Azure の App Service や Functions などの Web サービスには、Azure AD と連携して認証を行う機能があります。App Service 認証と呼ばれる機能で、旧称？の EasyAuth の方が馴染みがあるかもしれない。
最短ではほぼワンクリックでアプリに認証機能を追加できるため、とても便利だ。しかし、既定の設定ではテナントのすべてのユーザーおよびアプリがアクセス可能になっているため、要件によってはセキュリティ上の懸念がある。

ということで EasyAuth の機能が Azure AD から見てどのような機能なのか、どのようなセキュリティ上の懸念があるのか、どのように対策するのかをまとめてみた。