[Azure]Azure Active Directry
Azure Active Directory (Azure AD)
Azureの認証基盤で、クラウドサービスに対するシングルサインオンを提供する。
あらかじめAzure ADとの関連付けを行うことで、Microsoft以外のクラウドサービス、Google Workspace、Salesforce、自社サービスなどで利用できる。
Azure ADのライセンス
Free |
|
---|---|
Premium P1 |
|
Premium P2 |
|
- Identity Protection、Privileged Identity Managementは、Premium P2ライセンスでのみサポートされる。
認証セキュリティ
多要素認証
不正アクセス防止の目的で、ID/Passwordの情報に加えユーザーが所有するものを利用して本人確認を行う。
- Microsoft Authenticatorアプリを利用した認証
- SMSを利用した認証
- 通話による認証
パスワードレス認証
利便性を高めるため、パスワードを使用せず、デバイスのみを使用し認証を行う。
- Microsoft Authenticatorアプリを利用した認証
アプリに表示される通知に応答することで認証を行う。 - Windows Hello for Businessを利用した認証
Windowsにサインインする際の顔認証や指紋認証で本人確認を行い、Azure ADの認証を行う。Windowsデバイスで利用できる。 - FIDO2対応デバイスを利用した認証
Webアクセスに利用可能な認証の企画、FIDO2を利用してAzure ADの認証を行う。FIDO2対応デバイスで利用できる。
管理単位
Azure AD内のユーザーをグループ化して管理するための単位で、例えば特定部署のユーザーをグループ化し、その範囲内でユーザーの管理を行うことができる。
管理単位を作成し、管理単位内で管理するユーザーとグループ、管理者を定義することで、管理者は管理単位の範囲だけの管理を始めることができる。
ハイブリッドID
オンプレミスのActive DirectoryとクラウドのAzure ADを同時に利用し運用することをハイブリッドIDという。
Azure AD Connect
オンプレミスのActive DirectoryとAzure ADを同期し、オンプレミスに登録済みのユーザーとパスワードでAzure ADへサインインする。
オンプレミスのサーバーにインストールして、30分毎に同期を行う。
パスワードハッシュ同期 |
|
---|---|
パススルー認証 |
|
Azure AD Identity Protection
Azure ADへの不正アクセスを検知・防止するサービスで、Premium P2ライセンスで提供される。ユーザーの行動に基づくリスクの高い行動を検出するユーザーリスクと、通常とは異なるサインインを検出するサインインリスクの2種類がある。
Azure AD管理センター
検出したユーザーリスク、サインインリスクの詳細を確認できる。また、結果に対して以下のアクションを実行できる。
- パスワードのリセット
- ユーザーのブロック
- 侵害内容の確認・無視(誤検知の可能性も含まれる)
管理作業に必要なロール
グローバル管理者 | すべての作業 |
---|---|
セキュリティ管理者 | パスワードリセットを除くすべての作業 |
セキュリティオペレータ セキュリティ管理者 |
検出内容の参照 |
ユーザーリスクポリシー
ユーザーリスクを検知した際に自動でアクションを実行する。以下の設定を定義しておく。
- 対象ユーザー/グループ
- リスクレベル
- アクション(アクセスのブロック、パスワードの変更)
サインインリスクポリシー
サインインリスクを検知した際に自動でアクションを実行する。以下の設定を定義しておく。
- 対象ユーザー/グループ
- リスクレベル
- アクション(アクセスのブロック、多要素認証の要求)
- 新しいデバイスまたは場所からAzureにアクセスする場合、ユーザーに対してMicrosoft Authenticatorアプリの使用を求めるようにする。
条件付きアクセス
Azure ADに関連付けられたクラウドサービスへのアクセス制御機能を提供する。ユーザーリスクポリシーとサインインリスクポリシーは、条件付きアクセスの一部として管理される。
ユーザー/グループ |
|
---|---|
クラウドサービス |
|
条件 |
アクセスポリシーを適用する条件を設定する。
|
アクセス制御 |
アクセス許可/拒否、またはセッション管理から選択する。
|
Azure AD Privileged Identity Management (PIM)
PIDは、管理者としての作業に必要な権限を作業者のタイミングで有効にし、一定時間経過で権限を取り消す事ができる。これにより、管理者権限が不正アクセスによって悪用されることを防ぐ効果がある。
PIMの利用開始フロー
- グローバル管理者のMFA有効化
- ロールの設定
- ロール利用の資格があるユーザーの指定
- Privileged Identity Managementの初期設定は、MFAの有効なグローバル管理者でしか行うことができない。
- アクセス レビューを構成する機能については、特権ロール管理者で行うことができる。(最小限の特権の原則)
PIMの主な設定項目
アクティブ化の最大期間(時間) |
|
---|---|
アクティブ化に理由が必要 |
|
アクティブ化するには承認が必要 |
|
資格の割当有効期限 |
|
ロールのアクティブ化
管理者によるPIMの初期設定が完了したら、割り当てられたユーザーは管理作業を行うタイミングでアクティブ化できる。
Azure管理ポータル、またはAD管理センターで利用したいロールを選択し、開始時刻とアクティブ時間を設定すると、アクティブ化が完了する。
アクセスレビュー
アクセス権が適切に付与されているかどうか確認する機能を提供する。
例えば人事異動や退職などでユーザーに割り当てたアクセス権が不要になった場合、システム管理者はレビュアーを指定してアクセス権が適切に割り当てられているか確認を依頼する。レビュアーはアクセス権の削除を直接行うか、システム管理者へ依頼するかで対応する。
コメント
コメントを投稿