Microsoft Entra アプリケーション ギャラリーの概要

Microsoft Entra アプリケーション ギャラリーは、Microsoft Entra ID で事前に統合されたサービスとしてのソフトウェア (SaaS) アプリケーション のコレクションです。 このコレクションには、 シングル サインオン (SSO) と 自動ユーザー プロビジョニングのデプロイと構成を簡単に行える何千ものアプリケーションが含まれています。

テナントにサインインしたときにギャラリーを見つけるには、Entra ID>、エンタープライズ アプリケーション>、すべてのアプリケーション>、新しいアプリケーションに移動します。

ギャラリーから入手できるアプリケーションは、ユーザーがインターネット経由でクラウドベースのアプリケーションに接続して使用できるようにする SaaS モデルに従います。 一般的な例としては、メール、予定表作成、オフィス ツール (Microsoft Office 365) などがあります。

ギャラリーで利用可能なアプリケーションを使用することで実現する利点を次に示します。

• ユーザーは、アプリケーションに対して考えられる最良の SSO エクスペリエンスを見つけられます。
• アプリケーションの構成は簡単で最小限です。
• クイック検索で必要なアプリケーションが検索されます。
• Free、Basic、Premium すべての Microsoft Entra ユーザーがこのアプリケーションを使用できます。
• ユーザーは、ギャラリー アプリケーションのオンボードに使用できる ステップ バイ ステップの構成チュートリアル を簡単に見つけることができます。
• 組織は、セキュリティ、コンプライアンス、法律、および一般的なカテゴリ全体で 90 を超えるリスク要因を評価する計算されたリスク スコアを使用して、アプリケーションのセキュリティを評価できます。

ギャラリー内のアプリケーション

ギャラリーには、Microsoft Entra ID に事前に統合されている何千ものアプリケーションが含まれています。 ギャラリーを使用する場合は、特定のクラウドプラットフォームのアプリケーションやおすすめのアプリケーションを使用するか、または使用するアプリケーションを検索します。

アプリケーションの検索

おすすめのアプリケーションで探しているアプリケーションが見つからない場合は、名前を指定して特定のアプリケーションを検索できます。

アプリケーションを検索するときに、シングル サインオン オプション、自動プロビジョニング、カテゴリなどの特定のフィルターを指定することもできます。

• シングル サインオン オプション – SAML、OpenID Connect (OIDC)、パスワード、またはリンクされた SSO オプションをサポートするアプリケーションを検索できます。 これらのオプションの詳細については、「 Microsoft Entra ID でのシングル サインオン展開の計画」を参照してください。
• ユーザー アカウント管理 – 使用可能な唯一のオプションは、 自動プロビジョニングです。
• カテゴリ – アプリケーションをギャラリーに追加すると、特定のカテゴリに分類できます。 ビジネス管理、コラボレーション、教育など、多くのカテゴリを利用できます。
• リスク スコア – 計算されたセキュリティ リスク スコアでアプリケーションを 1 (最高リスク) から 10 (最も低いリスク) に表示します。 このスコアは、組織のセキュリティ要件を満たすアプリケーションを識別するのに役立ちます。
• セキュリティ リスク要因 – 多要素認証、管理者監査証跡、ユーザー監査証跡、アプリケーションで使用されるデータを保護するその他のセキュリティ標準などの特定のセキュリティ対策を満たすアプリケーションを検索します。
• コンプライアンス リスク要因 – SOC 2、ISO 27001、HIPAA、その他の規制要件など、コンプライアンス標準と認定を受けるアプリケーションに絞り込み、アプリケーションが業界のベスト プラクティスを確実に満たしていることを確認します。

クラウド プラットフォーム

AWS、Google、Oracle などの主要なクラウド プラットフォームに固有のアプリケーションは、適切なプラットフォームを選択することで見つけることができます。

オンプレミスのアプリケーション

オンプレミス アプリケーションは、5 つの方法で Microsoft Entra ID に接続することができます。 1 つ目は、シングル サインオン用として、Microsoft Entra アプリケーション プロキシを使用することです。 アプリケーションで SAML または Kerberos 経由のシングル サインオンがサポートされていれば、Microsoft Entra ギャラリーのオンプレミス セクションから、次のタスクを実行できます。

• オンプレミスのアプリケーションへのリモート アクセスを有効にするようアプリケーション プロキシを構成します。
• アプリケーション プロキシを使用してオンプレミス アプリケーションへのリモート アクセスをセキュリティで保護する方法の詳細については、ドキュメントを参照してください。
• 作成したプライベート ネットワーク コネクタを管理する。

アプリケーションで Kerberos を使用し、グループ メンバーシップも必要な場合は、Microsoft Entra ID の対応するグループから Windows Server AD グループを設定できます。 詳細情報については、「Microsoft Entra クラウド同期を使ったグループ書き戻し」を参照してください。

2 つ目は、プロビジョニング エージェントを使用して、独自のユーザー ストアを持ち、Windows Server AD に依存しないオンプレミス アプリケーションにプロビジョニングすることです。 SCIM をサポートするオンプレミス アプリケーション、SQL データベースを使用するアプリケーション、LDAP ディレクトリを使用するアプリケーション、または SOAP または REST プロビジョニング API をサポートするオンプレミス アプリケーションへのプロビジョニングを構成できます。

3 つ目は、アプリごとの接続用にグローバル セキュア アクセス アプリを構成することで、Microsoft Entra Private Access を使用することです。 詳細については、「 Microsoft Entra Private Access について学習する」を参照してください。

4 つ目は、アプリケーション独自のコネクタを使用することです。 SAP S/4HANA On-premise を持っている場合なら、Microsoft Entra ID から SAP Cloud Identity Directory にユーザーをプロビジョニングします。 その後、SAP Cloud Identity Services は、SAP Cloud Identity Directory 内のユーザーを、ダウンストリームの SAP アプリケーション (たとえば SAP S/4HANA On-Premise) に SAP クラウド コネクタ経由でプロビジョニングします。 詳細については、 SAP ソース アプリとターゲット アプリを使用したユーザー プロビジョニングのための Microsoft Entra のデプロイ計画を参照してください。

5 つ目は、サード パーティの統合テクノロジを使用することです。 アプリケーションが SCIM などの標準をサポートしていない場合、パートナーは、Microsoft Entra ID をオンプレミス アプリケーションなど追加のアプリケーションと統合するために、カスタム ECMA コネクタと SCIM ゲートウェイを使用しています。 詳細については、 使用可能なパートナー主導の統合の一覧を参照してください。

おすすめのアプリケーション

Microsoft Entra ギャラリーを開くと、既定では、おすすめのアプリケーションのコレクションが一覧表示されます。 各アプリケーションには記号が付いており、フェデレーション SSO または自動プロビジョニングのどちらをサポートしているかを識別できます。

• フェデレーション SSO - 複数の ID プロバイダー間で動作するように SSO を設定すると、フェデレーションが行われます。 フェデレーション プロトコルに基づく SSO の実装を使用すると、セキュリティ、信頼性、ユーザー エクスペリエンス、実装が向上します。 一部のアプリケーションでは、SAML ベースまたは OIDC ベースのフェデレーション SSO が実装されています。 SAML アプリケーションの場合、[作成] を選択すると、アプリケーションがテナントに追加されます。 OIDC アプリケーションの場合、管理者はまずアプリケーションの Web サイトにサインアップまたはサインインして、アプリケーションを Microsoft Entra ID に追加する必要があります。
• プロビジョニング - SaaS アプリケーション プロビジョニング に対する Microsoft Entra ID は、ユーザーがアクセスする必要がある SaaS アプリケーションでユーザー ID とロールを自動的に作成することを指します。

アプリケーション リスク スコアについて

Microsoft Defender for Cloud Apps は、ギャラリー内の SaaS アプリケーションにリスク スコアを割り当てて、組織がセキュリティ体制を評価し、情報に基づいた導入の決定を行うのに役立ちます。 リスク スコア情報へのアクセスには、 Microsoft Entra Suite または Microsoft Entra Internet Access ライセンスが必要です。

各アプリケーションのスコアは 1 から 10 で、1 は最も高いリスクを示し、10 は最も低いリスクを示します。 スコアは、次の 4 つのリスク カテゴリの加重平均を使用して計算されます。

• 一般: 会社の安定性、ドメインの年齢、人気
• セキュリティ: 暗号化方法、多要素認証、監査証跡
• コンプライアンス: SOC 2、ISO 27001、HIPAA、PCI などの標準
• 法的: データ保護ポリシーと規制コンプライアンス

スコアリング モデルは、公開されているデータ、ベンダーの開示、および観察されたセキュリティ プラクティスから派生した 90 を超えるリスク要因を評価します。

このリスク評価機能は、IT 管理者が潜在的なセキュリティの脆弱性を特定し、組織のアプリケーションを選択する際にデータドリブンの意思決定を行うのに役立ちます。

アプリケーション所有者は、ギャラリーに移動して、リスク スコアの更新を要求できます。> 更新プログラムが必要なアプリを選択する -> 更新プログラムが必要な特定のリスク要因までスクロールします。> リスク要因名の右側にあるフィードバック シンボルを選択します。> スコア更新要求などのオプションを使用 して Microsoft フォームにフィードバックを送信 します。 古いアプリ データ、または新しいリスク要因の提案 -> 要求された変更に関する詳細情報を提供し、要求を送信します。

リスク スコアリング手法の詳細と、Microsoft Defender for Cloud Apps でスコア更新を要求する方法については、「 クラウド アプリを検索してリスク スコアを計算する」を参照してください。 List applicationTemplates API を使用して、アプリケーション テンプレートとそのリスク スコアにプログラムでアクセスすることもできます。

独自のアプリケーションの作成

ウィンドウの上部付近にある [ 独自のアプリケーションの作成 ] リンクを選択すると、次の選択肢を一覧表示する新しいウィンドウが表示されます。

• Microsoft Entra ID と統合するアプリケーションを登録する (開発中のアプリ) - この選択は、OpenID Connect と Microsoft Entra ID を使用するアプリケーションの統合に取り組みたい開発者を対象としています。 この選択では、ギャラリーにアプリケーションを発行する機会はありません。 統合に取り組むのは開発目的のみです。 詳細については、「アプリケーションの OIDC ベースのシングル サインオンを設定する」を参照してください。
• オンプレミス アプリケーションへのセキュリティで保護されたリモート アクセス用にアプリケーション プロキシを構成 する – この選択は、管理者がアプリケーション プロキシに接続して、オンプレミスでホストされている Web アプリケーションに対して SSO とセキュリティで保護されたリモート アクセスを有効にすることを目的とします。 詳細については、「 Microsoft Entra アプリケーション プロキシとは」を参照してください。

ギャラリーに追加するアプリを要求する

アプリケーションを Microsoft Entra ID と正常に統合し、徹底的にテストしたら、それをギャラリーへ追加するよう要求を提起できます。 ポータルからギャラリーへのアプリケーションの発行はサポートされていませんが、それを追加するよう要求するために従うことができるプロセスがあります。 ギャラリーへの発行の詳細については、[ Request new gallery application]\(新しいギャラリー アプリケーションの要求\) を選択します。

次のステップ

• 「クイック スタート: エンタープライズ アプリケーションを追加する」を使用して、最初の エンタープライズ アプリケーションを追加することから始めます。