はじめに
この記事では、Azure Entra ID(旧 AzureAD)についてわかりやすく解説していきます。
インフラエンジニアとして Azure をこれから触っていく方、Azure の資格である AZ-104(中級レベルの試験)の勉強をしている方は必見です。
AZ-900 にも一部出題されるキーワードはでてきます。
この記事に出てくる単語や意味が分かれば、Azure Entra ID の概要はバッチリです。
AD DS(Azure Directory Domain Services)
オンプレミスのシステムに対して認証/認可を実現するためのサービスで、
AD DS をインストールしたドメインコントローラーを構築し、運用していきます。
Kerberos(ケルベロス)という仕組みを用いて認証/認可を行っています。
認証が成功すると TGT(Ticket Granting Ticket)が発行され、
この TGT の有効性が確認されると ST(Service Ticket)を発行されます。
この ST を提示することでアクセス可能かどうか判断できます。
Azure Entra ID(旧 Azure Active Directory)
Azure を利用するためにも認証/認可が必要です。そのために利用されるのがこの Azure Entra ID です。
AD DS とは異なり、クラウドで認証/認可を提供するのがこのサービスの目的です。
サインイン時の認証トークンの発行により、アクセスの認可が行われます。
AD DS と Azure Entra ID の違い
| # | AD DS | Azure Entra ID |
|---|---|---|
| 利用範囲・目的 | オンプレミス向け | クラウド向け |
| プロトコル | Kerberos | SAML/OpenID Connect/OAuth など |
| 組織構成 | ドメインコントローラーというサーバーを展開し、フォレストとドメインを構成して管理。1 組織に対して 1 つのフォレストを構成。親ドメインと子ドメインは信頼関係で結ばれる。 | テナント(ディレクトリ)単位で構成。各テナントは独立し信頼関係というものはない。 |
| 管理構造 | ドメイン内に OU(組織単位)を構成し、ユーザーやグループを階層構造で管理。グループポリシーを OU 配下のオブジェクトに適用できる。 | ユーザーやグループはフラットな構造で管理。ポリシーの管理機能はない。 |
Azure Entra ID のエディション
Azure Entra ID Free
無料版でオブジェクト数の上限は 500,000 に設定されています。
Azure Entra ID Office 365 アプリ
セルフサービスパスワードリセットの機能も提供しています。
Azure Entra ID Premium P1
有償版。動的にグループのメンバーを構成する動的グループや
場所やデバイスなどでアクセスを制御する条件付きアクセスなどの機能が含まれます。
Azure Entra ID Premium P2
最上位のエディション。不正アクセス検知のAzure Entra ID Identity Protectionや
時間限定で管理者権限を付与するAzure Entra ID Privileged Identity Managementなどの機能が含まれます。
Azure Entra ID の主な機能
オブジェクト管理
ユーザーやグループを管理する基本的な機能です。デバイスを登録しユーザーが使用するデバイスと紐付けることも可能です。
多要素認証(MFA)
音声通話、SMS、Microsoft Authenticator アプリなどを用いた認証ができます。
セキュリティの向上が目的です。
条件付きアクセス
設定したポリシー条件に合致するユーザーのみアクセスできるようにする制御機能です。
OS や場所、デバイスが準拠しているかどうかなどを指定できます。
セルフサービスパスワードリセット
ユーザー自身でパスワードリセットできます。
リセットしようとしているのが本人かどうかが重要なので、秘密の質問やモバイルアプリを使って本人確認をします。
秘密の質問を構成する場合は、「登録する質問の数」と「リセットするために答える必要がある質問の数」を設定できます。
Azure Entra ID へのデバイス情報の登録
Azure Entra ID のユーザーと使用するデバイスと紐付けることができます。
これにより「業務で利用するデバイス」として扱われ、Azure Entra ID がデバイスの ID を認識できるようになります。
Microsoft Intune などの MDM(Mobile Device Management)システムと組み合わせることもできます。
Intune と組み合わせると、Azure Entra ID に登録されたデバイスを Intune の管理デバイスとして使用できます。
Azure Entra ID にデバイス情報を登録する方法は以下の 3 つです。
Azure Entra ID デバイス登録
BYOD(Bring Your Own Device)、つまりユーザーが所持するデバイスを Azure Entra ID に登録する方法です。
Windows へのサインインにローカルのユーザー情報を利用します。
Azure Entra ID 参加
会社支給のデバイスを登録することを想定しています。Azure Entra ID のユーザー名とパスワードでサインインすると
使用しているデバイスは Azure Entra ID ユーザーと紐付きます。
Azure Entra ID の資格情報を使って Windows にサインインできるため、シングルサインオンできるメリットがあります。
ハイブリッド Azure Entra ID 参加
既存の AD DS に登録しているデバイスを登録することを想定しているため、AD DS と Azure Entra ID 両方にデバイスを登録できます。
「Azure Entra ID Connect」のオプション構成で実行されるので、AD DS と Azure Entra ID を同期している事が前提です。
Windows へのサインインに使用する資格情報は AD DS の資格情報となります。
テナントとサブスクリプション
テナントは 1 つの組織を表します。ディレクトリとも呼ばれます。
テナントを作成すると {Microsoftアカウントから生成された名前}@onmicrosft.comというテナント名になります。
Azure サブスクリプションを紐付けることも可能です。1 つのサブスクリプションは、1 つのテナントのみに紐付けることができます。
カスタムドメイン
テナント作成時、初期ドメインはxxx.onmicrosoft.comという形式になります。
必要に応じてカスタムドメインを設定することができます。例えばxxx.comやxxx.co.jpなどです。
カスタムドメインを追加するには、「組織がそのドメインを所有している」かつ「インターネット上で所有を確認できる」必要があります。
カスタムドメインを設定するために、組織が管理している外部 DNS サーバー上に、所有していることを示すレコード(TXT または MX レコード)を録する必要があります。
レコード情報を登録し、ドメインの所有が確認できてはじめてカスタムドメインが Azure Entra ID 上で使用可能になります。
ユーザーの作成
Azure ポータル上でユーザーを作成するにはいくつかの情報の入力が必要です。
ユーザー登録時、「利用場所」によってサインインをブロックするかどうかの設定ができます。
ここで特筆すべき点は、 「利用場所」は必須ではありませんが、特定のライセンス割当を行うために必要になる場合があります。
例えば、Azure Entra ID Premium のライセンスを割り当てるためには「利用場所」が設定されていないといけません。
未設定の場合はエラーとなります。
ユーザーの一括作成
CSV テンプレートをダウンロードして、一括でユーザーを作成することもできます。
CSV ファイルには少なくとも、「名前」「ユーザー名」「初期パスワード」「サインインのブロック」が
適切な列に入力されている必要があります。
入力後、そのファイルをアップロードすることで一括作成することができます。
グループのメンバー管理
グループは、ユーザーをまとめて扱うオブジェクトです。複数のユーザーに同じ設定を適用したい時に効率的に実現できます。
メンバーの管理方法は 2 つです。
手動でのメンバー管理
管理者が手動でメンバーやデバイスを追加し、静的に管理します。
動的なメンバー管理
ユーザーやデバイスの属性に基づいて動的に管理する方法で、動的グループとも呼ばれます。
この管理方法は Premium エディションでのみ使用可能です。
動的メンバーシップルールと呼ばれるクエリを使用して動的に管理できます。
以下は例です。
# ユーザーの部署属性がSalesと等しい
(user.department -eq "Sales")
# ユーザーのタイプ属性がGuestと等しくない
(user.userType -ne "Guest")
# ユーザーの部署属性がSalesまたはResearchと等しく、かつユーザーの国属性がJPと等しい
(user.country -eq "JP" -and (user.department -eq "Sales" -or user.department -eq "Research"))
ロール
グローバル管理者
すべての操作が可能なロールです。
テナントを作成したユーザーには、グローバル管理者権限が既定で割り当てられます。
グローバル閲覧者
グローバル管理者が読み取れる全ての情報の参照のみ可能です。
ユーザー管理者
ユーザーとグループに関わる操作やサポート利用に関する操作が可能です。
例えばユーザーにリソースの共同管理社権限を付与することができます。
パスワード管理者
既存のユーザーに対するパスワード変更(リセット)操作が可能です。
ライセンス管理者
ユーザーやグループに対するライセンスの割当、削除、更新が可能です。
レポート閲覧者
サインインと監査レポートの読み取りのみ可能です。
ディレクトリ同期
オンプレミス環境とクラウド環境を展開している組織では、管理者のディレクトリ管理の負荷が大きいです。
その解決策として、オンプレミス環境の AD DS とクラウド環境の Azure Entra ID の資格情報の同期をAzure Entra ID Connectで行うことができます。
Azure Entra ID Connect
AD DS と Azure Entra ID のディレクトリを統合するためのツールです。
ツール自体は無償でダウンロードでき、ドメイン参加している Windows サーバーにインストールして使用します。
ツールをインストールした Windows サーバーのことをAzure Entra ID Connect 同期サーバーと呼びます。
ディレクトリ同期は、AD DS→Azure Entra ID の一方通行です。
同期サーバーの冗長構成
ディレクトリ同期を行う際は、アクティブな同期サーバーは 1 台です。
しかし障害に備えてステージングモードという構成にすることもできます。
セカンドサーバーとして同期サーバーをもう一つ構成します。
セカンドサーバーは AD DS から資格情報を読み取りますが、Azure Entra ID には書き込みません。
プライマリサーバーで障害が発生したときの切り替えや同期サーバー交換の際に役立ちます。
ディレクトリ同期の際の確認事項
使用可能な文字列の違い
AD DSではユーザープリンシパル名に「@」を利用できますが、Azure Entra IDでは利用できません。
このため、ディレクトリ同期の際にエラー担ってしまう可能性があります。
Azure Entra IDで利用できない文字列が使われていないか検出、修正できるツールとしてMicrosoftはIdFixというツールを提供しています。
ドメイン名の相違
ユーザー名が一致しているかどうかはユーザープリンシパル名(ユーザー名@ドメイン名)でチェックしています。
例えばAD DS上ではxxx.localで、Azure Entra ID上ではxxx.comのドメインを利用している場合、
ドメイン名が異なると同期できないため、2つの方法で対応する必要があります。
- 代替UPNサフィックスを設定する
代替UPNサフィックスとは、AD DSのドメイン名に対する別名設定です。
xxx.localの代替UPNサフィックスとしてxxx.comを設定することで、同期可能になります。
しかし、この方法ではAD DSにサインインする際の情報も変更されてしまいます。回避するには次の方法を使用します。 - 代替属性をAzure Entra IDのユーザープリンシパル名として使用するように同期
ユーザープリンシパル名の代わりに、電子メール等の属性を使用して同期します。
AD DSのユーザーのプロパティの電子メール属性に、Azure Entra IDのユーザー名を設定します。
そうすることでAD DSのメール属性とAzure Entra IDのユーザー名が一致し、同期できるようになります。
同期の監視
同期に関わるサーバーが適切に動いているかどうかの監視も行うべきです。
Premiumエディションでは、Azure Entra ID Connect Healthという機能がついています。
オンプレミスのIDインフラストラクチャを監視することで、環境の信頼性が向上できます。
おわりに
概要レベルではあるので、詳細の仕組みなどを知りたい場合は書籍を読み漁ると良いと思います。
参考にした書籍のリンクを添付するので、ご興味ある方はぜひ購入してみてください。
合格対策Microsoft認定試験AZ-104:Microsoft Azure Administratorテキスト&演習問題
(模擬問題付き)徹底攻略 Microsoft Azure Administrator教科書[AZ-104]対応
最後まで読んでいただきありがとうございました。
Discussion