Atsushi2022の日記

データエンジニアリングに関連する記事を投稿してます

読書メモ「ひと目でわかるAzure Active Directory」

Azure

概要

「ひと目でわかるAzure Active Directory 第3版」を読んで、自分なりに理解したことや調べたことをまとめておく。

主に、次のキーワードについて学んだ。

  • Azure AD
  • Azure AD Domain Service
  • Azure AD B2B
  • Azure AD B2C
  • Azure AD Connect
  • Active Directory
  • Azure AD参加
  • Intune
  • Azure AD PIM (Privileged Identity Management)

Azure AD Connect

  • Azure AD ConnectでオンプレADのID、パスワードをAzure ADに同期させることができる。
  • これにより、オンプレのActive Directory側のアカウントだけを管理すればOKになる。
  • AzureADConnect.msiをダウンロードして、オンプレのドメインに参加しているWindows Serverにインストールする必要がある。このサーバをAzure AD Connectサーバーと呼ぶ。
  • Azure AD Connectサーバーでは、Azure AD Connect同期サービスが起動し、ディレクトリの同期を行う。
  • ディレクトリの同期は、HTTPSで行われる。既定では、30分間隔でオンプレADからAzure ADに同期される。
  • Azure AD Connectのデータ領域には、ローカルまたはリモートのSQL Serverを使用する。
  • ディレクトリ同期には3つのアカウントが必要になる
    • オンプレAD:AD DSコネクタアカウント
    • Azure AD Connectサーバー:ADSyncサービスアカウント
    • Azure AD:Azure ADコネクタアカウント
  • オンプレADからAzure ADへの同期には次の4つのフィルターをかけることができる。
    • グループベースのフィルター
    • ドメインベースのフィルター
    • 組織単位(OU)ベースのフィルター
    • 属性ベースのフィルター

Azure AD Domain Service

  • Azure ADのID、パスワードをAzure AD Domain Serviceに同期させることができる。
  • ドメイン参加、グループポリシー、LDAP、Kerberos認証、NTLM認証の機能が使える

Azure AD参加

  • Windows10デバイスが対象
  • Windows10デバイスがAzure ADに参加すると、Azure ADユーザアカウントを使用してサインインできる
  • オンプレのActive Directory、またはAzure ADのどちらかにしかデバイス参加できない

Intuneによるデバイス管理

  • Azure ADにIntuneを展開し、デバイスをIntuneに登録すると、登録されたデバイスに対して、ポリシーを適用でき、組織の方針にもとづいてデバイス管理ができる。
  • Intuneのポリシーの1つにコンプライアンスポリシーがあり、デバイスが組織のセキュリティ基準、コンプライアンス基準に準拠しているかを判断できる。

Azure AD PIM (Privileged Identity Management)

  • PIMを使用し、期限付き&承認制でロールを一時割り当てできる。
  • 管理者が事前に、ロールをアクティブ化できる資格を割り当てる。
  • 手順としては、まずロールとアクティブ化の最大時間や承認者を設定して、資格を作成する。そして、作成した資格を対象ユーザーに割り当てる。
  • 資格を割り当てられたユーザーは、アクティブ化を申請し、承認されれば、ロールが使用できる。
  • 承認者なしで、即時に期限付きのロール割り当てをすることもできる。(ロ-ルの期限付きのアクティブな割り当て)

Azure ADへのアプリケーション追加

  • アプリケーションをAzure ADにつなぐことで、Azure ADで認証されたユーザーがSSOでアプリにアクセスできるようになる。
  • また、認証でだけでなく、アクセス制御をAzure AD上で行うことができる。

  • アプリケーションのAzure AD統合には以下の種類がある。

    • App Service
    • オンプレのWebアプリ
    • サードベンダーのSaaSアプリ(Saleforce, Twitterなど)
    • アプリの登録

Azure App Service

https://learn.microsoft.com/ja-jp/azure/app-service/configure-authentication-provider-aad?tabs=workforce-tenant

オンプレのWebアプリ

  • Azureのアプリケーションプロキシというリバースプロキシ機能により、オンプレのWebアプリをAzure ADと統合できる。
  • Azureのアプリケーションプロキシ経由で、インターネットから安全にオンプレのWebアプリにSSOでアクセスできる。
  • オンプレのWindowsサーバーに、アプリケーションプロキシコネクタをインストールすると、Azure ADのアプリケーションプロキシ機能を有効ができる。
  • 有効化したら、オンプレのWebアプリをAzure ADに追加し、Webアプリを使用するユーザーにアクセス許可を割り当てる。
  • オンプレのADから同期してきたAzure ADのユーザに対してアクセス許可を割り当てるので、Azure AD Connectによるディレクトリ同期が行われていることが前提。

アプリの登録

https://jpazureid.github.io/blog/azure-active-directory/enterprise-applications-app-registrations/

https://www.rworks.jp/cloud/azure/azure-column/azure-practice/27673/

Azure ADを使用して、Windows VMにログイン

書籍に記載されているわけではないが、Azure ADを使用して、Windows VMにログインする方法が気になって調べた。

↓のリンクの通り、VMログインに対してAzure AD認証を適用させることが可能。

https://learn.microsoft.com/ja-jp/azure/active-directory/devices/howto-vm-sign-in-azure-ad-windows