Microsoft 365 アプリのアプリ認定の仕組みについて

Microsoft 365 アプリのアプリ認定の仕組みについて

先進認証の必要性を強調するさまざまな方法

ここまでで、すべての Microsoft 365 テナント管理者は、Microsoft が多くの Exchange Online 接続プロトコルの基本認証のサポートを削除していることに気付く必要があります。2022年10月までにプロセスを完了することを目指しています。SMTP AUTH は例外ですが、マイクロソフトは時間内にそれに対処します。

あなたが気づいていないかもしれないのは、先進認証を使用してMicrosoft 365データにアクセスするには、開発者が Azure AD にアプリを登録する.これは、Outlook アドイン モデルやグラフ API を含むすべての Microsoft API に適用されます。グラフ クエリを作成する PowerShell スクリプトを作成したことがある場合は、ターゲット データにアクセスするために必要なグラフのアクセス許可に対する同意を得るためにアプリを登録する必要があることがわかります。基本登録です。ISV から入手したアプリなど、より高度なアプリの登録には、アプリに関する次のような詳細情報が含まれます。 アプリのリダイレクト URL.ISV アプリの登録は、通常、アプリのインストール中に API アクセス許可でアプリを実行できるようにするサービス プリンシパル テナント管理者の同意を得た場合。

以前、テナントが Azure AD からアプリケーションの crud を一掃する必要性について説明しました。crud は、不要なアプリとそのサービス プリンシパルが Azure AD で時間の経過と共に蓄積されたもので構成されます。Graph クエリを使用してサービス プリンシパルのサインイン データを取得できるため、アクティブなサービス プリンシパルを知ることで、この演習にコンテキストを簡単に追加できます。

古いアプリケーションを一掃した後、Azure AD は整頓されているかもしれませんが、残っているアプリについて多くを知っていますか?Microsoft Defender for Cloud Apps のアプリケーション ガバナンス アドオンが役立つ場合がありますが、テナントに必要なライセンスがある場合に限ります。

マイクロソフトのアプリ コンプライアンス プログラム

幸いなことに、マイクロソフトは アプリコンプライアンスプログラムは、ゼロ トラスト イニシアチブの一部であり、テナントで実行する可能性のあるアプリをお客様が確認できるように支援します。アプリ開発者は、アプリとアプリがアクセスするデータに関する情報を提供することで、アプリの認定を取得するプロセスを実行します。プログラムには3つのフレーズまたはレベルがあります。

パブリッシャーの確認: アプリ開発者には、Microsoft 開発者ネットワーク ID があります。アプリは先進認証をサポートし、マルチテナント アクティビティが可能です。これは、認定へのエントリーレベルの参加です。

パブリッシャー構成証明: アプリ開発者は、セキュリティ、データ処理、コンプライアンスに関するアンケートに回答します。

マイクロソフト 365 認定資格: アプリ開発者がアプリの詳細を報告する代わりに、サードパーティの評価者はアサーションを監査して、アプリがセキュリティとコンプライアンスに関する Microsoft の基準を満たしていることを検証します。このプロセスは毎年行われ、監査中に収集された詳細はオンラインで入手できます。図 1 に、次の Microsoft 認定アプリの詳細を示します。 アプリケーションソース.監査情報は、アプリの Microsoft 365 認定リンクから入手できます。

AppSource のアプリ認定情報
図 1: AppSource のアプリ認定情報

オンラインで入手できるアプリ認定情報 (図 2) には、アプリ開発者がアクセス許可を使用するために管理者の同意が必要な理由など、アプリのアクセス許可の詳細が含まれています。

アプリの認定には、API のアクセス許可の文書化が含まれます。
図 2: アプリの認定には API アクセス許可の文書化が含まれる

明らかに、アプリ開発者は、アプリの認定に関する Microsoft の基準を満たすために時間と労力を投資する必要があります。しかし、完成すれば、製品に対する顧客の信頼が高まることで得られるメリットを享受する必要があります。少なくとも、それが理論です。

ダウングレードされた認定

2020 年 4 月に、Teams 管理センターの新しい[アプリの管理]セクションを確認し、Wrikeアプリの Microsoft 365 認定ステータスについてコメントしました。Teams で利用できるアプリの数は増え続けています (2020 年 4 月の 462 から、2022 年 2 月にこの記事を書いている時点では 1,402 個、または毎月約 44 個の新しいアプリ)。チェックする Teams アプリのオンライン一覧、Microsoft 365認定のアプリはほとんどありません。これは、なぜアプリ開発者がMicrosoftの監査プロセスを経る必要がないと感じるのか、あるいはWrikeのようなアプリのパブリッシャーがアプリを認定からパブリッシャー構成証明にダウングレードしたのかという疑問を投げかけます。

私はコストがそれと関係があると確信しています、そして顧客がMicrosoft 36であるアプリを探しに行かないという気持ちと一緒に5 認定済み。開発者がアプリの認定プロセスを完全に完了してもビジネス上の利点が得られない場合、なぜわざわざ?それは合理的な視点です。マイクロソフトは明らかに開発者に全力を尽くしてもらいたいと考えていますが、これは困難な戦いかもしれません。

アプリ認定が価値があることを開発者に説得するのに役立つ方法の 1 つは、アプリが “影響の少ない" アクセス許可のみを必要とする場合に、検証済みの発行元からのアプリに対する同意をユーザーに付与できるようにすることです。このアイデアは、アプリの展開と使用に摩擦が少なくて済むと、より人気があり、収益性が高いということです。

テナントの同意設定は、Azure AD 管理センター (図 3) で使用でき、影響の少ないアクセス許可と見なされるものを定義する機能が含まれています。この場合、選択したオプションでは、ユーザーは同意を付与できますが、ユーザーのプロファイルを読み取る機能など、影響の少ない 3 つのアクセス許可に対してのみ許可されます。テナントは、図 3 に示す[アクセス許可の分類]オプションを使用して、影響の少ないアクセス許可と見なされるものを定義できます。

Azure AD の同意とアクセス許可の設定
図 3: Azure AD の同意とアクセス許可の設定

ユーザーがアプリに同意を与える可能性について不安を感じる人もいるでしょう。保護手段は、同意は検証済みのパブリッシャーに対してのみ可能であるということです。反論は、開発者ができるということです 検証の達成 このステータスを真に価値のあるものにするにはあまりにも簡単です。Microsoft 365 認定アプリがしきい値であった場合、別の話が続く可能性があります。Microsoft では、ユーザーがアプリに同意できるようにしても問題ありませんが、より強力なコントロールがなければ、これは多くの組織にとってストレッチになる可能性があります。

アプリ認証へのロッキーロード

状況は複雑です。マイクロソフトは、すべてのユーザーが先進認証を使用して Microsoft 365 にアクセスすることを望んでいます。このポジションにたどり着くことは、クライアント、アプリ、ユーザー、組織にとって大きな変化を意味します。認定は、テナント内のデータに対するアプリのアクセスを顧客が理解し、制御するのに役立ちます。これは良いことですが、ISV が協力して製品を認証する場合に限ります。時間は変化を可能にします。その間は、アプリリポジトリをきれいに整頓してください。あなたはそれが理にかなっていることを知っています。

Office 365 が実際に継続的にどのように機能するかについては、 Office 365 for IT プロフェッショナル 電子ブック。毎月の更新により、Office 365 エコシステム全体で重要な点についてサブスクライバーに通知されます。

未分類

Posted by admin