Azure Administrator対策「IDの管理」
はじめに
AZ-103「Azure Administrator」対策として、Microsoft Learnなどを要約したものを記載。
Azure Active Directory
Azureクラウド上で組織内のユーザアカウントの管理、認証を行うサービス。
Azure AD デバイス ID
Azureクラウドにアクセスできるデバイスを設定することが可能。
[Azure Active Directory] > [デバイス] から設定が行える。
https://docs.microsoft.com/ja-jp/azure/active-directory/devices/
「Azure AD 参加 : Azure AD Join」
以下のような機能を提供するAzure上にアカウント管理サービス。
- クラウドと、オンプレミスのデバイス間の双方向のシングルサインオン
- MDM(モバイルデバイス管理)機能
※ この設定はWindows10にのみ対応
デバイス設定の構成
以下の設定項目をもつ。
[ユーザーはデバイスをAzure ADに参加させることができます]
デバイスを「Azure AD 参加」に登録させることができるユーザーを選択する。
※ 既定値は [すべて(All)]で全ユーザがデバイスの登録が作業が可能
[Azure AD 参加済みデバイスの追加のローカル管理者]
デバイスに対するローカル管理者権限が付与されるユーザーを選択する。
ここに追加されたユーザーは、Azure ADの"デバイス管理者"ロールが追加される。
[ユーザーはデバイスをAzure ADに登録できます]
ユーザーがデバイスをAzure ADに登録できるかどうかを設定する。
※ Allか、Noneの2択
[デバイスを参加させるには Multi-factor Auth が必要]
デバイスが「Azure AD に参加」するときに、 ユーザーが追加の認証要素の提供を求められるようにする設定。
※ デフォルトは「No」
デバイスの最大数
ユーザーがAzure ADで保持できるデバイス数。
https://docs.microsoft.com/ja-jp/azure/active-directory/devices/device-management-azure-portal
Azure AD 参加済みデバイスのローカル管理者グループの管理方法
Azure AD 参加を使用して Windows デバイスを Azure AD に接続すると、Azure AD によって、デバイスのローカル管理者グループに次のセキュリティプリンシパルが追加される。
- Azure AD のグローバル管理者ロール
- Azure AD のデバイス管理者ロール
- Azure AD 参加を実行するユーザー
https://docs.microsoft.com/ja-jp/azure/active-directory/devices/assign-local-admin
Azure AD Identity Protection
不正ログインなどのユーザの操作に対するリスクの検出するサービス。
Azure AD Premium P2ライセンスが必要。
Azure AD Identity Protectionが想定する不正操作なリスクは、 ユーザリスクと、サインインリスクの2つがある。
ユーザーリスク
特定のIDまたはアカウントが侵害されている可能性があること。
リスク検出の例として、以下のものがある。
- 資格情報の漏洩
Microsoftの資格情報サービスで、闇サイト、貼り付けサイトなどに情報漏洩が発生していないか検出。
- Azure AD 脅威インテリジェンス
Microsoft の内部および外部の脅威インテリジェンスのソースに基づいて、 ユーザーな異常な操作を検出。
サインインリスク
ID所有者以外からのサインインが行われている可能性。
- 通常と異なる場所からのログイン
ユーザーの最近のサインインに基づき特殊と判断された場所からのサインイン。
- 匿名IPアドレス
匿名のIPアドレスからのサインイン (例:Tor Browser、Anonymizer VPN)。
Azure AD Connect
オンプレミスなどの異なる環境のユーザ情報と、Azure AD上の情報の同期を行うサービス。
https://docs.microsoft.com/ja-jp/azure/active-directory/hybrid/whatis-azure-ad-connect
https://docs.microsoft.com/ja-jp/azure/active-directory/hybrid/tshoot-connect-connectivity
機能
パスワードハッシュ同期
オンプレミスADのパスワードのハッシュ値をAzure ADと同期させることで、 ユーザーがオンプレミスとクラウド内で同じパスワードを使用できるようにする。
要求されるセキュリティレベルが低く、低コストでシンプルに同期を行いたい場合に適する。
https://docs.microsoft.com/ja-jp/azure/active-directory/hybrid/whatis-phs
パススルー認証
Azure ADのユーザー認証をオンプレミスのActive Directoryで行うことで、 ユーザーがオンプレミスとクラウド内で同じパスワードを使用できるようにする。
パスワードハッシュ同期と異なり、パスワードハッシュがAzure上に保存されていないので、オンプレミスのパスワードが外部に流出する心配がない。
ただし、オンプレミスのADが停止すると、AzureのADの認証ができなくなるため、 オンプレミスのサーバの冗長化などが必要。
また、オンプレミスのActive Directoryのセキュリティとパスワードポリシーを適用する必要がある場合などに有効。
要求されるセキュリティレベルが高く、高コストがかけられる場合に対応する。
https://docs.microsoft.com/ja-jp/azure/active-directory/hybrid/how-to-connect-pta
Azure AD Connect Health
Azure AD Connectのアラート、パフォーマンスの監視、使用状況などの情報をポータルで表示する。
ステージングモード
本番環境に構成変更を行う前に、構成変更の内容を確認するための検証モード。
ステージングモードが有効になっていると、パスワード同期は無効になる。
パスワード同期を実行したい場合は、 ステージングモードを解除する必要がある。
https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-sync-staging-server
IdFix
Azure AD Connectの同期エラーの原因を検出する診断ツール。
Azure AD Connectインストール手順
https://docs.microsoft.com/ja-jp/azure/active-directory/hybrid/how-to-connect-install-roadmap
インストール前準備
- オンプレミスのドメインの追加
Azure ADで使用するドメインを追加する。
-
オンプレミスデータを準備する
-
IdFixを使用して、同期前にエラーチェックをする
パスワードハッシュ同期実行手順
-
オンプレミスのサーバに「Azure AD Connect」をインストール
-
オンプレミスの「Active Directory」とAzureの「Active Directory」間のディレクトリ同期を構成する
-
パスワードハッシュ同期を有効
https://docs.microsoft.com/ja-jp/azure/active-directory/hybrid/whatis-phs
主な利用条件・制限事項
アカウント
-
Azure AD上にオンプレミスと同期を取る グローバル管理者アカウントが定義されている必要がある
-
エクスプレス設定を使用する、または、DirSyncからアップグレードする場合は、オンプレミスのActive Directoryのエンタープライズ管理者アカウントが必要。
https://docs.microsoft.com/ja-jp/azure/active-directory/hybrid/how-to-connect-install-prerequisites
ネットワーク
-
Azure AD Connectサーバーには、イントラネットとインターネットの両方でDNS解決できる必要がある
-
DNSサーバーは、オンプレミスのActive DirectoryとAzure ADエンドポイントの両方で名前を解決できる必要がある
https://docs.microsoft.com/ja-jp/azure/active-directory/hybrid/how-to-connect-install-prerequisites
Active Directory フェデレーションサービス (ADFS)
ADのユーザ情報を各システム間でID連携(フェデレーション)することで、 各システムでシングルサインオンを可能できるサービス。
オンプレミスにADFS用のサーバを建てる必要がある。
多要素認証にも対応可能。
要求されるセキュリティレベルが高く、高コストがかけられる場合に対応する。
https://docs.microsoft.com/ja-jp/windows-server/identity/ad-fs/overview/ad-fs-requirements#BKMK_2
https://cloudsteady.jp/post/1260/
Azure AD Privileged Identity Management(PIM)
重要なリソースへのアクセス権(特権)を管理できるサービス。
Azure ADロールとAzureリソースロールをユーザに割り当てる際に、以下のような制御が設定できる。
-
開始日と終了日を使用した期限付きアクセス権を割り当てる
-
ロールを有効にするために承認が必要なようにする
-
ロールを有効にするために多要素認証が必要なようにする
必要なライセンス
-
Azure ADプレミアムP2
-
エンタープライズモビリティ+セキュリティ(EMS)E5
必要なロール
Azure ADロールの場合
他のユーザにアクセス権を与える場合は、以下のいずれかのロールが必要。
- 特権ロール管理者
- グローバル管理者ロール
Azureリソースロールの場合
他のユーザにアクセス権を与える場合は、以下のいずれかのロールが必要。
-
サブスクリプション管理者
-
リソース所有者
-
ユーザーアクセス管理者のロール
PIMユーザには以下のロールを割り当てることはできない。
- アカウント管理者
- サービス管理者
- 共同管理者
https://docs.microsoft.com/en-us/azure/active-directory/privileged-identity-management/pim-roles
Azure Multi-Factor Authentication
https://docs.microsoft.com/ja-jp/azure/active-directory/authentication/concept-mfa-howitworks
https://docs.microsoft.com/ja-jp/azure/active-directory/authentication/howto-mfa-userstates
多要素認証
「知識要素」「所持要素」「生体要素」の3要素のうち、2要素以上を用いる認証。
知識要素
パスワードなどの本人しか知らない情報。
所持要素
デバイスなどの本人の所持している物を認証。
生体要素
指紋、音声などの本人の身体的な特徴を認証
証明
ユーザーがアプリケーションまたはサービスにサインインすると、MFAプロンプトが表示され、 下記のいずれかの追加の証明形式を選択できる
- Microsoft Authenticatorアプリでの確認コード入力
- OATH ハードウェアトークン
- SMS経由での確認コード入力
- 音声通話経由での確認コード入力
※ 確認コードの認証は電子メールはNG
Azure Active Directoryの企業間(B2B)コラボレーション
Azure Active Directoryを持たないゲストユーザーが所有する独自のIDで、Azureにサインインできるようにする機能。
Facebook、Microsoftアカウント、Google、またはエンタープライズIDプロバイダーをサポート。
IDプロバイダーとのフェデレーションを設定して、 外部ユーザーがアプリケーション専用の新しいアカウントを作成する代わりに、 既存のアカウントでサインインできる。
Azure ADポータルからゲストユーザーを簡単に招待できる。
https://docs.microsoft.com/en-us/azure/active-directory/external-identities/what-is-b2b
Generic Authorization errorが出る場合は、
Azure Portalで[User]=>[External collaboration settings]から、
[Admins and users in Guest user role can invite]をオンにすることで解決する
参考