ID は、最新の職場でのアクセスを管理するための重要なコントロール プレーンであり、ゼロ トラストの実装に不可欠です。 ID ソリューションのサポート:
- 強力な認証とアクセス ポリシーを通じてゼロトラストを実現します。
- 最小限の特権アクセスと詳細なアクセス許可。
- セキュリティで保護されたリソースへのアクセスを管理し、攻撃の爆発半径を最小限に抑える制御とポリシー。
この統合ガイドでは、独立系ソフトウェア ベンダー (ISV) とテクノロジ パートナーがMicrosoft Entra IDと統合して、顧客向けのセキュリティで保護されたゼロ トラスト ソリューションを作成する方法について説明します。
ゼロ トラストのID統合ガイド
この統合ガイドでは、Microsoft Entra IDと Microsoft 外部 ID について説明します。
Microsoft Entra IDは、Microsoft のクラウドベースの ID およびアクセス管理サービスです。 また、以下のような特徴があります。
- シングル サインオン認証
- 条件付きアクセス
- パスワードレス認証と多要素認証
- 自動ユーザー プロビジョニング
- さらに、企業が大規模な ID プロセスを保護および自動化できるようにするその他の多くの機能
Microsoft Entra 外部 IDは、企業間 ID アクセス管理 (CIAM) ソリューションです。 お客様は、Microsoft Entra 外部 IDを使用して、簡単にスケーリングし、ブランド化された Web およびモバイル アプリケーション エクスペリエンスと組み合わせた安全なホワイト ラベル認証ソリューションを実装します。 Microsoft Entra 外部 ID セクションの統合ガイダンスについて説明します。
Microsoft Entra ID
ソリューションをMicrosoft Entra IDと統合するには、さまざまな方法があります。 基本統合とは、Microsoft Entra IDの組み込みのセキュリティ機能を使用して顧客を保護することです。 高度な統合により、セキュリティ機能が強化されたソリューションがさらに 1 歩進みます。
基本的な統合と高度な統合を示す曲線パスです。基本統合には、シングル サインオンと発行元の検証が含まれます。高度な統合には、条件付きアクセス認証コンテキスト、継続的アクセス評価、および高度なセキュリティ API 統合が含まれます。
基本統合
基本統合により、Microsoft Entra IDの組み込みセキュリティ機能を使用して顧客を保護します。
シングル サインオンと発行元の確認を有効にする
シングルサインオンを有効にするには、アプリギャラリーでアプリを公開することをお勧めします。 アプリケーションがMicrosoft Entra IDと互換性があると検証されていることがわかっているため、このアプローチにより顧客の信頼が高くなります。 顧客がテナントに追加するアプリの発行元であることをユーザーが確信できるように、検証済みの発行元になることができます。
アプリ ギャラリーで発行すると、IT 管理者は、自動化されたアプリ登録を使用してソリューションをテナントに簡単に統合できます。 手動登録は、アプリケーションに関するサポートの問題の一般的な原因です。 ギャラリーにアプリを追加すると、アプリに関するこれらの問題を回避できます。
モバイル アプリの場合は、Microsoft Authentication Libraryとシステム ブラウザーを使用して、シングル サインオンを
ユーザー プロビジョニングを統合する
何千人ものユーザーを持つ組織の ID とアクセスの管理は困難です。 大規模な組織がソリューションを使用している場合は、アプリケーションとMicrosoft Entra IDの間でユーザーとアクセスに関する情報を同期することを検討してください。 これは、変更が発生したときにユーザー アクセスの一貫性を維持するのに役立ちます。
SCIM (クロスドメイン ID 管理システム) は、ユーザー ID 情報を交換するためのオープン標準です。 SCIM ユーザー管理 API を使用して、アプリケーションとMicrosoft Entra IDの間でユーザーとグループを自動的にプロビジョニングできます。
高度な統合
高度な統合により、アプリケーションのセキュリティがさらに強化されます。
条件付きアクセス認証コンテキスト
条件付きアクセス認証コンテキスト を使用すると、ユーザーが機密データまたはアクションにアクセスしたときにアプリがポリシーの適用をトリガーし、ユーザーの生産性と機密性の高いリソースのセキュリティを維持できます。
継続的アクセスの評価
継続的アクセス評価 (CAE) では、有効期間に基づいてトークンの有効期限に依存するのではなく、重要なイベントとポリシー評価に基づいてアクセス トークンを取り消すことができます。 一部のリソース API では、リスクとポリシーがリアルタイムで評価されるため、トークンの有効期間が最大 28 時間に増加する可能性があるため、アプリケーションの回復性とパフォーマンスが向上します。
セキュリティAPI
この経験では、多くの独立系ソフトウェア ベンダーは、これらの API が役に立つと考えています。
ユーザー API とグループ API
アプリケーションでテナント内のユーザーとグループを更新する必要がある場合は、Microsoft Graphを介してユーザー API とグループ API を使用して、Microsoft Entra テナントに書き戻すことができます。 API の使用方法の詳細については、
条件付きアクセス API
Conditional access は、適切なユーザーが適切なリソースに適切なアクセス権を持っていることを確認するのに役立つので、ゼロ トラストの重要な部分です。 条件付きアクセスを有効にすると、Microsoft Entra IDは、計算されたリスクと構成済みのポリシーに基づいてアクセスの決定を行うことができます。
独立系ソフトウェア ベンダーは、必要に応じて条件付きアクセス ポリシーを適用するオプションを表示することで、条件付きアクセスを利用できます。 たとえば、ユーザーが特にリスクが高い場合は、UI を使用してそのユーザーの条件付きアクセスを有効にし、Microsoft Entra IDでプログラムによって有効にすることをお勧めします。
詳細については、microsoft Graph API ドキュメントを使用して、
侵害とリスクの高いユーザー API を確認する
場合によっては、独立系ソフトウェア ベンダーは、Microsoft Entra IDの範囲外の侵害に気付く場合があります。 セキュリティ イベント(特にアカウント侵害を含むイベント)、Microsoft、および独立系ソフトウェア ベンダーは、両方の当事者から情報を共有することで共同作業を行うことができます。 セキュリティ侵害の確認 API を使用すると、対象ユーザーのリスク レベルを高に設定できます。 この API を使用すると、Microsoft Entra IDユーザーに再認証を要求したり、機密データへのアクセスを制限したりするなどして、適切に応答できます。
逆に、Microsoft Entra IDは、さまざまなシグナルと機械学習に基づいてユーザー リスクを継続的に評価します。 Risky User API を使用すると、アプリのMicrosoft Entra テナント内のすべての危険なユーザーにプログラムでアクセスできます。 独立系ソフトウェア ベンダーは、この API を使用して、ユーザーが現在のリスク レベルに合わせて適切に処理されるようにすることができます。 riskyUser リソースの種類。
固有の製品シナリオ
次のガイダンスは、特定の種類のソリューションを提供する独立系ソフトウェア ベンダー向けです。
セキュリティで保護されたハイブリッド アクセス統合 保護された企業ネットワーク内で動作するように多くのビジネス アプリケーションが作成され、これらのアプリケーションの一部はレガシ認証方法を利用しています。 企業がゼロ トラスト戦略を構築し、ハイブリッドおよびクラウドファーストの作業環境をサポートする場合、アプリをMicrosoft Entra IDに接続し、レガシ アプリケーション用の最新の認証ソリューションを提供するソリューションが必要です。 このガイドを使用して、従来のオンプレミス アプリケーションに最新のクラウド認証を提供するソリューションを作成します。
Microsoft と互換性のある FIDO2 セキュリティ キー ベンダーになる FIDO2 セキュリティ キーは、脆弱な資格情報を、サービス間で再利用、再生、共有できない強力なハードウェアベースの公開/秘密キー資格情報に置き換えることができます。 このドキュメントのプロセスに従って、Microsoft と互換性のある FIDO2 セキュリティ キー ベンダーになることができます。
Microsoft Entra 外部ID
Microsoft Entra 外部 IDは、組織外のユーザーと連携するための強力なソリューションを組み合わせたものです。 外部 ID 機能を使用すると、外部 ID がアプリとリソースに安全にアクセスできるようにすることができます。 外部パートナー、コンシューマー、ビジネス顧客のいずれと連携している場合でも、ユーザーは自分の ID を持ち込むことができます。 これらの ID は、企業または政府が発行したアカウントから、Google や Facebook などのソーシャル ID プロバイダーまで多岐に渡ります。 外部パートナー、コンシューマー、またはビジネス顧客向けのアプリのセキュリティ保護の詳細については、「 Microsoft 外部 ID の概要」を参照してください。
RESTful エンドポイントとの統合
独立系ソフトウェア ベンダーは、RESTful エンドポイントを介してソリューションを統合して、多要素認証 (MFA) とロールベースのアクセス制御 (RBAC) を有効にし、ID の検証と証明を有効にし、ボットの検出と不正防止によるセキュリティを向上させ、Payment Services Directive 2 (PSD2) Secure Customer Authentication (SCA) の要件を満たすことができます。
RESTful エンドポイントの使用方法に関するガイダンスと、RESTful API と統合されたパートナーの詳細なサンプル チュートリアルがあります。
- ID 検証と証明。これにより、お客様はエンド ユーザーの身元を確認できます
- ロールベースのアクセス制御。これにより、エンド ユーザーに対するきめ細かいアクセス制御が可能になります
- オンプレミス アプリケーションへのセキュリティで保護されたハイブリッド アクセス。これにより、エンド ユーザーは最新の認証プロトコルを使用してオンプレミスおよびレガシ アプリケーションにアクセスできます
- 不正なサインイン試行やボット攻撃からアプリケーションやエンドユーザーを守るための不正防止機能
Web アプリケーション ファイアウォール
Web Application Firewall (WAF) は、一般的な悪用や脆弱性から Web アプリケーションを一元的に保護します。 Microsoft Entra 外部 IDを使用すると、独立系ソフトウェア ベンダーは WAF サービスを統合できます。 カスタム ドメイン ( など) へのすべてのトラフィックは、常に WAF サービスを通過して、別のセキュリティ層を提供します。
WAF ソリューションを実装するには、Microsoft Entra 外部 ID のカスタム ドメインを構成します。
次の手順
- Microsoft Entra IDは何ですか?
- Microsoft Entra 外部 ID の導入
AZURE REST API (プレビュー)