Qrunchからお引越しした記事です : created_at: 2019-09-02 21:16:06 +0900

知識が薄ぼんやりとしているAzureADのおさらい。

0. スキルの評価対応

アイデンティティの管理
　＞　Azure Active Directory (AD) を管理する
　＞　Azure AD オブジェクト (ユーザー、グループ、およびデバイス) の管理
　＞　ハイブリッド アイデンティティの実装と管理

1. AzureAD

・Office365やAzureの管理に利用する。
・カスタムドメインの登録が可能。
・AzureにはAADのユーザに対してRBACで権限を割り振る。
・ユーザの種類
　＞AADで作成したユーザ OR ドメコンから連携されたユーザ
　＞メンバー OR ゲスト
・ユーザの属性
　通常のドメコンと違うような属性は次の２つ。
　①利用場所
　　国を指定。これを指定しないとライセンス(Premiumライセンスなど)が割り振れない。
　②ユーザープリンシパルネーム
　　ユーザーのインターネット形式のログイン名
　　[email protected]みたいな形式
　　AzureやOffice365へログインする際のユーザ名の名前
・グループ
　動的にグループ割り当てができる
　→開発部所属のメンバーは開発部グループに自動所属のような感じか
　グループに有効期限を設け、破棄したりもできる
　グループの所有権があるユーザは、グループにユーザを追加できる。
・セルフパスワードリセット
　SMS、メール、秘密の質問、いずれかで変更。
・外部アクセス
　外部のメールアカウントを登録することで外部アクセスさせることが可能
・デバイス管理
　デバイスもAADに参加させ管理できる。
・アプリケーション
　3rd Partyのアプリとも統合できるケースがある。
　→Boxとか。
・条件付アクセス
　条件付アクセスポリシーにより設定。
　条件：ユーザ、グループ、デバイス、場所、などなど。
　制御：MFA、準拠デバイス指定、アプリ利用、利用規約を読ませる、などなど。
・アクセスレビュー
　現在のアクセス状況をレビュアが参照し、アクセス権を引き続き付与するか、
　破棄するか、などの判断・処理を実施できる。
・アイデンティティ保護（identiry Protection）
　脆弱性、リスクイベント、リスクを出しているユーザ、などが分かる。
　→Torブラウザで接近しているユーザは誰、MFAの設定をしない人がいる、とかが分かる。
　リスクイベントのレベルはポリシー（ユーザリスクポリシー、サインインリスクポリシー）で設定できる。
　→ポリシーに準拠しない場合はアクセスブロック、もできる。

2.ハイブリッド アイデンティティ

・オンプレミスドメコンとの同期。
・セットアップの流れ
★前提
　AzureAD：plazazurecontoso.onmicrosoft.com
　ドメコン：consoto.local
　→これをplazcontoso.comとして統一連携する。

　①AzureADの作成
　②AADでカスタムドメインの設定（plazcontoso.com）
　③ドメコンにUPN Suffix追加（plazcontoso.com）
　④同期対象ユーザのUPNを[user]@plazcontoso.comに変更
　　→powershellで一括変更
　⑤AzureADコネクトのデプロイ
　　→オンプレミス側にAADコネクト専用のドメコンを用意し、そこにデプロイする
　　　インターネットへ接続できる環境に存在する必要がある。
　⑥連携対象を指定（ドメインやOUなどで指定）
　⑦AzureADのごみ箱を有効にする

・ドメインフォレスト、AADコネクト、AzureAD
　①ドメインフォレスト：AADコネクト = N:1
　　複数フォレストの情報を１つのAADコネクトに集約はできる
　②AADコネクト：AzureAD = 1:1
　　AzureADとAADコネクトは1つに対して1つ
　　なので、もしAフォレストはAzureAD1、BフォレストはAzueAD2に連携、
　　という場合はAADコネクトは2台必要。
・AADコネクトの３つのSSO（シングルサインオン）認証
　①パスワードハッシュ同期
　　ドメコン→AADコネクト→AzureADの流れでハッシュ化したパスワードを連携し、
　　その内容を元にAzureADは認証を行う方式。
　　AzureADアカウントの有効期限は「無期限」になる。
　②パススルー認証
　　（流れ）
　　AzureADの認証情報をAADコネクトに暗号化して引き渡す
　　→AADコネクトは認証情報を解号してドメコンに引き渡す
　　→ドメコンは認証結果をAADコネクトに返す
　　→AADコネクトは認証結果をAzureADへ返す
　③フェデレーション認証
　　ドメコンに参加しているPCから、「追加の認証情報入力なし（シームレス）」で
　　AzureADの認証をする場合はコレ。（…くそダルイ構成だな）
　　【前提１】ADFSとWebアプリケーションプロキシ(WAP)が必要
　　【前提２】ドメコン⇔AzureAD間はAzureADコネクトでディレクトリを同期している

　　（流れ）
　　ユーザはドメイン参加PCからサービス（例：Office365）へ接近する。
　　→Office365はADFSに認証トークンを要求
　　→ドメイン参加PCはADFSから認証トークンを受領
　　→ドメイン参加PCはWAPを経由してAzureADへトークンを連携
　　→AzureADはトークンを受領し、Office365アクセストークンを発行
　　→ユーザはOffice365へアクセスできる
・パスワードライトバック
　AzureAD側でパスワードを変更した場合、それをドメコン側にも反映させる。
　通常、同期方向はドメコン→AzureADだが、この機能をオンにしていると
　パスワードの変更だけは双方同期になるような感じ。（かな？）
・同期間隔
　最短で30分間隔。間隔は変更可能。
・同期内容のフィルタ
　AD情報で何を同期するかをフィルタできる。
　勤務地は連携しない、とか。通常はデフォルト設定で十分らしい。

3.所感

・他にも色々あったけど、AZ-103の枠から外れるので飛ばした。
・「AzureAD」だけで覚えることありすぎでしょ…
　Azureの試験範囲にいれないでよ…
　（Azureと密接な関係にあるのは分かるけど）
・ハイブリッド連携はなんとなく理解していたけど、良いおさらいになりました。