はじめまして。Azureを扱うときに「このApp ID、いったいどのアプリケーションなんだろう?」と悩んだ経験はありませんか。私も過去に複数のApp IDとアプリ名を照合しようとして、大量のアプリケーション登録情報を前に頭を抱えたことがあります。そこで今回は、AzureのApp IDとアプリケーション名を紐付ける具体的な方法や、実務で私が苦労して得た体験談を交えつつ、分かりやすく解説します。
AzureのApp IDとアプリ名を紐付ける意義
AzureにおけるApp IDは、それぞれのアプリケーションを一意に識別するための重要な情報です。特に大規模な環境では、多数のSaaSや自社カスタムアプリなどが混在し、どれが何のApp IDなのか把握しづらくなりがちです。私自身、以前の職場で開発チームと運用チームの連携がうまく取れていない時期があって、App IDの管理が混乱したことがありました。そうした経験からも、App IDとアプリ名の関係を整理し、明確にしておくメリットは非常に大きいと実感しています。
App IDの多さによる混乱
社内でOffice 365の各種サービスに加え、いくつもの企業向けアプリや独自開発のAPIなどを導入すると、Azureポータルの「エンタープライズ アプリケーション」には膨大なアプリの一覧が表示されることがあります。さらに外部連携のために追加されたアプリや、試験的に登録されたものが放置されているケースも珍しくありません。そういった状況に陥ると、App IDとアプリ名が一致しないまま使われ続け、結果としてセキュリティ上のリスクや運用効率の低下を招いてしまうのです。
紐付けを怠るデメリット
ここで、App IDとアプリ名を整合させないまま運用してしまうと、どのようなデメリットがあるかをまとめてみます。
組織全体としてIT資産を把握しておくうえで、紐付けをしっかりやることは不可欠です。
Microsoft 365 App Certification (Azure App IDs Security and Compliance – All Apps) で検索
最初の方法として、「Microsoft 365 App Certification」サイトにある「Azure App IDs Security and Compliance – All Apps」ページを活用するというやり方があります。私も最初は「こんな便利なサイトがあるんだ」と驚いたものですが、ここからApp IDを検索すると、該当アプリケーションの情報がヒットする場合があります。
サイトの概要
Microsoft公式ドキュメントの一部として提供されており、組織が利用しているアプリケーションのセキュリティやコンプライアンス状況、開発元などの情報が一覧化されています。海外のアプリケーションでも多く登録されているため、自社で利用しているApp IDが海外製SaaSに紐付くかどうかも発見できる可能性があります。
検索方法
手順としては以下のイメージで進めます(後ほどPowerShellやAzureポータルを使ったより直接的な方法も紹介します)。
アクセス
Microsoft Learnのドキュメントページへアクセスし、「Azure App IDs Security and Compliance – All Apps」に移動します。
キーワード検索
ページ内の検索ボックスにApp IDを貼り付けて検索します。該当するアプリケーションが登録されていれば、アプリ名や提供元などの情報が得られます。
私が担当したプロジェクトでも、海外ベンダーが提供していたアプリケーションのApp IDを調べたとき、このMicrosoft 365 App Certificationのページが役立ちました。意外と早くアプリ名が分かり、開発元に問い合わせがスムーズに進みました。
Azureポータル (Microsoft Entra admin center) のエンタープライズ アプリケーションで確認
次に、Azureポータルから直接エンタープライズ アプリケーションを参照する方法です。App IDを直接検索できるため、確実性が高く、特に組織内で登録したアプリが対象の場合は第一選択肢になるでしょう。
エンタープライズ アプリケーションとは
エンタープライズ アプリケーションの一覧には、組織内で使用しているすべてのアプリケーションが表示されます。Office製品などのMicrosoft公式アプリもあれば、外部のSaaSや独自アプリケーションが含まれることもあります。表示名やアプリケーションID、オブジェクトIDなどの情報が並んでいるので、管理者が使うと非常に分かりやすいです。
確認手順
Azureポータルへのログイン
Azureにアクセスし、管理者権限を持つアカウントでログインします。少なくともCloud Application Administrator以上の権限が必要です。
エンタープライズ アプリケーションを選択
メニューから「Azure Active Directory」 → 「エンタープライズ アプリケーション」と進みます。ここに自社テナントで登録・使用されているアプリケーションの一覧があります。
検索機能でApp IDを入力
一覧ページ右上付近の検索ボックスにApp IDを入力すると、対象アプリが絞り込まれます。もし該当アプリが登録されていれば、そのアプリケーションの詳細ページに遷移し、名前や公開元、アクセス権限、ユーザーの割り当て状況などを確認できます。
Azureポータル (アプリの登録) でのアプリケーション確認
エンタープライズ アプリケーションと同様に、独自開発などで自分の組織が登録したアプリは「アプリの登録」セクションにも表示されます。こちらでは主にアプリのクライアントシークレットやリダイレクトURIなどの管理を行いますが、同時にApp IDとアプリ名も確認しやすい仕組みになっています。
手順のポイント
アプリの登録へアクセス
Azure Active Directory → 「アプリの登録」に進みます。すると、組織で独自に登録したアプリケーションの一覧が表示されます。
検索または表示
App IDやアプリケーション名をもとに検索できます。対象アプリをクリックすると、詳細画面でApp IDやリダイレクトURLなどを確認できます。
私が別の案件で苦労したときは、エンタープライズ アプリケーションに出てこないアプリがあり、「どこで管理してるの?」と探し回りました。最終的に分かったのは「アプリの登録」にだけ存在する試験的なアプリだったということです。結局、そちらを削除して整理しました。
Azure AD PowerShell コマンドレットでの確認
GUI操作より、スクリプトを使って大量のアプリケーション情報を一括取得・分析したい場合には、PowerShellが便利です。特に運用管理の担当者が監査や定期レポートを作成したりするケースで重宝します。
必要なモジュール
Azure ADに接続するためのPowerShellモジュールをインストールします。古い「AzureAD」モジュールや、新しい「Microsoft.Graph」モジュールが存在しますが、多くの例で「AzureAD」モジュールが参照されることが多いです。将来的にはMicrosoft Graph PowerShellに移行が推奨される流れです。
サインイン
PowerShellを起動して、まず次のコマンドでAzure ADに接続します。
Connect-AzureADサインイン画面が表示されるので、管理者権限を持つアカウントでログインします。
アプリ情報の取得
単体のApp IDを調べる例
Get-AzureADApplication -ObjectId このコマンドで対象のアプリケーションの表示名や識別子URIなどが参照できます。
すべてのアプリを一覧取得
Get-AzureADApplication | Select DisplayName, AppId, ObjectId一括で表示するときは、見やすいようにCSV出力をするのも良い方法です。
追加のサポートを得る方法
App IDがどうしても見つからない、または検索でヒットしないような場合は、Microsoft Q&AやAzureサポートに問い合わせる手もあります。外部連携のアプリやレガシー環境からの移行中など、複雑な事情が絡む場合もあるので、専門家のアドバイスを仰ぐことで解決が早まることも多いです。
Microsoft Q&A
Microsoftが提供するQ&Aサイトには、AzureやMicrosoft 365に関する質問が多数寄せられ、コミュニティやMicrosoftの中の人が回答してくれることもあります。英語で投稿される方が回答が早いケースがあるので、英語に抵抗がない場合は英語で書くのもおすすめです。
テクニカルサポートへの問い合わせ
有償サポートを契約していれば、Azureサポートに直接連絡することで、より詳細な調査や根本原因の分析をサポートしてもらえます。複雑にカスタマイズされた大規模環境などでは、サポートチームのリソースを借りる方が早いケースも少なくありません。
以前、外部認証サービスとの連携時にApp IDがうまく紐付かない問題がありました。いろいろ調べても原因が分からずMicrosoft Q&Aに投稿してみたところ、海外のエンジニアさんが類似事例を教えてくれ、解決の大きなヒントを得ることができました。
具体例を踏まえた運用管理のヒント
せっかくApp IDとアプリ名を分かりやすくしたとしても、その後の運用で再び混沌としてしまってはもったいないですよね。ここでは、私が実務で気を付けているポイントをいくつか紹介します。
アプリケーション登録時の命名規則
分かりやすい名前を付けるだけでなく、運用チームや開発チームの共通ルールとしてドキュメント化しておくことをお勧めします。例えば、社内システムの場合は頭に「Internal-」を付け、外部SaaSの場合は「SaaS-」を付けるなど、一目で用途が分かるようにしておくと管理がスムーズになります。
台帳・一覧表の作成
AzureポータルやPowerShellで取得したアプリ情報をExcelやSharePointにまとめ、各アプリの用途・オーナー部門・保守連絡先などを紐付けて管理すると良いでしょう。特に数十、数百とアプリが存在する場合、台帳の有無で作業効率は大きく変わります。
アプリ名 | App ID | オーナー | 用途 | 備考
-----------------------------------------------------------------------------------
SaaS-Salesforce | f8d98a96-0999-43f5-8af3-69971c7bb423 | 営業本部 | 顧客管理 | 外部契約あり
Internal-HR | 3e4412bc-a5f7-45b0-987b-aa78d2c46321 | 人事部 | 社員情報管理 | AD連携担当:森田
...定期的なメンテナンス
四半期ごとなどにアプリ一覧を見直し、不要になったアプリやオーナーが変更されたアプリを更新します。私の例では、担当部門やシステム管理担当が変わるごとに情報をリフレッシュする運用を徹底し、不要アプリの削除や適切な承認プロセスを定着させることでセキュリティリスクを抑制しています。
意外と見落としがちな注意点
便利なポータル機能やPowerShellがある一方で、注意すべき点も存在します。
権限設定に注意
App IDを探そうとしても、権限が足りずに表示されない場合があります。全てのアプリを閲覧できるのはテナント全体を管理する権限や相応の管理ロールを持つアカウントのみです。特に複数のテナントを扱う場合や複雑なRBAC設定をしている場合には要注意です。
古いディレクトリ拡張
実はレガシー環境で登録したアプリが何重にも残っている場合、App IDの重複や消し忘れなどが発生することがあります。その場合は過去の管理者が独自に拡張したディレクトリ情報を参照しないと見つからないケースもあるので、まずは全管理者にヒアリングしてから検索を行うとスムーズです。
まとめ
ここまで紹介したように、AzureのApp IDとアプリケーション名を結びつけるには、まずMicrosoft 365 App Certificationの一覧を確認し、それでも見つからなければAzureポータル(エンタープライズ アプリケーションやアプリの登録)で直接検索する方法が有効です。大量のアプリ情報を扱う場合にはPowerShellが強い味方になり、さらにどうしても分からない場合や海外製品の情報ならMicrosoft Q&Aフォーラムを活用してみると良いでしょう。いずれにしても、正しいApp IDとアプリ名を把握することが、運用管理を円滑化しセキュリティリスクを低減する鍵となります。
私自身、過去にApp IDの紐付け管理を怠ったことで大変な思いをしたことが多々あります。とはいえ、一度しっかり体制を整備すると、その後の運用がとてもスムーズになるので、みなさんもぜひ参考にしてみてください。
コメント