[Az-500勉強メモ] Azure Active Directory を使用して Azure ソリューションをセキュリティで保護する
学習資材
Azure ADのエディション
Free・Apps・P1・P2が存在する。
Freeだと、ユーザやグループの管理、SaaSへのSSOアクセスなど、基本的な操作のみになる。
P1とP2の違いは、Identity Protection(後述)とPrivileged Identity Management (PIM)(後述)がP2では提供される。
詳細は以下の通り。
Identiry Protectionとは
その名の通り、ID保護に関するサービス。IDベースで、リスクの検出/管理/保護を行ってくれるサービスと考えればよい。
機械学習を使って、例えば、接続元IPアドレスを隠蔽してアクセスしてきた通信をブロックするといった保護ができる。
詳細は以下の通り。
Privileged Identity Managementとは
日本語にすると、「特権ID管理」
上位の権限をあるユーザに付けたままにするセキュリティリスクを防止することができる。
具体的には、管理者の承認を得て、一時的に特権を利用できる機能を提供する。
Azure ADとAD DSの違い
どちらもActivie Directoryになるのだが、全く同じものではない。
AD DSはWindows Serverにデプロイして、オンプレミスドメインの(認証)管理を行うことが目的となる。一方位で、Azure ADの場合は、SaaSのID管理としてクラウドベースの(認証)管理を行うことが目的となる。それに伴い、細かい機能差分も発生する(グループや認証方法など)
AD DSだが、Azure で提供されている、Azure AD DSというサービスも存在する。
Azure AD DSの使いどころ
例えば、Vnet上にIaaSを作成してドメインに参加させたい時である。AD Connectというサービスを使うと、オンプレのAD DS⇔Azure ADで同期を図り、ADに同期した内容をAzure AD DSにも同期さることができる。
こうすることで、オンプレとクラウド上において、同じID・パスワードを使うことができるようになる。
(IaaSを太字にしたのは、Azure ADのSaaSとの差分を強調するためである)
Azure AD グループへのユーザの追加
まず前提として、グループ単位で権限の割り当てができる。(運用効率化)
動的メンバーシップルールを利用することで、ユーザ/デバイスがルールに従っているかを自動的に確認し、ユーザ/デバイスの追加・削除が可能になる。便利な機能が存在する。
また、グループのメンバーとしてグループを追加することも可能である。その際の制約として、割り当て済みグループには動的グループを追加できるが、その逆は不可能である。動的グループなので、ユーザが選択して追加するのはできないということ。また、Microsoft365グループはメンバにユーザしか追加できない。
セキュリティグループ:アプリケーションやリソースへのアクセスを付与したり、ライセンスの割り当てを行うために作成される。
Microsoft365グループ:sharepointやteams、Plannerといった社内外コミュニケーション用に作成される。
セキュリティグループは一度削除すると復元することができないので注意。M365グループは30日間は復元が可能
Azure AD の管理単位機能とは?
「管理単位」という機能を使うことで、特定のグループ/ユーザに対して、ADに所属するユーザの管理を委任することができる。
グループ・ユーザに対して、用途に応じた管理者権限を付与し運用していくことになる。
AADとAADDSとADDSの違い
超絶ざっくり
Discussion