「ユーザーはアプリケーションを登録できる」の設定について

こんにちは、Azure Identity チームの宮林です。 今回は Azure  Active Directory における、アプリケーションの登録の制限について紹介します。   Azure Active Directory では、お客様が開発したアプリケーションを登録することで、Azure Active Directory に登録されているアカウントを利用したシングルサインオンを実現することが可能です。既定では、一般ユーザーでも、[アプリの登録] から自身で開発したアプリケーションを自由に登録することができます。一般ユーザーによるアプリケーションの登録は、Azure  Active Directory 内の [ユーザー設定] にある「ユーザーはアプリケーションを登録できる」で制御が可能です。下記画面のとおり本設定は既定で「はい」となっており、この状態での運用をお勧めします (お勧めしている理由は後述します)。 一方、ゲスト ユーザーは、「ユーザーはアプリケーションを登録できる」が「はい」となっていた場合でもアプリケーションを登録することができません。     ユーザーがアプリケーションを登録できる状態を推奨する理由 管理者としては、一般のユーザーにアプリケーションを登録できるようにしておくことについて抵抗感を持たれるようなことがあるのではないかとも思います。 しかし、この設定を「いいえ」に設定してユーザーによる登録を制限した場合には、ユーザーは自身で Azure Active Directory のテナントを作成して組織の管理が及ばないテナントにアプリケーションを登録して作業を行う可能性が高くなります。このような状況は、いわゆるシャドー IT を促進してしまうことに繋がるため、「ユーザーはアプリケーションを登録できる」の設定を「はい」にすることを推奨しています。 組織で管理されているユーザーがビジネスを目的として組織アカウントを使用してアプリケーションを利用されることで、管理者はどのようなアプリケーションが、どのユーザーによって利用されているか確認することができます。また、その利用が適切でない場合には、ユーザーに注意を促すこともできますし、ユーザーが組織を離れた場合にも、その組織アカウントを削除することでアプリケーションへのアクセスも停止させることができるなど一元管理のメリットを得られます。 アプリケーションの追加に関して、以下の公開情報を併せてご参照ください。   アプリケーションを Azure AD に追加する方法と理由 https://docs.microsoft.com/ja-jp/azure/active-directory/develop/active-directory-how-applications-are-added   アプリケーションの登録を制限する方法 Azure Active Directory の [ユーザー設定] で、「ユーザーはアプリケーションを登録できる」を「いいえ」に変更することによって、一般ユーザーによるアプリの登録を行えなくすることが可能です。このとき、一般ユーザーがアプリケーションの登録を行おうとすると、十分な権限が無い旨のエラーが表示されます。 なお、「ユーザーはアプリケーションを登録できる」を「いいえ」に設定した場合は、以下のロールを持つアカウントからのみ、アプリケーションの登録が可能です。 全体管理者 アプリケーション管理者…

0

Azure MFA を求められるタイミングについて

こんにちは、Azure ID チームの田中です。 Azure AD では、ユーザー名、パスワードによるサインインだけでなく、多要素認証(MFA) を簡単に構成することができます。 私たちのサポートチームでは多要素認証(MFA) についてよくお問い合わせをいただくのですが、 今回はMFA を有効化しているのにも関わらず、MFA を求められないことがあるということで、Azure MFA を要求されないケースについて、その理由を含めて紹介します。   MFAとは? Multi-Factor Authentication の略で、ユーザー名・パスワードの認証にプラスして別の認証を求める機能を指します。 例えば社内ネットワーク以外からのアクセスであれば、ユーザー名とパスワードだけではなく、SMS 認証を強制することが可能になり、セキュリティをさらに高めることができます。 Azure の機能では電話認証(電話・SMS)、Authenticator アプリを使用した認証を提供しています。   ・参考情報 Azure Multi-Factor Authentication とは https://docs.microsoft.com/ja-jp/azure/active-directory/authentication/multi-factor-authentication   Azure MFA を再び要求されないのは果たして安全なのか 初回 MFA を要求された後に MFA を求められなくなるシナリオとしては大きく分けて2つあります。   A. MFA の画面で多要素認証の記憶がオンになっている B. 各種トークンが使用されている   ここではそれぞれのシナリオについて、その理由と解決策、セキュリティ面をご説明致します。   A. MFA の画面で多要素認証の記憶がオンになっている ユーザーが Azure AD…

0

Azure AD プロビジョニング機能について

こんにちは、 Azure & Identity サポート チームの平形です。 今回は、Azure AD のプロビジョニング機能についてご紹介します。   プロビジョニングは Azure AD と連携する主に他社から提供されている SaaS アプリケーションに Azure AD 上に存在するアカウント情報を自動で作成・更新・削除を行う機能です。オンプレミスの Active Directory と Azure Active Directory 間は Azure AD Connect で同期できますが (Azure AD 視点でアカウントを利用できるようにするという意味でプロビジョニングと呼ぶこともできます)、更に Azure AD と連携している SaaS アプリケーションが利用するアカウント情報を同期させることで (今回の Blog で紹介するプロビジョニングです)、それぞれのアカウントを一元管理し、シングル サインオンを実現できます。   今回はプロビジョニング機能の概要とよくあるお問い合わせを紹介します。 プロビジョニングは大まかに分けると以下のフローに分けて処理が行われます。 (括弧内は Azure AD 監査ログに出力されるアクティビティです)   プロビジョニングの初期同期 テナント上のユーザー・グループ オブジェクト情報を属性マッピングで定義された値に基づき抽出する。 (Import) 1….

0