Microsoft Entra ID の使用を開始する
あなたの組織は Microsoft Entra ID を使用してセキュリティで保護されたアクセスを管理することを決定します。 ユーザーには、医師、外部の医療パートナー、すべての社内スタッフ メンバーが含まれます。 あなたは、組織に安全なアクセスを実装する方法を調べるように依頼されています。
ここでは、段階的な方法で組織に Microsoft Entra ID をデプロイする方法について説明します。 基礎を構築する方法、テナントを作成して Microsoft Entra ID をデプロイする方法、テナントにサブスクリプションを関連付ける方法について説明します。
段階的にデプロイする
Microsoft Entra ID をデプロイする良い方法は段階的に行うことです。 デプロイは複数のステージに分割されます。 各ステージが Microsoft Entra ID の主要な側面に対応しています。 フェーズには、次のステージに進む前に完了する必要があるタスクが含まれています。 この方法により、Microsoft Entra インスタンスの基礎が安全に構築されます。
ステージ 1:セキュリティで保護された基盤を構築する
この最初のステージでは、Microsoft Entra ID のセキュリティの基盤を構築します。 医師、社内スタッフ メンバー、および外部の医療パートナーのすべてに提供できる最も安全なアクセスを必要としています。 ユーザー アカウントを追加または作成する前に、基準となるセキュリティ機能を構成します。 ここで行う作業により、Microsoft Entra インスタンスを最初からセキュリティで保護された状態にすることができます。 次の表で、タスクについて説明します。
| タスク | 説明 | 必要なライセンス |
|---|---|---|
| 複数のグローバル管理者を割り当てる | 少なくとも 2 つの Microsoft Entra アカウントにグローバル管理者ロールを指定します。 これらのアカウントは毎日使用しないでください。 アカウントには、確実に長く複雑なパスワードを設定します。 | 無料 |
| 可能な限り通常の管理者ロールを使用する | グローバル管理者ではない管理者は、自分の作業に必要なものより多くのアクセス許可を得ることはできません。 既定では、これらの通常の管理者ロールを使用します。 必要でない限り、グローバル管理者ロールは使用しないようにしてください。 | 無料 |
| 管理者を追跡するように Privileged Identity Management (PIM) を構成する | PIM を使用して、管理者ロールがどのように使用されているかを監視します。 このアクションは、ガバナンスとコンプライアンスの向上に役立ちます。 | Microsoft Entra ID P2 |
| セルフサービスによるパスワード リセットを構成する | ポリシーを設定し、社内ユーザーに自分のパスワードのリセットを許可します。 この操作によって、ヘルプ デスクにパスワード リセットが要請される数が減ります。 | 無料 |
| 禁止パスワードの一覧を作成する | この一覧を使用し、組織で一般的な語句または単語になっている言葉をパスワードに使用することを禁止します。 一覧には、たとえば、社名や本社の所在地を含めることができます。 | Microsoft Entra ID P1 |
| 資格情報を再利用しないようにユーザーに警告する | 複数のプラットフォームで同じ資格情報を再利用していると、1 つのプラットフォームが侵入された場合、攻撃者がその資格情報を利用してすべてのプラットフォームにアクセスできます。 | 無料 |
| クラウドベースのユーザー アカウントのパスワードを有効期限なしに設定する | 定期的にパスワードをリセットするように要請すると、ユーザーは既存のパスワードの数値を増やすことが多くなります。 たとえば、パスワードを R4ndom1Strong から R4ndom2Strong に変更します。 この場合、パスワードの大部分が同じであるため、漏洩した資格情報を利用し、アカウントにアクセスされるリスクが増大します。 |
制限なし |
| 条件付きアクセス ポリシーによって多要素認証を強制する | アプリケーションにアクセスする前に複数の認証を受けることをユーザーに要求するには、条件付きアクセス ポリシーを使用します。 | Microsoft Entra ID P1 |
| Microsoft Entra ID Protection (AADIP) を構成する | 組織のユーザーに関して、不審なサインインおよびユーザー資格情報に対するセキュリティ侵害にフラグを設定し、ブロックします。 また、AADIP を使用し、検出されたリスクの重大度に応じて、多要素認証またはパスワード リセットを自動的にトリガーできます。 | Microsoft Entra ID P2 |
ステージ 2: ユーザーの追加、デバイスの管理、同期の構成を行う
これで、ユーザーを追加し、外部のゲスト ユーザーのアクセスを処理する方法を計画できるようになりました。 次の表で、このステージでのタスクについて説明します。
| タスク | 説明 | 必要なライセンス |
|---|---|---|
| Microsoft Entra Connect をインストールして構成する | Microsoft Entra Connect を使用して、オンプレミスの Active Directory インスタンスから Azure にユーザーを同期します。 | 無料 |
| パスワード ハッシュ同期を使用する | パスワードの変更を同期し、不正なパスワードを検出して修正できます。 漏洩したユーザーの資格情報もレポートされます。 | 無料 |
| パスワード ライトバックを使用する | パスワード ライトバックを構成すると、Azure のパスワードを変更した場合、Active Directory のオンプレミス インスタンスにそれが書き込まれます。 | Microsoft Entra ID P1 |
| Microsoft Entra Connect Health を使用する | Microsoft Entra Connect Health を使用して、Microsoft Entra Connect 環境に関する正常性の統計を監視します。 | Microsoft Entra ID P1 |
| グループ レベルで必要なライセンスをユーザーに付与する | グループ レベルでライセンスを割り当てるとき、たくさんのユーザーのライセンスを同時に制御することになります。 この行動によって、整理に必要な時間が節約され、複雑性が緩和されます。 | 無料 |
| ゲスト ユーザーのアクセスで Microsoft Entra B2B Collaboration を使用する。 | このリソースを使用することで、外部の医療パートナー ユーザーは自分の職場の ID またはソーシャル ID を使用し、確実にアプリケーションとサーバーにアクセスすることができます。 外部の人間の資格情報を管理する必要がありません。 | 必要なライセンスは、そのゲスト ユーザーが使用する機能によって異なります。 |
| デバイスの管理戦略を用意する | あなたの会社で許可するデバイスに基づいて、計画をまとめることができます。 たとえば、Bring Your Own Device (BYOD) を許可しますか、それとも会社がユーザーに提供した会社所有のデバイスのみを許容しますか? | Free |
| パスワードを要求しない認証方法を提供する | より認証が便利になります。 たとえば、ユーザーが携帯電話に Microsoft Authenticator をインストールしている場合、そのユーザーは、サインイン時に PIN または指紋などの生体認証属性と共に入力するコードを含む通知を受け取ることができます。 | Microsoft Entra ID P1 |
ステージ 3:お使いのアプリケーションを管理する
お使いのアプリケーションを Microsoft Entra ID と統合できるようになりました。 次の表で、このステージでのタスクについて説明します。
| タスク | 説明 | 必要なライセンス |
|---|---|---|
| アプリケーションを特定する | ご自分の組織のアプリケーションを調べます。 たとえば、あなたの組織では、アプリケーションがオンプレミスにある場合、またはクラウド上に SaaS (サービスとしてのソフトウェア) としてある場合があります。 Microsoft Entra ID で管理するアプリケーションを選択します。 | 該当なし |
| Microsoft Entra ギャラリー内の SaaS アプリケーションを使用する。 | あなたの組織ではおそらく、既にギャラリーにあって Azure portal から探すことのできる SaaS アプリケーションを使用しています。 可能な限り、これらのアプリケーションをギャラリーから使用してください。 アプリケーションと Microsoft Entra ID を統合することで時間を節約できます。 | 無料 |
| アプリケーション プロキシを使用してお使いのオンプレミス アプリケーションを統合する | Microsoft Entra ユーザーに自分の Microsoft Entra アカウントを使用してオンプレミスのアプリケーションにサインインさせることができます。 | 無料 |
ステージ 4:あなたの管理者を監視し、アクセス レビューを行い、ユーザーのライフサイクルを自動化する
これで、あなたの管理者がどれくらいの特権が必要であるかを確認し、アクセス レビューを完了できます。 このステージではまた、ユーザーのライフサイクルの一般的なタスクを自動化する方法を構成できます。 次の表で、このステージでのタスクについて説明します。
| タスク | 説明 | 必要なライセンス |
|---|---|---|
| PIM を使用して管理者アクセスを制御する | 確実に多要素認証チャレンジに合格した後にのみ、または正式な承認者から承認を受け取った後にのみ、管理者が自分のアカウントを使用できるようにします。 | Microsoft Entra ID P2 |
| PIM で Microsoft Entra ディレクトリ ロールのアクセス レビューを完了する。 | 自分の組織の特権ロールに対する要件に基づいて管理者アクセスを定期的に確認できるよう、PIM でアクセス レビュー ポリシーを構成します。 | Microsoft Entra ID P2 |
| 動的グループ メンバーシップ ポリシーを構成する | 部門や地域などの既知のプロファイル情報に基づいて、ユーザーを特定のグループに自動的に追加することによって、時間と労力を節約します。 たとえば、人事部の一員であるすべてのユーザーを、人事部というユーザー グループに自動的に追加できます。 | Microsoft Entra ID P1 または P2 |
| グループベースでのアプリケーション割り当てを使用する | グループベースのアクセス管理を使用し、すべてのグループ メンバーにアプリケーションへのアクセスを許可します。 動的グループを使用すると、グループから削除されたユーザーは、自動的に、アプリケーションにアクセスできなくなります。 このアクションは、お使いのアプリケーションのセキュリティを確保します。 | 無料 |
| ユーザー アカウントの自動でのプロビジョニングと非アクティブ化を構成する | ユーザーが SaaS アプリケーションを使用できるよう、既存の Microsoft Entra ユーザーとグループに基づいて、アプリケーション固有のアカウントを自動的に作成します。 ユーザーが組織から離れたとき、ユーザー アカウントのプロビジョニングを自動的に解除できます。 この行動によって、権限のないアクセスから組織が保護されます。 | 無料 |
テナントを作成する
自分の Microsoft Entra ID インスタンスの基礎を構築したら、それを設定し、使用を開始できます。 Azure のリソースと見なされる、テナントを作成する必要があります。
Azure portal を使用して、テナントと新しい Microsoft Entra リソースを作成します。
Azure portal のフォームを使用して、自分の Microsoft Entra ディレクトリを作成します。
サブスクリプションを関連付ける
テナントを作成したら、それをサブスクリプションに関連付けます。 Azure portal でお使いのサブスクリプションに移動し、それをあなたの新しいディレクトリに変更します。
