Microsoft Entra ID とアプリケーションの統合のファースト ステップ ガイド

このトピックでは、アプリケーションを Microsoft Entra ID と統合するためのプロセスを要約しています。 以下の各セクションには、詳細なトピックの要点が記載されており、このファースト ステップ ガイドのどの部分が自分に必要かを特定できるようになっています。

詳細な展開計画をダウンロードするには、次のステップを参照してください。

インベントリの取り込み

アプリケーションと Microsoft Entra ID を統合する前に、現在地と目的地を知ることが重要です。 次の質問は、Microsoft Entra のアプリケーション統合プロジェクトについて考える際に役立つように設計されています。

アプリケーション インベントリ

• すべてのアプリケーションがどこに存在するか。 どのユーザーがそのアプリケーションを所有しているか。
• どの種類の認証がアプリケーションで必要とされるか。
• どのユーザーがどのアプリケーションにアクセスする必要があるか。
• 新しいアプリケーションをデプロイする必要があるか。
  • 社内で開発して Azure コンピューティング インスタンスにデプロイするか。
  • Azure アプリケーション ギャラリーで利用できるものを使用するか。

ユーザーとグループのインベントリ

• どこにユーザー アカウントが存在するか。
  • オンプレミスの Active Directory
  • Microsoft Entra ID
  • 自社で所有する独立したアプリケーション データベース内
  • 承認されていないアプリケーション内
  • 上記のすべて
• 個々のユーザーは現在どのようなアクセス許可とロールの割り当てを所有しているか。 アクセス権を見直す必要があるか、それともユーザーのアクセス権とロールの割り当てが適切であることを確認済みか。
• オンプレミスの Active Directory でグループが既に確立されているか。
  • グループをどのように編成するか。
  • だれがグループのメンバーか。
  • グループは現在どのようなアクセス許可やロールの割り当てを所有しているか。
• 統合する前にユーザーやグループのデータベースをクリーンアップする必要があるか。 (これは重要な質問です。ゴミを入れるとゴミが出てきます。)

アクセス管理インベントリ

• アプリケーションへのユーザーのアクセスを現在どのように管理しているか。 変更する必要があるか。 Azure RBAC など、他の方法でアクセスを管理することを検討したか。
• どのユーザーが何にアクセスする必要があるか。

一部の質問にはあらかじめ回答できないこともありますが、それでもかまいません。 このガイドにより、そのような質問の一部に回答し、一部に情報に基づいて判断できるようになります。

承認されていないクラウド アプリケーションを Cloud Discovery で検出する

前に説明したように、これまで組織で管理されていなかったアプリケーションが存在する可能性があります。 インベントリのプロセスの一環で、承認されていないクラウド アプリケーションを検索することができます。 「Cloud Discovery の設定」を参照してください。

Microsoft Entra ID を使用したアプリケーションの統合

次の記事では、アプリケーションを Microsoft Entra ID と統合するさまざまな方法について説明し、ガイダンスをいくつか示します。

• 使用する Active Directory の決定
• Azure アプリケーション ギャラリーのアプリケーションの使用
• SaaS アプリケーションのチュートリアルの一覧の統合

Microsoft Entra ギャラリーに記載されていないアプリの機能

組織に既に存在するアプリケーションや、Microsoft Entra ギャラリーに属していないベンダーのサードパーティ アプリケーションを追加できます。 使用許諾契約書に応じて、以下の機能を使用することができます。

• Security Assertion Markup Language (SAML) 2.0 ID プロバイダーをサポートする任意のアプリケーションのセルフサービス統合 (SP または IdP によって開始)
• パスワードベースの SSO
• ユーザー プロビジョニング用の System for Cross-Domain Identity Management (SCIM) プロトコルを使用するアプリケーションのセルフサービス接続
• Office 365 アプリ ランチャーまたはマイ アプリでの任意のアプリケーションへのリンクの追加機能

カスタム アプリケーションと Microsoft Entra ID を統合する方法に関する開発者向けガイダンスをお探しの場合は、Microsoft Entra ID の認証シナリオに関するページを参照してください。 OpenId Connect/OAuth などの最新のプロトコルを使用してユーザーを認証するアプリを開発した場合は、それを Azure portal のアプリの登録エクスペリエンスを使用して Microsoft ID プラットフォームに登録できます。

認証の種類

各アプリケーションにさまざまな認証の要件が存在する可能性があります。 Microsoft Entra ID では、証明書の署名に、パスワードによるシングル サインオンだけでなく、SAML 2.0、WS-Federation、OpenID Connect プロトコルを使用するアプリケーションを使用することができます。 アプリケーション認証の種類の詳細については、「Microsoft Entra ID でのフェデレーション シングル サインオンの証明書の管理」とパスワード ベースのシングル サインオンに関するページを参照してください。

Microsoft Entra アプリケーション プロキシを使用した SSO の有効化

Microsoft Entra アプリケーション プロキシを使用すると、プライベート ネットワーク内に置かれたアプリケーションへの、任意の場所および任意のデバイスからのアクセスを安全に許可することができます。 プライベート ネットワーク コネクタは、環境内にインストールすると、Microsoft Entra ID で簡単に構成することができます。

カスタム アプリケーションの統合

カスタム アプリケーションを Azure アプリケーション ギャラリーに追加する場合は、「アプリを Microsoft Entra アプリ ギャラリーに公開する」を参照してください。

アプリケーションへのアクセスの管理

次の記事では、Microsoft Entra Connectors と Microsoft Entra ID を使用して Microsoft Entra ID と統合した後でアプリケーションへのアクセスを管理する方法について説明します。

• Microsoft Entra ID を使用したアプリへのアクセスの管理
• Microsoft Entra コネクタを使用した自動化
• アプリケーションへのユーザーの割り当て
• アプリケーションへのグループの割り当て
• アカウントの共有

次のステップ

詳細については、GitHub から Microsoft Entra のデプロイ計画をダウンロードできます。 ギャラリーのアプリケーションでは、シングル サインオン、条件付きアクセス、およびユーザー プロビジョニングの展開プランを Microsoft Entra 管理センター からダウンロードすることができます。

Microsoft Entra 管理センターから展開プランをダウンロードするには:

1. Microsoft Entra 管理センターにサインインします。
2. エンタープライズ アプリケーション | を選択し、 | デプロイ計画アプリケーションを使用します。