Qrunchからお引越しした記事です : created_at: 2019-09-02 21:16:06 +0900
知識が薄ぼんやりとしているAzureADのおさらい。
アイデンティティの管理
> Azure Active Directory (AD) を管理する
> Azure AD オブジェクト (ユーザー、グループ、およびデバイス) の管理
> ハイブリッド アイデンティティの実装と管理
・Office365やAzureの管理に利用する。
・カスタムドメインの登録が可能。
・AzureにはAADのユーザに対してRBACで権限を割り振る。
・ユーザの種類
>AADで作成したユーザ OR ドメコンから連携されたユーザ
>メンバー OR ゲスト
・ユーザの属性
通常のドメコンと違うような属性は次の2つ。
①利用場所
国を指定。これを指定しないとライセンス(Premiumライセンスなど)が割り振れない。
②ユーザープリンシパルネーム
ユーザーのインターネット形式のログイン名
[email protected]みたいな形式
AzureやOffice365へログインする際のユーザ名の名前
・グループ
動的にグループ割り当てができる
→開発部所属のメンバーは開発部グループに自動所属のような感じか
グループに有効期限を設け、破棄したりもできる
グループの所有権があるユーザは、グループにユーザを追加できる。
・セルフパスワードリセット
SMS、メール、秘密の質問、いずれかで変更。
・外部アクセス
外部のメールアカウントを登録することで外部アクセスさせることが可能
・デバイス管理
デバイスもAADに参加させ管理できる。
・アプリケーション
3rd Partyのアプリとも統合できるケースがある。
→Boxとか。
・条件付アクセス
条件付アクセスポリシーにより設定。
条件:ユーザ、グループ、デバイス、場所、などなど。
制御:MFA、準拠デバイス指定、アプリ利用、利用規約を読ませる、などなど。
・アクセスレビュー
現在のアクセス状況をレビュアが参照し、アクセス権を引き続き付与するか、
破棄するか、などの判断・処理を実施できる。
・アイデンティティ保護(identiry Protection)
脆弱性、リスクイベント、リスクを出しているユーザ、などが分かる。
→Torブラウザで接近しているユーザは誰、MFAの設定をしない人がいる、とかが分かる。
リスクイベントのレベルはポリシー(ユーザリスクポリシー、サインインリスクポリシー)で設定できる。
→ポリシーに準拠しない場合はアクセスブロック、もできる。
・オンプレミスドメコンとの同期。
・セットアップの流れ
★前提
AzureAD:plazazurecontoso.onmicrosoft.com
ドメコン:consoto.local
→これをplazcontoso.comとして統一連携する。
①AzureADの作成
②AADでカスタムドメインの設定(plazcontoso.com)
③ドメコンにUPN Suffix追加(plazcontoso.com)
④同期対象ユーザのUPNを[user]@plazcontoso.comに変更
→powershellで一括変更
⑤AzureADコネクトのデプロイ
→オンプレミス側にAADコネクト専用のドメコンを用意し、そこにデプロイする
インターネットへ接続できる環境に存在する必要がある。
⑥連携対象を指定(ドメインやOUなどで指定)
⑦AzureADのごみ箱を有効にする
・ドメインフォレスト、AADコネクト、AzureAD
①ドメインフォレスト:AADコネクト = N:1
複数フォレストの情報を1つのAADコネクトに集約はできる
②AADコネクト:AzureAD = 1:1
AzureADとAADコネクトは1つに対して1つ
なので、もしAフォレストはAzureAD1、BフォレストはAzueAD2に連携、
という場合はAADコネクトは2台必要。
・AADコネクトの3つのSSO(シングルサインオン)認証
①パスワードハッシュ同期
ドメコン→AADコネクト→AzureADの流れでハッシュ化したパスワードを連携し、
その内容を元にAzureADは認証を行う方式。
AzureADアカウントの有効期限は「無期限」になる。
②パススルー認証
(流れ)
AzureADの認証情報をAADコネクトに暗号化して引き渡す
→AADコネクトは認証情報を解号してドメコンに引き渡す
→ドメコンは認証結果をAADコネクトに返す
→AADコネクトは認証結果をAzureADへ返す
③フェデレーション認証
ドメコンに参加しているPCから、「追加の認証情報入力なし(シームレス)」で
AzureADの認証をする場合はコレ。(…くそダルイ構成だな)
【前提1】ADFSとWebアプリケーションプロキシ(WAP)が必要
【前提2】ドメコン⇔AzureAD間はAzureADコネクトでディレクトリを同期している
(流れ)
ユーザはドメイン参加PCからサービス(例:Office365)へ接近する。
→Office365はADFSに認証トークンを要求
→ドメイン参加PCはADFSから認証トークンを受領
→ドメイン参加PCはWAPを経由してAzureADへトークンを連携
→AzureADはトークンを受領し、Office365アクセストークンを発行
→ユーザはOffice365へアクセスできる
・パスワードライトバック
AzureAD側でパスワードを変更した場合、それをドメコン側にも反映させる。
通常、同期方向はドメコン→AzureADだが、この機能をオンにしていると
パスワードの変更だけは双方同期になるような感じ。(かな?)
・同期間隔
最短で30分間隔。間隔は変更可能。
・同期内容のフィルタ
AD情報で何を同期するかをフィルタできる。
勤務地は連携しない、とか。通常はデフォルト設定で十分らしい。
・他にも色々あったけど、AZ-103の枠から外れるので飛ばした。
・「AzureAD」だけで覚えることありすぎでしょ…
Azureの試験範囲にいれないでよ…
(Azureと密接な関係にあるのは分かるけど)
・ハイブリッド連携はなんとなく理解していたけど、良いおさらいになりました。
第3回 | Azure Administratorへの道(2回:Azure MFA) |
第4回 | Azure Administratorへの道(3回:ストレージ関連) |
第5回 | Azure Administratorへの道(4回:仮想マシン) |
第6回 | Azure Administratorへの道(5回:Load Balancer) |
第7回 | Azure Administratorへの道(6回:AzureAD周辺) |
Crieitは誰でも投稿できるサービスです。 是非記事の投稿をお願いします。どんな軽い内容でも投稿できます。
また、「こんな記事が読みたいけど見つからない!」という方は是非記事投稿リクエストボードへ!
こじんまりと作業ログやメモ、進捗を書き残しておきたい方はボード機能をご利用ください。
ボードとは?
コメント