アプリケーションの同意の管理と同意要求の評価
Microsoft では、ユーザーが検証された発行元からのアプリと選択したアクセス許可に対してのみ同意できるように、ユーザーの同意を制限することをお勧めします。 この基準を満たしていないアプリの場合、組織のセキュリティ チームと ID 管理者チームに意思決定プロセスが一元化されます。
ユーザーの同意を無効にしたり制限したりした後には、ビジネスクリティカルなアプリケーションを引き続き使用できるようにする上で、組織を安全に保つために実行するべきいくつかの重要な手順があります。 これらの手順は、組織のサポート チームと IT 管理者への影響を最小限に抑え、Microsoft 以外のアプリケーション内での管理されていないアカウントの使用を防止する上で不可欠です。
この記事では、検証済みの発行元と選択したアクセス許可へのユーザーの同意の制限など、アプリケーションへの同意の管理と Microsoft の推奨事項の同意要求の評価に関するガイダンスを提供します。 プロセスの変更、管理者向けの教育、監査と監視、テナント全体の管理者の同意の管理などの概念について説明します。
変更と教育を処理する
管理者の同意ワークフローを有効にして、ユーザーが同意画面から直接管理者の承認を要求できるようにすることを検討してください。
すべての管理者が次のことを理解しているか確認します。
ユーザーがアプリケーションの管理者の承認を要求する方法について、組織の既存のプロセスを確認し、必要に応じて更新します。 プロセスが変更された場合:
- 関連するドキュメント、監視、自動化などを更新します。
- 影響を受けるすべてのユーザー、開発者、サポート チーム、および IT 管理者にプロセスの変更を伝達します。
監査と監視
組織内のアプリと付与済みのアクセス許可を監査し、不正または疑わしいアプリケーションにはデータへのアクセスが許可されていないことを確認します。
OAuth 同意を要求する疑わしいアプリケーションに対する追加のベスト プラクティスと保護のために、Office 365 での不正な同意付与の検出して修復するに関する記事を確認します。
組織が適切なライセンスを持っている場合:
- Microsoft Defender for Cloud Apps で他の OAuth アプリケーション監査機能を使用します。
- Azure Monitor Workbooks を使用して、アクセス許可および同意に関連するアクティビティを監視します。 Consent Insights ワークブックには、失敗した同意要求の数を示すアプリの一覧が表示されます。 この情報は、管理者の同意を許可するかどうかを管理者が確認および判断するため、アプリケーションの優先順位を決定するのに役立ちます。
摩擦の軽減に関するその他の考慮事項
既に使用されている、信頼されたビジネス クリティカルなアプリケーションへの影響を最小限に抑えるには、許可するユーザーの同意が多いアプリケーションに管理者の同意を事前に許可することを検討してください。
サインイン ログまたは同意許可アクティビティに基づいて、使用率が高い組織に既に追加されているアプリのインベントリを取得します。 PowerShell スクリプトを使用すると、多数のユーザーの同意が許可されたアプリケーションをすばやく簡単に検出できます。
上位のアプリケーションを評価して、管理者の同意を付与します。
重要
アプリケーションは、組織内の多くのユーザーが既に各自で同意している場合でも、テナント全体の管理者の同意を許可する前に慎重に評価してください。
承認されたアプリケーションごとに、テナント全体の管理者の同意を付与し、ユーザー割り当てを要求してユーザー アクセスを制限を検討します。
テナント全体の管理者の同意要求を評価します。
テナント全体の管理者の同意を許可する際は、慎重に行う必要があります。 アクセス許可は、組織全体に代わって許可され、高度な権限を必要とする操作を試行するためのアクセス許可が含まれることがあります。 このような操作の例として、ロール管理、すべてのメールボックスまたはすべてのサイトへのフルアクセス、完全なユーザー偽装などがあります。
テナント全体の管理者の同意を許可する前に、許可するアクセス レベルに対して、アプリケーションとアプリケーションの発行元を信頼していることを確認することが重要です。 アプリケーションを制御しているユーザーと、アプリケーションがアクセス許可を要求している理由について、確信を持てない場合は、同意を許可しないでください。
管理者の同意を与える要求を評価する場合に考慮すべき推奨事項を次に示します。
Microsoft ID プラットフォームでのアクセス許可と同意フレームワークについて理解する。
委任されたアクセス許可とアプリケーションのアクセス許可の違いについて理解する。
アプリケーションのアクセス許可を許可すると、アプリケーションはユーザーの介入を必要とせずに組織全体のデータにアクセスできます。 委任されたアクセス許可を使用すると、ある時点でアプリケーションにサインインしたユーザーの代わりにアプリケーションを操作できます。
要求されているアクセス許可を理解します。
アプリケーションによって要求されたアクセス許可は、同意プロンプトに一覧表示されます。 アクセス許可のタイトルを展開すると、アクセス許可の説明が表示されます。 アプリケーションのアクセス許可の説明には、通常、"サインインしているユーザーなしで" という語句が含まれます。委任されたアクセス許可の説明には、通常、"サインインしているユーザーの代わりに" という語句が含まれます。Microsoft Graph API のアクセス許可については、「Microsoft Graph のアクセス許可のリファレンス」を参照してください。 公開されるアクセス許可については、他の API のドキュメントを参照してください。
要求されているアクセス許可を把握していない場合は、同意を許可しないでください。
アクセス許可を要求しているアプリケーションとアプリケーションの発行元を把握します。
他のアプリケーションに偽装している悪意のあるアプリケーションに注意してください。
アプリケーションまたはその発行元の正当性が不明な場合は、同意を許可しないでください。 代わりに、確認を (たとえば、アプリケーションの発行元から直接) 取ります。
要求されたアクセス許可が、アプリケーションに期待される機能と一致していることを確認します。
たとえば、SharePoint サイト管理を提供するアプリケーションでは、すべてのサイト コレクションの読み取りに委任アクセスを求める場合がありますが、すべてのメールボックスへのフルアクセス、またはディレクトリ内の完全な借用権限が必要ない場合もあります。
アプリケーションが必要以上のアクセス許可を要求していると思われる場合は、同意を許可しないでください。 詳細については、アプリケーションの発行元にお問い合わせください。
テナント全体の管理者の同意を許可する
テナント全体の管理者の同意を Microsoft Entra 管理センターから許可する手順については、「アプリケーションに対してテナント全体の管理者の同意を付与する」を参照してください。
テナント全体の管理者の同意を取り消す
テナント全体の管理者の同意を取り消すには、以前にアプリケーションに付与されたアクセス許可を確認して、取り消すことができます。 詳細については、「アプリケーションに付与されるアクセス許可の確認」参照してください。 また、アプリケーションへのユーザーのサインインを無効にするか、アプリケーションを非表示にして、マイ アプリ ポータルに表示されないようにすることで、アプリケーションへのユーザーのアクセスを削除することもできます。
特定のユーザーに代わって同意を許可する
管理者は、組織全体に同意を許可するのではなく、Microsoft Graph API を使用して、1 人のユーザーに代わって委任されたアクセス許可に同意を許可することもできます。 Microsoft Graph PowerShell を使用した詳細な例については、「PowerShell を使用して 1 人のユーザーに代わって同意を許可する」を参照してください。
アプリケーションへのユーザー アクセスを制限する
テナント全体の管理者の同意が付与されている場合でも、アプリケーションへのユーザー アクセスは制限することができます。 ユーザー アクセスを制限するには、アプリケーションへのユーザー割り当てを要求します。 詳細については、ユーザーとグループの割り当て方法に関するページを参照してください。 管理者は、すべてのアプリケーションに対して、将来のすべてのユーザー同意操作を無効にすることで、アプリケーションへのユーザー アクセスを制限できます。
その他の複雑なシナリオの処理方法などについての詳細な概要については、Microsoft Entra IDを使用したアプリケーション アクセス管理に関する記事を参照してください。