次の方法で共有

チュートリアル*: アプリケーション*のアクセスとセキュリティ*を管理する

  • [アーティクル]

Fabrikam の IT 管理者は、Microsoft Entra アプリケーション ギャラリーからアプリケーションを追加して構成しました。 この時点で彼らは、アプリケーション*へのアクセスを管理、かつアプリケーション*のセキュリティを確保するために使用できる機能について理解しておく必要があります。 管理者*は、このチュートリアル*の情報を用いて、次の方法を学習します:

  • すべてのユーザー*の代理でアプリケーション*への同意*を許可*する
  • 多要素認証を有効にすることで、サインインのセキュリティを強化する
  • アプリケーション*のユーザー*に使用条件*を伝える
  • マイ アプリ* ポータル*でコレクション*を作成する*

前提条件

ヒント

この記事の手順は、開始するポータルによって若干異なる場合があります。

管理者*がテナント*に追加したアプリケーション*においては、組織*内のすべてのユーザー*がテナント*を使用できて、その使用に対する同意*を個別に要求*する必要が生じないよう、アプリケーション*をセット*する必要があります。 ユーザーの同意*が必要になるのを回避するために、管理者*は組織*内のすべてのユーザー*の代理でアプリケーション*の同意*を付与することができます。 詳細については、「同意*とアクセス許可*の概要」を参照してください。

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
  2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション] の順に移動します。
  3. テナント全体の管理者の同意を付与するアプリケーションを選択します。
  4. [セキュリティ*][アクセス許可*]を選択します。
  5. アプリケーションに必要なアクセス許可を慎重に確認します。 アプリケーションで必要なアクセス許可に同意する場合は、 [管理者の同意の付与] を選択します。

条件付きアクセス ポリシーを作成する

管理者は*、アプリケーション*に割り当てる*ユーザーだけが安全にサインイン*できるようにする必要があります。 これを行うために、多要素認証を適用するユーザー グループの条件付きアクセス ポリシーを構成する場合があります。 詳細については、「条件付きアクセスとは」をご覧ください。

グループを作成する

管理者*にとっては、アプリケーション*のすべてのユーザー*をグループ*に割り当て*、アプリケーション*へのアクセスを管理する方が簡単です。 その後、管理者*はグループ* レベル*でアクセスを管理できます。

  1. テナントの概要の左側のメニューで、[グループ]>[すべてのグループ] を選択します。
  2. ペイン*の上部にある [新しいグループ*] を選択します。
  3. グループの名前として 「MFA-Test-Group」 と入力します。
  4. [メンバー*が選択されません] を選択し、アプリケーション*に割り当て*たユーザー アカウント*を選択します。
  5. [作成] を選択します

グループ*の条件付きアクセス ポリシー*を作成する*

  1. テナントの概要の左側のメニューで、[保護] を選択します。
  2. [条件付きアクセス*][+ 新しいポリシー*][新しいポリシー*の作成] の順に選択します。
  3. ポリシーの名前を入力します (例: MFA Pilot)。
  4. [割り当て] で、 [ユーザーまたはワークロード ID] を選択します。
  5. [含める] タブ*で[ユーザー*とグループ*を選択]を選択してから、 [ユーザー*とグループ*]を選択します。
  6. 以前に作成した MFA-Test-Group を参照して選んだら、[選択]を選択します。
  7. [作成する*] はまだ選択しないでください。次のセクションでポリシー*に MFA* を追加します。

多要素認証を構成する

このチュートリアル*で、管理者*はアプリケーション*を構成する*ための基本的なステップ*を確認できますが、開始する前に MFA* のプラン*作成を検討する必要があります。 詳細については、「Microsoft Entra 多要素認証デプロイを計画する」を参照してください。

  1. [クラウド* アプリ*またはアクション*] で、 [No cloud apps, action, or authentication contexts selected](クラウド* アプリ*、アクション*、または認証*コンテキスト*が選択されません) を選択します。 このチュートリアルに関しては、[対象] タブ上で [リソースを選択] を選択してください。
  2. アプリケーション*を検索して選択し、[選択]を選択します。
  3. [アクセスの制御*][許可*]で、 [0個 のコントロール*が選択されました]を選択します。
  4. [多要素認証を要求する]チェック ボックスをオンにし、[選択]を選択します。
  5. [ポリシーを有効にする][オン] に設定します。
  6. 条件付きアクセス ポリシーを適用するには、 [作成] を選択します。

多要素認証のテスト

  1. InPrivate* またはシークレット モードで新しいブラウザー* ウィンドウ*を開き、アプリケーション*の URL* を参照します。
  2. サインイン*には、アプリケーション*に割り当て*たユーザー アカウント*を使用します。 Microsoft Entra 多要素認証に登録して使用する必要があります。 プロンプトに従って手順を完了し、Microsoft Entra 管理者センターにサインインできることを確認します。
  3. ブラウザー ウィンドウを閉じます。

使用条件*ステートメント*を作成する*

Juan は、ユーザー*がアプリケーション*の使用を開始する前に、特定のご契約条件*を認識していることを確認する必要があります。 詳細については、「Microsoft Entra使用条件」を参照してください。

  1. Microsoft Word で、新しいドキュメントを作成します。
  2. 「マイ 使用条件*」とタイプ*し、ドキュメント*をコンピューターに mytou.pdf として保存します。
  3. [管理][条件付きアクセス*] メニューで、[使用条件*]を選択します。
  4. トップ メニュー*で、[+ 新しい用語*]を選択します。
  5. [名前] ボックスに「My TOU」と入力します。
  6. [表示名] ボックスに、「My TOU」と入力します。
  7. 使用条件 PDF ファイルをアップロードします。
  8. [言語*][英語] を選択します。
  9. [ユーザー*に使用条件*の展開を要求する] では、[オン] を選択します。
  10. [条件付きアクセス ポリシー テンプレートを使用して適用します] では [カスタム ポリシー] を選択します。
  11. [作成] を選択します

使用条件*をポリシー*に追加する

  1. テナントの概要の左側のメニューで、[保護] を選択します。
  2. [条件付きアクセス] を選択し、[ポリシー] を選択します。 ポリシーの一覧から、MFA Pilot ポリシーを選択します。
  3. [アクセスの制御*][許可*]で、[0個 のコントロール*が選択されました]を選択します。
  4. [My TOU] を選択します。
  5. [選択したコントロール*すべてが必要]を選択し、[選択]を選択します。
  6. [保存] を選択します。

マイ アプリ* ポータル*でコレクション*を作成する*

マイ アプリ* ポータル*では、管理者*とユーザー*が組織*で使用されるアプリケーション*を管理できます。 詳細については、「アプリケーション*のエンド ユーザー エクスペリエンス」を参照してください。

注意

アプリケーション*は、ユーザー*がアプリケーション*に割り当て*られてから、アプリケーション*がユーザー*に表示されるよう設定された後にのみ、ユーザー*のマイ アプリ ポータル*に表示されます。 アプリケーション*をユーザー*に表示する方法 については、「アプリケーション*のプロパティを構成する*」を参照してください。

既定では、すべてのアプリケーションが 1 つのページにまとめて表示されます。 しかし、コレクションを使用して関連するアプリケーションをグループ化し、別々のタブで表示すれば、アプリケーションが見つけやすくなります。 たとえば、コレクションを使用して、特定の担当業務、タスク、プロジェクトなどに関連したアプリケーションの論理グループを作成することができます。 このセクションでは、コレクションを作成してユーザーとグループに割り当てます。

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
  2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション] の順に移動します。
  3. [管理][App Launchers](アプリ ランチャー)>[コレクション] を選びます。
  4. [新しいコレクション] を選択します。 [新しいコレクション] ページで、コレクションの名前を入力します (名前に「collection」を使用しないことをお勧めします)。 次に、説明を入力します。
  5. [アプリケーション] タブを選択します。 [+ Add application](+ アプリケーションの追加) を選択して、 [アプリケーションの追加] ページで、コレクションに追加するすべてのアプリケーションを選択するか、検索ボックスを使用してアプリケーションを検索します。
  6. アプリケーションの追加が完了したら、[追加] を選択します。 選択したアプリケーションの一覧が表示されます。 矢印を使用して、一覧内のアプリケーションの順序を変更できます。
  7. [所有者] タブをクリックします。 [+ ユーザーとグループの追加] を選択して、 [ユーザーとグループの追加] ページで、所有権を割り当てるユーザーまたはグループを選択します。 ユーザーとグループの選択が終了したら、[選択] を選択します。
  8. [ユーザーとグループ] タブを選択します。 [+ ユーザーとグループの追加] を選択して、 [ユーザーとグループの追加] ページで、コレクションを割り当てるユーザーまたはグループを選択します。 または、検索ボックスを使用して、ユーザーまたはグループを見つけます。 ユーザーとグループの選択が終了したら、[選択] を選択します。
  9. [確認と作成][作成] の順に選択します。 新しいコレクションのプロパティが表示されます。

マイ アプリ ポータルでコレクションを確認する

  1. InPrivate またはシークレット モードで新しいブラウザー ウィンドウを開き、マイ アプリ に移動します。
  2. サインイン*には、アプリケーション*に割り当て*たユーザー アカウント*を使用します。
  3. 作成したコレクションがマイ アプリ ポータルに表示されていることを確認します。
  4. ブラウザー ウィンドウを閉じます。

リソースをクリーンアップする

将来使用するためにリソース*を保持するか、このチュートリアル*で作成したリソース*を引き続き使用しない場合は、次のステップ*で削除します。

アプリケーションを削除する

  1. 左側のメニューで、 [エンタープライズ アプリケーション] を選択します。 [すべてのアプリケーション] ペインが開き、Microsoft Entra テナントのアプリケーションの一覧が表示されます。 削除するアプリケーションを検索して選択します。
  2. 左側のメニューの [管理] セクションで [プロパティ] を選択します。
  3. [プロパティ] ペインの上部で、[削除] を選択してから [はい] を選択し、Microsoft Entra テナントからアプリケーションを削除することを確定します。

条件付きアクセス ポリシーを削除する

  1. [エンタープライズ アプリケーション] を選択します。
  2. [保護] で、[条件付きアクセス] を選択します。
  3. MFA* パイロット*を検索して 選択します。
  4. ペインの上部にある [削除] を選択します。

グループを削除します

  1. [ID]>[グループ] を選択します。
  2. [すべてのグループ] ページから、[MFA-Test-Group] グループを検索して選択します。
  3. [概要] ページ*で [削除]を選択します。

次のステップ

アプリケーション*の正常性*、かつ正しく使用されていることを確認する方法については、以下を参照してください:

アプリケーション*の管理とモニター*