パシフィックネットは、企業のDXを支援するITサブスクサービスのトップランナーです。
パシフィックネット
管理者向け!エンタープライズアプリの無断登録を防ぐ方法

投稿日:2024年7月19日

この記事でわかること

エンタープライズアプリケーションの無断登録を防ぎ、管理者の承認が必要な設定方法とその検証手順

最近、「見覚えのないアプリケーションが追加されているのですが…」という質問をいただくことがあります。“見覚えのないアプリケーション”とは、Entra ID のエンタープライズ アプリケーションに登録されているアプリケーションのことです。
管理者が認可したアプリケーションのみが含まれているはずの一覧に、見覚えのないアプリケーションが表示されていることがあるようです。

実は、エンタープライズ アプリケーションはデフォルトでは、 Microsoft Entra 管理センターを介さずに、管理者の許可なしに登録することができます。
これが原因で、管理者が気付かないままにエンタープライズ アプリケーションの数が増えてしまうことがあるのです。


  • エンタープライズ アプリケーションとは?

    エンタープライズ アプリケーションとは、既存のSaaSアプリケーションやオンプレミス アプリケーションを、Entra ID テナントに統合するための機能です。
    これにより、ユーザーは、Entra ID のシングル サインオン (SSO) を使用して、これらのアプリケーションに安全にアクセスすることができます。また、管理者はアプリケーションへのアクセス許可を管理し、アプリケーション ログを監査することができます。
  • 勝手に登録される原因とその対応方法

    セキュリティ上の懸念を抱くテナント管理者の声を受けて、今回はエンタープライズアプリケーションの登録に管理者の承認が必要となるように設定する方法を解説します。

    ※今回のコラムでは、設定手順と検証手順を紹介します。
    エンタープライズアプリのアクセス許可には、ここに紹介する以外に、[条件付きアクセス] を利用したり、ユーザーによる登録を簡略化したりなど、厳格にポリシーを適用して運用することも可能です。
    詳しいお話をお聞きになりたい場合は、弊社営業またはお問い合わせからご連絡ください。
  • 設定手順

    • 管理者として、 Microsoft Entra 管理センターにアクセスします。


      管理者として、 Microsoft Entra 管理センターにアクセスします。
    • [ID] - [アプリケーション] – [エンタープライズ アプリケーション] の順にクリックします。


      [ID] - [アプリケーション] – [エンタープライズ アプリケーション] の順にクリックします。
    • セキュリティ セクションに表示されている [同意とアクセス許可] をクリックします。


      セキュリティ セクションに表示されている [同意とアクセス許可] をクリックします。
    • ユーザーの同意設定が表示されます。管理者の同意なしに登録されることを回避するために、 [ユーザーの同意を許可しない] または [確認済みの発行元からのアプリに対して選択されたアクセス許可を与えることへのユーザーの同意を許可する (推奨)] のどちらかを選択し、[保存] をクリックします。
      ここでは、厳密に運用するために [ユーザーの同意を許可しない] を選択します。


      厳密に運用するために [ユーザーの同意を許可しない] を選択します。
    • 管理ブレードの [管理者の同意設定] をクリックします。


      管理ブレードの [管理者の同意設定] をクリックします。
    • 管理者の同意要求を [はい] に変更し、ユーザーが同意できない際に事前に設定された管理者にエスカレーションできるようにします。


      管理者の同意要求を [はい] に変更し、ユーザーが同意できない際に事前に設定された管理者にエスカレーションできるようにします。
    • レビュー担当者欄の [+ユーザーの追加] をクリックします。


      レビュー担当者欄の [+ユーザーの追加] をクリックします。
    • [管理者の同意要求のレビュー担当者を選択します] が表示されるので、アプリケーションの承認を担当する管理者を追加し、[保存] をクリックします。
      注:承認する管理者は、全体管理者、アプリケーション管理者およびクラウド アプリケーション管理者のロールを持っている必要があります。


      [管理者の同意要求のレビュー担当者を選択します] が表示されるので、アプリケーションの承認を担当する管理者を追加し、[保存] をクリックします。
    • Microsoft Entra 管理センターを閉じます。


  • 検証準備

    エンタープライズ アプリケーションのアクセス許可の検証に、Adobe Identity Management (OIDC) を使用し、クライアント アプリとして Adobe Acrobat Reader、ブラウザとして Microsoft Edge を使用します。
    • アプリケーションの削除

      • 管理者として、Microsoft Entra 管理センターにアクセスします。

        管理者として、 Microsoft Entra 管理センターにアクセスします。

      • [ID] - [アプリケーション] – [エンタープライズ アプリケーション] の順にクリックします。

        [ID] - [アプリケーション] – [エンタープライズ アプリケーション] の順にクリックします。
      • 表示されているエンタープライズ アプリケーションの一覧に [Adobe Identity Management (OIDC)] が表示されていれば、クリックします。
        一覧にない場合は、ブラウザを閉じ、検証手順(管理者による登録) に移動します。

        表示されているエンタープライズ アプリケーションの一覧に [Adobe Identity Management (OIDC)] が表示されていれば、クリックします。
      • [概要] が表示されたら、管理セクションの [プロパティ] をクリックします。

        [概要] が表示されたら、管理セクションの [プロパティ] をクリックします。
      • [プロパティ] が表示されたら、上部ナビゲーションの [削除] をクリックし、確認のポップアップが表示されるので、[はい] をクリックします。

        [プロパティ] が表示されたら、上部ナビゲーションの [削除] をクリックし、確認のポップアップが表示されるので、[はい] をクリックします。
      • ブラウザの3点リーダーをクリックし、[設定] を閉じます。

        ブラウザの3点リーダーをクリックし、[設定] を閉じます。
      • [サインアウト] が表示されていた場合、サインアウトをクリックし、アカウントの同期を解除します。

        [サインアウト] が表示されていた場合、サインアウトをクリックし、アカウントの同期を解除します。
      • ブラウザを閉じます。

    • 検証手順 (ユーザー権限での登録失敗)

      • Adobe Acrobat Reader を起動します。
        アプリがインストールされていない場合は、以下のURL からインストールします。

      • Adobe Acrobat Reader が起動したら、[ログイン] をクリックします。

        Adobe Acrobat Reader が起動したら、[ログイン] をクリックします。
      • ログインのポップアップ画面が表示されるので、[Microsoft でログイン]をクリックします。
        [Microsoft でログイン] が表示されていない場合は、[さらに表示] をクリックします。

        ログインのポップアップ画面が表示されるので、[Microsoft でログイン]をクリックします。
      • [ブラウザでログイン] のポップアップが表示されたら、開かれたブラウザに移動します。

        [ブラウザでログイン] のポップアップが表示されたら、開かれたブラウザに移動します。
      • 管理者のアカウントが表示されている場合は、[別のアカウントを使用する] をクリックします。
        アカウントの選択画面にユーザー権限のアカウントが表示されている場合は、表示されているアカウントをクリックします。

        管理者のアカウントが表示されている場合は、[別のアカウントを使用する] をクリックします。
      • サインインが表示されたら、ユーザー権限のアカウントを入力します。

        サインインが表示されたら、ユーザー権限のアカウントを入力します。
      • パスワードを入力します。

        パスワードを入力します。
      • [承認が必要です] とポップアップが表示されれば、設定は成功です。
        管理者の承認なしに登録することができない設定のため、ユーザーは理由を明記し [承認要求] をクリックして許諾を申請します。

        [承認が必要です] とポップアップが表示されれば、設定は成功です。
      • [要求送信完了]が表示されれば、ブラウザを閉じます。

        [要求送信完了]が表示されれば、ブラウザを閉じます。
    • 検証手順 (管理者による登録)

      • ブラウザを InPrivate ブラウズ モードで起動します。

        ブラウザを InPrivate ブラウズ モードで起動します。
      • 管理者アカウントで、Outlook on the webにアクセスします。

        管理者アカウントで、Outlook on the webにアクセスします。

      • 申請されたメールに記載の [要求を確認する] をクリックします。

        申請されたメールに記載の [要求を確認する] をクリックします。
      • Microsoft Entra 管理センターの [エンタープライズ アプリケーション] の [管理者の同意要求] のページが開きます。保留中のアプリをクリックします。

        Microsoft Entra 管理センターの [エンタープライズ アプリケーション] の [管理者の同意要求] のページが開きます。保留中のアプリをクリックします。
      • 詳細が表示されるので、上部ナビゲーションの [アクセス許可のレビューと同意] をクリックします。

        詳細が表示されるので、上部ナビゲーションの [アクセス許可のレビューと同意] をクリックします。
      • サインインを求められるので、管理者アカウントでサインインします。

        サインインを求められるので、管理者アカウントでサインインします。
      • [要求されているアクセス許可] のポップアップが表示されます。
        内容を確認し、[キャンセル] または [承諾] をクリックします。
        ここでは、[承諾] をクリックします。

        [要求されているアクセス許可] のポップアップが表示されます。
      • 保留中のアプリ一覧から承諾をクリックしたアプリが消えていることを確認します。

        保留中のアプリ一覧から承諾をクリックしたアプリが消えていることを確認します。
      • InPrivate ブラウズ モードで開いているブラウザを閉じます。

    • 検証手順(ユーザーによるサインイン)

      • ログイン画面が表示されているので、[もう一度ログイン] をクリックします。

        ログイン画面が表示されているので、[もう一度ログイン] をクリックします。
      • [Microsoft でログイン] をクリックします。

        [Microsoft でログイン] をクリックします。
      • ユーザー権限のアカウントでサインインします。

        ユーザー権限のアカウントでサインインします。
      • [Adobe へようこそ] が表示されたら、必要事項を記載し、[アカウント作成] をクリックします。
        すでに Adobe アカウントを作成されている場合は、表示されない場合があります。

        [Adobe へようこそ] が表示されたら、必要事項を記載し、[アカウント作成] をクリックします。<br>すでに Adobe アカウントを作成されている場合は、表示されない場合があります。
      • [設定がすべて完了しました。] と表示されたら、成功です。
        Adobe Acrobat Reader にサインインできるようになりました。ブラウザを閉じます。

        [設定がすべて完了しました。] と表示されたら、成功です。
      • Adobe Acrobat Reader に戻り、右上のアカウント アイコンをクリックし、ユーザー情報が表示されることを確認します。

        Adobe Acrobat Reader に戻り、右上のアカウント アイコンをクリックし、ユーザー情報が表示されることを確認します。

手順は以上です。

パシフィックネットは、確かな技術力をもとに、お客様に合った最適な環境をご提案・構築いたします。
ご質問やご相談がございましたら、お気軽に当社までご相談ください。

執筆者:水口 博文


ご依頼・ご相談・お見積もりは担当営業部へ

PageTop

サイト内検索

※サイト内検索機能は、Google カスタム検索を利用しています。