Zenn
☁️

AZ-104 を調べてみた02 ‐Azure IDとガバナンスの管理①

に公開
Azure
勉強
az104
idea

Azure IDとガバナンスの管理①

セクション概要

AZ-104 試験では全体の約15~25%を占める重要分野で、クラウドのセキュリティと運用の土台となる「アイデンティティ管理」と「ガバナンス」について出題されます。このセクションでは、Azure 環境へのアクセス制御に関する理解が問われます。具体的には、ユーザー・グループの作成・管理、ライセンス割り当て、外部ゲストの招待、セルフサービスによるパスワードリセット、条件付きアクセスの設定を扱います。

2.1 ユーザーとグループの作成・管理

Azure AD のユーザーグループは、リソースへのアクセス管理の土台です。以下のポイントを押さえて、操作感と試験対策を両立しましょう。

ユーザー

定義: 社員やサービスが Azure にサインインするための個別アカウント。
作成タイミング: 入社・退社やサービス導入時。

  • 必須属性(ユーザー名、メールアドレス)を正確に設定しましょう。
  • 役割に応じたライセンス割り当て権限付与を忘れずに設定しましょう。

グループの種類と管理

種類 管理方法 特 徴 向いているケース
静的グループ 管理者の手動追加/削除 メンバー固定。細かなコントロールが可能。 少人数・期間限定プロジェクト、緊急対応チーム
動的グループ 属性ベースの自動更新(条件設定) 大規模&異動が多い環境で管理コストを削減。リアルタイム同期。 部門や役職単位の一括権限付与、自動プロビジョニング
  • 動的グループは「条件に合う人を自動登録」❗❗❗

動的グループ設定例

Azure ポータルで「動的ユーザー」を選択し、ルールを定義します。

user.department -eq "営業部"

必要に応じて AND / OR / NOT を組み合わせてルールを作成します。

活用例:

  • 営業部全員: department -eq "営業部"
  • 東京本社社員: city -eq "Tokyo"
  • 管理職: jobTitle -startsWith "Manager"

1. 抑えておくべき主要属性

項目 属性名 用途
部署 department 動的グループの条件に最も頻出
役職 jobTitle “Manager” などプレフィックス検索にも利用
オフィス拠点 officeLocation 地域別ポリシー適用シナリオ
アカウント状態 accountEnabled 退職者の無効化/再配備のトリガー

セキュリティグループ vs Microsoft 365 グループ

項目 セキュリティグループ Microsoft 365 グループ
主な用途 VM・ストレージ・SQL など Azure リソースの権限付与 Teams/SharePoint/Outlook グループメールなどの共同作業基盤
プロビジョニング なし Exchange メールボックス、SharePoint サイト、Planner、OneNote
メンバー ユーザー/デバイス ユーザーのみ
向いているシナリオ RBAC で細かい権限管理 ファイル共有・チャット・プロジェクト管理

選択ポイント:
簡潔な判断基準:

  • 「アクセス権限」 の話なら → セキュリティグループ
  • 「共同作業・情報共有」 の話なら → Microsoft 365 グループ
  • 両方必要: リソースへのアクセス権管理にはセキュリティグループを、共同作業環境の提供にはMicrosoft 365 グループを利用しましょう。たとえば、開発チームのサーバーアクセス権はセキュリティグループで管理し、チームのチャットやファイル共有にはMicrosoft 365 グループを使うといった具合です。

試験対策ポイント

  • グループの使い分けシナリオ:
    • 大規模部門・頻繁に異動がある → 動的グループ
    • 少人数チーム・一時利用 → 静的グループ
  • 動的ルール文の読み書き:
    • 属性(department, jobTitle, cityなど)
    • 演算子(-eq, -ne, -contains, -startsWithなど)
  • メンバーシップ更新タイミング:
    • 即時ではなく、数分~数時間かかる可能性を想定しましょう。
  • グループ種別の役割:
    • リソース権限付与 vs 共同作業スペース管理 の区別を明確に理解しましょう。

上記を意識して演習すれば、AZ-104 の該当問題を確実に攻略できます。

2.2 プロパティと動的クエリ

  • ユーザーのプロパティ:表示名、部署、役職、場所などをあとから変更できます。
  • グループのプロパティ:オーナー(管理者)設定や説明文を追加できます。
  • 動的クエリ
    • 例:(user.department -eq "Sales")
    • 「部署が ‘Sales’ の人を自動でグループに入れる」
    • 部署変更だけで、自動的にグループの出入りが完了します。

ポイント

  • 属性を整えると、管理がラクになる
  • 動的グループ=「クエリで自動管理」

2.3 ライセンスの一括適用

Azure の各種サービスを使うにはライセンスが必要です。
個別割当グループベース割当の違い・要件・メリットを覚えておきましょう。

ライセンス割当の種類

  • 個別割当(Direct)

    • 管理者がユーザー単位でライセンスを付与・解除
    • 小規模環境や個別対応に向く
    • コマンド例(PowerShell)
      Set-MsolUserLicense -UserPrincipalName user@contoso.com -AddLicenses contoso:ENTERPRISEPACK

  • グループベース割当(Group-Based)

    • セキュリティグループにライセンスを紐付け
    • グループのメンバー全員に自動で適用・解除
    • 大規模環境や人事異動が多い組織で便利
    • 要件:Azure AD Premium P1/P2 または EMS ライセンス

ポータルでの手順(Group-Based の場合)

  1. Azure ポータル → Azure Active Directoryライセンス
  2. グループベースの割り当て+ 割り当て
  3. ライセンスを付与する セキュリティグループ を選択
  4. 利用する SKU(例:Office 365 E3、Azure AD P2)を指定
  5. 割り当て をクリック

付与・回収は即時反映。退職者をグループから外せばライセンスが自動で解除されます。

試験によく出るポイント

  1. Direct vs Group-Based の要件
    • Direct:Azure AD Free 以上
    • Group-Based:Premium P1/P2 または EMS 必須
  2. グループ種別
    • Group-Based で使えるのは セキュリティグループ のみ
  3. シナリオ例
    • 「Sales チームのグループに E3 ライセンスを割り当てると、新入社員追加で自動付与」
    • 「プロジェクト完了でグループ削除すれば一括回収」

2.4 外部コラボレーションユーザー(ゲスト)の管理

Azure AD の外部コラボレーションユーザー (ゲスト) 機能は、社外のユーザーに自社リソースへのアクセスを安全に提供するためのものです。

機能概要と使いどころ

B2B コラボレーションにより、パートナーや顧客を「ゲスト」として招待し、自社リソースへアクセス許可できます。

  • 招待方法: ポータルまたはPowerShellで招待メールを送付。
  • サインイン: ゲストは自身の既存アカウント(Microsoft/Gmail/他組織ADなど)でサインインするため、自社ADでの新規アカウント作成は不要です。
  • メリット: 限定的なアクセス提供が可能で、相手の認証基盤を活用するため管理負荷が軽減されます。

AZ-104 試験対策ポイント

  • デフォルトの権限制限: ゲストユーザーはメンバーユーザーより権限が厳しく制限されることを理解しましょう。

  • 招待ポリシー: 誰が招待できるか、といった招待制限や、アクセスレビュープロセスの重要性も確認しましょう。

  • 適切なロール付与: ゲストに特定の管理タスクを許可する場合、Azure AD Roles(例: ユーザー管理者)を最小限の権限で付与する必要があります。

  • 招待メール → 承認リンク → 自分のアカウントで入場」のフローを連想しましょう。

2.5 セルフサービスパスワードリセット(SSPR)

「パスワードを忘れてサインインできない!」という状況は、ユーザーにとってもヘルプデスクにとっても大きな負担です。セルフサービスパスワードリセット (SSPR) は、この問題を解決するための強力な機能です。

SSPRの機能概要

SSPR を有効にすると、ユーザーはパスワードを忘れてしまった場合でも、ヘルプデスクに問い合わせることなく、自分自身でパスワードをリセットできます。これにより、ユーザーの利便性が向上し、ヘルプデスクの負荷も大幅に軽減されます。

本人確認方法:

SSPR を利用するには、事前に以下のいずれかの方法で本人確認ができるように設定しておく必要があります。

  • SMS認証: 登録済みの携帯電話に確認コードを送信します。
  • メール認証: 登録済みの代替メールアドレスに確認コードを送信します。
  • セキュリティ質問: 事前に設定したセキュリティ質問に回答します。
  • Authenticator アプリ: Microsoft Authenticator などの認証アプリを使用します。

ハイブリッド環境でのSSPR

オンプレミスの Active Directory (AD) と Azure AD を同期しているハイブリッド環境では、SSPR の設定次第で、オンプレミス AD のパスワードも同時に更新できます。これにより、ユーザーはクラウドとオンプレミスの両方で同じ新しいパスワードを使用できるようになり、管理がさらにシンプルになります。

AZ-104 試験対策ポイント

  • メリット: SSPR がユーザーの利便性向上とヘルプデスクの負荷軽減に貢献することを理解しましょう。
  • 本人確認方法: 設定可能な複数の本人確認方法を把握しておきましょう。
  • ハイブリッド環境での動作: オンプレミス AD のパスワードもリセットできる点を押さえておきましょう。

ポイント

  • 「Forgot Password?」を自分で解決できる機能が SSPR です。
  • SSPR は Self Service Password Reset の略だと覚えましょう。

2.6 条件付きアクセス(CA)ポリシー

Azure AD の条件付きアクセス (Conditional Access: CA) ポリシーは、「IF 条件 → THEN 動作」のロジックでアクセスを制御し、セキュリティを強化します。

CAポリシーの仕組み

ユーザーがクラウドアプリへアクセスする際の様々な条件を評価し、その結果に基づいて特定の動作を実行します。

  • 条件の例:
    • ユーザーの役割(管理者など)
    • サインイン元の場所(社内/社外)
    • デバイスの状態(登録済みかどうか)
  • 動作の例:
    • MFA(多要素認証)を要求
    • アクセスをブロック
    • セッションを制限

AZ-104 試験対策ポイント

  • 基本的なロジック: 「条件を満たしたら、この動作をする」という仕組みを理解しましょう。
  • 主要な条件と動作: 上記のような代表例を覚えておきましょう。
  • 目的: セキュリティ強化とコンプライアンス維持に役立つことを押さえましょう。

ポイント

  • CA は Conditional Access の略です。
  • Condition(条件)→ Action(動作)」で覚えましょう。

Discussion