アプリケーションと Microsoft Entra ID の統合とレビューされたアクセスのベースラインの確立

アプリケーションへのアクセス権 を 持つ必要があるユーザーのポリシーを確立したら、 アプリケーションを Microsoft Entra ID に接続 し、それらのアプリケーションへのアクセスを管理するための ポリシーを展開 できます。

Microsoft Entra ID ガバナンスは、SAP R/3、SAP S/4HANA、OpenID Connect、SAML、SCIM、SQL、LDAP、SOAP、REST などの 標準 を使用する多くのアプリケーションと統合できます。 これらの標準を使用すると、組織が開発したアプリケーションなど、多くの一般的な SaaS アプリケーションとオンプレミス アプリケーションで Microsoft Entra ID を使用できます。 この展開計画では、アプリケーションを Microsoft Entra ID に接続し、そのアプリケーションで ID ガバナンス機能を使用できるようにする方法について説明します。

アプリケーションに Microsoft Entra ID ガバナンスを使用するには、まずアプリケーションを Microsoft Entra ID と統合し、ディレクトリで表す必要があります。 アプリケーションを Microsoft Entra ID と統合するには、次の 2 つの要件のいずれかを満たす必要があります。

• アプリケーションが、フェデレーション SSO を Microsoft Entra ID に依存し、Microsoft Entra ID が認証トークンの発行を制御します。 Microsoft Entra ID がアプリケーションの唯一の ID プロバイダーである場合、Microsoft Entra ID でアプリケーションのいずれかのロールに割り当てられているユーザーのみがアプリケーションにサインインできます。 アプリケーション ロールの割り当てを失ったユーザーは、アプリケーションにサインインするための新しいトークンを取得できなくなります。
• アプリケーションが、Microsoft Entra ID によってアプリケーションに提供されるユーザーまたはグループの一覧に依存します。 このフルフィルメントは、SCIM などのプロビジョニング プロトコル、Microsoft Graph を介して Microsoft Entra ID を照会するアプリケーション、または AD Kerberos を使用してユーザーのグループ メンバーシップを取得するアプリケーションによって実行できます。

アプリケーションが Microsoft Entra ID に依存していない場合など、アプリケーションに対してこれらの条件の両方が満たされていない場合でも、ID ガバナンスを使用できます。 ただし、条件を満たさずに ID ガバナンスを使用する場合は、いくつかの制限が存在する可能性があります。 たとえば、Microsoft Entra ID に含まれていないユーザーや、Microsoft Entra ID のアプリケーション ロールに割り当てられていないユーザーは、アプリケーション ロールに割り当てるまで、アプリケーションのアクセス レビューに含まれません。 詳細については、 アプリケーションへのユーザーのアクセスのアクセス レビューの準備を参照してください。

承認されたユーザーのみがアプリケーションにアクセスできるように、アプリケーションを Microsoft Entra ID と統合する

アプリケーション プロセスの統合は、ユーザー認証に Microsoft Entra ID に依存するようにアプリケーションを構成し、フェデレーション シングル サインオン (SSO) プロトコル接続を使用して、プロビジョニングを追加すると開始されます。 SSO に最もよく使用されるプロトコルは、 SAML と OpenID Connect です。 アプリケーション認証を検出して Microsoft Entra ID に移行するためのツールとプロセスの詳細を確認できます。

次に、アプリケーションがプロビジョニング プロトコルを実装する場合は、ユーザーがアクセス権を付与されたとき、またはユーザーのアクセス権が削除されたときに Microsoft Entra ID がアプリケーションに通知できるように、ユーザーをアプリケーションにプロビジョニングするように Microsoft Entra ID を構成する必要があります。 これらのプロビジョニング シグナルにより、管理者に任せていた従業員が作成したコンテンツを再割り当てするなど、アプリケーションで自動修正を行うことができます。

1. アプリケーションがエンタープライズ アプリケーションの一覧またはアプリ登録の一覧に含まれているかどうかを確認します。 アプリケーションがテナントに既に存在する場合は、このセクションの手順 5 に進みます。

2. アプリケーションがテナントにまだ登録されていない SaaS アプリケーションの場合は、フェデレーション SSO 用に統合できる アプリケーション ギャラリー で使用可能なアプリケーションを確認します。 ギャラリー内にある場合は、チュートリアルを使用して、アプリケーションを Microsoft Entra ID と統合します。

   1. チュートリアルに従って、Microsoft Entra ID を使用してフェデレーション SSO 用にアプリケーションを構成します。
   2. アプリケーションがプロビジョニングをサポートしている場合は、プロビジョニング 用にアプリケーションを構成します。
   3. 完了したら、この記事の次のセクションに進んでください。 SaaS アプリケーションがギャラリーにない場合は、 SaaS ベンダーにオンボードを依頼します。

3. これがプライベート またはカスタム アプリケーションの場合は、アプリケーションの場所と機能に基づいて、最も適切なシングル サインオン統合を選択することもできます。

   • このアプリケーションが SAP Business Technology Platform (BTP) 上にある場合は、Microsoft Entra と SAP Cloud Identity Services の統合を構成します。 詳細については、 Microsoft Entra SSO と SAP BTP の統合 と SAP BTP へのアクセスの管理に関するページを参照してください。

   • このアプリケーションがパブリック クラウドにあり、シングル サインオンをサポートしている場合は、Microsoft Entra ID からアプリケーションに直接シングル サインオンを構成します。

     アプリケーションのサポート	次のステップ
     OpenID Connect	OpenID Connect OAuth アプリケーションを追加する
     SAML 2.0	アプリケーションを登録し、Microsoft Entra ID の SAML エンドポイントと証明書を使用してアプリケーションを構成する
     SAML 1.1	SAML ベースのアプリケーションを追加する

   • これが SAP GUI を使用する SAP アプリケーションの場合は、SAP Secure Login Service との統合 または Microsoft Entra Private Access との統合を使用して、シングル サインオン用 に Microsoft Entra を統合します。

   • それ以外の場合、これがシングル サインオンをサポートするオンプレミスまたは IaaS でホストされているアプリケーションの場合は、アプリケーション プロキシを介して Microsoft Entra ID からアプリケーションへのシングル サインオンを構成します。

     アプリケーションのサポート	次のステップ
     SAML 2.0	アプリケーション プロキシをデプロイし、SAML SSO 用にアプリケーションを構成する
     統合 Windows 認証 (IWA)	アプリケーション プロキシをデプロイし、統合 Windows 認証 SSO 用にアプリケーションを構成し、プロキシ経由を除くアプリケーションのエンドポイントへのアクセスを禁止するファイアウォール規則を設定します。
     ヘッダーベースの認証	アプリケーション プロキシをデプロイし、ヘッダーベースの SSO 用にアプリケーションを構成する

4. アプリケーションが SAP BTP 上にある場合は、Microsoft Entra グループを使用して各ロールのメンバーシップを維持できます。 グループを BTP ロール コレクションに割り当てる方法の詳細については、 SAP BTP へのアクセスの管理を参照してください。

5. アプリケーションに複数のロールがある場合、各ユーザーはアプリケーションに 1 つのロールしか持っていなくても、アプリケーションは Microsoft Entra ID に依存して、アプリケーションにサインインするユーザーの要求としてユーザーの単一のアプリケーション固有のロールを送信し、アプリケーションの Microsoft Entra ID でそれらのアプリ ロールを構成してから、各ユーザーをアプリケーション ロールに割り当てます。 アプリ ロール UI を使用して、これらのロールをアプリケーション マニフェストに追加できます。 Microsoft 認証ライブラリを使用している場合は、アプリケーション内のアプリ ロールを使用してアクセス制御を行う方法の コード サンプル があります。 ユーザーが複数のロールを同時に持つことができる場合は、アクセス制御にアプリ マニフェストのアプリ ロールを使用する代わりに、トークン要求または Microsoft Graph を介して使用できるセキュリティ グループを確認するアプリケーションを実装できます。

6. アプリケーションがプロビジョニングをサポートしている場合は、割り当てられたユーザーとグループの Microsoft Entra ID からそのアプリケーションへの プロビジョニングを構成 します。 これがプライベート またはカスタム アプリケーションの場合は、アプリケーションの場所と機能に基づいて、最も適切な統合を選択することもできます。

   • このアプリケーションが SAP Cloud Identity Services に依存している場合は、SCIM 経由で SAP Cloud Identity Services へのユーザーのプロビジョニングを構成します。

     アプリケーションのサポート	次のステップ
     SAP Cloud Identity Services	SAP Cloud Identity Services にユーザーをプロビジョニングするように Microsoft Entra ID を構成する

   • このアプリケーションがパブリック クラウドにあり、SCIM をサポートしている場合は、SCIM 経由でユーザーのプロビジョニングを構成します。

     アプリケーションのサポート	次のステップ
     SCIM	ユーザー プロビジョニング用に SCIM を使用してアプリケーションを構成する

   • このアプリケーションで AD を使用する場合は、グループの書き戻しを構成し、Microsoft Entra ID で作成されたグループを使用するようにアプリケーションを更新するか、Microsoft Entra ID で作成されたグループをアプリケーションの既存の AD セキュリティ グループに入れ子にします。

     アプリケーションのサポート	次のステップ
     Kerberos	AD への Microsoft Entra Cloud Sync グループ ライトバックを構成し、Microsoft Entra ID でグループを作成し、 それらのグループを AD に書き込む

   • それ以外の場合、これがオンプレミスまたは IaaS でホストされているアプリケーションであり、AD と統合されていない場合は、SCIM を介して、またはアプリケーションの基になるデータベースまたはディレクトリに対して、そのアプリケーションへのプロビジョニングを構成します。

     アプリケーションのサポート	次のステップ
     SCIM	オンプレミスの SCIM ベースのアプリのプロビジョニング エージェントを使用してアプリケーションを構成する
     SQL データベースに格納されているローカル ユーザー アカウント	オンプレミスの SQL ベースのアプリケーションのプロビジョニング エージェントを使用してアプリケーションを構成する
     LDAP ディレクトリに格納されているローカル ユーザー アカウント	オンプレミス LDAP ベースのアプリケーションのプロビジョニング エージェントを使用してアプリケーションを構成する
     SOAP または REST API を使用して管理されるローカル ユーザー アカウント	Web サービス コネクタを使用してプロビジョニング エージェントを使用してアプリケーションを構成する
     MIM コネクタを使用して管理されるローカル ユーザー アカウント	カスタム コネクタを使用して プロビジョニング エージェントを使用してアプリケーションを構成する
     NetWeaver AS ABAP 7.0 以降を使用した SAP ECC	SAP ECC で構成された Web サービス コネクタを使用してプロビジョニング エージェントを使用してアプリケーションを構成する

7. アプリケーションで Microsoft Graph を使用して Microsoft Entra ID のグループにクエリを実行する場合は、テナントから読み取るための適切なアクセス許可をアプリケーションに 付与することを同意 します。

8. アプリケーションへのアクセス が許可されるのは、アプリケーションに割り当てられているユーザーに対してのみ設定します。 この設定により、条件付きアクセス ポリシーが有効になる前に、ユーザーが誤って MyApps にアプリケーションを表示したり、アプリケーションにサインインしたりできなくなります。

最初のアクセス レビューを実行する

これが組織が以前に使用したことがない新しいアプリケーションであるため、既存のアクセス権を持っていない場合、またはこのアプリケーションのアクセス レビューを既に実行している場合は、 次のセクションに進みます。

ただし、アプリケーションが既に環境内にある場合、ユーザーは過去に手動プロセスまたは帯域外プロセスを通じてアクセス権を取得している可能性があります。 これらのユーザーを確認して、アクセスがまだ必要であり、適切であることを確認する必要があります。 より多くのユーザーがアクセスを要求できるようにするポリシーを有効にする前に、アプリケーションへのアクセス権を既に持っているユーザーのアクセス レビューを実行することをお勧めします。 このレビューでは、すべてのユーザーが少なくとも 1 回レビューされ、継続的なアクセスが承認されていることを確認するベースラインが設定されます。

1. 「アプリケーションへのユーザーのアクセスのアクセス レビューの準備」の手順に従います。
2. アプリケーションが Microsoft Entra ID または AD を使用していなかったが、プロビジョニング プロトコルをサポートしている場合、または基になる SQL または LDAP データベースがある場合は、既存のユーザーを取り込み、アプリケーション ロールの割り当てを作成 します。
3. アプリケーションで Microsoft Entra ID または AD が使用されておらず、プロビジョニング プロトコルがサポートされていない場合は、 アプリケーションからユーザーの一覧を取得し、それぞれのアプリケーション ロールの割り当てを作成します。
4. アプリケーションで AD セキュリティ グループを使用していた場合は、それらのセキュリティ グループのメンバーシップを確認する必要があります。
5. アプリケーションに独自のディレクトリまたはデータベースがあり、プロビジョニング用に統合されていない場合は、レビューが完了したら、アプリケーションの内部データベースまたはディレクトリを手動で更新して、拒否されたユーザーを削除する必要があります。
6. アプリケーションが AD セキュリティ グループを使用していて、それらのグループが AD で作成された場合、レビューが完了したら、AD グループを手動で更新して、拒否されたユーザーのメンバーシップを削除する必要があります。 その後、自動的に削除されたアクセス権を拒否するには、Microsoft Entra ID で作成され、Microsoft Entra ID に書き戻された AD グループを使用するようにアプリケーションを更新するか、AD グループから Microsoft Entra グループにメンバーシップを移動し、 書き戻されたグループを AD グループの唯一のメンバーとして入れ子にすることができます。
7. レビューが完了し、アプリケーションアクセスが更新されたら、またはアクセス権を持つユーザーがいない場合は、次の手順に進み、アプリケーションの条件付きアクセスとエンタイトルメント管理ポリシーを展開します。

カスタム データ提供リソース (プレビュー) を使用して、アクセス レビューの直前にアクセス データをアップロードすることで、Microsoft Entra ID アクセス レビューにアプリケーションからのアクセス権を含めることができます。 詳細については、「 カタログ ユーザーのアクセス レビュー (プレビュー)」を参照してください。

既存のアクセスが確認されたことを確認するベースラインが作成されたので、継続的なアクセスと新しいアクセス要求に対する 組織のポリシーを展開 できます。

次のステップ

• カバナンス ポリシーをデプロイする