次の方法で共有

アプリケーションの Microsoft Entra テスト環境を設定する

  • [アーティクル]

開発、テスト、運用のライフサイクルを通じてアプリを移動するには、Microsoft Entra テスト環境を設定します。 アプリ開発の初期段階で Microsoft Entra テスト環境を使用し、永続的なテスト環境として長期的に使用できます。

専用のテスト テナントまたは運用環境の Microsoft Entra テナントを選択する

テストに専用のテスト テナントと運用テナントのどちらを使用するかを決定する必要があります。

運用テナントを使用すると、いくつかのテストの側面を簡略化できますが、特に高い特権のシナリオでは、テスト リソースと運用リソースの間で適切な分離が必要です。

次の場合は、運用テナントを使用しないでください。

  • アプリには、管理者の同意が必要なアプリ専用のアクセス許可など、テナント全体の一意の設定が必要です。
  • テナント メンバーによるテスト リソースへの承認されていないアクセスを危険にさらすことはできません。
  • 運用環境は、構成の変更によって中断される可能性があります。
  • 運用テナントでユーザーを作成したり、データをテストしたりすることはできません。
  • 運用テナントには、必須の多要素認証など、認証中にユーザーの操作を必要とするポリシーがあります。 このような場合、統合テストに自動サインインを使用することはできません。
  • 非運用リソースを追加すると、サービスまたはスロットリング制限 を超える可能性があります。

これらの制限が適用される場合は、別のテナント テスト環境を設定します。

そうでない場合は、運用テナント テスト環境を設定できます。 運用テナントの特権ロールを持つユーザー (クラウド アプリケーション管理者など) は、いつでもリソースにアクセスして構成を変更できます。 テスト リソースまたは構成へのアクセスを禁止するには、そのデータを別のテナントに配置します。

別のテナントにテスト環境を設定する

テスト環境を別のテナントに設定すると、運用環境がテスト中に行われた変更や構成の影響を受けないようにすることができます。 テスト テナントを設定し、それをユーザーに設定し、運用テナントに一致するポリシーで構成する必要があります。

テスト テナントを取得する

まだ専用のテスト テナントがない場合は、Microsoft 365 開発者プログラムを使用して無料で作成することも、自分で手動で作成することもできます。

推奨される方法は、Microsoft 365 Developer Programに参加することです。 このプログラムは無料で、テスト ユーザー アカウントとサンプル データ パックをテナントに自動的に追加できます。

  1. Microsoft 365 Developer Program ページを開き、[今すぐ参加] をクリックします
  2. 新しい Microsoft アカウントでサインインするか、既存の (職場) アカウントを使用します。
  3. サインアップ ページで地域を選択し、会社名を入力し、プログラムの使用条件に同意してから、[次へ] 選択します。
  4. [サブスクリプションの設定] を選択します。 新しいテナントを作成するリージョンを指定し、ユーザー名とドメインを作成して、パスワードを入力します。 新しいテナントが作成され、テナントの最初の管理者が追加されます。
  5. 新しいテナントの管理者アカウントを保護するために必要なセキュリティ情報を入力します。 これにより、アカウントの多要素認証が設定されます。

テナントにユーザーを設定する

便宜上、自分と開発チームの他のメンバーをテナントのゲスト ユーザーに招待できます。 これにより、テスト テナントに個別のゲスト オブジェクトが作成されますが、企業アカウントとテスト アカウントの資格情報のセットを 1 つだけ管理する必要があることを意味します。

  1. アプリケーション開発者以上として Microsoft Entra 管理センターにサインインします。
  2. [ID]>[ユーザー]>[すべてのユーザー] の順に移動します。
  3. [新しいユーザー]>[外部ユーザーの招待] を選択し、お使いの職場アカウントのメール アドレスを招待します。
  4. アプリケーションの開発やテストのチームの他のメンバーに対して繰り返します。

テスト テナントでテスト ユーザーを作成することもできます。 Microsoft 365 サンプル パックのいずれかを使用した場合は、テナントにテスト ユーザーが既に存在している可能性があります。 そうではない場合は、テナント管理者として自分で作成できます。

  1. [ID]>[ユーザー]>[すべてのユーザー] の順に移動します。
  2. [新しいユーザー]>[新しいユーザーの作成] を選択し、お使いのディレクトリ内に新しいテスト ユーザーをいくつか作成します。

Microsoft Entra サブスクリプションを取得する (省略可能)

アプリケーションで Microsoft Entra ID P1 または P2 の機能を完全にテストする場合は、Premium P1 または Premium P2 ライセンスにテナントをサインアップする必要があります。

Microsoft 365 Developer プログラムを使用してサインアップした場合、テスト テナントには Microsoft Entra ID P2 ライセンスが付属しています。 そうでない場合でも、引き続き 1 か月間の Microsoft Entra ID P1 または P2 の無料試用版を有効にできます。

アプリの登録を作成して構成する

テスト環境で使用するアプリ登録を作成する必要があります。 これは、テスト環境と運用環境の間のセキュリティ分離を維持するために、最終的な運用アプリの登録とは別の登録である必要があります。 アプリケーションの構成方法は、ビルドするアプリの種類によって異なります。 詳細については、「アプリケーションを登録する」を参照してください。

テナントにポリシーを設定する

1 つの組織 (多くの場合、シングル テナントと呼ばれます) が主にアプリを使用し、運用テナントにアクセスできる場合は、運用テナントの設定をレプリケートして、アプリの動作に可能な限り影響を与えることで、運用環境で予期しないエラーが発生する可能性を減らします。

条件付きアクセス ポリシー

条件付きアクセス ポリシーをレプリケートすると、運用環境に移行するときに予期しないアクセスのブロックを確実に発生させず、アプリケーションで受信する可能性があるエラーを適切に処理できます。

実稼働テナントの条件付きアクセス ポリシーの表示は、条件付きアクセス管理者が実行する必要がある場合があります。

  1. [ID]、>、[エンタープライズ アプリケーション]、> の順に移動します。
  2. テナント内のポリシーの一覧を表示し、最初のポリシーを選択します。
  3. [クラウド アプリまたはアクション] に移動します。
  4. ポリシーがアプリの選択したグループにのみ適用される場合は、次のポリシーに進みます。 そうではない場合は、運用環境に移行するときにアプリにも適用される可能性があります。 ポリシーをテスト テナントにコピーする必要があります。

新しいタブまたはブラウザー セッションで、少なくとも条件付きアクセス管理者として Microsoft Entra 管理センターにサインインして、テスト テナントにアクセスします。

  1. 保護>条件付きアクセス を参照します。
  2. [新しいポリシーの作成] を選択します
  3. 前の手順によって識別された実稼働テナント ポリシーから設定をコピーします。

アクセス許可付与ポリシー

アクセス許可付与ポリシーをレプリケートすると、運用環境に移行するときに、管理者の同意を求める予期しないプロンプトが表示されることはありません。

[ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[同意とアクセス許可]>[ユーザーの同意] の設定に移動します。 そこで設定をテスト テナントにコピーします。

トークンの有効期間ポリシー

トークンの有効期間ポリシーをレプリケートすると、アプリケーションに発行されたトークンが、運用環境で予期せず期限切れになることはありません。

トークンの有効期間ポリシーは、現在は PowerShell を使用してのみ管理できます。 運用組織全体に適用されるトークンの有効期間ポリシーを特定する方法については、構成可能なトークンの有効期間に関するページを参照してください。 これらのポリシーをテスト テナントにコピーします。

実稼働テナントでテスト環境を設定する

運用環境のテナントでテスト アプリを安全に制限できる場合は、テスト目的でテナントを構成できます。

アプリの登録を作成して構成する

テスト環境で使用するアプリ登録を作成する必要があります。 これは、テスト環境と運用環境の間のセキュリティ分離を維持するために、最終的な運用アプリの登録とは別の登録である必要があります。 アプリケーションの構成方法は、ビルドするアプリの種類によって異なります。 詳細については、左側のナビゲーション ウィンドウのアプリのアプリ登録手順のシナリオに関するページを確認してください。

テスト ユーザーを作成する

シナリオのテスト中に使用するテスト データが関連付けられているテスト ユーザーを作成する必要があります。 この手順は、管理者が実行する必要がある場合があります。

  1. [ID]>[ユーザー]>[すべてのユーザー] の順に移動します。
  2. [新しいユーザー]>[新しいユーザーの作成] を選択し、お使いのディレクトリ内に新しいテスト ユーザーをいくつか作成します。

テスト ユーザーをグループに追加する (省略可能)

便宜上、これらのすべてのユーザーをグループに割り当てることができます。これにより、他の割り当て操作が簡単になります。

  1. ID>グループ>すべてのグループ を参照します。
  2. 新しいグループを選択します。
  3. グループの種類で [セキュリティ] または [Microsoft 365] を選択します。
  4. グループに名前を付けます。
  5. 前の手順で作成したテスト ユーザーを追加します。

テスト アプリケーションを特定のユーザーに制限する

ユーザー割り当てを使用して、テスト アプリケーションの使用が許可されるテナント内のユーザーを、特定のユーザーまたはグループに制限することができます。 アプリの登録を使用してアプリを作成した場合、アプリの表現も [エンタープライズ アプリケーション] で作成されています。 [エンタープライズ アプリケーション] の設定を使用して、テナントでアプリケーションを使用できるユーザーを制限します。

重要

アプリが マルチテナント アプリの場合、この操作では、他のテナントのユーザーがアプリにサインインして使用するのを制限しません。 ユーザー割り当てが構成されているテナントのユーザーのみが制限されます。

アプリをテナントの特定のユーザーに制限する方法の詳細については、一連のユーザーへのアプリの制限に関するページを参照してください。

次の手順

ここでは、Microsoft Entra の使用上の制約と、違反する可能性のあるサービスの制限について説明します。 一般的な Azure サブスクリプションとサービスの制限、クォータ、制約については、こちらを参照してください。

テスト環境の詳細については、「Microsoft Entra ID を使用した Azure 環境のセキュリティ保護」を参照してください。