Microsoft Entra ID にアプリを統合する 5 つのステップ

クラウドベースの ID およびアクセス管理 (IAM) サービスである Microsoft Entra ID とアプリケーションとの統合について説明します。 組織は Microsoft Entra ID を使用して、顧客、パートナー、従業員がセキュリティが確保された認証と認可によって、アプリケーションにアクセスできるように します。

Microsoft Entra ID を使用すると、条件付きアクセス、Microsoft Entra 多要素認証、シングル サインオン (SSO)、アプリケーション プロビジョニングなどの機能により、ID とアクセスの管理が容易になり、セキュリティも強化されます。

詳細情報:

• 条件付きアクセスとは
• しくみ: Microsoft Entra 多要素認証
• Microsoft Entra シームレス シングル サインオン
• Microsoft Entra ID でのアプリ プロビジョニング

会社が Microsoft 365 のサブスクリプションを行っている場合、おそらく Microsoft Entra ID が使用されているでしょう。 さらには、各種アプリケーションにも Microsoft Entra ID を使用できます。 アプリケーションに Azure AD を使用できます。 そのメリットは、セキュリティの強化、コストの削減、生産性の向上、コンプライアンスの有効化を行う統合ソリューションです。 さらに、オンプレミス アプリへのリモート アクセスもあります。

詳細情報:

• Microsoft 365 の ID インフラストラクチャをデプロイする
• Microsoft Entra ID でのアプリケーション管理

新しいアプリケーションでの Microsoft Entra ID の使用

企業が新しいアプリケーションを取得したら、それを Microsoft Entra テナントに追加します。 Microsoft Entra ID に新しいアプリを追加する会社のポリシーを策定します。

参照: クイックスタート: エンタープライズ アプリケーションを追加する

Microsoft Entra ID には統合アプリケーションのギャラリーがあり、簡単に使用を始められるようになっています。 Microsoft Entra 組織にギャラリーのアプリを追加し (前のリンクを参照)、サービスとしてのソフトウェア (SaaS) の統合に関するチュートリアルを確認します。

参照: SaaS アプリケーションの Microsoft Entra ID との統合に関するチュートリアル

統合に関するチュートリアル

次のチュートリアルで、一般的なツールを Microsoft Entra シングル サインオン (SSO) と統合する方法について確認してください。

• チュートリアル: Microsoft Entra SSO と ServiceNow の統合
• チュートリアル: Microsoft Entra SSO と Workday の統合
• チュートリアル: Microsoft Entra SSO と Salesforce の統合
• チュートリアル: Microsoft Entra SSO と AWS Single-Account Access の統合
• チュートリアル: Microsoft Entra SSO と Slack の統合

ギャラリーにないアプリ

ギャラリーに表示されないアプリケーション (組織内のアプリケーション、ベンダーのサードパーティ製アプリケーションなど) を統合できます。 ギャラリーにアプリを公開する要求を送信します。 社内で開発するアプリの統合については、「開発者が構築したアプリを統合する」を参照してください。

詳細情報:

• クイックスタート: エンタープライズ アプリケーションを表示する
• Microsoft Entra アプリケーション ギャラリーでのアプリケーション公開の要求を送信する

既存のアプリケーションの使用状況を特定し、統合の優先順位を設定する

従業員が使用しているアプリケーションを検出し、アプリと Microsoft Entra ID との統合の優先順位を設定します。 Microsoft Defender for Cloud Apps Cloud Discovery ツールを使用して、IT チームが管理していないアプリを検出して管理します。 Microsoft Defender for Endpoint (旧称 Microsoft Defender for Endpoint) により、検出プロセスが簡素化され、拡張されます。

詳細情報:

• Cloud Discovery の設定
• Microsoft Defender for Endpoint

さらに、Azure portal の Active Directory フェデレーション サービス (AD FS) を使用して、組織内の AD FS アプリを検出します。 アプリにサインインした一意のユーザーを検出し、統合の互換性に関する情報を確認します。

参照: アプリケーション アクティビティ レポートを確認する

アプリケーションの移行

環境内のアプリを検出したら、移行して統合するアプリの優先順位を設定します。 次の要因を検討してください。

• 最も頻繁に使用されるアプリ
• 最も危険なアプリ
• 使用停止されるため移行に含まれないアプリ
• オンプレミスに留まるアプリ

参照: アプリケーションを Microsoft Entra ID に移行するためのリソース

アプリと ID プロバイダーを統合する

検出中に、IT チームによって追跡されないアプリケーションがあり、脆弱性が発生する可能性があります。 一部のアプリケーションでは、AD FS を含む代替 ID ソリューションや他の ID プロバイダー (IdP) を使用します。 ID およびアクセス管理を統合することをお勧めします。 利点は次のとおりです。

• オンプレミスのユーザー設定、認証、IdP ライセンス料金を削減する
• 合理化された ID およびアクセス管理プロセスを使用して管理オーバーヘッドを削減する
• マイ アプリ ポータルでアプリケーションへのシングル サインオン (SSO) アクセスを有効にする
  • 参照: マイ アプリ ポータルでコレクションを作成する
• Microsoft Entra ID 保護と条件付きアクセスを使用してアプリ使用信号を増やし、最近追加されたアプリにメリットを拡張する
  • ID 保護とは
  • 条件付きアクセスとは

アプリ所有者の認識

Microsoft Entra ID とのアプリ統合の管理には、アプリケーション所有者の認識と関心を助ける次の資料が役立ちます。 ブランド化を使用して素材を変更します。

次の情報をダウンロードできます。

• Zip ファイル: 1 ページにまとめた編集可能な Microsoft Entra アプリ統合
• Microsoft PowerPoint プレゼンテーション: Microsoft Entra アプリケーション統合ガイドライン

Active Directory フェデレーション サービス (AD FS)

SaaS アプリ、基幹業務アプリ (LOB)、さらに Microsoft 365 および Microsoft Entra アプリで認証に AD FS を使用することについて評価します。

アプリケーション認証を Microsoft Entra ID に移行することで、前の図に示された構成を改善します。 アプリのサインオンを有効にし、マイ アプリ ポータルを使用してアプリケーションを検出しやすくします。

詳細情報:

• アプリケーション認証を Microsoft Entra ID に移行する
• マイ アプリ ポータルからアプリにサインインして開始する

次の図で、Microsoft Entra ID によってシンプルになったアプリ認証を確認してください。

Microsoft Entra ID が IdP になると、AD FS を使用停止できる場合があります。

さまざまなクラウド ベースの IdP を使用するアプリを移行できます。 組織に、複数の ID アクセス管理 (IAM) ソリューションが存在する場合があります。 1 つの Microsoft Entra インフラストラクチャに移行することで、IAM ライセンスへの依存とインフラストラクチャ コストの削減が可能となります。 Microsoft Entra ID が Microsoft 365 ライセンスの購入に含まれていた場合、おそらく、別途 IAM ソリューションを購入する必要はありません。

オンプレミスのアプリケーションを統合する

従来は、企業ネットワークへの接続中にアプリケーション セキュリティによってアクセスが有効になっていました。 ただし、組織は、場所に関係なく、顧客、パートナー、従業員にアプリへのアクセス権を付与します。 Microsoft Entra のアプリケーション プロキシ サービスは、オンプレミス アプリを Microsoft Entra ID に接続します。エッジ サーバーなど他のインフラストラクチャを必要としません。

参照: Microsoft Entra アプリケーション プロキシを使用して、リモート ユーザーにオンプレミス アプリを公開する

アプリケーション プロキシ サービスがユーザー要求処理するようすを次の図に示します。

参照: チュートリアル: Microsoft Entra ID のアプリケーション プロキシを使用して、リモート アクセス対応のオンプレミス アプリケーションを追加する

さらに、F5 BIG-IP APM や Zscaler Private Access などのアプリケーション デリバリー コントローラーを Microsoft Entra ID に統合します。 メリットは、最新の認証と ID 管理、トラフィック管理、セキュリティ機能です。 このソリューションは、安全なハイブリッド アクセスと呼ばれています。

参照: 安全なハイブリッド アクセス: Microsoft Entra ID を使用してレガシ アプリを保護する

次のサービスについては、Microsoft Entra への統合に関するチュートリアルがあります。

• チュートリアル: Microsoft Entra SSO と Akamai の統合
• チュートリアル: Microsoft Entra SSO と Citrix ADC Security Assertion Markup Language (SAML) Connector for Microsoft Entra ID の統合 (Kerberos ベースの認証)
  • 旧称 Citrix NetScaler
• F5 BIG-IP と Microsoft Entra ID を統合する
• チュートリアル: Microsoft Entra ID と Zscaler Private Access (ZPA) の統合

開発者が構築したアプリを統合する

開発者のアプリの場合は、認証と承認に Microsoft ID プラットフォームを使用します。 統合アプリケーションは、ポートフォリオ内の他のアプリと同様に登録および管理されます。

詳細情報:

• Microsoft ID プラットフォームのドキュメント
• クイック スタート: Microsoft ID プラットフォームにアプリケーションを登録する

開発者は、内部と顧客向けのアプリにプラットフォームを使用できます。 たとえば、Microsoft Authentication Libraries (MSAL) を使用して、アプリにアクセスするための多要素認証とセキュリティを有効にします。

詳細情報:

• Microsoft Authentication Library (MSAL) の概要
• Microsoft ID プラットフォームのコード サンプル
• ビデオ: 開発者向け Microsoft ID プラットフォームの概要 (33:54)

次のステップ

アプリケーションを Microsoft Entra ID に移行するためのリソース