Microsoft Entra ID は、Microsoft のクラウドベースの ID およびアクセス管理サービスです。 Microsoft Entra ID は、顧客、パートナー、従業員が必要なアプリケーションにアクセスできるように、セキュリティで保護された認証および承認ソリューションを提供します。 Microsoft Entra ID、 条件付きアクセス、 多要素認証、 シングル サインオン (SSO)、 自動ユーザー プロビジョニングにより 、ID とアクセスの管理が簡単かつ安全になります。
SaaS アプリを Microsoft Entra ID に統合して、それらのアクセスを監視および構成できるようにします。 Microsoft Entra ID には、Microsoft Entra ID で事前に統合された SaaS アプリのコレクションであるアプリケーション ギャラリーがあります。 独自のカスタム アプリを追加することもできます。 詳細については、 すべてのアプリを Microsoft Entra ID と統合するための 5 つの手順を参照してください。
Microsoft Entra ID にアプリを追加した後、 ゼロ トラスト ID とデバイス アクセス ポリシーのスコープにアプリを含めることで、アプリへのアクセス方法と特定の条件に従う方法を構成できます。
Microsoft Defender for Cloud Apps が既にデプロイされている場合は、組織内で使用されている SaaS アプリを検出できます。 詳細については、 このソリューションの手順 2 を参照し、 ネットワーク内のシャドウ IT を検出して管理します。
Microsoft Entra ID でのアプリの追加
Microsoft Entra ID にアプリを追加すると、次のようなサービスを活用できます。
- アプリケーションの認証と認可。
- ユーザーの認証と認可。
- フェデレーションまたはパスワードを使用した SSO。
- ユーザーのプロビジョニングと同期。
- Microsoft Entra を使用してアプリケーション ロールを定義し、アプリケーションでロールベースの承認チェックを実行するロールベースのアクセス制御。
- OAuth 承認サービス。API とリソースへのアクセスを承認するために Microsoft 365 やその他の Microsoft アプリケーションによって使用されます。
- プライベート ネットワークからインターネットにアプリケーションを発行するためのアプリケーションの発行とプロキシ。
- Microsoft Entra ID に追加データを格納するためのディレクトリ スキーマ拡張属性。
Microsoft Entra ID でアプリを追加するには、いくつかの方法があります。 アプリの管理を開始する最も簡単な方法は、アプリケーション ギャラリーを使用することです。 カスタム アプリを追加することもできます。 このセクションでは、両方の方法について説明します。
アプリケーション ギャラリーからアプリを追加する
Microsoft Entra ID には、Microsoft Entra ID で事前に統合された SaaS アプリのコレクションを含むアプリケーション ギャラリーがあります。 Microsoft Entra 管理センターにサインインし、特定のクラウド プラットフォーム、注目のアプリケーションからアプリケーションを選択するか、使用するアプリケーションを検索します。
詳細については、「 エンタープライズ アプリケーションの追加 」および 「Microsoft Entra アプリケーション ギャラリーの概要」を参照してください。
Microsoft Entra アプリ ギャラリーでのカスタム アプリの追加
独自のカスタム クラウド アプリを開発し、Microsoft Entra ID に登録できます。 それらを Microsoft Entra ID に登録すると、Microsoft 365 テナントによって提供されるセキュリティ機能を利用できます。 Microsoft Entra 管理センターでは、アプリケーションをアプリ登録に登録することも、エンタープライズ アプリケーションで新しいアプリケーションを追加するときに [独自のアプリケーションの作成] リンクを使用して登録することもできます。
詳細については、「 Microsoft Entra ID でのアプリケーション管理とは」 および「 Microsoft Entra アプリケーション ギャラリーでアプリケーションを発行するように要求する」を参照してください。
ゼロ トラスト ID とデバイス アクセス ポリシーのスコープにアプリを追加する
条件付きアクセス ポリシーを使用すると、特定のアプリケーション、アクション、または認証コンテキストに制御を割り当てることができます。 リソースにアクセスできるデバイスの種類、ユーザー リスク レベル、信頼できる場所、その他の条件 (強力な認証など) を定義できます。 たとえば、多要素認証 (MFA) は、2 番目の形式の検証を要求することで、追加のセキュリティでデータとアプリケーションへのアクセスを保護するのに役立ちます。
Microsoft Entra ID でアプリを追加した後、ゼロ トラスト ID とデバイス アクセス ポリシーのスコープにアプリを追加する必要があります。
一般的なポリシーの更新
次の図は、SaaS アプリと PaaS アプリのゼロ トラスト ID とデバイス アクセス ポリシーを示しています。SaaS アプリを含むようにスコープを変更する必要がある一般的な条件付きアクセス ポリシーのセットが強調表示されています。
更新するポリシーごとに、アプリとその依存サービスがクラウド アプリの割り当てに含まれていることを確認します。
次の表に、 一連の共通 ID とデバイス アクセス ポリシーの各ポリシーへのリンクを含む、確認する必要があるポリシーの一覧を示します。
| 保護レベル | Policies | Description |
|---|---|---|
| 出発点 | サインイン リスクが中または高のときに MFA を要求する | クラウド アプリと依存サービスがアプリの一覧に含まれていることを確認します。 |
| 先進認証をサポートしていないクライアントをブロックする | クラウド アプリの割り当てにアプリと依存サービスを含めます。 | |
| 危険度の高いユーザーはパスワードを変更する必要がある | アカウントに対してリスクの高いアクティビティが検出された場合、サインイン時にアプリ ユーザーにパスワードの変更を強制します。 | |
| APP データ保護ポリシーを適用する | クラウド アプリと依存サービスがアプリの一覧に含まれていることを確認します。 各プラットフォーム (iOS、Android、Windows) のポリシーを更新します。 | |
| エンタープライズ | サインイン リスクが低、中、または高のときに MFA を要求する | クラウド アプリと依存サービスがアプリの一覧に含まれていることを確認します。 |
| 準拠している PC とモバイル デバイス を 要求する | クラウド アプリと依存サービスがアプリの一覧に含まれていることを確認します。 | |
| 特殊なセキュリティ | 常に MFA を要求する | ユーザー ID に関係なく、組織は MFA を使用します。 |
詳細については、「 SaaS アプリに推奨される Microsoft Defender for Cloud Apps ポリシー」を参照してください。
次のステップ
手順 2 に進み、Defender for Cloud Apps ポリシーを作成します。