Microsoft Entra ID には、組織内のエンド ユーザーにアプリケーションをデプロイするためのカスタマイズ可能な方法が複数用意されています。
- Microsoft Entra マイ アプリ
- Microsoft 365 アプリケーション起動プログラム
- フェデレーション アプリへの直接サインオン
- フェデレーション アプリ、パスワードベースのアプリ、または既存のアプリへのディープ リンク
組織で展開する方法は、ユーザーの判断です。
Microsoft Entra マイ アプリ
マイ アプリは Web ベースのポータルであり、Microsoft Entra ID の組織ユーザーは、管理者によってアクセス権が付与されているアプリを表示および起動できます。 Microsoft Entra ID P1 または P2 を使用しているエンド ユーザーの場合は、マイ アプリを通じてセルフサービス グループ管理機能を利用することもできます。
既定では、すべてのアプリケーションが 1 つのページにまとめて表示されます。 しかし、コレクションを使用して関連するアプリケーションをグループ化し、別々のタブで表示すれば、アプリケーションが見つけやすくなります。 たとえば、コレクションを使用して、特定の担当業務、タスク、プロジェクトなどに関連したアプリケーションの論理グループを作成することができます。 詳細については、「 マイ アプリ ポータルでコレクションを作成する」を参照してください。
マイ アプリ は Microsoft Entra 管理センターとは別のものであり、ユーザーが Azure サブスクリプションまたは Microsoft 365 サブスクリプションを持っている必要はありません。
Microsoft Entra My Apps の詳細については、 マイ アプリの概要を参照してください。
Microsoft 365 アプリケーション起動プログラム
Microsoft 365 アプリケーション起動ツールは、Microsoft 365 を使用する組織に推奨されるアプリ起動ソリューションです。
Office 365 アプリケーション起動ツールの詳細については、「Office 365 アプリ起動ツールにアプリを表示する」を参照してください。
フェデレーション アプリへの直接サインオン
SAML 2.0、WS-Federation、または OpenID Connect をサポートするほとんどのフェデレーション アプリでは、ユーザーがアプリケーションから開始する機能もサポートしています。 その後、ユーザーは Microsoft Entra ID 経由で、自動リダイレクトまたはサインイン用リンクの選択によりサインインします。 直接サインオンはサービス プロバイダーによって開始されるサインオンであり、Microsoft Entra アプリケーション ギャラリーのほとんどのフェデレーション アプリケーションでサポートされています。 詳細については、Microsoft Entra 管理センターにあるアプリのシングル サインオン構成ウィザードからリンクされているドキュメントを参照してください。
直接サインオンのリンク
Microsoft Entra ID では、パスワードベースのシングル サインオン、リンクされたシングル サインオン、任意の形式のフェデレーション シングル サインオンをサポートする個々のアプリケーションへの直接シングル サインオン リンクもサポートされます。
直接サインオンのリンクは、特定のアプリケーションの Microsoft Entra サインイン プロセスを通じてユーザーを送信するように作成された URL です。 ユーザーは、マイ アプリまたは Microsoft 365 からアプリケーションを起動する必要はありません。 これらの ユーザー アクセス URL は 、使用可能なエンタープライズ アプリケーションのプロパティの下にあります。 Microsoft Entra 管理センターで、 Entra ID>Enterprise アプリを選択します。 アプリケーションを選択し、[ プロパティ] を選択します。
直接サインオンのリンクをコピーし、選んだアプリケーションへのサインイン リンクを提供する必要がある任意の場所に貼り付けることができます。 これらは、電子メール、またはユーザー アプリケーション アクセス用に設定した任意のカスタム Web ベースのポータルに配置できます。 次の URL は、X に対する Microsoft Entra ID の直接シングル サインオン URL の例です。
https://myapps.microsoft.com/signin/X/230848d52c8745d4b05a60d29a40fced
マイ アプリの組織固有の URL と同様に、myapps.microsoft.com ドメインの後にディレクトリのアクティブまたは検証済みドメインのいずれかを追加することで、直接サインオン URL をさらにカスタマイズできます。 直接サインオン URL をカスタマイズすると、ユーザーが最初にユーザー ID を入力しなくても、必ずサインイン ページで組織のブランド設定が即座に読み込まれます。
https://myapps.microsoft.com/contosobuild.com/signin/X/230848d52c8745d4b05a60d29a40fced
許可されているユーザーがこれらのアプリケーションに固有のリンクのいずれかを選ぶと、(まだサインインされていないと想定して) 最初に組織のサインイン ページが表示されます。 サインイン後、最初にマイ アプリで停止することなく、アプリにリダイレクトされます。 パスワードベースのシングル サインオン用ブラウザー拡張機能など、ユーザーがアプリケーションにアクセスするための前提条件を満たしていない場合、リンクをクリックすると、ユーザーは不足している拡張機能をインストールするよう求められます。 アプリケーションのシングル サインオン構成が変更された場合でもリンク URL は変わりません。
これらのリンクでは、マイ アプリおよび Microsoft 365 と同じアクセス制御メカニズムが使用されます。 Microsoft Entra 管理センターでアプリケーションに割り当てられているユーザーまたはグループのみが正常に認証できます。 ただし、承認されていないユーザーには、アクセス権が付与されていないことを説明するメッセージが表示されます。 許可されていないユーザーには、本人がアクセス権を持つ使用可能なアプリケーションを表示するためのマイ アプリを読み込むためのリンクが示されます。
プレビュー設定を管理する
管理者は、新しいアプリ起動ツール機能を試すことができます。ただし、これはプレビュー段階です。 プレビュー機能を有効にすると、組織の機能が有効になります。 プレビュー機能は、すべてのユーザーのマイ アプリ ポータルやその他のアプリ起動ツールにも反映されます。
アプリ起動ツールのプレビューを有効または無効にするには:
- Microsoft Entra 管理センターに、少なくともクラウド アプリケーション管理者としてサインインします。
- [Entra ID]>[エンタープライズ アプリ] に移動します。
- 左側のメニューで、[ アプリ起動ツール] を選択し、[ 設定] を選択します。
- [ プレビュー設定] で、有効または無効にするプレビューのチェックボックスを切り替えます。 プレビューにオプトインするには、関連するチェック ボックスをオンの状態に切り替えます。 プレビューからオプトアウトするには、関連するチェック ボックスをオフの状態に切り替えます。
- [保存] を選択します。 変更が有効になるまで、数分待ちます。 マイ アプリ ポータルに移動し、有効または無効にしたプレビューが反映されていることを確認します。