Microsoft Entra 外部 ID のセキュリティとガバナンス

適用対象: 従業員テナント 外部テナント (詳細情報)

Microsoft Entra ID に顧客機能を統合することは、Microsoft Entra ID で利用できる高度なセキュリティとガバナンスの機能の恩恵を顧客のシナリオで受けられることを意味します。 顧客は、優先する認証方法を使用して、アプリケーションにセルフサービスで登録できます。 これらの方法には、Facebook、Google、Apple、カスタム構成の OpenID Connect (OIDC) ID プロバイダーなどの ID プロバイダーを介したソーシャル アカウントが含まれます。 また、多要素認証 (MFA)、条件付きアクセス、Microsoft Entra ID 保護などの機能を使用して、脅威を軽減してリスクを検出できます。

条件付きアクセス

Microsoft Entra 条件付きアクセスは、決定を行い、セキュリティ ポリシーを適用するためにシグナルをまとめます。 条件付きアクセス ポリシーは、簡単に言えば、(if) ユーザーがアプリケーションにアクセスする場合、(then) ユーザーはアクションを完了する必要があるという if-then ステートメントです。

条件付きアクセス ポリシーは、ユーザーが第 1 段階認証が完了した後で適用されます。 たとえば、ユーザーのサインイン リスク レベルが高い場合は、アクセスを取得するために MFA を実行する必要があります。 または、最も制限の厳しいアプローチは、アプリケーションへのアクセスをブロックすることです。

多要素認証 (MFA)

Microsoft Entra MFA を使用すると、ユーザーにとってのシンプルさを確保しながら、データやアプリケーションへのアクセスを保護することができます。 Microsoft Entra 外部 ID は、Microsoft Entra MFA と直接統合されるため、2 段階目の認証を要求することで、サインアップとサインインのエクスペリエンスにセキュリティを付加できます。 MFA は、アプリに対して適用したいセキュリティの範囲に応じて微調整できます。 以下のようなシナリオが考えられます。

• 顧客に 1 つのアプリを提供し、追加のセキュリティを実現するために MFA を有効にしたいものとします。 すべてのユーザーとアプリを対象とする条件付きアクセス ポリシーで MFA を有効にすることができます。

• 顧客に複数のアプリを提供するものの、すべてのアプリケーションで MFA を要求するわけではないものとします。 たとえば、顧客が自動車保険アプリケーションにサインインするにはソーシャルまたはローカル アカウントを使用できますが、同じディレクトリに登録されている住宅保険アプリケーションにアクセスするには事前に電話番号を確認する必要があるような場合です。 条件付きアクセス ポリシーでは、MFA を適用するアプリのみを除くすべてのユーザーを対象にすることができます。

外部テナントでの MFA の詳細について学習するか、多要素認証を有効にする方法を確認してください。

ID 保護

Microsoft Entra ID 保護は、外部テナント用の継続的なリスク検出を提供します。 これにより、ユーザーは ID ベースのリスクを検出、調査し、修復できます。 ID 保護によって、組織は以下の 3 つの主要なタスクを実行することができます。

• ID ベースのリスクの検出と修復を自動化します。

• ポータルのデータを使用してリスクを調査します。

• リスク検出データを他のツールにエクスポートします。

ID 保護には、外部テナント内の ID のリスクを調査するために使用できるリスク レポートが用意されています。 詳細については、「Microsoft Entra 外部 ID での ID 保護を使用したリスクの調査」を参照してください。

アプリのユーザー認証の傾向を分析する

[使用状況と分析情報] のアプリケーション ユーザー アクティビティ機能では、テナントに登録されているアプリケーションのユーザー アクティビティに関するデータ分析を提供します。 この機能を使用すると、ユーザー要求と認証の傾向の表示、クエリの実行、分析を行うことができます。 変更、アクセス パターン、潜在的なセキュリティ侵害を追跡するのに役立ちます。

詳細については、アプリケーション ユーザー アクティビティ ダッシュボードに関する記事を参照してください。

次のステップ

• 顧客 ID およびアクセス管理の計画