Azure Active Directory とアプリケーションの統合のファースト ステップ ガイド

このトピックでは、アプリケーションを Azure Active Directory (AD) と統合するためのプロセスを要約しています。 以下の各セクションには、詳細なトピックの要点が記載されており、このファースト ステップ ガイドのどの部分が自分に必要かを特定できるようになっています。

詳細な展開計画をダウンロードするには、次のステップを参照してください。

インベントリの取り込み

アプリケーションと Azure AD を統合する前に、現在地と目的地を知ることが重要です。 次の質問は、Azure AD のアプリケーション統合プロジェクトについて考える際に役立つように設計されています。

アプリケーション インベントリ

  • すべてのアプリケーションがどこに存在するか。 どのユーザーがそのアプリケーションを所有しているか。
  • どの種類の認証がアプリケーションで必要とされるか。
  • どのユーザーがどのアプリケーションにアクセスする必要があるか。
  • 新しいアプリケーションをデプロイする必要があるか。
    • 社内で開発して Azure コンピューティング インスタンスにデプロイするか。
    • Azure アプリケーション ギャラリーで利用できるものを使用するか。

ユーザーとグループのインベントリ

  • どこにユーザー アカウントが存在するか。
    • オンプレミスの Active Directory
    • Azure AD
    • 自社で所有する独立したアプリケーション データベース内
    • 承認されていないアプリケーション内
    • 上記のすべて
  • 個々のユーザーは現在どのようなアクセス許可とロールの割り当てを所有しているか。 アクセス権を見直す必要があるか、それともユーザーのアクセス権とロールの割り当てが適切であることを確認済みか。
  • オンプレミスの Active Directory でグループが既に確立されているか。
    • グループをどのように編成するか。
    • だれがグループのメンバーか。
    • グループは現在どのようなアクセス許可やロールの割り当てを所有しているか。
  • 統合する前にユーザーやグループのデータベースをクリーンアップする必要があるか。 (これは重要な質問です。 ゴミを入れるとゴミが出てきます。)

アクセス管理インベントリ

  • アプリケーションへのユーザーのアクセスを現在どのように管理しているか。 変更する必要があるか。 Azure RBAC など、他の方法でアクセスを管理することを検討したか。
  • どのユーザーが何にアクセスする必要があるか。

一部の質問にはあらかじめ回答できないこともありますが、それでもかまいません。 このガイドにより、そのような質問の一部に回答し、一部に情報に基づいて判断できるようになります。

承認されていないクラウド アプリケーションを Cloud Discovery で検出する

前に説明したように、これまで組織で管理されていなかったアプリケーションが存在する可能性があります。 インベントリのプロセスの一環で、承認されていないクラウド アプリケーションを検索することができます。 「Cloud Discovery の設定」を参照してください。

Azure AD とアプリケーションの統合

次の記事では、アプリケーションを Azure AD と統合するさまざまな方法について説明し、ガイダンスをいくつか示します。

組織に既に存在するアプリケーションや、Azure AD ギャラリーに属していないベンダーのサードパーティ アプリケーションを追加できます。 使用許諾契約書に応じて、以下の機能を使用することができます。

カスタム アプリケーションと Azure AD を統合する方法に関する開発者向けガイダンスをお探しの場合は、Azure AD の認証シナリオに関するページを参照してください。 OpenId Connect/OAuth などの最新のプロトコルを使用してユーザーを認証するアプリを開発した場合は、それを Azure portal のアプリの登録エクスペリエンスを使用して Microsoft ID プラットフォームに登録できます。

認証の種類

各アプリケーションにさまざまな認証の要件が存在する可能性があります。 Azure AD では、証明書の署名に、パスワードによるシングル サインオンだけでなく、SAML 2.0、WS-Federation、OpenID Connect プロトコルを使用するアプリケーションを使用することができます。 アプリケーション認証の種類の詳細については、「Azure Active Directory でのフェデレーション シングル サインオンの証明書の管理」とパスワード ベースのシングル サインオンに関するページを参照してください。

Azure AD アプリケーション プロキシを使用した SSO の有効化

Microsoft Azure AD アプリケーション プロキシを使用すると、プライベート ネットワーク内に置かれたアプリケーションへの、任意の場所および任意のデバイスからのアクセスを安全に許可することができます。 アプリケーション プロキシ コネクタは、環境内にインストールすると、Azure AD で簡単に構成することができます。

カスタム アプリケーションの統合

カスタム アプリケーションを Azure アプリケーション ギャラリーに追加する場合は、「アプリを Azure AD アプリ ギャラリーに公開する」を参照してください。

アプリケーションへのアクセスの管理

次の記事では、Azure AD コネクタと Azure AD を使用して Azure AD と統合した後でアプリケーションへのアクセスを管理する方法について説明します。

次のステップ

詳細については、GitHub から Azure Active Directory のデプロイ計画をダウンロードできます。 ギャラリーのアプリケーションでは、シングル サインオン、条件付きアクセス、およびユーザー プロビジョニングのデプロイ計画を Azure portal からダウンロードすることができます。

デプロイ計画を Azure portal からダウンロードするには。

  1. Azure portal にサインインする
  2. エンタープライズ アプリケーション | を選択し、 | デプロイ計画 アプリケーションを使用します。