Microsoft Entra 外部 ID のセキュリティとガバナンス
適用対象: 従業員テナント 外部テナント (詳細情報)
Microsoft Entra ID に顧客機能を統合することは、Microsoft Entra ID で利用できる高度なセキュリティとガバナンスの機能の恩恵を顧客のシナリオで受けられることを意味します。 顧客は Google や Facebook などの ID プロバイダーを介したソーシャル アカウントを含む、優先する認証方法を使用して、アプリケーションにセルフサービスで登録できます。 また、多要素認証、条件付きアクセス、Identity Protection などの機能を使用して、脅威を軽減してリスクを検出できます。
Note
条件付きアクセス、MFA、Identity Protection は、無料試用版の外部テナントでは使用できません。
条件付きアクセス
Microsoft Entra 条件付きアクセスは、決定を行い、セキュリティ ポリシーを適用するためにシグナルをまとめます。 条件付きアクセス ポリシーは、簡単に言えば、(if) ユーザーがアプリケーションにアクセスする場合、(then) ユーザーはアクションを完了する必要があるという if-then ステートメントです。
条件付きアクセス ポリシーは、ユーザーが第 1 段階認証が完了した後で適用されます。 たとえば、ユーザーのサインイン リスク レベルが高い場合は、アクセスを取得するために多要素認証を実行する必要があります。 または、最も制限の厳しいアプローチは、アプリケーションへのアクセスをブロックすることです。
多要素認証
Microsoft Entra 多要素認証を利用すれば、データやアプリケーションへのアクセスを保護し、ユーザーには簡単なサインイン プロセスを提供できます。 Microsoft Entra 外部 ID は Microsoft Entra 多要素認証と直接統合されるため、2 段階目の認証を要求することで、サインアップとサインインのエクスペリエンスにセキュリティを追加できます。 アプリに適用するセキュリティの程度に応じて、多要素認証を微調整できます。 以下のようなシナリオが考えられます。
1 つのアプリを顧客に提供し、セキュリティ層を強化するために多要素認証を有効にする必要があります。 すべてのユーザーとアプリを対象とする条件付きアクセス ポリシーで MFA を有効にすることができます。
顧客に複数のアプリを提供しますが、すべてのアプリケーションで多要素認証を要求することはありません。 たとえば、顧客が自動車保険アプリケーションにサインインするにはソーシャルまたはローカル アカウントを使用できますが、同じディレクトリに登録されている住宅保険アプリケーションにアクセスするには事前に電話番号を確認する必要があるような場合です。 条件付きアクセス ポリシーでは、MFA を適用するアプリのみを除くすべてのユーザーを対象にすることができます。
詳細については、多要素認証を有効にする方法に関する記事を参照してください。
Identity Protection
Microsoft Entra Identity Protection により、外部テナントに対する継続的なリスク検出が提供されます。 これにより、ユーザーは ID ベースのリスクを検出、調査し、修復できます。 Identity Protection を使用することで、組織は次の 3 つの主要なタスクを実行することができます。
ID ベースのリスクの検出と修復を自動化します。
ポータルのデータを使用してリスクを調査します。
リスク検出データを他のツールにエクスポートします。
Identity Protection には、外部テナントの ID のリスクを調査するために使用できるリスク レポートが用意されています。 詳細については、Microsoft Entra 外部 ID での Identity Protection を使用したリスクの調査に関する記事を参照してください。
アプリのユーザー認証の傾向を分析する
[使用状況と分析情報] のアプリケーション ユーザー アクティビティ機能では、テナントに登録されているアプリケーションのユーザー アクティビティに関するデータ分析を提供します。 この機能を使用すると、ユーザー要求と認証の傾向の表示、クエリの実行、分析を行うことができます。 変更、アクセス パターン、潜在的なセキュリティ侵害を追跡するのに役立ちます。
詳細については、アプリケーション ユーザー アクティビティ ダッシュボードに関する記事を参照してください。