Microsoft Entra ID を使用してアカウントを共有する

概要

Microsoft Entra の一部である Microsoft Entra ID では、組織が複数のユーザーに対して 1 つのユーザー名とパスワードを使用する必要がある場合があります。これは、多くの場合、次のケースで発生します:

• オンプレミスのアプリケーションであろうと、コンシューマー クラウド サービス (企業のソーシャル メディア アカウントなど) であろうと、ユーザーごとに一意のサインインおよびパスワードを必要とするアプリケーションにアクセスする場合。
• マルチユーザー環境を作成する場合。 昇格された特権を持ち、中心となるセットアップ、管理、および回復アクティビティに使われる、単一のローカルなアカウントが用意されている場合があります。 たとえば、Microsoft 365 のアプリケーション管理者アカウントや、Salesforce のルート アカウントなどです。

従来、このようなアカウントを共有するには、適切なユーザーに資格情報 (ユーザー名とパスワード) を配布するか、複数の信頼できるエージェントがアクセスできる共有の場所にそれらを格納します。

従来の共有のモデルには、以下に示すようないくつかの欠点があります。

• 新しいアプリケーションへのアクセスを有効にするには、アクセスを必要としているすべてのユーザーに資格情報を配布する必要があります。
• 共有されるアプリケーションごとに、固有の共有資格情報のセットが必要な場合があり、ユーザーは複数の資格情報セットを覚えておく必要があります。 このような場合、ユーザーは複数の資格情報セットを覚えておく必要があります (たとえば、パスワードを書き留めるなど)。
• どのユーザーがアプリケーションにアクセスできるのかはっきりしません。
• アプリケーションに "アクセスした" ユーザーを知ることはできません。
• アプリケーションへのアクセス権を削除する必要がある場合は、資格情報を更新して、アプリケーションへのアクセスを必要としているすべてのユーザーに再配布する必要があります。

Microsoft Entra アカウントの共有

Microsoft Entra ID では、共有のアカウントを使用する上で、上記の欠点を排除した新しい方法を提供します。

Microsoft Entra 管理者は、アクセス パネルを使用して、ユーザーがどのアプリケーションにアクセスできるかを構成し、そのアプリケーションに最適なシングル サインオンの種類を選択します。 その中の 1 つである パスワードベースのシングル サインオンを選択した場合、Microsoft Entra ID はアプリケーションに対するサインオン プロセス中に一種のブローカーとしての役割を果たします。

ユーザーは、組織アカウントを使用して 1 度サインインします。 このアカウントは、ユーザーがデスクトップまたは電子メールにアクセスするためによく使うものと同じです。 ユーザーは、自分が割り当てられているアプリケーションだけを検出してアクセスできます。 共有アカウントの場合は、このアプリケーション リストに任意の数の共有資格情報を含めることができます。 エンド ユーザーは、使う可能性があるさまざまなアカウントを覚えることも、書き留めておくことも必要ありません。

共有アカウントは、管理作業の強化、使いやすさの向上だけでなく、セキュリティも強化します。 資格情報の使用権限を持つユーザーには、共有パスワードが表示されるのではなく、パスワードを調整された認証フローの一部として使用する権限が与えられます。 さらに、一部のパスワード SSO アプリケーションには、Microsoft Entra ID を使って定期的にパスワードをロールオーバー (更新) するオプションがあります。 システムは大きくて複雑なパスワードを使用し、アカウントのセキュリティが強化されます。 管理者は、アプリケーションへのアクセスの許可または取り消しを簡単に行うことができ、アカウントへのアクセス権を持っているユーザーと、過去にアクセスしたユーザーを把握できます。

Microsoft Entra ID では、あらゆる種類のパスワード シングル サインオン アプリケーションについて、Enterprise Mobility Suite (EMS) または Microsoft Entra ID P1 および P2 ライセンス プランを対象とする共有アカウントがサポートされます。 アプリケーション ギャラリーに事前に統合された何千ものアプリケーションのどれとでもアカウントを共有でき、カスタム SSO アプリを使って独自のパスワード認証アプリケーションを追加できます。

アカウントの共有を有効にする Microsoft Entra の機能は、次のとおりです:

• パスワード シングル サインオン
• パスワード シングル サインオン エージェント
• グループの割り当て
• カスタム パスワード アプリケーション
• アプリケーションの使用状況に関するダッシュボード/レポート
• エンド ユーザー アクセス ポータル
• アプリケーション プロキシ
• Azure Marketplace

アカウントの共有

Microsoft Entra ID を使用してアカウントを共有するには、次の手順を実行する必要があります:

• アプリケーションをアプリケーション ギャラリーまたはカスタム アプリケーションに追加する
• パスワード シングル サインオン (SSO) に対応するようにアプリケーションを構成する
• グループ ベースの割り当てを使い、共有資格情報を入力するオプションを選ぶ

多要素認証 (MFA) を使って、共有アカウントのセキュリティをいっそう強化することもできます (詳しくは、Microsoft Entra ID でのアプリケーションのセキュリティ保護に関する記事をを参照)。 Microsoft Entra のセルフサービス グループ管理を使って、アプリケーションにアクセスできるユーザーを管理する機能を委任できます。

次のステップ

• Microsoft Entra ID でのアプリケーション管理
• 条件付きアクセスを使用したアプリケーションの保護
• セルフサービス グループの管理/SSAA