Azure Active Directory 概念実証戦略: 構成要素

ロールのカタログ

役割 Description 概念実証 (PoC) の責任範囲
ID アーキテクチャ/開発チーム このチームは、通常、ソリューションを設計し、プロトタイプを実装して、承認を得たうえで最後にオペレーションへの引き渡しを行います。 必要な環境を提供します。また管理の容易さの観点からさまざまなシナリオを評価する役割を担います。
オンプレミス ID オペレーション チーム オンプレミスのさまざまな ID ソースを管理します (Active Directory フォレスト、LDAP ディレクトリ、人事システム、フェデレーション ID プロバイダー)。 PoC のシナリオに必要なオンプレミス リソースへのアクセスを提供します。
このチームの関与はできるだけ少なくする必要があります。
アプリケーション テクニカル オーナー Azure AD と連携するさまざまなクラウド アプリとクラウド サービスのテクニカル オーナーです。 SaaS アプリケーション (テスト対象のインスタンス) についての詳細を提供します。
Azure AD グローバル管理者 Azure AD の構成を管理します。 同期サービスを構成するための資格情報を提供します。 通常、PoC 段階は ID アーキテクチャと同じチームが担当し、運用段階では別々のチームが担当します。
データベース チーム データベース インフラストラクチャの所有者です。 特定のシナリオを準備するために SQL 環境 (ADFS または Azure AD Connect) へのアクセスを提供します。
このチームの関与はできるだけ少なくする必要があります。
ネットワーク チーム ネットワーク インフラストラクチャの所有者です。 同期サーバーがデータ ソースとクラウド サービスに適切にアクセスするために、ネットワーク レベルで必要なアクセスを提供します (ファイアウォール規則、開放ポート、IPSec 規則など)。
セキュリティ チーム セキュリティ戦略を定義し、さまざまなソースからのセキュリティ レポートを分析して、そこで得られた知見を確実に実行に移します。 目標となるセキュリティ評価のシナリオを提供します。

すべての構成要素に共通の前提条件

Azure AD Premium を使ったすべての POC で必要になるいくつかの前提条件を以下に示します。

前提条件 リソース
有効な Azure サブスクリプションで定義された Azure AD テナント Azure Active Directory テナントを取得する方法
注: Azure AD Premium ライセンスと環境が既にある場合は、https://aka.ms/accessaad にアクセスして無制限サブスクリプションを取得できます。
詳細情報: https://blogs.technet.microsoft.com/enterprisemobility/2016/02/26/azure-ad-mailbag-azure-subscriptions-and-azure-ad-2/ および https://technet.microsoft.com/library/dn832618.aspx
定義済みかつ検証済みのドメイン Azure Active Directory へのカスタム ドメイン名の追加
注: Power BI など一部のワークロードでは、Azure AD テナントが暗黙的にプロビジョニングされています。 特定のドメインがテナントに関連付けられているかどうかを確認するには、https://login.microsoftonline.com/{domain}/v2.0/.well-known/openid-configuration にアクセスします。 正常に応答が得られた場合、そのドメインはテナントに割り当て済みであり、引き継ぎが必要であると考えられます。 その場合の詳しいガイダンスについては、Microsoft にお問い合わせください。 引き継ぎの方法については、「Azure のセルフサービス サインアップについて」を参照してください。
Azure AD Premium または EMS 試用版が有効であること Azure Active Directory Premium が 1 か月間無料
Azure AD Premium または EMS のライセンスを PoC ユーザーに割り当て済みであること Azure Active Directory での自分とユーザーのライセンスの取得
Azure AD 全体管理者の資格情報 Azure Active Directory での管理者ロールの割り当て
フォールバックとしての並列ラボ環境 (省略可、ただし強く推奨) Azure AD Connect の前提条件

ディレクトリ同期 - パスワード ハッシュ同期 (PHS) - 新規インストール

推定所要時間: 1 時間 (1,000 PoC ユーザー未満の場合)

前提条件

前提条件 リソース
Azure AD Connect を実行するためのサーバー Azure AD Connect の前提条件
ターゲット POC ユーザー (同じドメインで、いずれかのセキュリティ グループに所属) と OU Azure AD Connect のカスタム インストール
POC に必要な Azure AD Connect 機能がわかっていること Active Directory を Azure Active Directory と接続する - 同期機能を構成する
オンプレミス環境とクラウド環境に必要な資格情報を持っていること Azure AD Connect: アカウントとアクセス許可

手順

手順 リソース
Azure AD Connect 最新バージョンをダウンロードします。 Microsoft Azure Active Directory Connect のダウンロード
最も簡単な方法 (簡単設定) で Azure AD Connect をインストールします。
1.同期サイクル時間を最小限に抑えるために対象の OU をフィルター選択します。
2.オンプレミス グループで対象となる一連のユーザーを選択します。
手順 3.他の POC テーマに必要となる機能をデプロイします。
Azure AD Connect: カスタム インストール: ドメインと OU のフィルター処理
Azure AD Connect: カスタム インストール: グループに基づくフィルター処理
Azure AD Connect: オンプレミス ID と Azure Active Directory の統合: 同期機能を構成する
Azure AD Connect の UI を開いて実行中のプロファイル (インポート、同期、エクスポート) が完了したことを確認します。 Azure AD Connect 同期: スケジューラ
Azure AD 管理ポータルを開いて [すべてのユーザー] ブレードにアクセスし、[権限ソース] 列を追加します。対象ユーザーが表示され、"Windows Server AD" からのユーザーとして適切にマークされていることを確認します。 Azure AD 管理ポータル

考慮事項

  1. パスワード ハッシュ同期のセキュリティに関する考慮事項をこちらで確認します。 パイロット運用環境のユーザーに対する選択肢としてパスワード ハッシュ同期が明らかに不適切である場合は、代わりに以下の手順を行います。
    • 運用環境ドメインにテスト ユーザーを作成します。 その他のアカウントを同期していないことを確認してください。
    • UAT 環境に移動します。
  2. フェデレーションを推進する場合は、オンプレミスの ID プロバイダーを使ったフェデレーション ソリューションに伴うコストが POC を上回ることを理解したうえで、期待するメリットと照らして評価することは大切です。
    • クリティカル パスであるため、高可用性を意図して設計する必要がある。
    • 容量計画に必要なオンプレミス サービスである。
    • 監視/保守/パッチ適用に必要なオンプレミス サービスである。

詳細情報: Office 365 ID と Azure Active Directory について - フェデレーション ID

ブランド

推定所要時間: 15 分

前提条件

前提条件 リソース
資産 (画像、ロゴなど)。最適な表示を確保するために推奨サイズを遵守してください。 Azure Active Directory でサインイン ページに会社のブランドを追加する
(省略可) 環境に ADFS サーバーがある場合は、そのサーバーにアクセスして Web テーマをカスタマイズします。 AD FS ユーザーのサインインのカスタマイズ
エンド ユーザーのログイン操作を実行するためのクライアント コンピューター
(省略可) 操作性を検証するためのモバイル デバイス

手順

手順 リソース
Azure AD 管理ポータルに移動します。 Azure AD 管理ポータル - 会社のブランド
ログイン ページ用の資産 (ヒーロー ロゴ、小さいロゴ、ラベルなど) をアップロードします AD FS がある場合は、必要に応じて ADFS ログイン ページと同じ資産に統一します。 サインイン ページとアクセス パネル ページに会社のブランドを追加する: カスタマイズ可能な要素
変更が完全に反映されるまで数分待ちます。
POC ユーザーの資格情報で https://myapps.microsoft.com にログインします。
ブラウザーで外観を確認します。 サインイン ページとアクセス パネル ページに対する会社のブランドの追加
必要に応じて、他のデバイスで外観を確認します。

考慮事項

カスタマイズ後も以前の外観のままになっている場合は、ブラウザー クライアントのキャッシュをフラッシュしてから、操作を再試行してください。

グループベースのライセンス

推定所要時間: 10 分

前提条件

前提条件 リソース
すべての POC ユーザーがセキュリティ グループに属していること (クラウドまたはオンプレミス) Azure Active Directory でグループを作成し、メンバーを追加する

手順

手順 リソース
Azure AD 管理ポータルのライセンス ブレードに移動します。 Azure AD 管理ポータル: ライセンス
POC ユーザーを含むセキュリティ グループにライセンスを割り当てます。 Azure Active Directory でのユーザーのグループへのライセンスの割り当て

考慮事項

問題が発生した場合は、「Azure Active Directory のライセンス管理にグループを使用する際のシナリオ、制限、および既知の問題」を参照してください。

SaaS フェデレーション SSO 構成

推定所要時間: 60 分

前提条件

前提条件 リソース
SaaS アプリケーションのテスト環境が利用できること。 このガイドでは、ServiceNow を例として使用します。
既存データの品質とマッピングをナビゲートする際の負荷を最小限に抑えるために、テスト インスタンスの使用を強くお勧めします。
テスト インスタンスを取得するためのプロセスを開始するには、https://developer.servicenow.com/app.do#!/home にアクセスします。
ServiceNow 管理コンソールへの管理者アクセス チュートリアル: Azure Active Directory と ServiceNow の統合
アプリケーションの割り当て先となる一連の対象ユーザー。 PoC ユーザーを含むセキュリティ グループをお勧めします。
このグループの作成が現実的に難しい場合は、PoC のアプリケーションに直接ユーザーを割り当てます。
Azure Active Directory でエンタープライズ アプリケーションにユーザーまたはグループを割り当てる

手順

手順 リソース
すべてのアクターに Microsoft ドキュメントのチュートリアルを共有します。 チュートリアル: Azure Active Directory と ServiceNow の統合
作業ミーティングを設定し、各アクターと共にチュートリアルの手順を実行します。 チュートリアル: Azure Active Directory と ServiceNow の統合
「前提条件」に示されているグループにアプリを割り当てます。 POC の範囲に条件付きアクセスが含まれている場合は、後から再度アクセスして MFA などを追加してください。
これにより、プロビジョニング プロセスが開始されることに注意してください (構成されている場合)。
Azure Active Directory でエンタープライズ アプリケーションにユーザーまたはグループを割り当てる
Azure Active Directory でグループを作成し、メンバーを追加する
Azure AD 管理ポータルを使用してギャラリーから ServiceNow アプリケーションを追加します。 Azure AD 管理ポータル: エンタープライズ アプリケーション
Azure Active Directory でのエンタープライズ アプリケーション管理の新機能
ServiceNow アプリの [シングル サインオン] ブレードで [SAML ベースのサインオン] を有効にします。
[サインオン URL] と [識別子] フィールドに実際の ServiceNow URL を入力します。
[新しい証明書をアクティブにする] チェック ボックスをオンにし、
設定を保存します。
パネルの一番下にある [ServiceNow の構成] ブレードを開き、自分用にカスタマイズされた ServiceNow の構成手順を確認します。
ServiceNow の構成手順に従います。
ServiceNow アプリの [プロビジョニング] ブレードで "自動" プロビジョニングを有効にします。 新しい Azure Portal でエンタープライズ アプリケーションのユーザー アカウント プロビジョニングを管理する
プロビジョニングが完了するまで数分待ちます。 その間にプロビジョニング レポートを確認できます。
アクセス権のあるテスト ユーザーとして https://myapps.microsoft.com/ にログインします。 アクセス パネルとは
作成したアプリケーションのタイルをクリックします。 アクセスを確認します。
必要に応じて、アプリケーションの使用状況レポートを確認することができます。 多少待ち時間が生じるため、レポートにトラフィックが反映されるまでしばらく待つ必要があります。 Azure Active Directory ポータルのサインイン アクティビティ レポート: マネージ アプリケーションの使用状況
Azure Active Directory レポートの保持ポリシー

考慮事項

  1. 上記のチュートリアルでは、以前の Azure AD の管理環境が使用されています。 一方 PoC は、クイック スタートのエクスペリエンスに基づいています。
  2. ギャラリーにターゲット アプリケーションが存在しない場合は、"独自のアプリの持ち込み" を使用できます。 詳細情報: Azure Active Directory でのエンタープライズ アプリケーション管理の新機能: 1 つの場所からカスタム アプリケーションを追加する

SaaS パスワード SSO 構成

推定所要時間: 15 分

前提条件

前提条件 リソース
SaaS アプリケーションのテスト環境。 パスワード SSO の例としては、HipChat や Twitter があります。 その他のアプリケーションでは、HTML のサインイン フォームがあるページの正確な URL が必要です。 Twitter (Microsoft Azure Marketplace)
HipChat (Microsoft Azure Marketplace)
アプリケーションのテスト アカウント。 Twitter のサインアップ
無料サインアップ: HipChat
アプリケーションの割り当て先となる一連の対象ユーザー。 それらのユーザーを含むセキュリティ グループをお勧めします。 Azure Active Directory でエンタープライズ アプリケーションにユーザーまたはグループを割り当てる
Internet Explorer、Chrome、Firefox 用のアクセス パネル拡張機能をデプロイするコンピューターへのローカル管理者アクセス。 IE 用アクセス パネル拡張機能
Chrome 用アクセス パネル拡張機能
Firefox 用アクセス パネル拡張機能

手順

手順 リソース
ブラウザー拡張機能をインストールします。 IE 用アクセス パネル拡張機能
Chrome 用アクセス パネル拡張機能
Firefox 用アクセス パネル拡張機能
ギャラリーからアプリケーションを構成します。 Azure Active Directory でのエンタープライズ アプリケーション管理の新機能: 改良された新しいアプリケーション ギャラリー
パスワード SSO を構成します 新しい Azure Portal でエンタープライズ アプリケーションのシングル サインオンを管理する: パスワードベースのサインオン
「前提条件」に示されているグループにアプリを割り当てます。 Azure Active Directory でエンタープライズ アプリケーションにユーザーまたはグループを割り当てる
アクセス権のあるテスト ユーザーとして https://myapps.microsoft.com/ にログインします。
作成したアプリケーションのタイルをクリックします。 アクセス パネルとは: パスワード ベースの SSO (ID プロビジョニングなし)
アプリケーションの資格情報を指定します。 アクセス パネルとは: パスワード ベースの SSO (ID プロビジョニングなし)
ブラウザーを閉じて再度ログインします。 今回は、ユーザーがアプリケーションにシームレスにアクセスできるはずです。
必要に応じて、アプリケーションの使用状況レポートを確認することができます。 多少待ち時間が生じるため、レポートにトラフィックが反映されるまでしばらく待つ必要があります。 Azure Active Directory ポータルのサインイン アクティビティ レポート: マネージ アプリケーションの使用状況
Azure Active Directory レポートの保持ポリシー

考慮事項

ギャラリーにターゲット アプリケーションが存在しない場合は、"独自のアプリの持ち込み" を使用できます。 詳細情報: Azure Active Directory でのエンタープライズ アプリケーション管理の新機能: 1 つの場所からカスタム アプリケーションを追加する

以下の要件に注意してください。

  • アプリケーションには既知のログイン URL が必要です。
  • サインイン ページには、ブラウザー拡張機能で自動入力できるテキスト フィールドが 1 つ以上含まれている HTML フォームが必要です。 最低でも、ユーザー名とパスワードが必要です。

SaaS 共有アカウント構成

推定所要時間: 30 分

前提条件

前提条件 リソース
対象アプリケーションのリストと実際のサインイン URL を事前に準備しておくこと。 たとえば Twitter を使用できます。 Twitter (Microsoft Azure Marketplace)
Twitter のサインアップ
この SaaS アプリケーションの共有資格情報。 Azure AD とのアカウントの共有
Facebook、Twitter、LinkedIn の Azure AD 自動パスワード ロールオーバーがプレビュー段階になりました - Enterprise Mobility and Security のブログ
同じアカウントにアクセスする少なくとも 2 人のチーム メンバーの資格情報。 これらのチーム メンバーはセキュリティ グループに属している必要があります。 Azure Active Directory でエンタープライズ アプリケーションにユーザーまたはグループを割り当てる
Internet Explorer、Chrome、Firefox 用のアクセス パネル拡張機能をデプロイするコンピューターへのローカル管理者アクセス。 IE 用アクセス パネル拡張機能
Chrome 用アクセス パネル拡張機能
Firefox 用アクセス パネル拡張機能

手順

手順 リソース
ブラウザー拡張機能をインストールします。 IE 用アクセス パネル拡張機能
Chrome 用アクセス パネル拡張機能
Firefox 用アクセス パネル拡張機能
ギャラリーからアプリケーションを構成します。 Azure Active Directory でのエンタープライズ アプリケーション管理の新機能: 改良された新しいアプリケーション ギャラリー
パスワード SSO を構成します 新しい Azure Portal でエンタープライズ アプリケーションのシングル サインオンを管理する: パスワードベースのサインオン
「前提条件」に示されているグループにアプリを割り当てるとともに、グループに資格情報を割り当てます。 Azure Active Directory でエンタープライズ アプリケーションにユーザーまたはグループを割り当てる
同じ共有アカウントとしてアプリにアクセスする別のユーザーとしてログインします。
必要に応じて、アプリケーションの使用状況レポートを確認することができます。 多少待ち時間が生じるため、レポートにトラフィックが反映されるまでしばらく待つ必要があります。 Azure Active Directory ポータルのサインイン アクティビティ レポート: マネージ アプリケーションの使用状況
Azure Active Directory レポートの保持ポリシー

考慮事項

ギャラリーにターゲット アプリケーションが存在しない場合は、"独自のアプリの持ち込み" を使用できます。 詳細情報: Azure Active Directory でのエンタープライズ アプリケーション管理の新機能: 1 つの場所からカスタム アプリケーションを追加する

以下の要件に注意してください。

  • アプリケーションには既知のログイン URL が必要です。
  • サインイン ページには、ブラウザー拡張機能で自動入力できるテキスト フィールドが 1 つ以上含まれている HTML フォームが必要です。 最低でも、ユーザー名とパスワードが必要です。

アプリのプロキシ構成

推定所要時間: 20 分

前提条件

前提条件 リソース
Microsoft Azure AD の Basic または Premium サブスクリプションに加え、自分が全体管理者となっている Azure AD ディレクトリ。 Azure Active Directory のエディション
リモート アクセスの構成対象となる、オンプレミスでホストされている Web アプリケーション。
アプリケーション プロキシ コネクタをインストールできる Windows Server 2012 R2 または Windows 8.1 以降が実行されているサーバー。 Azure AD アプリケーション プロキシ コネクタについて
経路上にファイアウォールがある場合、コネクタからアプリケーション プロキシに HTTPS (TCP) 要求を送信できるように、ファイアウォールを開放する必要があります。 Azure Portal でアプリケーション プロキシを有効にする: アプリケーション プロキシの前提条件
組織でインターネットへの接続にプロキシ サーバーを使用している場合、その構成方法の詳細については、既存のオンプレミス プロキシ サーバーの操作に関するブログ記事を参照してください。 既存のオンプレミス プロキシ サーバーと連携する

手順

手順 リソース
サーバーにコネクタをインストールします。 Azure Portal でアプリケーション プロキシを有効にする: コネクタのインストールと登録
オンプレミス アプリケーションを Azure AD にアプリケーション プロキシ アプリケーションとして発行します。 Azure AD アプリケーション プロキシを使用してアプリケーションを発行する
テスト ユーザーを割り当てます。 Azure AD アプリケーション プロキシを使用したアプリケーションの発行: テスト ユーザーの選択
必要に応じて、ユーザーのシングル サインオン エクスペリエンスを構成します。 Azure AD アプリケーション プロキシを使用したシングル サインオンの提供
割り当てられたユーザーとして MyApps ポータルにサインインしてアプリをテストします。 https://myapps.microsoft.com

考慮事項

  1. ここでは、コネクタを企業ネットワーク内に配置することをお勧めしますが、クラウドに配置した方がパフォーマンスが向上する場合もあります。 詳細情報: Azure Active Directory アプリケーション プロキシを使用する場合のネットワーク トポロジに関する注意事項
  2. セキュリティに関するさらに詳しい情報と、送信接続を維持するだけできわめて安全なリモート アクセス ソリューションを実現するしくみについては、「Azure AD アプリケーション プロキシを使用したアプリへのリモート アクセス時のセキュリティに関する注意事項」を参照してください。

Generic LDAP コネクタ構成

推定所要時間: 60 分

重要

これは高度な構成で、FIM/MIM に関する知識を必要とします。 運用環境で使用されている場合、この構成に関するご質問については、Premier サポートを使ってお問い合わせください。

前提条件

前提条件 リソース
Azure AD Connect がインストールされ構成されていること。 構成要素: ディレクトリ同期 - パスワード ハッシュ同期
要件を満たす ADLDS インスタンス Generic LDAP コネクタに関するテクニカル リファレンス: Generic LDAP コネクタの概要
ユーザーが使用している一連のワークロードとそれらのワークロードに関連付けられている属性。 Azure AD Connect Sync: Azure Active Directory に同期される属性

手順

手順 リソース
Generic LDAP コネクタを追加します。 Generic LDAP コネクタに関するテクニカル リファレンス: 新しいコネクタの作成
作成したコネクタの実行プロファイルを作成します (フル インポート、差分インポート、完全同期、差分同期、エクスポート)。 管理エージェントの実行プロファイルを作成する
Azure AD Connect の Sync Service Manager でコネクタを使用する
フル インポート プロファイルを実行して、コネクタ スペースにオブジェクトが存在することを検証します。 コネクタ スペース オブジェクトの検索
Azure AD Connect の Sync Service Manager でコネクタを使用する: コネクタ スペースの検索
ワークロードに必要な属性がメタバース内のオブジェクトに確実に存在するよう同期規則を作成します。 Azure AD Connect Sync: 既定の構成の変更するためのベスト プラクティス: 同期規則に対する変更
Azure AD Connect 同期: 宣言型のプロビジョニングについて
Azure AD Connect 同期: 宣言型のプロビジョニングの式について
完全同期サイクルを開始します。 Azure AD Connect Sync: スケジューラ: スケジューラの開始
問題が発生した場合はトラブルシューティングを行います。 Azure AD と同期していないオブジェクトのトラブルシューティング
LDAP ユーザーがアプリケーションにサインインしてアクセスできることを確認します。 https://myapps.microsoft.com

考慮事項

重要

これは高度な構成で、FIM/MIM に関する知識を必要とします。 運用環境で使用されている場合、この構成に関するご質問については、Premier サポートを使ってお問い合わせください。

グループ - 委任された所有権

推定所要時間: 10 分

前提条件

前提条件 リソース
SaaS アプリケーション (フェデレーション SSO またはパスワード SSO) が既に構成されていること。 構成要素: SaaS フェデレーション SSO 構成
1 番目のアプリケーションへのアクセス権が割り当てられているクラウド グループを把握していること。 構成要素: SaaS フェデレーション SSO 構成
Azure Active Directory でグループを作成し、メンバーを追加する
グループ所有者の資格情報が利用可能であること。 Azure Active Directory のグループによるリソースへのアクセス管理
アプリにアクセスするインフォメーション ワーカーの資格情報を把握していること。 アクセス パネルとは

手順

手順 リソース
アプリケーションへのアクセスが許可されているグループを特定し、そのグループの所有者を構成します。 Azure Active Directory でグループのメンバーを管理する
グループ所有者としてログインし、アクセス パネルの [グループ] タブでグループのメンバーシップを確認します。 Azure Active Directory グループ管理ページ
テストするインフォメーション ワーカーを追加します。
インフォメーション ワーカーとしてログインし、タイルが利用可能であることを確認します。 アクセス パネルとは

考慮事項

アプリケーションのプロビジョニングを有効にした場合、プロビジョニングが完了してインフォメーション ワーカーとしてアプリケーションにアクセスできる状態になるまでに数分かかる場合があります。

SaaS と ID のライフサイクル

前提条件

前提条件 リソース
SaaS アプリケーション (フェデレーション SSO またはパスワード SSO) が既に構成されていること。 構成要素: SaaS フェデレーション SSO 構成
1 番目のアプリケーションへのアクセス権が割り当てられているクラウド グループを把握していること。 構成要素: SaaS フェデレーション SSO 構成
Azure Active Directory でグループを作成し、メンバーを追加する
アプリにアクセスするインフォメーション ワーカーの資格情報を把握していること。 アクセス パネルとは

手順

手順 リソース
アプリが割り当てられているグループからユーザーを削除します。 Azure Active Directory テナントでユーザーのグループ メンバーシップを管理する
プロビジョニングが解除されるまで数分待ちます。 Azure AD での SaaS アプリ ユーザー プロビジョニングの自動化: 自動プロビジョニングのしくみ
別のブラウザー セッションで、インフォメーション ワーカーとして MyApps ポータルにログインし、そのタイルがなくなっていることを確認します。 http://myapps.microsoft.com

考慮事項

この PoC シナリオを退職や休職のシナリオに当てはめます。 ユーザーは、オンプレミス AD で無効になったり、削除されたりすると、SaaS アプリケーションにログインできなくなります。

セルフサービスでアプリケーション管理にアクセスする

推定所要時間: 10 分

前提条件

前提条件 リソース
セキュリティ グループのメンバーとしてアプリケーションへのアクセスを要求する POC ユーザーを把握していること。 構成要素: SaaS フェデレーション SSO 構成
対象アプリケーションがデプロイされていること。 構成要素: SaaS フェデレーション SSO 構成

手順

手順 リソース
Azure AD 管理ポータルの [エンタープライズ アプリケーション] ブレードにアクセスします。 Azure AD 管理ポータル: エンタープライズ アプリケーション
前提条件のアプリケーションをセルフサービスで構成します。 Azure Active Directory でのエンタープライズ アプリケーション管理の新機能: アプリケーションのセルフサービス アクセスを構成する
インフォメーション ワーカーとして MyApps ポータルにログインします。 http://myapps.microsoft.com
ページ上部の [+アプリの追加] ボタンに注目してください。 このボタンを使ってアプリにアクセスします。

考慮事項

選択したアプリケーションにはプロビジョニングの要件があることも考えられます。そのため、すぐにアプリにアクセスしようとするとエラーが発生する可能性があります。 選択したアプリケーションが Azure AD によるプロビジョニングに対応していて、構成されている場合、これは、作業フロー全体をエンド ツー エンドで示すきっかけになる可能性があります。 詳しい推奨事項については、「SaaS フェデレーション SSO 構成」の構成要素を参照してください。

セルフサービスによるパスワードのリセット

推定所要時間: 15 分

前提条件

前提条件 リソース
テナントでセルフサービスによるパスワード管理を有効にします。 IT 管理者のための Azure Active Directory のパスワード リセット
オンプレミスのパスワードを管理するためのパスワード ライトバックを有効にします。 これには、特定のバージョンの Azure AD Connect が必要となることに注意してください。 パスワード ライトバックの前提条件
この機能を使用する PoC ユーザーを把握し、セキュリティ グループのメンバーになっていることを確認します。 この機能を完全に実証するには、ユーザーが非管理者である必要があります。 カスタマイズ: Azure AD Password Management: パスワード リセットへのアクセスの制限

手順

手順 リソース
Azure AD 管理ポータルの [パスワードのリセット] に移動します。 Azure AD 管理ポータル: パスワードのリセット
パスワード リセット ポリシーを決定します。 概念実証という目的上、電話と Q & A を使用できます。アクセス パネルへのログインについては登録を必須にすることをお勧めします。
ログアウトし、インフォメーション ワーカーとしてログインします。
手順 2. で構成した "セルフサービスによるパスワードのリセット" データを指定します。 http://aka.ms/ssprsetup
ブラウザーを閉じます。
手順 4. で使用したインフォメーション ワーカーとしてログイン プロセスを最初からやり直します。
パスワードをリセットします。 自分のパスワードを更新する: パスワードをリセットする
新しいパスワードで Azure AD とオンプレミス リソースにログインします。

考慮事項

  1. Azure AD Connect をアップグレードすることで問題が生じる場合は、クラウド アカウントに対して使用するか、別の環境に対するデモとして行ってください。
  2. 管理者には異なるポリシーがあり、管理者アカウントを使用してパスワードをリセットすると、PoC に悪影響が及び、混乱が生じる可能性があります。 必ず通常のユーザー アカウントを使用してリセット操作をテストしてください。

電話を使用した Azure Multi-Factor Authentication

推定所要時間: 10 分

前提条件

前提条件 リソース
MFA を使用する POC ユーザーを把握していること。
MFA チャレンジ用の受信状態の良い電話。 Azure Multi-Factor Authentication とは

手順

手順 リソース
Azure AD 管理ポータルの [ユーザーとグループ] ブレードに移動します。 Azure AD 管理ポータル: ユーザーとグループ
[すべてのユーザー] ブレードを選択します。
最上部のバーにある [Multi-Factor Authentication] ボタンをクリックします。 Azure MFA ポータルの直接 URL: https://aka.ms/mfaportal
[ユーザー] 設定で目的の PoC ユーザーを選択し、その MFA を有効にします。 Azure Multi-Factor Authentication におけるユーザーの状態
PoC ユーザーとしてログインし、実証プロセスを行います。

考慮事項

  1. この構成要素の PoC 手順では、すべてのログイン ユーザーの MFA を明示的に設定しています。 ほかにも、条件付きアクセスや、より的を絞ったシナリオで MFA を利用する Identity Protection などのツールがあります。 この点については、概念実証から運用環境への移行時に考慮することになります。
  2. この構成要素の PoC 手順では、MFA 方式として明示的に電話を使用しています。 POC から運用段階への切り替え時には可能な限り、第 2 の認証要素として Microsoft Authenticator などのアプリケーションを使うようお勧めします。 詳細情報: DRAFT NIST Special Publication 800-63B

SaaS アプリケーション向けの MFA での条件付きアクセス

推定所要時間: 10 分

前提条件

前提条件 リソース
ポリシーの対象となる PoC ユーザーを把握していること。 条件付きアクセス ポリシーを適用するセキュリティ グループに、それらのユーザーが属している必要があります。 SaaS フェデレーション SSO 構成
SaaS アプリケーションが構成済みであること。
そのアプリケーションに PoC ユーザーがあらかじめ割り当てられていること。
POC ユーザーの資格情報が用意されていること。
POC ユーザーが MFA の対象として登録済みであること。 受信状態の良い電話を使用すること。 http://aka.ms/ssprsetup
内部ネットワーク内のデバイス。 内部アドレス範囲内で IP アドレスが構成されていること。 IP アドレスの確認: https://www.bing.com/search?q=what%27s+my+ip
外部ネットワークのデバイス (キャリアのモバイル ネットワークを使ったスマートフォンなど)

手順

手順 リソース
Azure AD 管理ポータルの [条件付きアクセス] ブレードにアクセスします。 Azure AD 管理ポータル: 条件付きアクセス
条件付きアクセス ポリシーを作成します。
- [ユーザーとグループ] で PoC ユーザーを指定します。
- [クラウド アプリ] で PoC アプリケーションを指定します。
- 信頼済みとなっている場所を除くすべての場所を [条件] の [場所] で指定します。注: 信頼できる IP は、MFA ポータルで構成します。
- [許可] で Multi-Factor Authentication を必須とします。
Azure Active Directory での条件付きアクセスの基本: ポリシーの構成の手順
企業ネットワーク内からアプリケーションにアクセスします。 Azure Active Directory での条件付きアクセスの基本: ポリシーをテストする
パブリック ネットワークからアプリケーションにアクセスします。 Azure Active Directory での条件付きアクセスの基本: ポリシーをテストする

考慮事項

フェデレーションを使用している場合、オンプレミスの ID プロバイダー (IdP) を使用し、企業ネットワークの内部/外部の状態を要求でやり取りすることができます。 この手法を使用するうえで、大規模な組織では評価および管理が難しい場合がある IP アドレスのリストの管理は必要ありません。 このセットアップには、"ネットワーク ローミング" (ユーザーが内部ネットワークからログインし、その状態のまま、コーヒー ショップなどの場所に移動するシナリオ) 用のアカウントが必要です。また、それによって生じる影響を理解しておく必要があります。 詳細情報: Azure Multi-Factor Authentication および AD FS を使用したクラウド リソースのセキュリティ保護: フェデレーション ユーザー用の信頼できる IP

Privileged Identity Management (PIM)

推定所要時間: 15 分

前提条件

前提条件 リソース
PIM の POC に参加する全体管理者を把握していること。 Azure AD Privileged Identity Management の使用開始
セキュリティ管理者となる全体管理者を把握していること。 Azure AD Privileged Identity Management の使用開始
Azure Active Directory PIM での別の管理者ロール
(省略可) PIM で電子メール通知を実施するための電子メール アクセスが全体管理者にあるかどうかを確認すること。 Azure AD Privileged Identity Management とは: ロール アクティブ化設定の構成

手順

手順 リソース
全体管理者 (GA) として https://portal.azure.com にログインし、PIM ブレードを開きます。 この手順を実行する全体管理者は、セキュリティ管理者として準備します。 このアクターを GA1 と呼ぶことにしましょう。 Azure AD Privileged Identity Management でのセキュリティ ウィザードの使用
全体管理者を指定し、永続から候補に変更します。 明確にするために、この管理者は、手順 1. とは別の管理者にする必要があります。 このアクターを GA2 と呼ぶことにしましょう。 Azure AD Privileged Identity Management: ユーザー ロールを追加または削除する方法
Azure AD Privileged Identity Management とは: ロール アクティブ化設定の構成
今度は GA2 として https://portal.azure.com にログインし、"ユーザー設定" の変更を試みます。 一部のオプションが淡色表示されていることに気が付きます。
新しいタブ (かつ手順 3. と同じセッション) で、今度は https://portal.azure.com に移動し、PIM ブレードをダッシュボードに追加します。 Azure AD Privileged Identity Management でロールをアクティブ化または非アクティブ化する方法: Privileged Identity Management アプリケーションの追加
全体管理者ロールのアクティブ化を要求します。 Azure AD Privileged Identity Management でロールをアクティブ化または非アクティブ化する方法: ロールのアクティブ化
GA2 が MFA にサインアップしなかった場合、Azure MFA の登録が必要になります。
手順 3. の元のタブに戻り、ブラウザーの更新ボタンをクリックします。 "ユーザー設定" の変更に対するアクセスが許可されていることがわかります。
全体管理者が電子メールを有効にしている場合は、GA1 と GA2 の受信トレイを見て、ロールがアクティブ化されているという通知を確認してください。
8 監査履歴をチェックし、レポートを見て、GA2 が昇格されていることの記録があることを確認します。 Azure AD Privileged Identity Management とは: ロール アクティビティの確認

考慮事項

これは Azure AD Premium P2 と EMS E5 に備わっている機能です。

リスク イベントを検出する

推定所要時間: 20 分

前提条件

前提条件 リソース
Tor Browser がダウンロード、インストールされているデバイス。 Tor Browser のダウンロード
ログインを実行する POC ユーザーへのアクセス。 Azure Active Directory Identity Protection プレイブック

手順

手順 リソース
Tor Browser を開きます。 Tor Browser のダウンロード
POC ユーザー アカウントで https://myapps.microsoft.com にログインします。 Azure Active Directory Identity Protection プレイブック: リスク イベントのシミュレーション
5 ~ 7 分待ちます。
全体管理者として https://portal.azure.com にログインし、[Identity Protection] ブレードを開きます。 https://aka.ms/aadipgetstarted
[リスク イベント] ブレードを開きます。 [匿名 IP アドレスからのサインイン] にエントリが表示されます。 Azure Active Directory Identity Protection プレイブック: リスク イベントのシミュレーション

考慮事項

これは Azure AD Premium P2 と EMS E5 に備わっている機能です。

サインイン リスク ポリシーをデプロイする

推定所要時間: 10 分

前提条件

前提条件 リソース
Tor Browser がダウンロード、インストールされているデバイス。 Tor Browser のダウンロード
ログイン テストを実行する POC ユーザーとしてのアクセス。
POC ユーザーが MFA に登録されていること。 必ず受信状態の良い電話を使用してください。 構成要素: 電話を使用した Azure Multi-Factor Authentication

手順

手順 リソース
全体管理者として https://portal.azure.com にログインし、[Identity Protection] ブレードを開きます。 https://aka.ms/aadipgetstarted
次のようにサインイン リスク ポリシーを有効にします。
- 割り当て先: POC ユーザー
- 条件: 中程度またはそれ以上のサインイン リスク (匿名の場所からのサインインはリスク レベルが中程度と見なされます)
- コントロール: MFA を要求
Azure Active Directory Identity Protection プレイブック: サインイン リスク
Tor Browser を開きます。 Tor Browser のダウンロード
PoC ユーザー アカウントで https://myapps.microsoft.com にログインします。
MFA チャレンジを通知します。 Azure AD Identity Protection を使用したサインイン エクスペリエンス: リスクの高いサインインの復旧

考慮事項

これは Azure AD Premium P2 と EMS E5 に備わっている機能です。 リスク イベントの詳細については、「Azure Active Directory リスク イベント」を参照してください。

証明書ベースの認証を構成する

推定所要時間: 20 分

前提条件

前提条件 リソース
エンタープライズ PKI からのユーザー証明書がプロビジョニングされているデバイス (Windows、iOS、Android のいずれか)。 ユーザー証明書をデプロイする
ADFS とフェデレーションされた Azure AD ドメイン。 Azure AD Connect とフェデレーション
Active Directory 証明書サービスの概要
(iOS デバイスの場合) Microsoft Authenticator アプリがインストールされていること。 Microsoft Authenticator アプリの概要

手順

手順 リソース
ADFS で [証明書の認証] を有効にします。 認証ポリシーを構成する: Windows Server 2012 R2 でグローバルに主要な認証を構成するには
(省略可) Azure AD で Exchange Active Sync クライアントに対する証明書認証を有効にします。 Azure Active Directory の証明書ベースの認証の概要
アクセス パネルに移動し、ユーザー証明書を使って認証を行います。 https://myapps.microsoft.com

考慮事項

このデプロイの注意事項について詳しくは、「ADFS: Certificate Authentication with Azure AD & Office 365 (ADFS: Azure AD と Office 365 を使用した証明書認証)」を参照してください。

注意

所有するユーザー証明書はしっかりと保護する必要があります。 デバイスを管理するか、スマート カードの場合は PIN を使用してください。

プレイブックの手順

  1. はじめに
  2. 内容
  3. 実装
  4. 構成要素