次の方法で共有

Microsoft Entra デプロイ シナリオ - すべてのアプリにわたる従業員とゲストのオンボーディング、ID、およびアクセスのライフサイクル ガバナンス

  • [アーティクル]

この Microsoft Entra デプロイ シナリオでは、以下の Microsoft Entra スイート製品を組み合わせてテストする方法に関する詳細なガイダンスを提供します。

これらのガイドでは、Microsoft Entra スイートの価値とその機能がどのように連携するかを示すシナリオについて説明します。

シナリオの概要

このガイドでは、架空の組織である Contoso が新しいリモート従業員を雇用し、それらの従業員に必要なアプリとリソースへの安全でシームレスなアクセスを提供するというシナリオで Microsoft Entra スイート製品を構成する方法について説明します。 Contoso は外部ユーザー (パートナー、ベンダー、顧客など) を招待して共同作業を行い、それらのユーザーに関連するアプリやリソースへのアクセスを提供したいと考えています。

Contoso は、Microsoft Entra Verified ID を使用して、新しいリモート従業員 (人事データに基づく) と外部ユーザー (メール招待に基づく) の ID と状態のデジタル証明を発行して検証します。 デジタル ウォレットには、アプリとリソースへのアクセスを許可する ID 証明と状態が保存されます。 追加のセキュリティ対策として、Contoso は資格情報に保存されている画像に基づいて顔チェック顔認識を使用して ID を検証する場合があります。

Contoso は Microsoft Entra ID Governance を使用して、検証可能な資格情報に基づいて従業員と外部ユーザーのアクセス パッケージを作成し付与します。

  • 従業員に対しては、職務権限と部署に基づいてアクセス パッケージを作成します。 アクセス パッケージには、従業員がアクセス権を必要とするクラウドとオンプレミスのアプリとリソースが含まれます。
  • 外部コラボレーターに対しては、外部ユーザー ロールとアクセス許可を定義するための招待に基づいてアクセス パッケージを作成します。 アクセス パッケージに含まれるのは、外部ユーザーがアクセス権を必要とするアプリとリソースだけです。

従業員と外部ユーザーは、セルフサービス ポータルを通してアクセス パッケージを要求できます。このポータルでは本人確認としてデジタル証明を提供します。 シングル サインオンと多要素認証を使用して、従業員と外部ユーザーの Microsoft Entra アカウントは、各自のアクセス パッケージに含まれるアプリとリソースへのアクセスを提供します。 Contoso は手動による承認やプロビジョニングの必要なしで資格情報を検証しアクセス パッケージを付与します。

Contoso は Microsoft Entra ID 保護と条件付きアクセスを使用して、アカウントを監視し危険なサインインやユーザーの動作から保護します。 Contoso は場所、デバイス、リスク レベルに基づいて適切なアクセス制御を適用します。

前提条件を構成する

ソリューションを正常にデプロイしてテストするために、このセクションで説明する前提条件を構成します。

Microsoft Entra Verified ID を構成する

このシナリオでは、以下の前提条件の手順を実行して、クイック セットアップ (プレビュー) を使用して Microsoft Entra Verified ID を構成します。

  1. カスタム ドメインの追加」の記事内の手順に従って、(クイック セットアップのために必要な) カスタム ドメインを登録します。

  2. Microsoft Entra 管理センターグローバル管理者としてサインインします。

    • [検証済み ID] を選びます。
    • 設定 を選択します。
    • [Get started](作業を開始する) を選択します。

  3. Microsoft Entra テナントに複数のドメインが登録されている場合は、Verified ID に対して使用したいドメインを選択します。

  4. セットアップ プロセスが完了すると、編集して [マイ アカウント] ページでテナントの従業員に提供できる既定のワークプレース資格情報が表示されます。

    [Verified ID] の [概要] のスクリーンショット。

  5. 各自の Microsoft Entra 資格情報を使用して、テスト ユーザーの [マイ アカウント] にサインインします。 [Verified ID の取得] を選択して、検証済みのワークプレース資格情報を発行します。

    赤い楕円で [Verified ID の取得] コントロールが強調表示された [マイ アカウント] の [概要] のスクリーンショット。

信頼された外部組織 (B2B) を追加する

このシナリオで信頼された外部組織 (B2B) を追加するには、以下の前提条件の手順に従います。

  1. セキュリティ管理者以上として Microsoft Entra 管理センターにサインインします。

  2. [ID]>[External Identities]>[テナント間アクセス設定] の順に移動します。 [組織の設定] を選択します。

  3. [組織の追加] を選択します。

  4. 組織の完全なドメイン名 (またはテナント ID) を入力します。

  5. 検索結果内の組織を選択します。 [追加] を選択します。

  6. [組織設定] で、(既定の設定からアクセス設定を継承する) 新しい組織を確認します。

    赤いボックスによって [受信アクセス] 列と [送信アクセス] 列の [既定値から継承] が強調表示されている [組織設定] のスクリーンショット。

カタログを作成する

このシナリオ用のエンタイトルメント管理カタログを作成するには、以下の手順に従います。

  1. Microsoft Entra 管理センターIdentity Governance 管理者以上としてサインインします。

  2. [ID ガバナンス]> [エンタイトルメント管理]>[カタログ] の順に移動します。

  3. [+新しいカタログ] を選択します。

    [新しいアクセス レビュー]、[エンタープライズ アプリケーション]、[すべてのアプリケーション]、[Identity Governance]、[新しいカタログ] のスクリーンショット。

  4. カタログの一意の名前と説明を入力します。 要求側はアクセス パッケージの詳細でこの情報を確認できます。

  5. このカタログに内部ユーザー専用のアクセス パッケージを作成するには、[外部ユーザーに対して有効]>[いいえ] を選択します。

    [外部ユーザーに対して有効] コントロールで [いいえ] が選択されている [新しいカタログ] のスクリーンショット。

  6. [カタログ] で、リソースの追加先とするカタログを開きます。 [リソース]>[+ リソースの追加] を選択します。

  7. [種類] の後に [グループとチーム][アプリケーション][SharePoint サイト] のいずれかを選択します。

  8. カタログに追加する種類の 1 つ以上のリソースを選択します。 [追加] を選択します。

アクセス パッケージを作成する

ソリューションを正常にデプロイしてテストするには、このセクションで説明するアクセス パッケージを構成します。

(内部) リモート ユーザー用のアクセス パッケージ

リモート (内部) ユーザー用に Verified ID を使用してエンタイトルメント管理のアクセス パッケージを作成するには、以下の手順に従います。

  1. Microsoft Entra 管理センターIdentity Governance 管理者以上としてサインインします。

  2. [Identity Governance]>[エンタイトルメント管理]>[アクセス パッケージ] の順に移動します。

  3. [新しいアクセス パッケージ] を選択します。

  4. [基本情報] では、アクセス パッケージに名前を付けます (例: "リモート ユーザー用の財務アプリ")。 前に作成したカタログを指定します。

  5. [リソース ロール] では、リソースの種類を選択します (例: グループとチーム、アプリケーション、SharePoint サイト)。 1 つ以上のリソースを選択します。

  6. [ロール] では、ユーザーに割り当てたい各リソースのロールを選択します。

    赤いボックスによって [ロール] 列が強調表示されている [リソース ロール] のスクリーンショット。

  7. [要求] では、[ディレクトリ内のユーザー] を選択します。

  8. [ユーザーとグループの選択] では、[ディレクトリ内のユーザー] を選択します。 [+ ユーザーとグループの追加] を選択します。 アクセス パッケージを要求する権利を持つ既存のグループを選択します。

  9. [必要な Verified ID] までスクロールします。

  10. [+ 発行者の追加] を選択します。 Microsoft Entra Verified ID ネットワークから発行者を選択します。 ゲスト ウォレット内の既存の検証済み ID から発行者を選択していることを確認します。

  11. 省略可能: [承認] で、ユーザーがアクセス パッケージを要求するときに承認が必要かどうかを指定します。

  12. 省略可能: [要求者情報] で、[質問] を選択します。 要求者に対して行いたい質問 (表示文字列と呼ばれます) を入力します。 ローカライズ オプションを追加するには、[ローカライズの追加] を選択します。

  13. [ライフサイクル] では、アクセス パッケージに対するユーザーの割り当ての有効期限を指定します。 ユーザーが自身の割り当てを延長できるかどうかを指定します。 [有効期限] で、アクセス パッケージ割り当ての有効期限を [日付][日数][時間][なし] のいずれかに設定します。

  14. [アクセス レビュー] では、[はい] を選択します。

  15. [開始日] では、今日の日付を選択します。 [レビュー頻度][四半期] に設定します。 [期間 (日数)] を 21 に設定します。

ゲスト (B2B) 用のアクセス パッケージ

ゲスト (B2B) 用に Verified ID を使用してエンタイトルメント管理のアクセス パッケージを作成するには、以下の手順に従います。

  1. Microsoft Entra 管理センターIdentity Governance 管理者以上としてサインインします。

  2. [Identity Governance]>[エンタイトルメント管理]>[アクセス パッケージ] の順に移動します。

  3. [新しいアクセス パッケージ] を選択します。

  4. [基本情報] では、アクセス パッケージに名前を付けます (例: "リモート ユーザー用の財務アプリ")。 前に作成したカタログを指定します。

  5. [リソース ロール] では、リソースの種類を選択します (例: グループとチーム、アプリケーション、SharePoint サイト)。 1 つ以上のリソースを選択します。

  6. [ロール] では、ユーザーに割り当てたい各リソースのロールを選択します。

    赤いボックスによって [ロール] 列が強調表示されている [リソース ロール] のスクリーンショット。

  7. [要求] では、[ディレクトリ外のユーザー] を選択します。

  8. [特定の接続済み組織] を選択します。 以前に追加した接続済み組織の一覧から選択するには、[ディレクトリの追加] を選択します。

  9. 以前に接続されていた組織を検索するには、名前またはドメイン名を入力します。

  10. [必要な Verified ID] までスクロールします。

  11. [+ 発行者の追加] を選択します。 Microsoft Entra Verified ID ネットワークから発行者を選択します。 ゲスト ウォレット内の既存の検証済み ID から発行者を選択していることを確認します。

  12. 省略可能: [承認] で、ユーザーがアクセス パッケージを要求するときに承認が必要かどうかを指定します。

  13. 省略可能: [要求者情報] で、[質問] を選択します。 要求者に対して行いたい質問 (表示文字列と呼ばれます) を入力します。 ローカライズ オプションを追加するには、[ローカライズの追加] を選択します。

  14. [ライフサイクル] では、アクセス パッケージに対するユーザーの割り当ての有効期限を指定します。 ユーザーが自身の割り当てを延長できるかどうかを指定します。 [有効期限] で、アクセス パッケージ割り当ての有効期限を [日付][日数][時間][なし] のいずれかに設定します。

  15. [アクセス レビュー] では、[はい] を選択します。

  16. [開始日] では、今日の日付を選択します。 [レビュー頻度][四半期] に設定します。 [期間 (日数)] を 21 に設定します。

  17. [特定のレビュー担当者] を選択します。 [セルフ レビュー] を選択します。

    [新しいアクセス パッケージ] のスクリーンショット。

サインイン リスクベースの条件付きアクセス ポリシーを作成する

  1. 少なくとも条件付きアクセス管理者として Microsoft Entra 管理センター にサインインします。

  2. [保護]>[条件付きアクセス]>[ポリシー] に移動します。

  3. [新しいポリシー] を選択します。

  4. "リモートのハイリスク サインイン ユーザーに関してアプリケーションを保護する" などのポリシー名を入力します。

  5. [割り当て] では、[ユーザー] を選択します。

    1. [対象] では、リモート ユーザー グループを選択するか、すべてのユーザーを選択します。
    2. [除外] では、[ユーザーとグループ] を選択します。 組織の緊急アクセスまたはブレークグラス アカウントを選択します。
    3. 完了 を選択します。

  6. [クラウド アプリまたはアクション]>[対象] では、このポリシーの対象とするアプリケーションを選択します。

  7. [条件]>[サインイン リスク] では、[構成][はい] に設定します。 [このポリシーの適用対象のサインイン リスク レベルの選択] では、[高][中] を選択します。

    1. 完了 を選択します。

  8. [アクセス制御]>[許可] では、

    1. [アクセスの許可]>[多要素認証の要求] を選択します。

  9. [セッション] で、[サインイン頻度 を選択します。 [毎回] を選択します。

  10. 設定を確認します。 [ポリシーの有効化] を選択します。

    [条件付きアクセス ポリシー]、[新規]、[サインイン リスク] のスクリーンショット。赤いボックスによって [ユーザー リスク] と [サインイン リスク] が強調表示されています。

アクセス パッケージを要求する

Verified ID 要件を使用したアクセス パッケージの構成が完了すると、そのポリシーのスコープ内のエンドユーザーは、[マイ アクセス] ポータル内でアクセスを要求できるようになります。 承認者は承認の要求をレビューする際に、要求者が提示している検証済み資格情報の要求を確認できます。

  1. リモート ユーザーまたはゲストとして、myaccess.microsoft.com にサインインします。

  2. 前に作成したアクセス パッケージ ("リモート ユーザー用の財務アプリ" など) を検索します。 一覧表示されているパッケージを参照するか、検索バーを使用することができます。 [要求] を選択します。

  3. システムは、"このアクセス パッケージへのアクセスを要求するには、検証可能な資格情報を提示する必要があります" などのメッセージと共に情報バナーを表示します。 [アクセス権の要求] を選択します。 Microsoft Authenticator を起動するには、スマートフォンで QR コードをスキャンします。 資格情報を共有します。

    [マイ アクセス]、[利用可能]、[アクセス パッケージ]、[Verified ID の提示]、[QR コード] のスクリーンショット。

  4. 資格情報の共有が完了したら、承認ワークフローに進みます。

  5. 省略可能:Microsoft Entra ID 保護のリスク検出のシミュレーション」内の手順に従います。 ユーザー リスクを中または高に引き上げることを複数回試さなければいけない場合があります。

  6. このシナリオ用に作成済みであるアプリケーションへのアクセスを試して、アクセスがブロックされていることを確認します。 ブロックが適用されるには最大 1 時間待たなければいけない場合があります。

  7. サインイン ログを使用して、先ほど作成した条件付きアクセス ポリシーによってアクセスがブロックされていることを検証します。 ZTNA Network Access Client -- Private アプリケーションから非対話型サインイン ログを開きます。 作成済みであるプライベート アクセス アプリケーションの名前をリソース名としてログを確認します。

関連するコンテンツ