケーション、ID ガバナンス、新しいカタログのスクリーンショット。

  4. カタログの一意の名前と説明を入力します。 要求側はアクセス パッケージの詳細でこの情報を確認できます。

  5. このカタログに内部ユーザー専用のアクセス パッケージを作成するには、[外部ユーザーに対して有効] を選択します>いいえ

    [外部ユーザーに対して有効] コントロールで [いいえ] が選択されている [新しいカタログ] のスクリーンショット。

  6. [カタログ] で、リソースを追加するカタログを開きます。 [リソース] >+ [リソースの追加] を選択します。

  7. [種類]、[グループとチーム]、[アプリケーション]、または [SharePoint サイト] を選択します。

  8. カタログに追加する種類の 1 つ以上のリソースを選択します。 追加を選択します。

アクセス パッケージを作成する

ソリューションを正常にデプロイしてテストするには、このセクションで説明するアクセス パッケージを構成します。

(内部) リモート ユーザー用のアクセス パッケージ

リモート (内部) ユーザー用に Verified ID を使用してエンタイトルメント管理のアクセス パッケージを作成するには、以下の手順に従います。

  1. 少なくとも ID ガバナンス管理者として Microsoft Entra 管理センターにサインインします。

  2. ID ガバナンス>特権管理>アクセス パッケージを参照します。

  3. [ 新しいアクセス パッケージ] を選択します。

  4. [ 基本] で、アクセス パッケージに名前を付 けます (リモート ユーザー向け Finance Apps など)。 前に作成したカタログを指定します。

  5. リソース ロールの場合は、リソースの種類 (グループと Teams、アプリケーション、SharePoint サイトなど) を選択します。 1 つ以上のリソースを選択します。

  6. [ロール] で、ユーザーにリソースごとに割り当てるロールを選択します。

    [ロール] 列が赤いボックスで強調表示されている [リソース ロール] のスクリーンショット。

  7. [リクエスト] で、ディレクトリ内のユーザー を選択します。

  8. [ ユーザーとグループの選択] で、 ディレクトリの [ユーザー] を選択します。 [ + ユーザーとグループの追加] を選択します。 アクセス パッケージを要求する権利を持つ既存のグループを選択します。

  9. [必須の検証済み ID] までスクロールします。

  10. [+ 発行者を追加]を選択します。 Microsoft Entra Verified ID ネットワークから発行者を選択します。 ゲスト ウォレット内の既存の検証済み ID から発行者を選択していることを確認します。

  11. 随意: [ 承認] で、ユーザーがアクセス パッケージを要求するときに承認を必要とするかどうかを指定します。

  12. 随意:要求者情報で、[質問] を選択します。 要求者に対して行いたい質問 (表示文字列と呼ばれます) を入力します。 ローカライズ オプションを追加するには、[ ローカライズの追加] を選択します。

  13. [ライフサイクル] で、アクセス パッケージへのユーザーの割り当ての有効期限を指定します。 ユーザーが自身の割り当てを延長できるかどうかを指定します。 [有効期限] で、[Access パッケージの割り当ての有効期限] を [日付]、[日数]、[時間数]、または [なし] に設定します。

  14. アクセス レビューで、[はい] を選択します。

  15. [開始日] で、現在の日付を選択します。 [レビュー頻度][四半期] に設定します期間 (日数) を 21 に設定します。

ゲスト (B2B) 用のアクセス パッケージ

ゲスト (B2B) 用に Verified ID を使用してエンタイトルメント管理のアクセス パッケージを作成するには、以下の手順に従います。

  1. 少なくとも ID ガバナンス管理者として Microsoft Entra 管理センターにサインインします。

  2. ID ガバナンス>特権管理>アクセス パッケージを参照します。

  3. [ 新しいアクセス パッケージ] を選択します。

  4. [ 基本] で、アクセス パッケージに名前を付 けます (リモート ユーザー向け Finance Apps など)。 前に作成したカタログを指定します。

  5. リソース ロールの場合は、リソースの種類 (グループと Teams、アプリケーション、SharePoint サイトなど) を選択します。 1 つ以上のリソースを選択します。

  6. [ロール] で、ユーザーにリソースごとに割り当てるロールを選択します。

    [ロール] 列が赤いボックスで強調表示されている [リソース ロール] のスクリーンショット。

  7. リクエスト で、ディレクトリに含まれていないユーザー を選択します。

  8. [特定の接続された組織] を選択します。 以前に追加した接続されている組織の一覧から選択するには、[ ディレクトリの追加] を選択します。

  9. 以前に接続されていた組織を検索するには、名前またはドメイン名を入力します。

  10. [必須の検証済み ID] までスクロールします。

  11. [+ 発行者を追加]を選択します。 Microsoft Entra Verified ID ネットワークから発行者を選択します。 ゲスト ウォレット内の既存の検証済み ID から発行者を選択していることを確認します。

  12. 随意: [ 承認] で、ユーザーがアクセス パッケージを要求するときに承認を必要とするかどうかを指定します。

  13. 随意:要求者情報で、[質問] を選択します。 要求者に対して行いたい質問 (表示文字列と呼ばれます) を入力します。 ローカライズ オプションを追加するには、[ ローカライズの追加] を選択します。

  14. [ライフサイクル] で、アクセス パッケージへのユーザーの割り当ての有効期限を指定します。 ユーザーが自身の割り当てを延長できるかどうかを指定します。 [有効期限] で、[Access パッケージの割り当ての有効期限] を [日付]、[日数]、[時間数]、または [なし] に設定します。

  15. アクセス レビューで、[はい] を選択します。

  16. [開始日] で、現在の日付を選択します。 [レビュー頻度][四半期] に設定します期間 (日数) を 21 に設定します。

  17. [特定の校閲者] を選択します。 [ 自己レビュー] を選択します。

    [新しいアクセス パッケージ] のスクリーンショット。

サインイン リスクベースの条件付きアクセス ポリシーを作成する

  1. Microsoft Entra 管理センターに、少なくとも条件付きアクセス管理者としてサインインします。

  2. Entra ID>Conditional Access>Policies に移動します。

  3. [ 新しいポリシー] を選択します。

  4. "リモートのハイリスク サインイン ユーザーに関してアプリケーションを保護する" などのポリシー名を入力します。

  5. 割り当て」で「ユーザー」を選択します。

    1. [ 含める] で、リモート ユーザー グループを選択するか、すべてのユーザーを選択します。
    2. [除外] で、[ユーザーとグループ] を選択します。 組織の緊急アクセスまたはブレークグラス アカウントを選択します。
    3. [ 完了] を選択します

  6. クラウド アプリまたはアクションの場合>このポリシーを対象とするアプリケーションを選択します。

  7. [条件>サインイン リスク] で、[構成][はい] に設定します。 この ポリシーが適用されるサインイン リスク レベルを選択するには、[ ] と [ ] を選択します。

    1. [ 完了] を選択します

  8. アクセス制御>アクセス権を付与する

    1. [ アクセス権の付与>Require 多要素認証] を選択します。

  9. [ セッション] で、[ サインイン頻度] を選択します。 [毎回] を選択します。

  10. 設定を確認します。 [ ポリシーの有効化] を選択します

    条件付きアクセス ポリシー、新規、サインイン リスクのスクリーンショット。赤いボックスは、ユーザー リスクとサインイン リスクを強調します。

アクセス パッケージを要求する

検証済み ID 要件を使用してアクセス パッケージを構成した後、ポリシーのスコープ内のエンド ユーザーはマイ アクセス ポータルでアクセスを要求できます。 承認者は承認要求をレビューする際に、要求者が提示する検証済み資格情報の主張を確認できます。

  1. リモート ユーザーまたはゲストとして、myaccess.microsoft.com にサインインします。

  2. 前に作成したアクセス パッケージ ("リモート ユーザー用の財務アプリ" など) を検索します。 一覧表示されているパッケージを参照するか、検索バーを使用することができます。 [ 要求] を選択します

  3. システムは、"このアクセス パッケージへのアクセスを要求するには、検証可能な資格情報を提示する必要があります" などのメッセージと共に情報バナーを表示します。 [ アクセスの要求] を選択します。 Microsoft Authenticator を起動するには、スマートフォンで QR コードをスキャンします。 資格情報を共有します。

    [マイ アクセス]、[利用可能]、[アクセス パッケージ]、[確認済み ID の提示]、[QR コード] のスクリーンショット。

  4. 資格情報の共有が完了したら、承認ワークフローに進みます。

  5. 随意:Microsoft Entra ID Protection のシミュレートリスク検出の手順に従います。 ユーザー リスクを中または高に引き上げることを複数回試さなければいけない場合があります。

  6. このシナリオ用に作成済みであるアプリケーションへのアクセスを試して、アクセスがブロックされていることを確認します。 ブロックが適用されるには最大 1 時間待たなければいけない場合があります。

  7. サインイン ログを使用して、先ほど作成した条件付きアクセス ポリシーによってアクセスがブロックされていることを検証します。 ZTNA ネットワーク アクセス クライアント (プライベート アプリケーション) から非対話型サインイン ログを開きます。 リソース名として以前に作成した Private Access アプリケーション名のログを表示 します

関連するコンテンツ