次の方法で共有

アプリケーションの Microsoft Entra テスト環境を設定する

開発、テスト、運用のライフサイクルを通じてアプリを移動するには、Microsoft Entra テスト環境を設定します。 アプリ開発の初期段階で Microsoft Entra テスト環境を使用し、永続的なテスト環境として長期的に使用できます。

専用のテスト テナントまたは運用環境の Microsoft Entra テナントを選択する

テストに専用のテスト テナントと運用テナントのどちらを使用するかを決定する必要があります。

運用テナントを使用すると、いくつかのテストの側面を簡略化できますが、特に高い特権のシナリオでは、テスト リソースと運用リソースの間で適切な分離が必要です。

次の場合は、運用テナントを使用しないでください。

  • アプリには、管理者の同意が必要なアプリ専用のアクセス許可など、テナント全体の一意の設定が必要です。
  • テナント メンバーによるテスト リソースへの承認されていないアクセスを危険にさらすことはできません。
  • 運用環境は、構成の変更によって中断される可能性があります。
  • 運用テナントでユーザーを作成したり、データをテストしたりすることはできません。
  • 運用テナントには、必須の多要素認証など、認証中にユーザーの操作を必要とするポリシーがあります。 このような場合、統合テストに自動サインインを使用することはできません。
  • 非本番リソースを追加することで 、サービスまたはスロットリングの上限 を超える可能性があります。

これらの制限が適用される場合は、 別のテナントにテスト環境を設定します

そうでない場合は、 実稼働テナントでテスト環境を設定できます。 運用テナントの特権ロールを持つユーザー (クラウド アプリケーション管理者など) は、いつでもリソースにアクセスして構成を変更できます。 テスト リソースまたは構成へのアクセスを禁止するには、そのデータを別のテナントに配置します。

別のテナントにテスト環境を設定する

テスト環境を別のテナントに設定すると、運用環境がテスト中に行われた変更や構成の影響を受けないようにすることができます。 テスト テナントを設定し、それをユーザーに設定し、運用テナントに一致するポリシーで構成する必要があります。

テスト テナントを取得する

まだ専用のテスト テナントがない場合は、Microsoft 365 開発者プログラムを使用して無料で作成することも、自分で手動で作成することもできます。

Microsoft 365 開発者プログラムに参加することをお勧めします。 このプログラムは無料で、テスト ユーザー アカウントとサンプル データ パックをテナントに自動的に追加できます。

  1. Microsoft 365 Developer Program ページを開き、[今すぐ参加] を選択します。
  2. 新しい Microsoft アカウントでサインインするか、既存の (職場) アカウントを使用します。
  3. サインアップ ページで地域を選択し、会社名を入力し、プログラムの使用条件に同意してから、[次へ] 選択します。
  4. [サブスクリプションをセットアップ]を選択します。 新しいテナントを作成するリージョンを指定し、ユーザー名とドメインを作成して、パスワードを入力します。 新しいテナントが作成され、テナントの最初の管理者が追加されます。
  5. 新しいテナントの管理者アカウントを保護するために必要なセキュリティ情報を入力します。 これにより、アカウントの多要素認証が設定されます。

テナントにユーザーを設定する

便宜上、自分と開発チームの他のメンバーをテナントのゲスト ユーザーに招待できます。 これにより、テスト テナントに個別のゲスト オブジェクトが作成されますが、企業アカウントとテスト アカウントの資格情報のセットを 1 つだけ管理する必要があることを意味します。

  1. Microsoft Entra 管理センターに、少なくともアプリケーション開発者としてサインインします。
  2. Entra ID>Users に移動します。
  3. 新しいユーザー>外部ユーザーを招待して、職場のアカウントのメールアドレスを招待します。
  4. アプリケーションの開発やテストのチームの他のメンバーに対して繰り返します。

テスト テナントでテスト ユーザーを作成することもできます。 Microsoft 365 サンプル パックのいずれかを使用した場合は、テナントにテスト ユーザーが既に存在している可能性があります。 そうではない場合は、テナント管理者として自分で作成できます。

  1. Entra ID>Users に移動します。
  2. [新しいユーザー] を選択>新しいユーザーを作成し、ディレクトリに新しいテスト ユーザーを作成します。

Microsoft Entra サブスクリプションを取得する (省略可能)

アプリケーションで Microsoft Entra ID P1 または P2 の機能を完全にテストする場合は、 Premium P1 または Premium P2 ライセンスにテナントをサインアップする必要があります。

Microsoft 365 Developer プログラムを使用してサインアップした場合、テスト テナントには Microsoft Entra ID P2 ライセンスが付属しています。 そうでない場合でも、 Microsoft Entra ID P1 または P2 の 1 か月間の無料試用版を有効にできます。

アプリの登録を作成して構成する

テスト環境で使用するアプリ登録を作成する必要があります。 これは、テスト環境と運用環境の間のセキュリティ分離を維持するために、最終的な運用アプリの登録とは別の登録である必要があります。 アプリケーションの構成方法は、ビルドするアプリの種類によって異なります。 詳細については、 アプリケーションの登録を参照してください。

テナントにポリシーを設定する

1 つの組織 (多くの場合、シングル テナントと呼ばれます) が主にアプリを使用し、運用テナントにアクセスできる場合は、運用テナントの設定をレプリケートして、アプリの動作に可能な限り影響を与えることで、運用環境で予期しないエラーが発生する可能性を減らします。

条件付きアクセス ポリシー

条件付きアクセス ポリシーをレプリケートすると、運用環境に移行するときに予期しないアクセスのブロックを確実に発生させず、アプリケーションで受信する可能性があるエラーを適切に処理できます。

運用テナントの条件付きアクセス ポリシーの表示は、 条件付きアクセス管理者が実行する必要がある場合があります。

  1. Entra ID>エンタープライズ アプリケーション>条件付きアクセス に移動します。
  2. テナント内のポリシーの一覧を表示し、最初のポリシーを選択します。
  3. クラウド アプリまたはアクションに移動します。
  4. ポリシーがアプリの選択したグループにのみ適用される場合は、次のポリシーに進みます。 そうではない場合は、運用環境に移行するときにアプリにも適用される可能性があります。 ポリシーをテスト テナントにコピーする必要があります。

新しいタブまたはブラウザー セッションで、少なくとも条件付きアクセス管理者として Microsoft Entra 管理センターにサインインし、テスト テナントにアクセスします。

  1. Entra ID>Conditional Access に移動します。
  2. [新しいポリシーの作成] を選択する
  3. 前の手順によって識別された実稼働テナント ポリシーから設定をコピーします。

アクセス許可付与ポリシー

アクセス許可付与ポリシーをレプリケートすると、運用環境に移行するときに、管理者の同意を求める予期しないプロンプトが表示されることはありません。

Entra ID>Enterprise アプリ>同意と権限>ユーザー同意の設定に移動します。 そこで設定をテスト テナントにコピーします。

トークンの有効期間ポリシー

トークンの有効期間ポリシーをレプリケートすると、アプリケーションに発行されたトークンが、運用環境で予期せず期限切れになることはありません。

トークンの有効期間ポリシーは、現在は PowerShell を使用してのみ管理できます。 構成可能なトークンの有効期間について説明し、運用組織全体に適用されるトークンの有効期間ポリシーを特定する方法について説明します。 これらのポリシーをテスト テナントにコピーします。

実稼働テナントでテスト環境を設定する

運用環境のテナントでテスト アプリを安全に制限できる場合は、テスト目的でテナントを構成できます。

アプリの登録を作成して構成する

テスト環境で使用するアプリ登録を作成する必要があります。 これは、テスト環境と運用環境の間のセキュリティ分離を維持するために、最終的な運用アプリの登録とは別の登録である必要があります。 アプリケーションの構成方法は、ビルドするアプリの種類によって異なります。 詳細については、左側のナビゲーション ウィンドウで アプリシナリオのアプリ登録手順 を確認してください。

テスト ユーザーを作成する

シナリオのテスト中に使用するテスト データが関連付けられているテスト ユーザーを作成する必要があります。 この手順は、管理者が実行する必要がある場合があります。

  1. Entra ID>Users に移動します。
  2. [新しいユーザー] を選択>新しいユーザーを作成し、ディレクトリに新しいテスト ユーザーを作成します。

テスト ユーザーをグループに追加する (省略可能)

便宜上、これらのすべてのユーザーをグループに割り当てることができます。これにより、他の割り当て操作が簡単になります。

  1. Entra ID>Groups>All groups に移動します。
  2. [ 新しいグループ] を選択します。
  3. グループの種類として [セキュリティ ] または [Microsoft 365 ] を選択します。
  4. グループに名前を付けます。
  5. 前の手順で作成したテスト ユーザーを追加します。

テスト アプリケーションを特定のユーザーに制限する

ユーザー割り当てを使用して、テスト アプリケーションの使用が許可されるテナント内のユーザーを、特定のユーザーまたはグループに制限することができます。 アプリの 登録を使用してアプリを作成すると、アプリの表現も Enterprise アプリケーション で作成されました。 エンタープライズ アプリケーションの設定を使用して、テナントでアプリケーションを使用できるユーザーを制限します。

重要

アプリが マルチテナント アプリの場合、この操作では、他のテナントのユーザーがアプリにサインインして使用するのを制限しません。 ユーザー割り当てが構成されているテナントのユーザーのみが制限されます。

テナント内の特定のユーザーにアプリを制限する詳細な手順については、アプリを一 連のユーザーに制限する方法に関するページを参照してください。

次の手順

ここでは、Microsoft Entra の使用の制約とサービスの制限について説明 します。 一般的な Azure サブスクリプションとサービスの制限、クォータ、制約については、 こちらをご覧ください

テスト環境の詳細については、「 Microsoft Entra ID を使用した Azure 環境のセキュリティ保護」を参照してください