Microsoft Entra ID を使用してアカウントを共有する
概要
Microsoft Entra の一部である Microsoft Entra ID では、組織が複数のユーザーに対して 1 つのユーザー名とパスワードを使用する必要がある場合があります。これは、多くの場合、次のケースで発生します:
- オンプレミスのアプリケーションであろうと、コンシューマー クラウド サービス (企業のソーシャル メディア アカウントなど) であろうと、ユーザーごとに一意のサインインおよびパスワードを必要とするアプリケーションにアクセスする場合。
- マルチユーザー環境を作成する場合。 昇格された特権を持ち、中心となるセットアップ、管理、および回復アクティビティに使われる、単一のローカルなアカウントが用意されている場合があります。 たとえば、Microsoft 365 のローカル "グローバル管理者" アカウントや、Salesforce のルート アカウントなどです。
これまで、このようなアカウントを共有するには、権限のあるユーザーに資格情報 (ユーザー名とパスワード) を配布するか、または信頼済みの複数のエージェントがアクセスできる共有の場所に当該アカウントを格納するということを行ってきました。
従来の共有のモデルには、以下に示すようないくつかの欠点があります。
- 新しいアプリケーションへのアクセスを有効にするには、アクセスを必要としているすべてのユーザーに資格情報を配布する必要があります。
- 各共有アプリケーションでそれぞれ固有の共有資格情報セットを必要とすることがあります。 このような場合、ユーザーは複数の資格情報セットを覚えておく必要があります (たとえば、パスワードを書き留めるなど)。
- どのユーザーがアプリケーションにアクセスできるのかはっきりしません。
- アプリケーションに アクセスした ユーザーをはっきりさせることができません。
- アプリケーションへのアクセス権を削除する必要がある場合は、資格情報を更新して、アプリケーションへのアクセスを必要としているすべてのユーザーに再配布する必要があります。
Microsoft Entra アカウントの共有
Microsoft Entra ID では、共有のアカウントを使用する上で、上記の欠点を排除した新しい方法を提供します。
Microsoft Entra 管理者は、アクセス パネルを使用して、ユーザーがどのアプリケーションにアクセスできるかを構成し、そのアプリケーションに最適なシングル サインオンの種類を選択します。 その中の 1 つである パスワードベースのシングル サインオンを選択した場合、Microsoft Entra ID はアプリケーションに対するサインオン プロセス中に一種のブローカーとしての役割を果たします。
ユーザーは、組織アカウントを使用して 1 度サインインします。 このアカウントは、ユーザーがデスクトップまたは電子メールにアクセスするためによく使うものと同じです。 ユーザーは自分が割り当てられているアプリケーションだけを検出し、アクセスすることができます。 共有アカウントの場合は、このアプリケーション リストに任意の数の共有資格情報を含めることができます。 エンド ユーザーは、使う可能性があるさまざまなアカウントを覚えることも、書き留めておくことも必要ありません。
共有アカウントは、管理作業の強化、使いやすさの向上だけでなく、セキュリティも強化します。 資格情報の使用権限を持つユーザーには、共有パスワードが表示されるのではなく、パスワードを調整された認証フローの一部として使用する権限が与えられます。 さらに、一部のパスワード SSO アプリケーションには、Microsoft Entra ID を使って定期的にパスワードをロールオーバー (更新) するオプションがあります。 システムは、大規模で複雑なパスワードを使って、アカウントのセキュリティを強化します。 管理者は、アプリケーションへのアクセス権の付与または取り消しを簡単に行うことができ、アカウントへのアクセス権を持つユーザーおよび過去にアプリケーションにアクセスしたユーザーを把握できます。
Microsoft Entra ID では、あらゆる種類のパスワード シングル サインオン アプリケーションについて、Enterprise Mobility Suite (EMS) または Microsoft Entra ID P1 および P2 ライセンス プランを対象とする共有アカウントがサポートされます。 アプリケーション ギャラリーに事前に統合された何千ものアプリケーションのいずれについてもアカウントを共有することができると共に、 カスタム SSO アプリケーションを使用して独自のパスワード認証アプリケーションを追加することができます。
アカウントの共有を有効にする Microsoft Entra の機能は、次のとおりです:
- パスワード シングル サインオン
- パスワード シングル サインオン エージェント
- グループの割り当て
- カスタム パスワード アプリケーション
- アプリケーションの使用状況に関するダッシュボード/レポート
- エンド ユーザー アクセス ポータル
- アプリケーション プロキシ
- Azure Marketplace
アカウントの共有
Microsoft Entra ID を使用してアカウントを共有するには、次の手順を実行する必要があります:
- アプリケーションをアプリケーション ギャラリーまたはカスタム アプリケーションに追加する
- パスワード シングル サインオン (SSO) に対応するようにアプリケーションを構成する
- グループ ベースの割り当てを使い、共有資格情報を入力するオプションを選ぶ
Multi-Factor Authentication (MFA) で共有アカウントの安全性を強化 (詳細については「Microsoft Entra ID によるアプリケーションのセキュリティ保護」を参照) すると共に、Microsoft Entra のセルフ サービス グループ管理を使用してアプリケーションへのアクセス権限を有するユーザーを管理する機能を委任することもできます。