Azure Active Directory でのアプリケーションのエンド ユーザー エクスペリエンスEnd-user experiences for applications in Azure Active Directory

Azure Active Directory (Azure AD) には、組織内のエンド ユーザーにアプリケーションをデプロイするためのカスタマイズ可能な方法が複数用意されています。Azure Active Directory (Azure AD) provides several customizable ways to deploy applications to end users in your organization:

  • Azure AD アクセス パネルAzure AD access panel
  • Office 365 アプリケーション起動プログラムOffice 365 application launcher
  • フェデレーション アプリへの直接サインオンDirect sign-on to federated apps
  • フェデレーション アプリ、パスワードベースのアプリ、または既存のアプリへのディープ リンクDeep links to federated, password-based, or existing apps

管理者は、自分の判断で、組織内でのデプロイにどの方法を使用するかを決定することができます。Which method(s) you choose to deploy in your organization is your discretion.

Azure AD アクセス パネルAzure AD access panel

アクセス パネル (https://myapps.microsoft.com ) は Web ベースのポータルで、Azure Active Directory の組織アカウントを持つエンド ユーザーが、Azure AD 管理者によってアクセスを許可されたクラウドベースのアプリケーションを表示および起動することができます。The Access Panel at https://myapps.microsoft.com is a web-based portal that allows an end user with an organizational account in Azure Active Directory to view and launch cloud-based applications to which they have been granted access by the Azure AD administrator. Azure Active Directory Premium のエンド ユーザーの場合、アクセス パネルを介してセルフサービスのグループ管理機能を利用することもできます。If you are an end user with Azure Active Directory Premium, you can also utilize self-service group management capabilities through the Access Panel.

Azure AD アクセス パネル ポータルのスクリーンショット

既定では、すべてのアプリケーションが 1 つのページにまとめて表示されます。By default, all applications are listed together on a single page. しかし、ワークスペースを使用して関連するアプリケーションをグループ化し、別々のタブで表示すれば、アプリケーションが見つけやすくなります。But you can use workspaces to group together related applications and present them on a separate tab, making them easier to find. たとえば、ワークスペースを使用して、特定の担当業務、タスク、プロジェクトなどに関連したアプリケーションの論理グループを作成することができます。For example, you can use workspaces to create logical groupings of applications for specific job roles, tasks, projects, and so on. 詳細については、マイ アプリ ワークスペースを使用してユーザー アクセス パネルをカスタマイズする方法 (プレビュー) に関するページを参照してください。For information, see How to use My Apps workspaces to customize user access panels (preview).

アクセス パネルは Azure Portal から独立しているため、ユーザーが Azure サブスクリプションまたは Office 365 サブスクリプションを持っている必要はありません。The Access Panel is separate from the Azure portal and does not require users to have an Azure subscription or Office 365 subscription.

Azure AD アクセス パネルの詳細については、「 アクセス パネルの概要」を参照してください。For more information on the Azure AD access panel, see the introduction to the access panel.

Office 365 アプリケーション起動プログラムOffice 365 application launcher

Office 365 をデプロイしている組織では、Azure AD を介してユーザーに割り当てられているアプリケーションは Office 365 ポータル (https://portal.office.com/myapps) にも表示されます。For organizations that have deployed Office 365, applications assigned to users through Azure AD will also appear in the Office 365 portal at https://portal.office.com/myapps. これにより、組織のユーザーは、2 つ目のポータルを使用することなく簡単かつ手軽にアプリを起動できます。これは、Office 365 を使用する組織に対して推奨されるアプリ起動ソリューションです。This makes it easy and convenient for users in an organization to launch their apps without having to use a second portal, and is the recommended app launching solution for organizations using Office 365.

Office 365 ポータルを示すスクリーンショット

Office 365 アプリケーション起動プログラムの詳細については、 Office 365 アプリ起動プログラムにアプリを表示する方法に関するページを参照してください。For more information about the Office 365 application launcher, see Have your app appear in the Office 365 app launcher.

フェデレーション アプリへの直接サインオンDirect sign-on to federated apps

SAML 2.0、WS-Federation、または OpenID Connect をサポートするほとんどのフェデレーション アプリでは、ユーザーがアプリケーションから開始し、自動リダイレクトかサインイン用リンクのクリックによって Azure AD 経由でサインインする機能もサポートしています。Most federated applications that support SAML 2.0, WS-Federation, or OpenID connect also support the ability for users to start at the application, and then get signed in through Azure AD either by automatic redirection or by clicking on a link to sign in. これはサービス プロバイダーによって開始されるサインオンと呼ばれ、Azure AD アプリケーション ギャラリーのほとんどのフェデレーション アプリケーションでこの機能がサポートされています (詳細については、Azure portal のアプリのシングル サインオンの構成ウィザードからリンクされているドキュメントを参照してください)。This is known as service provider -initiated sign-on, and most federated applications in the Azure AD application gallery support this (see the documentation linked from the app’s single sign-on configuration wizard in the Azure portal for details).

モバイル アプリ サインイン ページの例

Azure AD では、パスワードベースのシングル サインオン、リンクされたシングル サインオン、任意の形式のフェデレーション シングル サインオンをサポートする個々のアプリケーションへの直接シングル サインオン リンクもサポートされます。Azure AD also supports direct single sign-on links to individual applications that support password-based single sign-on, linked single sign-on, and any form of federated single sign-on.

これらのリンクは、特定のアプリケーションについてユーザーを Azure AD サインイン プロセスに送るための特別に生成された URL です。ユーザーは、Office 365 または Azure AD アクセス パネルからアプリケーションを起動する必要はありません。These links are specifically crafted URLs that send a user through the Azure AD sign-in process for a specific application without requiring the user launch them from the Azure AD access panel or Office 365. これらのユーザー アクセス URL は、使用できるエンタープライズ アプリケーションのプロパティの下にあります。These User access URLs can be found under the properties of available enterprise applications. Azure portal で、 [Azure Active Directory] > [エンタープライズ アプリケーション] を選択します。In the Azure portal, select Azure Active Directory > Enterprise applications. アプリケーションを選択し、 [プロパティ] を選択します。Select the application, and then select Properties.

Twitter プロパティのユーザー アクセス URL の例

これらのリンクをコピーして任意の場所に貼り付けることにより、選択したアプリケーションへのサインイン リンクを提供できます。These links can be copied and pasted anywhere you want to provide a sign-in link to the selected application. これらのリンクは、電子メールや、ユーザー アプリケーション アクセス用に設定した任意のカスタムの Web ベースのポータルに貼り付けることができます。This could be in an email, or in any custom web-based portal that you have set up for user application access. Twitter 用の Azure AD 直接シングル サインオン URL の例を次に示します。Here's an example of an Azure AD direct single sign-on URL for Twitter:

https://myapps.microsoft.com/signin/Twitter/230848d52c8745d4b05a60d29a40fced

アクセス パネルの組織に固有の URL と同様、myapps.microsoft.com ドメインの後にディレクトリのアクティブ ドメインまたは検証済みのドメインの 1 つを追加して、この URL をカスタマイズすることもできます。Similar to organization-specific URLs for the access panel, you can further customize this URL by adding one of the active or verified domains for your directory after the myapps.microsoft.com domain. これにより、サインイン ページで組織のブランド設定が即座に読み込まれ、ユーザーが最初にユーザー ID を入力する必要がなくなります。This ensures any organizational branding is loaded immediately on the sign-in page without the user needing to enter their user ID first:

https://myapps.microsoft.com/contosobuild.com/signin/Twitter/230848d52c8745d4b05a60d29a40fced

許可されたユーザーがこれらのアプリケーションに固有のリンクのいずれかをクリックすると、最初に組織のサインイン ページ (まだ署名されていない状態を想定) が表示され、サインイン後は最初にアクセス パネルで停止することなくアプリにリダイレクトされます。When an authorized user clicks on one of these application-specific links, they first see their organizational sign-in page (assuming they are not already signed in), and after sign-in are redirected to their app without stopping at the access panel first. パスワードベースのシングル サインオン用ブラウザー拡張機能など、ユーザーがアプリケーションにアクセスするための前提条件を満たしていない場合、リンクをクリックすると、ユーザーは不足している拡張機能をインストールするよう要求されます。If the user is missing pre-requisites to access the application, such as the password-based single sign browser extension, then the link will prompt the user to install the missing extension. アプリケーションのシングル サインオン構成が変更された場合でもリンク URL は変わりません。The link URL also remains constant if the single sign-on configuration for the application changes.

これらのリンクにはアクセス パネルや Office 365 と同じアクセス制御メカニズムが使用され、Azure portal でアプリケーションに割り当てられているユーザーまたはグループのみが正常に認証されます。These links use the same access control mechanisms as the access panel and Office 365, and only those users or groups who have been assigned to the application in the Azure portal will be able to successfully authenticate. ただし、許可されていないユーザーには、アクセスが与えられていないことを示すメッセージと、アクセスが許可されている使用可能なアプリケーションを表示するアクセス パネルを呼び出すためのリンクが示されます。However, any user who is unauthorized will see a message explaining that they have not been granted access, and are given a link to load the access panel to view available applications for which they do have access.

次の手順Next steps

Azure Active Directory のデプロイ計画」で、デプロイ計画を確認するFor deployment plans, see Azure Active Directory deployment plans