概要
「ひと目でわかるAzure Active Directory 第3版」を読んで、自分なりに理解したことや調べたことをまとめておく。
主に、次のキーワードについて学んだ。
- Azure AD
- Azure AD Domain Service
- Azure AD B2B
- Azure AD B2C
- Azure AD Connect
- Active Directory
- Azure AD参加
- Intune
- Azure AD PIM (Privileged Identity Management)
Azure AD Connect
- Azure AD ConnectでオンプレADのID、パスワードをAzure ADに同期させることができる。
- これにより、オンプレのActive Directory側のアカウントだけを管理すればOKになる。
- AzureADConnect.msiをダウンロードして、オンプレのドメインに参加しているWindows Serverにインストールする必要がある。このサーバを
Azure AD Connectサーバー
と呼ぶ。 - Azure AD Connectサーバーでは、Azure AD Connect同期サービスが起動し、ディレクトリの同期を行う。
- ディレクトリの同期は、HTTPSで行われる。既定では、30分間隔でオンプレADからAzure ADに同期される。
- Azure AD Connectのデータ領域には、ローカルまたはリモートのSQL Serverを使用する。
- ディレクトリ同期には3つのアカウントが必要になる
- オンプレAD:AD DSコネクタアカウント
- Azure AD Connectサーバー:ADSyncサービスアカウント
- Azure AD:Azure ADコネクタアカウント
- オンプレADからAzure ADへの同期には次の4つのフィルターをかけることができる。
- グループベースのフィルター
- ドメインベースのフィルター
- 組織単位(OU)ベースのフィルター
- 属性ベースのフィルター
Azure AD Domain Service
- Azure ADのID、パスワードをAzure AD Domain Serviceに同期させることができる。
- ドメイン参加、グループポリシー、LDAP、Kerberos認証、NTLM認証の機能が使える
Azure AD参加
- Windows10デバイスが対象
- Windows10デバイスがAzure ADに参加すると、Azure ADユーザアカウントを使用してサインインできる
- オンプレのActive Directory、またはAzure ADのどちらかにしかデバイス参加できない
Intuneによるデバイス管理
- Azure ADにIntuneを展開し、デバイスをIntuneに登録すると、登録されたデバイスに対して、ポリシーを適用でき、組織の方針にもとづいてデバイス管理ができる。
- Intuneのポリシーの1つに
コンプライアンスポリシー
があり、デバイスが組織のセキュリティ基準、コンプライアンス基準に準拠しているかを判断できる。
Azure AD PIM (Privileged Identity Management)
- PIMを使用し、期限付き&承認制でロールを一時割り当てできる。
- 管理者が事前に、ロールをアクティブ化できる資格を割り当てる。
- 手順としては、まずロールとアクティブ化の最大時間や承認者を設定して、資格を作成する。そして、作成した資格を対象ユーザーに割り当てる。
- 資格を割り当てられたユーザーは、アクティブ化を申請し、承認されれば、ロールが使用できる。
- 承認者なしで、即時に期限付きのロール割り当てをすることもできる。(ロ-ルの期限付きのアクティブな割り当て)
Azure ADへのアプリケーション追加
- アプリケーションをAzure ADにつなぐことで、Azure ADで認証されたユーザーがSSOでアプリにアクセスできるようになる。
- また、認証でだけでなく、アクセス制御をAzure AD上で行うことができる。
アプリケーションのAzure AD統合には以下の種類がある。
Azure App Service
オンプレのWebアプリ
- Azureの
アプリケーションプロキシ
というリバースプロキシ機能により、オンプレのWebアプリをAzure ADと統合できる。 - Azureの
アプリケーションプロキシ
経由で、インターネットから安全にオンプレのWebアプリにSSOでアクセスできる。 - オンプレのWindowsサーバーに、
アプリケーションプロキシコネクタ
をインストールすると、Azure ADのアプリケーションプロキシ
機能を有効ができる。 - 有効化したら、オンプレのWebアプリをAzure ADに追加し、Webアプリを使用するユーザーにアクセス許可を割り当てる。
- オンプレのADから同期してきたAzure ADのユーザに対してアクセス許可を割り当てるので、Azure AD Connectによるディレクトリ同期が行われていることが前提。
アプリの登録
https://jpazureid.github.io/blog/azure-active-directory/enterprise-applications-app-registrations/
https://www.rworks.jp/cloud/azure/azure-column/azure-practice/27673/
Azure ADを使用して、Windows VMにログイン
書籍に記載されているわけではないが、Azure ADを使用して、Windows VMにログインする方法が気になって調べた。
↓のリンクの通り、VMログインに対してAzure AD認証を適用させることが可能。
https://learn.microsoft.com/ja-jp/azure/active-directory/devices/howto-vm-sign-in-azure-ad-windows