次の方法で共有

チュートリアル: Microsoft Entra シングル サインオン (SSO) と BeyondTrust Remote Support の統合

  • [アーティクル]

このチュートリアルでは、BeyondTrust Remote Support と Azure Microsoft Entra ID を統合する方法について説明します。 Microsoft Entra ID と BeyondTrust Remote Support を統合すると、次のことができます。

  • BeyondTrust Remote Support にアクセスするユーザーを Microsoft Entra ID で制御できます。
  • ユーザーが自分の Microsoft Entra アカウントを使用して BeyondTrust Remote Support に自動的にサインインできるように設定できます。
  • 1 つの場所でアカウントを管理します。

前提条件

開始するには、次が必要です。

  • Microsoft Entra サブスクリプション。 サブスクリプションがない場合は、無料アカウントを取得できます。
  • BeyondTrust Remote Support でのシングル サインオン (SSO) が有効なサブスクリプション。

シナリオの説明

このチュートリアルでは、テスト環境で Microsoft Entra の SSO を構成してテストします。

  • BeyondTrust Remote Support では、SP によって開始される SSO がサポートされます
  • BeyondTrust Remote Support では、Just-In-Time ユーザー プロビジョニングがサポートされます

Microsoft Entra ID への BeyondTrust Remote Support の統合を構成するには、ギャラリーから管理対象 SaaS アプリの一覧に BeyondTrust Remote Support を追加する必要があります。

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
  2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[新しいアプリケーション] に移動します。
  3. [ギャラリーから追加する] セクションで、検索ボックスに「BeyondTrust Remote Support」と入力します。
  4. 結果のパネルから [BeyondTrust Remote Support] を選択し、アプリを追加します。 お使いのテナントにアプリが追加されるのを数秒待機します。

または、Enterprise App Configuration ウィザードを使用することもできます。 このウィザードでは、SSO の構成に加えて、テナントへのアプリケーションの追加、アプリへのユーザーとグループの追加、ロールの割り当てを行うことができます。 Microsoft 365 ウィザードの詳細をご覧ください。

BeyondTrust Remote Support の Microsoft Entra SSO の構成とテスト

B.Simon というテスト ユーザーを使用して、BeyondTrust Remote Support に対する Microsoft Entra SSO を構成してテストします。 SSO を機能させるためには、Microsoft Entra ユーザーと BeyondTrust Remote Support の関連ユーザーとの間にリンク関係を確立する必要があります。

BeyondTrust Remote Support に対する Microsoft Entra SSO を構成してテストするには、次の手順を実行します。

  1. Microsoft Entra SSO を構成する - ユーザーがこの機能を使用できるようにします。
  2. BeyondTrust Remote Support の SSO の構成 - アプリケーション側でシングル サインオン設定を構成します。
  3. SSO のテスト - 構成が機能するかどうかを確認します。

Microsoft Entra SSO の構成

次の手順に従って Microsoft Entra SSO を有効にします。

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。

  2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[BeyondTrust Remote Support]>[シングル サインオン] の順に移動します。

  3. [シングル サインオン方式の選択] ページで、 [SAML] を選択します。

  4. [SAML でシングル サインオンをセットアップします] ページで、 [基本的な SAML 構成] の編集 (ペン) アイコンをクリックして設定を編集します。

    Edit Basic SAML Configuration

  5. [基本的な SAML 構成] セクションで、次のフィールドの値を入力します。

    a. [識別子] ボックスに、https://<HOSTNAME>.bomgar.com という形式で URL を入力します。

    b. [応答 URL] ボックスに、https://<HOSTNAME>.bomgar.com/saml/sso のパターンを使用して URL を入力します

    c. [サインオン URL] ボックスに、https://<HOSTNAME>.bomgar.com/saml という形式で URL を入力します。

    注意

    これらは実際の値ではありません。 実際の識別子、応答 URL、サインオン URL でこれらの値を更新します。 これらの値については、このチュートリアルの後半で説明します。

  6. BeyondTrust Remote Support アプリケーションは、特定の形式の SAML アサーションを使用するため、カスタム属性のマッピングを SAML トークンの属性の構成に追加する必要があります。 次のスクリーンショットには、既定の属性一覧が示されています。

    image

  7. その他に、BeyondTrust Remote Support アプリケーションでは、いくつかの属性が SAML 応答で返されることが想定されています。それらの属性を次に示します。 これらの属性も値が事前に設定されますが、要件に従ってそれらの値を確認することができます。

    名前 ソース属性
    ユーザー名 user.userprincipalname
    FirstName User.givenname
    LastName User.surname
    Email User.mail
    グループ user.groups

    Note

    BeyondTrust Remote Support アプリケーションに Microsoft Entra グループを割り当てる場合、"要求で返されるグループ" オプションを "None" から "SecurityGroup" に変更する必要があります。 グループは、オブジェクト ID としてアプリケーションにインポートされます。 Microsoft Entra グループのオブジェクト ID は見つけるには、Microsoft Entra ID インターフェイスで [プロパティ] を確認します。 これは、Microsoft Entra グループを参照して、適切なグループ ポリシーに割り当てるために必要です。

  8. 一意のユーザー ID を設定するときは、この値を次の NameID の形式に設定する必要があります: [永続的] 。 ユーザーを正しく識別し、アクセス許可の適切なグループ ポリシーに関連付けるために、これを永続的な識別子にする必要があります。 [編集] アイコンをクリックして [ユーザー属性と要求] ダイアログを開き、[一意のユーザー ID] の値を編集します。

  9. [要求の管理] セクションで、 [名前識別子の形式の選択] をクリックし、値を [永続的] に設定して、 [保存] をクリックします。

    User Attributes and Claims

  10. [SAML によるシングル サインオンのセットアップ] ページの [SAML 署名証明書] セクションで、 [フェデレーション メタデータ XML] を探して [ダウンロード] を選択し、証明書をダウンロードして、お使いのコンピューターに保存します。

    The Certificate download link

  11. [BeyondTrust Remote Support のセットアップ] セクションで、要件に基づいて適切な URL をコピーします。

    Copy configuration URLs

Microsoft Entra テスト ユーザーを作成する

このセクションでは、B.Simon というテスト ユーザーを作成します。

  1. Microsoft Entra 管理センターユーザー管理者以上でサインインしてください。
  2. [ID]>[ユーザー]>[すべてのユーザー] の順に移動します。
  3. 画面の上部で [新しいユーザー]>[新しいユーザーの作成] を選択します。
  4. [ユーザー] プロパティで、以下の手順を実行します。
    1. "表示名" フィールドに「B.Simon」と入力します。
    2. [ユーザー プリンシパル名] フィールドに「username@companydomain.extension」と入力します。 たとえば、「 B.Simon@contoso.com 」のように入力します。
    3. [パスワードを表示] チェック ボックスをオンにし、 [パスワード] ボックスに表示された値を書き留めます。
    4. [Review + create](レビュー + 作成) を選択します。
  5. [作成] を選択します。

Microsoft Entra テスト ユーザーを割り当てる

このセクションでは、B.Simon に BeyondTrust Remote Support へのアクセスを許可して、シングル サインオンを使えるようにします。

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
  2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[BeyondTrust Remote Support]の順に移動します。
  3. アプリの概要ページで、[ユーザーとグループ] を選択します。
  4. [ユーザーまたはグループの追加] を選択し、 [割り当ての追加] ダイアログで [ユーザーとグループ] を選択します。
    1. [ユーザーとグループ] ダイアログの [ユーザー] の一覧から [B.Simon] を選択し、画面の下部にある [選択] ボタンをクリックします。
    2. ユーザーにロールが割り当てられることが想定される場合は、 [ロールの選択] ドロップダウンからそれを選択できます。 このアプリに対してロールが設定されていない場合は、[既定のアクセス] ロールが選択されていることを確認します。
    3. [割り当ての追加] ダイアログで、 [割り当て] をクリックします。

BeyondTrust Remote Support の SSO の構成

  1. 別の Web ブラウザーのウィンドウで、BeyondTrust Remote Support に管理者としてサインインします。

  2. [Users & Security]\(ユーザーとセキュリティ\)>[Security Providers]\(セキュリティ プロバイダー\) に移動します。

  3. [SAML Providers](SAML プロバイダー)編集アイコンをクリックします。

    SAML Providers edit icon

  4. [Service Provider Settings](サービス プロバイダーの設定) セクションを展開します。

  5. [サービス プロバイダーのメタデータのダウンロード] をクリックします。または、[エンティティ ID][ACS URL] の値をコピーして、それらの値を Azure portal の [基本的な SAML 構成] セクションで使います。

    Download Service Provider Metadata

  6. [ID プロバイダーの設定] セクションの [プロバイダーのメタデータのアップロード] をクリックし、ダウンロードしたメタデータ XML ファイルを探します。

  7. [Entity ID](エンティティ ID)[Single Sign-On Service URL](シングル サインオン サービス URL)[Server Certificate](サーバー証明書) は自動的にアップロードされます。 [SSO URL Protocol Binding](SSO URL プロトコル バインド)[HTTP POST] に変更する必要があります。

    Screenshot shows the Identity Provider Settings section where you perform these actions.

  8. [Save] をクリックします。

BeyondTrust Remote Support のテスト ユーザーを作成する

このセクションでは、Britta Simon というユーザーを BeyondTrust Remote Support に作成します。 BeyondTrust Remote Support では、Just-In-Time ユーザー プロビジョニングがサポートされています。この設定は、既定で有効になっています。 このセクションでは、ユーザー側で必要な操作はありません。 BeyondTrust Remote Support にユーザーがまだ存在していない場合は、認証後に新規に作成されます。

下の手順に従います。これは、BeyondTrust Remote Support を構成するために必須です。

ここでは、ユーザー プロビジョニング設定を構成します。 このセクションで使った値は、[ユーザー属性と要求] セクションから参照されます。 これは、作成時に既にインポートされている既定値に構成しましたが、必要に応じて値をカスタマイズできます。

Screenshot shows the User Provision Settings where you can configure user values.

Note

この実装では、グループおよび電子メールの属性は必要ありません。 Microsoft Entra グループを利用して、それらをアクセス許可の BeyondTrust Remote Support グループ ポリシーに割り当てる場合は、グループのオブジェクト ID を Azure portal のそのプロパティを使用して参照し、[Available Groups](使用可能なグループ) セクションに配置する必要があります。 これが完了すると、オブジェクト ID/AD グループがアクセス許可のグループ ポリシーへの割り当てに使用できるようになります。

Screenshot shows the I T section with Membership type, Source, Type, and Object I D.

Screenshot shows the Basic Settings page for a group policy.

Note

または、SAML2 セキュリティ プロバイダーで既定のグループ ポリシーを設定することもできます。 このオプションを定義することで、SAML 経由で認証を行うすべてのユーザーに、グループ ポリシー内で指定されたアクセス許可が割り当てられます。 General Members ポリシーは、アクセス許可が制限されている BeyondTrust Remote Support/Privileged Remote Access に含まれており、認証をテストしてユーザーを適切なポリシーに割り当てるために使用できます。 ユーザーは、認証の試行が最初に成功するまで、/login > [Users Security](ユーザーとセキュリティ) 経由で SAML2 ユーザーの一覧に追加されません。 グループ ポリシーに関する追加情報については、リンク https://www.beyondtrust.com/docs/remote-support/getting-started/admin/group-policies.htm を参照してください。

SSO のテスト

このセクションでは、次のオプションを使用して Microsoft Entra のシングル サインオン構成をテストします。

  • [このアプリケーションをテストします] をクリックすると、ログイン フローを開始できる BeyondTrust Remote Support のサインオン URL にリダイレクトされます。

  • BeyondTrust Remote Support のサインオン URL に直接移動し、そこからログイン フローを開始します。

  • Microsoft マイ アプリを使用することができます。 マイ アプリで [BeyondTrust Remote Support] タイルをクリックすると、BeyondTrust Remote Support サインオン URL にリダイレクトされます。 マイ アプリの詳細については、マイ アプリの概要に関するページを参照してください。

次のステップ

BeyondTrust Remote Support を構成したら、組織の機密データを流出と侵入からリアルタイムで保護するセッション制御を適用できます。 セッション制御は、条件付きアクセスを拡張したものです。 Microsoft Defender for Cloud Apps でセッション制御を強制する方法をご覧ください。