[Azure]Azure Active Directry

-

Azure Active Directory (Azure AD)

Azureの認証基盤で、クラウドサービスに対するシングルサインオンを提供する。

あらかじめAzure ADとの関連付けを行うことで、Microsoft以外のクラウドサービス、Google Workspace、Salesforce、自社サービスなどで利用できる。

Azure ADのライセンス

Azure ADのライセンス形態
Free
  • オブジェクト数に50,000の上限がある。
  • SLAは定義されていない。
Premium P1
  • オブジェクト数に上限はない。
  • 99.99%のSLAを保証する。
  • グループに対するアクセス許可を提供する。
  • 条件付きアクセスを提供する。
Premium P2
  • Premium P1に加え、Identity Protection、Privileged Identity Managementを提供する。
  • Identity Protection、Privileged Identity Managementは、Premium P2ライセンスでのみサポートされる。

認証セキュリティ

多要素認証

不正アクセス防止の目的で、ID/Passwordの情報に加えユーザーが所有するものを利用して本人確認を行う。

  • Microsoft Authenticatorアプリを利用した認証
  • SMSを利用した認証
  • 通話による認証

パスワードレス認証

利便性を高めるため、パスワードを使用せず、デバイスのみを使用し認証を行う。

  • Microsoft Authenticatorアプリを利用した認証
    アプリに表示される通知に応答することで認証を行う。
  • Windows Hello for Businessを利用した認証
    Windowsにサインインする際の顔認証や指紋認証で本人確認を行い、Azure ADの認証を行う。Windowsデバイスで利用できる。
  • FIDO2対応デバイスを利用した認証
    Webアクセスに利用可能な認証の企画、FIDO2を利用してAzure ADの認証を行う。FIDO2対応デバイスで利用できる。

管理単位

Azure AD内のユーザーをグループ化して管理するための単位で、例えば特定部署のユーザーをグループ化し、その範囲内でユーザーの管理を行うことができる。

管理単位を作成し、管理単位内で管理するユーザーとグループ、管理者を定義することで、管理者は管理単位の範囲だけの管理を始めることができる。

ハイブリッドID

オンプレミスのActive DirectoryとクラウドのAzure ADを同時に利用し運用することをハイブリッドIDという。

Azure AD Connect

オンプレミスのActive DirectoryとAzure ADを同期し、オンプレミスに登録済みのユーザーとパスワードでAzure ADへサインインする。

オンプレミスのサーバーにインストールして、30分毎に同期を行う。

Azure AD Connectの同期オプション
パスワードハッシュ同期
  • パスワードを含めて同期を行うため、オンプレミスのサーバーが停止していても、Azure ADのみでサインインができる。
パススルー認証
  • パスワードを同期しないため、Azure ADにサインインするときはオンプレミスのActive Drectoryに問い合わせて認証する。

Azure AD Identity Protection

Azure ADへの不正アクセスを検知・防止するサービスで、Premium P2ライセンスで提供される。ユーザーの行動に基づくリスクの高い行動を検出するユーザーリスクと、通常とは異なるサインインを検出するサインインリスクの2種類がある。

Azure AD管理センター

検出したユーザーリスク、サインインリスクの詳細を確認できる。また、結果に対して以下のアクションを実行できる。

  • パスワードのリセット
  • ユーザーのブロック
  • 侵害内容の確認・無視(誤検知の可能性も含まれる)

管理作業に必要なロール

Azure AD Identity Protectionの管理に必要なロール
グローバル管理者 すべての作業
セキュリティ管理者 パスワードリセットを除くすべての作業
セキュリティオペレータ
セキュリティ管理者		 検出内容の参照

ユーザーリスクポリシー

ユーザーリスクを検知した際に自動でアクションを実行する。以下の設定を定義しておく。

  • 対象ユーザー/グループ
  • リスクレベル
  • アクション(アクセスのブロック、パスワードの変更)

サインインリスクポリシー

サインインリスクを検知した際に自動でアクションを実行する。以下の設定を定義しておく。

  • 対象ユーザー/グループ
  • リスクレベル
  • アクション(アクセスのブロック、多要素認証の要求)
    実装例
  • 新しいデバイスまたは場所からAzureにアクセスする場合、ユーザーに対してMicrosoft Authenticatorアプリの使用を求めるようにする。

条件付きアクセス

Azure ADに関連付けられたクラウドサービスへのアクセス制御機能を提供する。ユーザーリスクポリシーとサインインリスクポリシーは、条件付きアクセスの一部として管理される。

条件付きアクセスの設定項目
ユーザー/グループ
  • アクセス制御を行う対象のユーザー、またはグループを指定する。
  • 「対象」と「対象外」が指定でき、両方に指定した場合は「対象外」が優先される。
クラウドサービス
  • アクセス制御の対象となるクラウドサービスを指定する。
  • Azure ADと関連付けていれば、自社サービスのWebアプリケーションなども指定できる。
条件

アクセスポリシーを適用する条件を設定する。

  • ユーザーリスク/サインインリスク
  • デバイスプラットフォーム
  • 場所
  • クライアントアプリケーション
  • デバイスのフィルター
アクセス制御

アクセス許可/拒否、またはセッション管理から選択する。

  • アクセス許可/拒否
    • ユーザー/グループ、クラウドサービス、条件のすべてを満たした場合、アクセスを許可するか拒否するかを設定する。
    • アクセスを許可する場合、多要素認証などの追加条件をクリアしたときにアクセスが許可される。
  • セッション管理
    • 「サインインの頻度」を指定すると、キャッシュをいつまで残すか制御できる。
    • 「永続的なブラウザーセッション」を選択すると、サインイン時に「サインインの状態を維持しますか?」と聞かれる用になり、セッションを永続的に保持できる。

Azure AD Privileged Identity Management (PIM)

PIDは、管理者としての作業に必要な権限を作業者のタイミングで有効にし、一定時間経過で権限を取り消す事ができる。これにより、管理者権限が不正アクセスによって悪用されることを防ぐ効果がある。

PIMの利用開始フロー

  • グローバル管理者のMFA有効化
  • ロールの設定
  • ロール利用の資格があるユーザーの指定
  • Privileged Identity Managementの初期設定は、MFAの有効なグローバル管理者でしか行うことができない。
  • アクセス レビューを構成する機能については、特権ロール管理者で行うことができる。(最小限の特権の原則)

PIMの主な設定項目

アクティブ化の最大期間(時間)
  • 作業者が管理ロールを連続して使用できる期間を時間単位で指定する。
アクティブ化に理由が必要
  • 作業者のアクティブ化の際に、コメントを必須にする。
アクティブ化するには承認が必要
  • アクティブ化の際に承認者の承認を得て、アクティブ化できるようにする。
資格の割当有効期限
  • この期限に設定した日数が経過すると、作業者はアクティブ化できなくなる。
  • この期限内であれば、何度でもアクティブ化できる。
  • 期限を設けず永続的に資格の割当を許可することもできる。

ロールのアクティブ化

管理者によるPIMの初期設定が完了したら、割り当てられたユーザーは管理作業を行うタイミングでアクティブ化できる。

Azure管理ポータル、またはAD管理センターで利用したいロールを選択し、開始時刻とアクティブ時間を設定すると、アクティブ化が完了する。

アクセスレビュー

アクセス権が適切に付与されているかどうか確認する機能を提供する。

例えば人事異動や退職などでユーザーに割り当てたアクセス権が不要になった場合、システム管理者はレビュアーを指定してアクセス権が適切に割り当てられているか確認を依頼する。レビュアーはアクセス権の削除を直接行うか、システム管理者へ依頼するかで対応する。

コメント

コメントを投稿

このブログの人気の投稿

docker-compose up で proxyconnect tcp: dial tcp: lookup proxy.example.com: no such host

-
いつものように docker-compose コマンドでコンテナを起動し作業しようとしたところ、件名のエラーが発生するようになりました。 特に何も構成等を変更した覚えはないのですが、調査・復旧したので対応した内容をまとめておきます。 環境、バージョン等 $ cat /etc/issue Ubuntu 20.04.3 LTS \n \l $ docker --version Docker version 20.10.8, build 3967b7d $ docker-compose --version docker-compose version 1.26.0, build d4451659 発生事象 コンテナを起動する docker-compose up -d でコンテナを起動します。 $ docker-compose up -d Pulling mysql (mysql:5.7)... ERROR: Get "https://registry-1.docker.io/v2/": proxyconnect tcp: dial tcp: lookup proxy.example.com: no such host 「プロキシーサーバーが見つからない」と言われているようですが、全く見に覚えがありませんでした。 テスト用Dockerプロジェクトで試す 以前の記事 で紹介したテスト用プロジェクトでも一応試したましたが同様のエラーでした。 $ docker-compose up -d Pulling web (nginx:alpine)... ERROR: Get "https://registry-1.docker.io/v2/": proxyconnect tcp: dial tcp: lookup proxy.example.com: no such host Docker ログイン Dockerへのログインを試したところ、こちらも同様のエラーが出ました。 $ docker login Authenticating with existing credentials... Login did not succeed, error: Error response from daemon: G
Read more »

docker-compose で起動したweb、MySQLに接続できない事象

-
イメージ
概要 以前作成したPHP + MySQL + LaravelのDockerプロジェクトがコンテナを立ち上げても画面にアクセスできなくなってしまったときの解決方法です。 以前の記事は以下です。 【Laravel + MySQL】Dockerで開発環境を作る https://www.s-watanabe.work/2020/12/laravel-mysqldocker.html 発生事象 コンテナを起動 $ docker-compose up -d Starting laravel-project_mysql_1 ... done Starting laravel-project_app_1 ... done Starting laravel-project_web_1 ... done ブラウザでアクセス いつものようにブラウザでアクセスしますが接続できません。 http://localhost:8000 ※この時Docker側のログには何も出力されません。 MySQLへ接続 MySQLも確認してみましたが同じく接続できなくなりました。 $ mysql -h 127.0.0.1 -u user -ppassword -D test mysql: [Warning] Using a password on the command line interface can be insecure. ERROR 2013 (HY000): Lost connection to MySQL server at 'reading initial communication packet', system error: 2 調査・確認 まず以下の記事を参考に新規のDockerプロジェクトが起動・接続できるかを確認しました。 https://www.digitalocean.com/community/tutorials/how-to-install-and-use-docker-compose-on-ubuntu-20-04-ja # docker-compose はインストール済み $ docker-compose --version docker-compose version 1.26.0, build d
Read more »

【PHP】PHP_CodeSnifferを使う(コーディングルールのカスタマイズ)

-
phpcsを社内独自のコーディン規約などにあわせてカスタマイズする方法をまとめます。 インストールディレクトリ 以下のディレクトリにインストールされてます。 ~/.composer/vendor/squizlabs/php_codesniffer/ -rw-r--r-- 1 638 10 28 13:36 CONTRIBUTING.md -rw-r--r-- 1 187 11 26 12:08 CodeSniffer.conf.dist -rw-r--r-- 1 6399 10 28 13:36 README.md -rw-r--r-- 1 10085 10 28 13:36 autoload.php drwxr-xr-x 6 192 10 28 13:36 bin -rw-r--r-- 1 1083 10 28 13:36 composer.json -rw-r--r-- 1 1533 10 28 13:36 licence.txt -rw-r--r-- 1 6280 10 28 13:36 phpcs.xml.dist -rw-r--r-- 1 7054 10 28 13:36 phpcs.xsd -rw-r--r-- 1 340 10 28 13:36 phpstan.neon drwxr-xr-x 5 160 10 28 13:36 scripts drwxr-xr-x 16 512 10 28 13:36 src drwxr-xr-x 9 288 10 28 13:36 tests 設定ファイルを用意する CodeSniffer.conf.dist が雛形なのでこれをcpしてやればOKです。 cd ~/.composer/vendor/squizlabs/php_codesniffer/ cp CodeSniffer.conf.dist CodeSniffer.conf コーディングルールのカスタマイズ CodeSniffer.conf <?php $phpCodeSnifferConfig = array ( 'default_standard' => 'PSR2', 'repo
Read more »