問題
あなたの会社にはMicrosoft 365テナントがあります。
すべてのユーザーがWindows 10を実行するコンピューターを持っており、Entra IDテナントに参加しています。
この会社は、Service1 という名前のサードパーティのクラウド サービスを利用しています。
Service1は、OAuthに基づくEntra ID認証と認可をサポートしています。
Service1は、Entra IDギャラリーに公開されています。
あなたは、ユーザーが認証を要求されることなくService1に接続できるようにするためのソリューションを推奨する必要があります。
ソリューションは、ユーザーがEntra IDに参加したコンピュータからのみService1にアクセスできることを保証する必要があります。
ソリューションは、管理者の労力を最小限に抑える必要があります。
各要件に対して何を推奨すべきですか?
回答
Q1:Entra IDにおけるエンタープライズアプリケーション
Q2:条件付きアクセスポリシー
解説
> Service1 という名前のサードパーティのクラウド サービスをサブスクライブしています
BOXやSalesforceのような、Microsoftが提供していない3rd Party製のアプリケーションを利用している。
> Service1は、OAuthに基づくEntra ID認証と認可をサポートしています。
3rd PartyのアプリケーションはSSOをサポートしている
> Service1は、Entra IDギャラリーに公開されています。
エンタープライズアプリケーションで登録できる一覧に記載がある
エンタープライズアプリケーション
組織で利用しているアプリケーションを管理するための、Entra IDの機能
Entra IDの「エンタープライズアプリ」ブレードから「全てのアプリケーション」を開くと、アプリを登録することができる。
登録可能なアプリはよく聞く主要な数千個のアプリケーションがあり、
BOXやSalesforce、Prismaなども登録可能
> ユーザーが認証を要求されることなくService1に接続できるようにする
SSOの設定をが必要
アプリケーションを登録すると、SSOを設定するための設定画面に飛べるので、
アプリケーション毎に必要な情報を入力して設定を行う
設問はOAuthの認証だが、SSOの認証方法についてはOAuthやSAML、パスワードベースなどにも対応している。
<参考>
> ユーザーがEntra IDに参加したコンピュータからのみService1にアクセスできる
エンタープライズアプリケーションで登録した状態ではSSOの設定のみに留まるので、
条件付きアクセスを用いてどの端末がどのアプリケーションに接続するかを制御する。
ターゲットリソースに「Service1」を選択し、許可で「デバイスは準拠~」もしくは「Entra ハイブリッド参加」を選択することで問題文の要件を満たせる。
あるいは、条件のところでデバイスフィルターを作成する。(こちらの方がより厳密)
コメント