Microsoft Entra ID の重要な機能
あなたの会社は、医師にサービスを提供する方法と、外部の医療組織と連携する方法を改善することを望んでいます。 Microsoft Entra ID によって組織に他にどのような機能やサービスが提供されるのか、調査するようにあなたは求められました。
ここでは、Microsoft Entra ID の重要な機能とその使用方法について説明します。 具体的には、Microsoft Entra B2B、Azure AD B2C、Microsoft Entra Domain Services (AD DS)、Microsoft Entra ID Protection などの機能を確認します。 これらは、Microsoft Entra ID でのアプリの管理方法を改善するために使用できる機能です。
Microsoft Entra B2B
Microsoft Entra ID を使用し、外部ユーザーをテナントに招待します。 招待すると、あなたの組織は Microsoft Entra B2B Collaboration を使用して、外部の医療パートナーのスタッフ メンバーと共同作業できます。
たとえば、会社は外部の医療パートナーと連携しています。 そのようなパートナーをゲスト ユーザーとしてテナントに招待できます。 作業が終了したら、外部パートナーのアクセスを再び必要になるときまで無効にできます。
B2B の共同作業プロセスは次のようになります。
- 外部のユーザーは、引き換えリンクが記載された電子メール招待状か直接的なリンクを受け取ります。
- そのユーザーは引き換えリンクを選択し、招待されたアプリにアクセスします。
- 多要素認証が設定されている場合、外部のユーザーのスマートフォンに確認コードが送信されます。
- 外部のユーザーは受け取ったコードを入力します。
- そのユーザーは、オンプレミスであるかクラウド内にあるかに関係なくアプリにアクセスできます。
この機能は、Microsoft Entra ID のあらゆるライセンス レベルで利用できます。
Azure AD B2C
Azure AD B2C を使用し、顧客の ID とアクセスを管理することもできます。 医師のアカウントには、リソースやサービスへの保護付きアクセスを与える必要があります。 Azure AD B2C を使用し、医師が選択した ID プロバイダー経由で医師を安全に認証します。
AD B2C は、医師のユーザー アカウントに対するブルート フォース攻撃やサービス拒否攻撃などの脅威の監視にも役立ちます。 Azure AD B2C を使用するには、まずアプリを登録します。 次に、ユーザー フローを構成し、ユーザーがアプリにアクセスするまでの手順を設定します。
たとえば、サインイン プロセスのフローは次のようになります。
- ユーザーは、ブラウザーか携帯電話で、アクセスするアプリに移動します。
- サインイン フォームに入力するようにユーザーは求められます。
- 資格情報を検証すると、多要素認証が有効になっている場合、ユーザーのスマートフォンに確認コードが送信されます。
- 外部のユーザーは受け取ったコードを入力します。
- そのユーザーには、アプリへのアクセス権が付与されます。
この機能は従量課金制で利用できます。
Microsoft Entra Domain Services
Microsoft Entra Domain Services では、ドメイン コントローラーなしで、仮想マシンをドメインに追加できます。 社内のスタッフ ユーザーは、会社の Microsoft Entra 資格情報を使用して仮想マシンにアクセスできます。
このサービスを使用すると、オンプレミスのアプリを Azure に移行する際の複雑さが軽減されます。 アプリがオンプレミスとクラウドの両方で実行されている場合、組織は Microsoft Entra Domain Services を使ってそのインフラストラクチャを処理することもできます。 プロセスは次のようになります。
- 組織がそのアプリとサーバーを Azure の仮想ネットワークにデプロイします。
- Microsoft Entra Connect の同期機能によって、オンプレミスの Active Directory インスタンスと Microsoft Entra ID にある組織のテナントの間で ID 情報が同期されます。
- 会社は、Microsoft Entra Domain Services を自社の Microsoft Entra テナントに対して有効にします。
- Azure のアプリとサーバーで、ドメイン参加や Kerberos 認証などの機能を利用できます。
この機能は、Microsoft Entra Domain Services によって管理されているドメインの合計オブジェクト数に基づき、従量課金制で利用できます。 オブジェクトには、ユーザー、グループ、ドメイン参加コンピューターがあります。
アプリ管理
会社が提供するさまざまなアプリを社内と社外のユーザーが利用することがあります。 ユーザーはこれらのアプリにさまざまなデバイスや場所からアクセスしたいと考えることがあります。 クラウドベース ソリューションとして Microsoft Entra ID を使用し、これらすべてのアプリのユーザー アクセスを管理できます。
Microsoft Entra ID では、さまざまなカテゴリのアプリを管理できます。
Microsoft Entra アプリ ギャラリー アプリケーション。 何千もの SaaS アプリが Microsoft Entra ID と統合されています。 Azure Marketplace でこれらのアプリを見つけます。
カスタム アプリケーション。 会社でビルドされたアプリを Microsoft Entra ID に登録できます。 その後、これらのアプリの認証を管理および監視できます。
ギャラリー以外のアプリケーション。 ギャラリーに表示されないアプリがあれば、それを手動で追加できます。
オンプレミスのアプリケーション Microsoft Entra アプリケーション プロキシを構成すると、オンプレミス アプリを追加できます。 このプロセスによって、オンプレミスのアプリに対して安全なリモート アクセスが構築されます。 接続するには、オンプレミスにアプリケーション プロキシ コネクタをダウンロードし、インストールします。
以下のセクションでは、アプリを活用するために使用できるその他の Microsoft Entra 機能について学習します。
条件付きアクセス ポリシーでアプリを保護する
条件付きアクセス ポリシーを使用すると、アプリにアクセスする前に、追加の認証チャレンジに合格することをユーザーに求めることができます。 たとえば、資格情報が検証された後、アプリにアクセスする前に多要素認証チャレンジを完了することをユーザーに求めるように条件付きアクセス ポリシーを構成できます。
条件付きアクセス ポリシーは、Premium P1 および Premium P2 ライセンス レベルで利用できます。
アプリのアクセスを監視する
Microsoft Entra ID は、サインインの日付、ユーザーの詳細、ユーザーが使用するアプリ、リスク検出、場所などが含まれたレポートを生成して、アプリへのサインインを監視するのに役立ちます。 そのようなレポートには、Azure portal からアクセスできます。または、プログラムで使用する場合は、特定の API からアクセスできます。
レポートはすべてのライセンス レベルで使用できます。
Microsoft Entra ID Protection
Microsoft Entra ID Protection は、ユーザーの ID リスクを自動的に検出、調査、修復するのに役立ちます。 また、Identity Protection では、リスクについて収集されたすべての情報をエクスポートすることもできます。 情報を Microsoft 以外のツールやソリューションにエクスポートして、さらに分析することができます。
Identity Protection では、リスク ポリシーを使用し、脅威を自動的に検出し、それに対処します。 リスク ポリシーを構成すると、特定の種類のリスクに対して Identity Protection で対処する方法を設定することができます。 ポリシーをこのように使用することで、時間を節約し、安心感を得ることができます。
管理者はまず、Identity Protection により自動化されるリスクの検出と修復を使用して、リスク ポリシーを構成します。 その後、ポリシーによって ID リスクが監視されます。 リスクが検出されると、ポリシーにより、それを修復するための措置が適用されます。 たとえば、ポリシーにより、検出されたリスクに対処するために、ユーザーに対してパスワードのリセットが要求されるとしましょう。 この場合、ユーザーがパスワードをリセットすると、リスクは修復されます。
Azure portal を使用すると、リスク ポリシーを構成することができます。 たとえば、次のリスク ポリシーは、ユーザー リスクを検出し、ユーザーにパスワードのリセットを要求してリスクを修復します。
Identity Protection は、Premium P2 ライセンス レベルで使用できます。