アプリケーションの登録、承認、アクセスに関する開発者と管理者の責任

Microsoft ID プラットフォームでアプリケーションを作成する開発者は、Azure Active Directory (AD) で管理者特権を持つ IT プロフェッショナルと協力して、アプリケーションがMicrosoft ID プラットフォームを最大限に活用できるようにします。 IT 担当者が自分から何を必要とし、そこから何が必要かを知ることは、ゼロトラスト開発ワークフローを合理化するのに役立ちます。

次に、開発者と IT 担当者の役割がセキュリティで保護されたアプリケーションをビルドしてMicrosoft ID プラットフォームに展開するために必要な決定事項とタスクをまとめます。 セキュリティで保護されたアプリケーション開発の計画に役立つ重要な詳細と記事へのリンクを参照してください。

開発者

  • Microsoft Azure にアプリを登録する
  • サポートされているアカウントの種類を定義する
  • アプリが自身またはユーザーに代わって動作しているか
  • アプリケーションで必要なリソースとその必要なタイミング
  • リソースへのアクセス許可を要求するタイミング

IT プロフェッショナル管理者

  • テナントにアプリを登録できるユーザー
  • アプリケーション ユーザー、グループ、ロールの割り当て
  • アプリケーションに付与されるアクセス許可
  • 条件付きアクセス ポリシーとトークンの有効期間を含むポリシー
  • アプリケーションの代替ローカル設定

ゼロ トラストに関する考慮事項

IT Pro 管理者は、このアプリケーション (SAML) またはこのアプリケーションがアクセスするリソース (OAuth 2.0) に適用される条件付きアクセス ポリシーを決定します。 認証時に Security Assertions Markup Language (SAML) アプリに条件付きアクセス ポリシーを適用します。 OAuth 2.0 アプリケーションの場合、アプリケーションがリソースへのアクセスを試みたときに、これらを適用します。

エンティティ (個人、アプリケーション、デバイス) がアプリケーション内のリソースにアクセスする必要がある場合は、管理者特権を持つ IT 担当者と協力して、ゼロ トラストとセキュリティ ポリシーの適用オプションを確認し、アクセスを実装して適用するポリシーを決定します。 Microsoft のポリシー適用エンジンは、脅威インテリジェンス、信号処理、組織向けに既に設定されているポリシーなどに対応している必要があります。 エンティティがリソースにアクセスする必要があるたびに、ポリシー適用エンジンを通過します。

次の手順