こんにちは、Azure Identity チームの宮林です。
今回は Azure Active Directory における、アプリケーションの登録の制限について紹介します。
Azure Active Directory では、お客様が開発したアプリケーションを登録することで、Azure Active Directory に登録されているアカウントを利用したシングルサインオンを実現することが可能です。既定では、一般ユーザーでも、[アプリの登録] から自身で開発したアプリケーションを自由に登録することができます。一般ユーザーによるアプリケーションの登録は、Azure Active Directory 内の [ユーザー設定] にある「ユーザーはアプリケーションを登録できる」で制御が可能です。下記画面のとおり本設定は既定で「はい」となっています。
一方、ゲスト ユーザーは、「ユーザーはアプリケーションを登録できる」が「はい」となっていた場合でもアプリケーションを登録することができません。
アプリケーションの登録を制限する方法
Azure Active Directory の [ユーザー設定] で、「ユーザーはアプリケーションを登録できる」を「いいえ」に変更することによって、一般ユーザーによるアプリの登録を行えなくすることが可能です。このとき、一般ユーザーがアプリケーションの登録を行おうとすると、十分な権限が無い旨のエラーが表示されます。
なお、「ユーザーはアプリケーションを登録できる」を「いいえ」に設定した場合は、以下のロールを持つアカウントからのみ、アプリケーションの登録が可能です。
- 全体管理者
- アプリケーション管理者
- アプリケーション開発者
- クラウド アプリケーション管理者
従来、「ユーザーはアプリケーションを登録できる」を「いいえ」に設定した場合、アプリケーションを登録することができるのは全体管理者のみでした。しかし、現在では全体管理者以外にもアプリケーションの登録が可能なロールが追加されています。そのため、アプリケーションの登録の際に、必要以上の権限を与えずにアプリケーションの登録が行えます。
アプリケーション管理者など、各管理者ロールが行える操作の詳細については、以下の弊社公開情報をご参照ください。
Azure Active Directory での管理者ロールの割り当て
https://docs.microsoft.com/ja-jp/azure/active-directory/users-groups-roles/directory-assign-admin-roles
ご不明な点がございましたら弊社サポートまでお気軽にお問い合わせください。
上記内容が少しでも皆様の参考となりますと幸いです。
※本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。