Azure Active Directory 概念実証戦略: 構成要素Azure Active Directory proof of concept playbook: Building blocks

ロールのカタログCatalog of roles

役割Role DescriptionDescription 概念実証 (PoC) の責任範囲Proof of concept (PoC) responsibility
ID アーキテクチャ/開発チームIdentity Architecture / development team このチームは、通常、ソリューションを設計し、プロトタイプを実装して、承認を得たうえで最後にオペレーションへの引き渡しを行います。This team is usually the one that designs the solution, implements prototypes, drives approvals, and finally hands off to operations 必要な環境を提供します。また管理の容易さの観点からさまざまなシナリオを評価する役割を担います。They provide the environments and are the ones evaluating the different scenarios from the manageability perspective
オンプレミス ID オペレーション チームOn-Premises Identity Operations team オンプレミスのさまざまな ID ソースを管理します (Active Directory フォレスト、LDAP ディレクトリ、人事システム、フェデレーション ID プロバイダー)。Manages the different identity sources on-premises: Active Directory Forests, LDAP directories, HR systems, and Federation Identity Providers. PoC のシナリオに必要なオンプレミス リソースへのアクセスを提供します。Provide access to on-premises resources needed for the PoC scenarios.
このチームの関与はできるだけ少なくする必要があります。They should be involved as little as possible
アプリケーション テクニカル オーナーApplication Technical Owners Azure AD と連携するさまざまなクラウド アプリとクラウド サービスのテクニカル オーナーです。Technical owners of the different cloud apps and services that will integrate with Azure AD SaaS アプリケーション (テスト対象のインスタンス) についての詳細を提供します。Provide details on SaaS applications (potentially instances for testing)
Azure AD グローバル管理者Azure AD Global Admin Azure AD の構成を管理します。Manages the Azure AD configuration 同期サービスを構成するための資格情報を提供します。Provide credentials to configure the synchronization service. 通常、PoC 段階は ID アーキテクチャと同じチームが担当し、運用段階では別々のチームが担当します。Usually the same team as Identity Architecture during PoC but separate during the operations phase
データベース チームDatabase team データベース インフラストラクチャの所有者です。Owners of the Database infrastructure 特定のシナリオを準備するために SQL 環境 (ADFS または Azure AD Connect) へのアクセスを提供します。Provide access to SQL environment (ADFS or Azure AD Connect) for specific scenario preparations.
このチームの関与はできるだけ少なくする必要があります。They should be involved as little as possible
ネットワーク チームNetwork team ネットワーク インフラストラクチャの所有者です。Owners of the Network infrastructure 同期サーバーがデータ ソースとクラウド サービスに適切にアクセスするために、ネットワーク レベルで必要なアクセスを提供します (ファイアウォール規則、開放ポート、IPSec 規則など)。Provide required access at the network level for the synchronization servers to properly access the data sources and cloud services (firewall rules, ports opened, IPSec rules etc.)
セキュリティ チームSecurity team セキュリティ戦略を定義し、さまざまなソースからのセキュリティ レポートを分析して、そこで得られた知見を確実に実行に移します。Defines the security strategy, analyzes security reports from various sources, and follows through on findings. 目標となるセキュリティ評価のシナリオを提供します。Provide target security evaluation scenarios

すべての構成要素に共通の前提条件Common Prerequisites for all building blocks

Azure AD Premium を使ったすべての POC で必要になるいくつかの前提条件を以下に示します。Following are some pre-requisites needed for any POC with Azure AD Premium.

前提条件Pre-requisite リソースResources
有効な Azure サブスクリプションで定義された Azure AD テナントAzure AD tenant defined with a valid Azure subscription Azure Active Directory テナントを取得する方法How to get an Azure Active Directory tenant
注: Azure AD Premium ライセンスと環境が既にある場合は、https://aka.ms/accessaad にアクセスして無制限サブスクリプションを取得できます。Note: If you already have an environment with Azure AD Premium licenses, you can get a zero cap subscription by navigating to https://aka.ms/accessaad
詳細情報: https://blogs.technet.microsoft.com/enterprisemobility/2016/02/26/azure-ad-mailbag-azure-subscriptions-and-azure-ad-2/ および https://technet.microsoft.com/library/dn832618.aspxLearn more at: https://blogs.technet.microsoft.com/enterprisemobility/2016/02/26/azure-ad-mailbag-azure-subscriptions-and-azure-ad-2/ and https://technet.microsoft.com/library/dn832618.aspx
定義済みかつ検証済みのドメインDomains defined and verified Azure Active Directory へのカスタム ドメイン名の追加Add a custom domain name to Azure Active Directory
注: Power BI など一部のワークロードでは、Azure AD テナントが暗黙的にプロビジョニングされています。Note: Some workloads such as Power BI could have provisioned an azure AD tenant under the covers. 特定のドメインがテナントに関連付けられているかどうかを確認するには、https://login.microsoftonline.com/{domain}/v2.0/.well-known/openid-configuration にアクセスします。To check if a given domain is associated to a tenant, navigate to https://login.microsoftonline.com/{domain}/v2.0/.well-known/openid-configuration. 正常に応答が得られた場合、そのドメインはテナントに割り当て済みであり、引き継ぎが必要であると考えられます。If you get a successful response, then the domain is already assigned to a tenant and take over might be needed. その場合の詳しいガイダンスについては、Microsoft にお問い合わせください。If so, contact Microsoft for further guidance. 引き継ぎの方法については、「Azure のセルフサービス サインアップについて」を参照してください。Learn more about the takeover options at: What is Self-Service Signup for Azure?
Azure AD Premium または EMS 試用版が有効であることAzure AD Premium or EMS trial Enabled Azure Active Directory Premium が 1 か月間無料Azure Active Directory Premium free for one month
Azure AD Premium または EMS のライセンスを PoC ユーザーに割り当て済みであることYou have assigned Azure AD Premium or EMS licenses to PoC users Azure Active Directory での自分とユーザーのライセンスの取得License yourself and your users in Azure Active Directory
Azure AD 全体管理者の資格情報Azure AD Global Admin credentials Azure Active Directory での管理者ロールの割り当てAssigning administrator roles in Azure Active Directory
フォールバックとしての並列ラボ環境 (省略可、ただし強く推奨)Optional but strongly recommended: Parallel lab environment as a fallback Azure AD Connect の前提条件Prerequisites for Azure AD Connect

ディレクトリ同期 - パスワード ハッシュ同期 (PHS) - 新規インストールDirectory Synchronization - Password Hash Sync (PHS) - New Installation

推定所要時間: 1 時間 (1,000 PoC ユーザー未満の場合)Approximate time to Complete: one hour for less than 1,000 PoC users

前提条件Pre-requisites

前提条件Pre-requisite リソースResources
Azure AD Connect を実行するためのサーバーServer to Run Azure AD Connect Azure AD Connect の前提条件Prerequisites for Azure AD Connect
ターゲット POC ユーザー (同じドメインで、いずれかのセキュリティ グループに所属) と OUTarget POC users, in the same domain and part of a security group, and OU Azure AD Connect のカスタム インストールCustom installation of Azure AD Connect
POC に必要な Azure AD Connect 機能がわかっていることAzure AD Connect Features needed for the POC are identified Active Directory を Azure Active Directory と接続する - 同期機能を構成するConnect Active Directory with Azure Active Directory - Configure sync features
オンプレミス環境とクラウド環境に必要な資格情報を持っていることYou have needed credentials for on-premises and cloud environments Azure AD Connect: アカウントとアクセス許可Azure AD Connect: Accounts and permissions

手順Steps

手順Step リソースResources
Azure AD Connect 最新バージョンをダウンロードします。Download the latest version of Azure AD Connect Microsoft Azure Active Directory Connect のダウンロードDownload Microsoft Azure Active Directory Connect
最も簡単な方法 (簡単設定) で Azure AD Connect をインストールします。Install Azure AD Connect with the simplest path: Express
1.同期サイクル時間を最小限に抑えるために対象の OU をフィルター選択します。1. Filter to the target OU to minimize the Sync Cycle time
2.オンプレミス グループで対象となる一連のユーザーを選択します。2. Choose target set of users in the on-premises group.
手順 3.他の POC テーマに必要となる機能をデプロイします。3. Deploy the features needed by the other POC Themes
Azure AD Connect: カスタム インストール: ドメインと OU のフィルター処理Azure AD Connect: Custom installation: Domain and OU filtering
Azure AD Connect: カスタム インストール: グループに基づくフィルター処理Azure AD Connect: Custom installation: Group based filtering
Azure AD Connect: オンプレミス ID と Azure Active Directory の統合: 同期機能を構成するAzure AD Connect: Integrating your on-premises identities with Azure Active Directory: Configure Sync Features
Azure AD Connect の UI を開いて実行中のプロファイル (インポート、同期、エクスポート) が完了したことを確認します。Open the Azure AD Connect UI and see the running profiles completed (Import, sync, and export) Azure AD Connect 同期: スケジューラAzure AD Connect sync: Scheduler
Azure AD 管理ポータルを開いて [すべてのユーザー] ブレードにアクセスし、[権限ソース] 列を追加します。対象ユーザーが表示され、"Windows Server AD" からのユーザーとして適切にマークされていることを確認します。Open the Azure AD management portal, go to the "All Users" blade, add "Source of authority" column and see that the users appear, marked properly as coming from "Windows Server AD" Azure AD 管理ポータルAzure AD management portal

考慮事項Considerations

  1. パスワード ハッシュ同期のセキュリティに関する考慮事項をこちらで確認します。Look at the security considerations of password hash sync here. パイロット運用環境のユーザーに対する選択肢としてパスワード ハッシュ同期が明らかに不適切である場合は、代わりに以下の手順を行います。If password hash sync for pilot production users is definitively not an option, then consider the following alternatives:
    • 運用環境ドメインにテスト ユーザーを作成します。Create test users in the production domain. その他のアカウントを同期していないことを確認してください。Make sure you don't synchronize any other account
    • UAT 環境に移動します。Move to an UAT environment
  2. フェデレーションを推進する場合は、オンプレミスの ID プロバイダーを使ったフェデレーション ソリューションに伴うコストが POC を上回ることを理解したうえで、期待するメリットと照らして評価することは大切です。If you want to pursue federation, it is worthwhile to understand the costs associated a federated solution with on-premises Identity Provider beyond the POC and measure that against the benefits you are looking for:
    • クリティカル パスであるため、高可用性を意図して設計する必要がある。It is in the critical path so you have to design for high availability
    • 容量計画に必要なオンプレミス サービスである。It is an on-premises service you need to capacity plan
    • 監視/保守/パッチ適用に必要なオンプレミス サービスである。It is an on-premises service you need to monitor/maintain/patch

詳細情報: Office 365 ID と Azure Active Directory について - フェデレーション IDLearn more: Understanding Office 365 identity and Azure Active Directory - Federated Identity

ブランドBranding

推定所要時間: 15 分Approximate time to Complete: 15 minutes

前提条件Pre-requisites

前提条件Pre-requisite リソースResources
資産 (画像、ロゴなど)。最適な表示を確保するために推奨サイズを遵守してください。Assets (Images, Logos, etc.); For best visualization make sure the assets have the recommended sizes. Azure Active Directory でサインイン ページに会社のブランドを追加するAdd company branding to your sign-in page in the Azure Active Directory
(省略可) 環境に ADFS サーバーがある場合は、そのサーバーにアクセスして Web テーマをカスタマイズします。Optional: If the environment has an ADFS server, access to the server to customize web theme AD FS ユーザーのサインインのカスタマイズAD FS user sign-in customization
エンド ユーザーのログイン操作を実行するためのクライアント コンピューターClient computer to perform end-user login experience
(省略可) 操作性を検証するためのモバイル デバイスOptional: Mobile devices to validate experience

手順Steps

手順Step リソースResources
Azure AD 管理ポータルに移動します。Go to Azure AD Management Portal Azure AD 管理ポータル - 会社のブランドAzure AD Management Portal - Company Branding
ログイン ページ用の資産 (ヒーロー ロゴ、小さいロゴ、ラベルなど) をアップロードしますUpload the assets for the login page (hero logo, small logo, labels, etc.). AD FS がある場合は、必要に応じて ADFS ログイン ページと同じ資産に統一します。Optionally if you have AD FS, align the same assets with ADFS login pages サインイン ページとアクセス パネル ページに会社のブランドを追加する: カスタマイズ可能な要素Add company branding to your sign-in and Access Panel pages: Customizable Elements
変更が完全に反映されるまで数分待ちます。Wait a couple of minutes for the change to fully take effect
POC ユーザーの資格情報で https://myapps.microsoft.com にログインします。Log in with the POC user credential to https://myapps.microsoft.com
ブラウザーで外観を確認します。Confirm the look and feel in browser サインイン ページとアクセス パネル ページに対する会社のブランドの追加Add company branding to your sign-in and Access Panel pages
必要に応じて、他のデバイスで外観を確認します。Optionally, confirm the look and feel in other devices

考慮事項Considerations

カスタマイズ後も以前の外観のままになっている場合は、ブラウザー クライアントのキャッシュをフラッシュしてから、操作を再試行してください。If the old look and feel remains after the customization then flush the browser client cache, and retry the operation.

グループベースのライセンスGroup based licensing

推定所要時間: 10 分Approximate time to Complete: 10 minutes

前提条件Pre-requisites

前提条件Pre-requisite リソースResources
すべての POC ユーザーがセキュリティ グループに属していること (クラウドまたはオンプレミス)All POC users are part of a security group (either cloud or on-premises) Azure Active Directory でグループを作成し、メンバーを追加するCreate a group and add members in Azure Active Directory

手順Steps

手順Step リソースResources
Azure AD 管理ポータルのライセンス ブレードに移動します。Go to licenses blade in Azure AD Management Portal Azure AD 管理ポータル: ライセンスAzure AD Management Portal: Licensing
POC ユーザーを含むセキュリティ グループにライセンスを割り当てます。Assign the licenses to the security group with POC users. Azure Active Directory でのユーザーのグループへのライセンスの割り当てAssign licenses to a group of users in Azure Active Directory

考慮事項Considerations

問題が発生した場合は、「Azure Active Directory のライセンス管理にグループを使用する際のシナリオ、制限、および既知の問題」を参照してください。In case of any issues, go to Scenarios, limitations, and known issues with using groups to manage licensing in Azure Active Directory

SaaS フェデレーション SSO 構成SaaS Federated SSO Configuration

推定所要時間: 60 分Approximate time to Complete: 60 minutes

前提条件Pre-requisites

前提条件Pre-requisite リソースResources
SaaS アプリケーションのテスト環境が利用できること。Test environment of the SaaS application available. このガイドでは、ServiceNow を例として使用します。In this guide, we use ServiceNow as an example.
既存データの品質とマッピングをナビゲートする際の負荷を最小限に抑えるために、テスト インスタンスの使用を強くお勧めします。We strongly recommend to use a test instance to minimize friction on navigating existing data quality and mappings.
テスト インスタンスを取得するためのプロセスを開始するには、https://developer.servicenow.com/app.do#!/home にアクセスします。Go to https://developer.servicenow.com/app.do#!/home to start the process of getting a test instance
ServiceNow 管理コンソールへの管理者アクセスAdmin access to the ServiceNow management console チュートリアル: Azure Active Directory と ServiceNow の統合Tutorial: Azure Active Directory integration with ServiceNow
アプリケーションの割り当て先となる一連の対象ユーザー。Target set of users to assign the application to. PoC ユーザーを含むセキュリティ グループをお勧めします。A security group containing the PoC users is recommended.
このグループの作成が現実的に難しい場合は、PoC のアプリケーションに直接ユーザーを割り当てます。If creating the group is not feasible, then assign the users to directly to the application for the PoC
Azure Active Directory でエンタープライズ アプリケーションにユーザーまたはグループを割り当てるAssign a user or group to an enterprise app in Azure Active Directory

手順Steps

手順Step リソースResources
すべてのアクターに Microsoft ドキュメントのチュートリアルを共有します。Share the tutorial to all actors from Microsoft Documentation チュートリアル: Azure Active Directory と ServiceNow の統合Tutorial: Azure Active Directory integration with ServiceNow
作業ミーティングを設定し、各アクターと共にチュートリアルの手順を実行します。Set a working meeting and follow the tutorial steps with each actor. チュートリアル: Azure Active Directory と ServiceNow の統合Tutorial: Azure Active Directory integration with ServiceNow
「前提条件」に示されているグループにアプリを割り当てます。Assign the app to the group identified in the Prerequisites. POC の範囲に条件付きアクセスが含まれている場合は、後から再度アクセスして MFA などを追加してください。If the POC has conditional access in the scope, you can revisit that later and add MFA, and similar.
これにより、プロビジョニング プロセスが開始されることに注意してください (構成されている場合)。Note this will kick in the provisioning process (if configured)
Azure Active Directory でエンタープライズ アプリケーションにユーザーまたはグループを割り当てるAssign a user or group to an enterprise app in Azure Active Directory
Azure Active Directory でグループを作成し、メンバーを追加するCreate a group and add members in Azure Active Directory
Azure AD 管理ポータルを使用してギャラリーから ServiceNow アプリケーションを追加します。Use Azure AD management Portal to add ServiceNow Application from Gallery Azure AD 管理ポータル: エンタープライズ アプリケーションAzure AD management Portal: Enterprise Applications
Azure Active Directory でのエンタープライズ アプリケーション管理の新機能What's new in Enterprise Application management in Azure Active Directory
ServiceNow アプリの [シングル サインオン] ブレードで [SAML ベースのサインオン] を有効にします。In "Single sign-on" blade of ServiceNow App enable "SAML-based Sign-on"
[サインオン URL] と [識別子] フィールドに実際の ServiceNow URL を入力します。Fill out "Sign on URL" and "Identifier" fields with your ServiceNow URL
[新しい証明書をアクティブにする] チェック ボックスをオンにし、Check the box to "Make new certificate active"
設定を保存します。and Save settings
パネルの一番下にある [ServiceNow の構成] ブレードを開き、自分用にカスタマイズされた ServiceNow の構成手順を確認します。Open "Configure ServiceNow" blade on the bottom of the panel to view customized instructions for you to configure ServiceNow
ServiceNow の構成手順に従います。Follow instructions to configure ServiceNow
ServiceNow アプリの [プロビジョニング] ブレードで "自動" プロビジョニングを有効にします。In "Provisioning" blade of ServiceNow App enable "Automatic" provisioning 新しい Azure Portal でエンタープライズ アプリケーションのユーザー アカウント プロビジョニングを管理するManaging user account provisioning for enterprise apps in the new Azure portal
プロビジョニングが完了するまで数分待ちます。Wait for a few minutes while provisioning completes. その間にプロビジョニング レポートを確認できます。In the meantime, you can check on the provisioning reports
アクセス権のあるテスト ユーザーとして https://myapps.microsoft.com/ にログインします。Log in to https://myapps.microsoft.com/ as a test user that has access アクセス パネルとはWhat is the Access Panel?
作成したアプリケーションのタイルをクリックします。Click on the tile for the application that was just created. アクセスを確認します。Confirm access
必要に応じて、アプリケーションの使用状況レポートを確認することができます。Optionally, you can check the application usage reports. 多少待ち時間が生じるため、レポートにトラフィックが反映されるまでしばらく待つ必要があります。Note there is some latency, so you need to wait some time to see the traffic in the reports. Azure Active Directory ポータルのサインイン アクティビティ レポート: マネージ アプリケーションの使用状況Sign-in activity reports in the Azure Active Directory portal: Usage of managed applications
Azure Active Directory レポートの保持ポリシーAzure Active Directory report retention policies

考慮事項Considerations

  1. 上記のチュートリアルでは、以前の Azure AD の管理環境が使用されています。Above Tutorial refers to old Azure AD management experience. 一方 PoC は、クイック スタートのエクスペリエンスに基づいています。But PoC is based on Quick start experience.
  2. ギャラリーにターゲット アプリケーションが存在しない場合は、"独自のアプリの持ち込み" を使用できます。If the target application is not present in the gallery, then you can use "Bring your own app". 詳細情報: Azure Active Directory でのエンタープライズ アプリケーション管理の新機能: 1 つの場所からカスタム アプリケーションを追加するLearn more: What's new in Enterprise Application management in Azure Active Directory: Add custom applications from one place

SaaS パスワード SSO 構成SaaS Password SSO Configuration

推定所要時間: 15 分Approximate time to Complete: 15 minutes

前提条件Pre-requisites

前提条件Pre-requisite リソースResources
SaaS アプリケーションのテスト環境。Test environment for SaaS applications. パスワード SSO の例としては、HipChat や Twitter があります。An example of Password SSO is HipChat and Twitter. その他のアプリケーションでは、HTML のサインイン フォームがあるページの正確な URL が必要です。For any other application, you need the exact URL of the page with html sign-in form. Twitter (Microsoft Azure Marketplace)Twitter on Microsoft Azure Marketplace
HipChat (Microsoft Azure Marketplace)HipChat on Microsoft Azure Marketplace
アプリケーションのテスト アカウント。Test accounts for the applications. Twitter のサインアップSign up for Twitter
無料サインアップ: HipChatSign Up for Free: HipChat
アプリケーションの割り当て先となる一連の対象ユーザー。Target set of users to assign the application to. それらのユーザーを含むセキュリティ グループをお勧めします。A security group contained the users is recommended. Azure Active Directory でエンタープライズ アプリケーションにユーザーまたはグループを割り当てるAssign a user or group to an enterprise app in Azure Active Directory
Internet Explorer、Chrome、Firefox 用のアクセス パネル拡張機能をデプロイするコンピューターへのローカル管理者アクセス。Local administrator access to a computer to deploy the Access Panel Extension for Internet Explorer, Chrome or Firefox IE 用アクセス パネル拡張機能Access Panel Extension for IE
Chrome 用アクセス パネル拡張機能Access Panel Extension for Chrome
Firefox 用アクセス パネル拡張機能Access Panel Extension for Firefox

手順Steps

手順Step リソースResources
ブラウザー拡張機能をインストールします。Install the browser extension IE 用アクセス パネル拡張機能Access Panel Extension for IE
Chrome 用アクセス パネル拡張機能Access Panel Extension for Chrome
Firefox 用アクセス パネル拡張機能Access Panel Extension for Firefox
ギャラリーからアプリケーションを構成します。Configure Application from Gallery Azure Active Directory でのエンタープライズ アプリケーション管理の新機能: 改良された新しいアプリケーション ギャラリーWhat's new in Enterprise Application management in Azure Active Directory: The new and improved application gallery
パスワード SSO を構成しますConfigure Password SSO 新しい Azure Portal でエンタープライズ アプリケーションのシングル サインオンを管理する: パスワードベースのサインオンManaging single sign-on for enterprise apps in the new Azure portal: Password-based sign on
「前提条件」に示されているグループにアプリを割り当てます。Assign the app to the group identified in the Prerequisites Azure Active Directory でエンタープライズ アプリケーションにユーザーまたはグループを割り当てるAssign a user or group to an enterprise app in Azure Active Directory
アクセス権のあるテスト ユーザーとして https://myapps.microsoft.com/ にログインします。Log in to https://myapps.microsoft.com/ as a test user that has access
作成したアプリケーションのタイルをクリックします。Click on the tile for the application that was just created. アクセス パネルとは: パスワード ベースの SSO (ID プロビジョニングなし)What is the Access Panel?: Password-based SSO without identity provisioning
アプリケーションの資格情報を指定します。Supply the application credential アクセス パネルとは: パスワード ベースの SSO (ID プロビジョニングなし)What is the Access Panel?: Password-based SSO without identity provisioning
ブラウザーを閉じて再度ログインします。Close the browser and repeat the login. 今回は、ユーザーがアプリケーションにシームレスにアクセスできるはずです。This time around the user should see seamless access to the application.
必要に応じて、アプリケーションの使用状況レポートを確認することができます。Optionally, you can check the application usage reports. 多少待ち時間が生じるため、レポートにトラフィックが反映されるまでしばらく待つ必要があります。Note there is some latency, so you need to wait some time to see the traffic in the reports. Azure Active Directory ポータルのサインイン アクティビティ レポート: マネージ アプリケーションの使用状況Sign-in activity reports in the Azure Active Directory portal: Usage of managed applications
Azure Active Directory レポートの保持ポリシーAzure Active Directory report retention policies

考慮事項Considerations

ギャラリーにターゲット アプリケーションが存在しない場合は、"独自のアプリの持ち込み" を使用できます。If the target application is not present in the gallery, then you can use "Bring your own app". 詳細情報: Azure Active Directory でのエンタープライズ アプリケーション管理の新機能: 1 つの場所からカスタム アプリケーションを追加するLearn more: What's new in Enterprise Application management in Azure Active Directory: Add custom applications from one place

以下の要件に注意してください。Keep in mind the following requirements:

  • アプリケーションには既知のログイン URL が必要です。Application should have a known login URL
  • サインイン ページには、ブラウザー拡張機能で自動入力できるテキスト フィールドが 1 つ以上含まれている HTML フォームが必要です。The sign-in page should contain an HTML form with one more text fields that the browser extensions can auto-populate. 最低でも、ユーザー名とパスワードが必要です。At the minimum, it should contain username and password.

SaaS 共有アカウント構成SaaS Shared Accounts Configuration

推定所要時間: 30 分Approximate time to Complete: 30 minutes

前提条件Pre-requisites

前提条件Pre-requisite リソースResources
対象アプリケーションのリストと実際のサインイン URL を事前に準備しておくこと。The list of target applications and the exact sign-in URLS ahead of time. たとえば Twitter を使用できます。As an example, you can use Twitter. Twitter (Microsoft Azure Marketplace)Twitter on Microsoft Azure Marketplace
Twitter のサインアップSign up for Twitter
この SaaS アプリケーションの共有資格情報。Shared credential for this SaaS application. Azure AD とのアカウントの共有Sharing accounts using Azure AD
Facebook、Twitter、LinkedIn の Azure AD 自動パスワード ロールオーバーがプレビュー段階になりました[Azure AD automated password roll-over for Facebook, Twitter and LinkedIn now in preview! - Enterprise Mobility and Security のブログ] (https://blogs.technet.microsoft.com/enterprisemobility/2015/02/20/azure-ad-automated-password-roll-over-for-facebook-twitter-and-linkedin-now-in-preview/ )- Enterprise Mobility and Security Blog
同じアカウントにアクセスする少なくとも 2 人のチーム メンバーの資格情報。Credentials for at least two team members who will access the same account. これらのチーム メンバーはセキュリティ グループに属している必要があります。They must be part of a security group. Azure Active Directory でエンタープライズ アプリケーションにユーザーまたはグループを割り当てるAssign a user or group to an enterprise app in Azure Active Directory
Internet Explorer、Chrome、Firefox 用のアクセス パネル拡張機能をデプロイするコンピューターへのローカル管理者アクセス。Local administrator access to a computer to deploy the Access Panel Extension for Internet Explorer, Chrome or Firefox IE 用アクセス パネル拡張機能Access Panel Extension for IE
Chrome 用アクセス パネル拡張機能Access Panel Extension for Chrome
Firefox 用アクセス パネル拡張機能Access Panel Extension for Firefox

手順Steps

手順Step リソースResources
ブラウザー拡張機能をインストールします。Install the browser extension IE 用アクセス パネル拡張機能Access Panel Extension for IE
Chrome 用アクセス パネル拡張機能Access Panel Extension for Chrome
Firefox 用アクセス パネル拡張機能Access Panel Extension for Firefox
ギャラリーからアプリケーションを構成します。Configure Application from Gallery Azure Active Directory でのエンタープライズ アプリケーション管理の新機能: 改良された新しいアプリケーション ギャラリーWhat's new in Enterprise Application management in Azure Active Directory: The new and improved application gallery
パスワード SSO を構成しますConfigure Password SSO 新しい Azure Portal でエンタープライズ アプリケーションのシングル サインオンを管理する: パスワードベースのサインオンManaging single sign-on for enterprise apps in the new Azure portal: Password-based sign on
「前提条件」に示されているグループにアプリを割り当てるとともに、グループに資格情報を割り当てます。Assign the app to the group identified in the Prerequisites while assigning them credentials Azure Active Directory でエンタープライズ アプリケーションにユーザーまたはグループを割り当てるAssign a user or group to an enterprise app in Azure Active Directory
同じ共有アカウントとしてアプリにアクセスする別のユーザーとしてログインします。Log in as different users that access app as the same shared account.
必要に応じて、アプリケーションの使用状況レポートを確認することができます。Optionally, you can check the application usage reports. 多少待ち時間が生じるため、レポートにトラフィックが反映されるまでしばらく待つ必要があります。Note there is some latency, so you need to wait some time to see the traffic in the reports. Azure Active Directory ポータルのサインイン アクティビティ レポート: マネージ アプリケーションの使用状況Sign-in activity reports in the Azure Active Directory portal: Usage of managed applications
Azure Active Directory レポートの保持ポリシーAzure Active Directory report retention policies

考慮事項Considerations

ギャラリーにターゲット アプリケーションが存在しない場合は、"独自のアプリの持ち込み" を使用できます。If the target application is not present in the gallery, then you can use "Bring your own app". 詳細情報: Azure Active Directory でのエンタープライズ アプリケーション管理の新機能: 1 つの場所からカスタム アプリケーションを追加するLearn more: What's new in Enterprise Application management in Azure Active Directory: Add custom applications from one place

以下の要件に注意してください。Keep in mind the following requirements:

  • アプリケーションには既知のログイン URL が必要です。Application should have a known login URL
  • サインイン ページには、ブラウザー拡張機能で自動入力できるテキスト フィールドが 1 つ以上含まれている HTML フォームが必要です。The sign-in page should contain an HTML form with one more text fields that the browser extensions can auto-populate. 最低でも、ユーザー名とパスワードが必要です。At the minimum, it should contain username and password.

アプリのプロキシ構成App Proxy Configuration

推定所要時間: 20 分Approximate time to Complete: 20 minutes

前提条件Pre-requisites

前提条件Pre-requisite リソースResources
Microsoft Azure AD の Basic または Premium サブスクリプションに加え、自分が全体管理者となっている Azure AD ディレクトリ。A Microsoft Azure AD basic or premium subscription and an Azure AD directory for which you are a global administrator Azure Active Directory のエディションAzure Active Directory editions
リモート アクセスの構成対象となる、オンプレミスでホストされている Web アプリケーション。A web application hosted on-prem that you would like to configure for remote access
アプリケーション プロキシ コネクタをインストールできる Windows Server 2012 R2 または Windows 8.1 以降が実行されているサーバー。A server running Windows Server 2012 R2, or Windows 8.1 or higher, on which you can install the Application Proxy Connector Azure AD アプリケーション プロキシ コネクタについてUnderstand Azure AD Application Proxy connectors
経路上にファイアウォールがある場合、コネクタからアプリケーション プロキシに HTTPS (TCP) 要求を送信できるように、ファイアウォールを開放する必要があります。If there is a firewall in the path, make sure that it's open so that the Connector can make HTTPS (TCP) requests to the Application Proxy Azure Portal でアプリケーション プロキシを有効にする: アプリケーション プロキシの前提条件Enable Application Proxy in the Azure portal: Application Proxy prerequisites
組織でインターネットへの接続にプロキシ サーバーを使用している場合、その構成方法の詳細については、既存のオンプレミス プロキシ サーバーの操作に関するブログ記事を参照してください。If your organization uses proxy servers to connect to the internet, take a look at the blog post Working with existing on-premises proxy servers for details on how to configure them 既存のオンプレミス プロキシ サーバーと連携するWork with existing on-premises proxy servers

手順Steps

手順Step リソースResources
サーバーにコネクタをインストールします。Install a connector on the server Azure Portal でアプリケーション プロキシを有効にする: コネクタのインストールと登録Enable Application Proxy in the Azure portal: Install and register the Connector
オンプレミス アプリケーションを Azure AD にアプリケーション プロキシ アプリケーションとして発行します。Publish the on-prem application in Azure AD as an Application Proxy application Azure AD アプリケーション プロキシを使用してアプリケーションを発行するPublish applications using Azure AD Application Proxy
テスト ユーザーを割り当てます。Assign test users Azure AD アプリケーション プロキシを使用したアプリケーションの発行: テスト ユーザーの選択Publish applications using Azure AD Application Proxy: Add a test user
必要に応じて、ユーザーのシングル サインオン エクスペリエンスを構成します。Optionally, configure a single sign-on experience for your users Azure AD アプリケーション プロキシを使用したシングル サインオンの提供Provide single sign-on with Azure AD Application Proxy
割り当てられたユーザーとして MyApps ポータルにサインインしてアプリをテストします。Test app by signing in to MyApps portal as assigned user https://myapps.microsoft.comhttps://myapps.microsoft.com

考慮事項Considerations

  1. ここでは、コネクタを企業ネットワーク内に配置することをお勧めしますが、クラウドに配置した方がパフォーマンスが向上する場合もあります。While we suggest putting the connector in your corporate network, there are cases when you will see better performance placing it in the cloud. 詳細情報: Azure Active Directory アプリケーション プロキシを使用する場合のネットワーク トポロジに関する注意事項Learn more: Network topology considerations when using Azure Active Directory Application Proxy
  2. セキュリティに関するさらに詳しい情報と、送信接続を維持するだけできわめて安全なリモート アクセス ソリューションを実現するしくみについては、「Azure AD アプリケーション プロキシを使用したアプリへのリモート アクセス時のセキュリティに関する注意事項」を参照してください。For further security details and how this provides a particularly secure remote access solution by only maintaining outbound connections see: Security considerations for accessing apps remotely by using Azure AD Application Proxy

Generic LDAP コネクタ構成Generic LDAP Connector configuration

推定所要時間: 60 分Approximate time to Complete: 60 minutes

重要

これは高度な構成で、FIM/MIM に関する知識を必要とします。This is an advanced configuration requiring some familiarity with FIM/MIM. 運用環境で使用されている場合、この構成に関するご質問については、Premier サポートを使ってお問い合わせください。If used in production, we advise questions about this configuration go through Premier Support.

前提条件Pre-requisites

前提条件Pre-requisite リソースResources
Azure AD Connect がインストールされ構成されていること。Azure AD Connect installed and configured 構成要素: ディレクトリ同期 - パスワード ハッシュ同期Building block: Directory Synchronization - Password Hash Sync
要件を満たす ADLDS インスタンスADLDS instance meeting requirements Generic LDAP コネクタに関するテクニカル リファレンス: Generic LDAP コネクタの概要Generic LDAP Connector technical reference: Overview of the Generic LDAP Connector
ユーザーが使用している一連のワークロードとそれらのワークロードに関連付けられている属性。List of workloads, that users are using and attributes associated with these workloads Azure AD Connect Sync: Azure Active Directory に同期される属性Azure AD Connect sync: Attributes synchronized to Azure Active Directory

手順Steps

手順Step リソースResources
Generic LDAP コネクタを追加します。Add Generic LDAP Connector Generic LDAP コネクタに関するテクニカル リファレンス: 新しいコネクタの作成Generic LDAP Connector technical reference: Create a new Connector
作成したコネクタの実行プロファイルを作成します (フル インポート、差分インポート、完全同期、差分同期、エクスポート)。Create run profiles for created connector (full import, delta import, full synchronization, delta synchronization, export) 管理エージェントの実行プロファイルを作成するCreate a Management Agent Run Profile
Azure AD Connect の Sync Service Manager でコネクタを使用するUsing connectors with the Azure AD Connect Sync Service Manager
フル インポート プロファイルを実行して、コネクタ スペースにオブジェクトが存在することを検証します。Run full import profile and verify, that there are objects in connector space コネクタ スペース オブジェクトの検索Search for a Connector Space Object
Azure AD Connect の Sync Service Manager でコネクタを使用する: コネクタ スペースの検索Using connectors with the Azure AD Connect Sync Service Manager: Search Connector Space
ワークロードに必要な属性がメタバース内のオブジェクトに確実に存在するよう同期規則を作成します。Create synchronization rules, so that objects in Metaverse have necessary attributes for workloads Azure AD Connect Sync: 既定の構成の変更するためのベスト プラクティス: 同期規則に対する変更Azure AD Connect sync: Best practices for changing the default configuration: Changes to Synchronization Rules
Azure AD Connect 同期: 宣言型のプロビジョニングについてAzure AD Connect sync: Understanding Declarative Provisioning
Azure AD Connect 同期: 宣言型のプロビジョニングの式についてAzure AD Connect sync: Understanding Declarative Provisioning Expressions
完全同期サイクルを開始します。Start full synchronization cycle Azure AD Connect Sync: スケジューラ: スケジューラの開始Azure AD Connect sync: Scheduler: Start the scheduler
問題が発生した場合はトラブルシューティングを行います。In case of issues do troubleshooting Azure AD と同期していないオブジェクトのトラブルシューティングTroubleshoot an object that is not synchronizing to Azure AD
LDAP ユーザーがアプリケーションにサインインしてアクセスできることを確認します。Verify, that LDAP user can sign-in and access the application https://myapps.microsoft.comhttps://myapps.microsoft.com

考慮事項Considerations

重要

これは高度な構成で、FIM/MIM に関する知識を必要とします。This is an advanced configuration requiring some familiarity with FIM/MIM. 運用環境で使用されている場合、この構成に関するご質問については、Premier サポートを使ってお問い合わせください。If used in production, we advise questions about this configuration go through Premier Support.

グループ - 委任された所有権Groups - Delegated Ownership

推定所要時間: 10 分Approximate time to Complete: 10 minutes

前提条件Pre-requisites

前提条件Pre-requisite リソースResources
SaaS アプリケーション (フェデレーション SSO またはパスワード SSO) が既に構成されていること。SaaS application (Federated SSO or Password SSO) has been already configured 構成要素: SaaS フェデレーション SSO 構成Building block: SaaS Federated SSO Configuration
1 番目のアプリケーションへのアクセス権が割り当てられているクラウド グループを把握していること。Cloud Group that is assigned access to the application in #1 is identified 構成要素: SaaS フェデレーション SSO 構成Building block: SaaS Federated SSO Configuration
Azure Active Directory でグループを作成し、メンバーを追加するCreate a group and add members in Azure Active Directory
グループ所有者の資格情報が利用可能であること。Credentials for the group owner are available Azure Active Directory のグループによるリソースへのアクセス管理Manage access to resources with Azure Active Directory groups
アプリにアクセスするインフォメーション ワーカーの資格情報を把握していること。Credentials for the information worker accessing the apps has been identified アクセス パネルとはWhat is the Access Panel?

手順Steps

手順Step リソースResources
アプリケーションへのアクセスが許可されているグループを特定し、そのグループの所有者を構成します。Identify the group that has been granted access to the application, and configure the owner of given group Azure Active Directory でグループのメンバーを管理するManage the settings for a group in Azure Active Directory
グループ所有者としてログインし、アクセス パネルの [グループ] タブでグループのメンバーシップを確認します。Log in as the group owner, see the group membership in groups tab of access panel Azure Active Directory グループ管理ページAzure Active Directory Groups Management page
テストするインフォメーション ワーカーを追加します。Add the information worker you want to test
インフォメーション ワーカーとしてログインし、タイルが利用可能であることを確認します。Log in as the information worker, confirm the tile is available アクセス パネルとはWhat is the Access Panel?

考慮事項Considerations

アプリケーションのプロビジョニングを有効にした場合、プロビジョニングが完了してインフォメーション ワーカーとしてアプリケーションにアクセスできる状態になるまでに数分かかる場合があります。If the application has provisioning enabled, you might need to wait a few minutes for the provisioning to complete before accessing the application as the information worker.

SaaS と ID のライフサイクルSaaS and Identity Lifecycle

前提条件Pre-requisites

前提条件Pre-requisite リソースResources
SaaS アプリケーション (フェデレーション SSO またはパスワード SSO) が既に構成されていること。SaaS application (Federated SSO or Password SSO) has been already configured 構成要素: SaaS フェデレーション SSO 構成Building block: SaaS Federated SSO Configuration
1 番目のアプリケーションへのアクセス権が割り当てられているクラウド グループを把握していること。Cloud Group that is assigned access to the application in #1 is identified 構成要素: SaaS フェデレーション SSO 構成Building block: SaaS Federated SSO Configuration
Azure Active Directory でグループを作成し、メンバーを追加するCreate a group and add members in Azure Active Directory
アプリにアクセスするインフォメーション ワーカーの資格情報を把握していること。Credentials for the information worker accessing the apps has been identified アクセス パネルとはWhat is the Access Panel?

手順Steps

手順Step リソースResources
アプリが割り当てられているグループからユーザーを削除します。Remove the user from the group the app is assigned to Azure Active Directory テナントでユーザーのグループ メンバーシップを管理するManage group membership for users in your Azure Active Directory tenant
プロビジョニングが解除されるまで数分待ちます。Wait for a few minutes for de-provisioning Azure AD での SaaS アプリ ユーザー プロビジョニングの自動化: 自動プロビジョニングのしくみAutomated SaaS App User Provisioning in Azure AD: How does automated provisioning work?
別のブラウザー セッションで、インフォメーション ワーカーとして MyApps ポータルにログインし、そのタイルがなくなっていることを確認します。On a separate browser session, log in as the information worker to my apps portal and confirm that tile is missing http://myapps.microsoft.comhttp://myapps.microsoft.com

考慮事項Considerations

この PoC シナリオを退職や休職のシナリオに当てはめます。Extrapolate the PoC scenario to leavers and/or leave of absence scenarios. ユーザーは、オンプレミス AD で無効になったり、削除されたりすると、SaaS アプリケーションにログインできなくなります。If the user gets disabled in on-premises AD or removed, there is no longer a way to log in to the SaaS application.

セルフサービスでアプリケーション管理にアクセスするSelf Service Access to Application Management

推定所要時間: 10 分Approximate time to Complete: 10 minutes

前提条件Pre-requisites

前提条件Pre-requisite リソースResources
セキュリティ グループのメンバーとしてアプリケーションへのアクセスを要求する POC ユーザーを把握していること。Identify POC users that will request access to the applications, as part of the security group 構成要素: SaaS フェデレーション SSO 構成Building block: SaaS Federated SSO Configuration
対象アプリケーションがデプロイされていること。Target Application deployed 構成要素: SaaS フェデレーション SSO 構成Building block: SaaS Federated SSO Configuration

手順Steps

手順Step リソースResources
Azure AD 管理ポータルの [エンタープライズ アプリケーション] ブレードにアクセスします。Go to Enterprise Applications blade in Azure AD Management Portal Azure AD 管理ポータル: エンタープライズ アプリケーションAzure AD Management Portal: Enterprise Applications
前提条件のアプリケーションをセルフサービスで構成します。Configure Application from Pre-requisites with self service Azure Active Directory でのエンタープライズ アプリケーション管理の新機能: アプリケーションのセルフサービス アクセスを構成するWhat's new in Enterprise Application management in Azure Active Directory: Configure self-service application access
インフォメーション ワーカーとして MyApps ポータルにログインします。Log in as the information worker to my apps portal http://myapps.microsoft.comhttp://myapps.microsoft.com
ページ上部の [+アプリの追加] ボタンに注目してください。Notice "+Add app" button on op of the page. このボタンを使ってアプリにアクセスします。Use it to get access to the app

考慮事項Considerations

選択したアプリケーションにはプロビジョニングの要件があることも考えられます。そのため、すぐにアプリにアクセスしようとするとエラーが発生する可能性があります。The applications chosen might have provisioning requirements, so going immediately to the app might cause some errors. 選択したアプリケーションが Azure AD によるプロビジョニングに対応していて、構成されている場合、これは、作業フロー全体をエンド ツー エンドで示すきっかけになる可能性があります。If the application chosen supports provisioning with azure ad and it is configured, you might use this as an opportunity to show the whole flow working end to end. 詳しい推奨事項については、「SaaS フェデレーション SSO 構成」の構成要素を参照してください。See the building block for SaaS Federated SSO Configuration for further recommendations

セルフサービスによるパスワードのリセットSelf Service Password Reset

推定所要時間: 15 分Approximate time to Complete: 15 minutes

前提条件Pre-requisites

前提条件Pre-requisite リソースResources
テナントでセルフサービスによるパスワード管理を有効にします。Enable self-service password management in your tenant. IT 管理者のための Azure Active Directory のパスワード リセットAzure Active Directory password reset for IT administrators
オンプレミスのパスワードを管理するためのパスワード ライトバックを有効にします。Enable password write-back to manage passwords from on-premises. これには、特定のバージョンの Azure AD Connect が必要となることに注意してください。Note this requires specific Azure AD Connect versions パスワード ライトバックの前提条件Password Writeback prerequisites
この機能を使用する PoC ユーザーを把握し、セキュリティ グループのメンバーになっていることを確認します。Identify the PoC users that will use this functionality, and make sure they are members of a security group. この機能を完全に実証するには、ユーザーが非管理者である必要があります。The users must be non-admins to fully showcase the capability カスタマイズ: Azure AD Password Management: パスワード リセットへのアクセスの制限Customize: Azure AD Password Management: Restrict Access to password reset

手順Steps

手順Step リソースResources
Azure AD 管理ポータルの [パスワードのリセット] に移動します。Navigate to Azure AD Management Portal: Password Reset Azure AD 管理ポータル: パスワードのリセットAzure AD Management Portal: Password Reset
パスワード リセット ポリシーを決定します。Determine the password reset policy. 概念実証という目的上、電話と Q & A を使用できます。アクセス パネルへのログインについては登録を必須にすることをお勧めします。For POC purposes, you can use phone call and Q & A. It is recommended to enable registration to be required on log in to access panel
ログアウトし、インフォメーション ワーカーとしてログインします。Log out and log in as an information worker
手順 2. で構成した "セルフサービスによるパスワードのリセット" データを指定します。Supply the Self-Service Password Reset data as configured per step 2 http://aka.ms/ssprsetuphttp://aka.ms/ssprsetup
ブラウザーを閉じます。Close the browser
手順 4. で使用したインフォメーション ワーカーとしてログイン プロセスを最初からやり直します。Start over the login process as the information worker you used in step 4
パスワードをリセットします。Reset the password 自分のパスワードを更新する: パスワードをリセットするUpdate your own password: Reset my password
新しいパスワードで Azure AD とオンプレミス リソースにログインします。Try logging in with your new password to Azure AD as well as to on-premises resources

考慮事項Considerations

  1. Azure AD Connect をアップグレードすることで問題が生じる場合は、クラウド アカウントに対して使用するか、別の環境に対するデモとして行ってください。If upgrading the Azure AD Connect is going to cause friction, then consider using it against cloud accounts or make it a demo against a separate environment
  2. 管理者には異なるポリシーがあり、管理者アカウントを使用してパスワードをリセットすると、PoC に悪影響が及び、混乱が生じる可能性があります。The administrators have a different policy and using the admin account to reset the password might taint the PoC and cause confusion. 必ず通常のユーザー アカウントを使用してリセット操作をテストしてください。Make sure you use a regular user account to test the reset operations

電話を使用した Azure Multi-Factor AuthenticationAzure Multi-Factor Authentication with Phone Calls

推定所要時間: 10 分Approximate time to Complete: 10 minutes

前提条件Pre-requisites

前提条件Pre-requisite リソースResources
MFA を使用する POC ユーザーを把握していること。Identify POC users that will use MFA
MFA チャレンジ用の受信状態の良い電話。Phone with good reception for MFA challenge Azure Multi-Factor Authentication とはWhat is Azure Multi-Factor Authentication?

手順Steps

手順Step リソースResources
Azure AD 管理ポータルの [ユーザーとグループ] ブレードに移動します。Navigate to "Users and groups" blade in Azure AD Management Portal Azure AD 管理ポータル: ユーザーとグループAzure AD Management Portal: Users and groups
[すべてのユーザー] ブレードを選択します。Choose "All users" blade
最上部のバーにある [Multi-Factor Authentication] ボタンをクリックします。In the top bar choose "Multi-Factor Authentication" button Azure MFA ポータルの直接 URL: https://aka.ms/mfaportalDirect URL for Azure MFA portal: https://aka.ms/mfaportal
[ユーザー] 設定で目的の PoC ユーザーを選択し、その MFA を有効にします。In the "User" settings select the PoC users and enable them for MFA Azure Multi-Factor Authentication におけるユーザーの状態User States in Azure Multi-Factor Authentication
PoC ユーザーとしてログインし、実証プロセスを行います。Login as the PoC user, and walk through the proof-up process

考慮事項Considerations

  1. この構成要素の PoC 手順では、すべてのログイン ユーザーの MFA を明示的に設定しています。The PoC steps in this building block explicitly setting MFA for a user on all logins. ほかにも、条件付きアクセスや、より的を絞ったシナリオで MFA を利用する Identity Protection などのツールがあります。There are other tools such as Conditional Access, and Identity Protection that engage MFA on more targeted scenarios. この点については、概念実証から運用環境への移行時に考慮することになります。This will be something to consider when moving from POC to production.
  2. この構成要素の PoC 手順では、MFA 方式として明示的に電話を使用しています。The PoC steps in this building block are explicitly using Phone Calls as the MFA method for expedience. POC から運用段階への切り替え時には可能な限り、第 2 の認証要素として Microsoft Authenticator などのアプリケーションを使うようお勧めします。As you transition from POC to production, we recommend using applications such as the Microsoft Authenticator as your second factor whenever possible. 詳細情報: DRAFT NIST Special Publication 800-63BLearn more: DRAFT NIST Special Publication 800-63B

SaaS アプリケーション向けの MFA での条件付きアクセスMFA Conditional Access for SaaS applications

推定所要時間: 10 分Approximate time to Complete: 10 minutes

前提条件Pre-requisites

前提条件Pre-requisite リソースResources
ポリシーの対象となる PoC ユーザーを把握していること。Identify PoC users to target the policy. 条件付きアクセス ポリシーを適用するセキュリティ グループに、それらのユーザーが属している必要があります。These users should be in a security group to scope the conditional access policy SaaS フェデレーション SSO 構成SaaS Federated SSO Configuration
SaaS アプリケーションが構成済みであること。SaaS application has been already configured
そのアプリケーションに PoC ユーザーがあらかじめ割り当てられていること。PoC users are already assigned to the application
POC ユーザーの資格情報が用意されていること。Credentials to the POC user are available
POC ユーザーが MFA の対象として登録済みであること。POC user is registered for MFA. 受信状態の良い電話を使用すること。Using a phone with Good reception http://aka.ms/ssprsetuphttp://aka.ms/ssprsetup
内部ネットワーク内のデバイス。Device in the internal network. 内部アドレス範囲内で IP アドレスが構成されていること。IP Address configured in the internal address range IP アドレスの確認: https://www.bing.com/search?q=what%27s+my+ipFind your ip address: https://www.bing.com/search?q=what%27s+my+ip
外部ネットワークのデバイス (キャリアのモバイル ネットワークを使ったスマートフォンなど)Device in the external network (can be a phone using the carrier's mobile network)

手順Steps

手順Step リソースResources
Azure AD 管理ポータルの [条件付きアクセス] ブレードにアクセスします。Go to Azure AD Management Portal: Conditional Access blade Azure AD 管理ポータル: 条件付きアクセスAzure AD Management Portal: Conditional Access
条件付きアクセス ポリシーを作成します。Create Conditional Access policy:
- [ユーザーとグループ] で PoC ユーザーを指定します。- Target PoC Users under "Users and groups"
- [クラウド アプリ] で PoC アプリケーションを指定します。- Target PoC Application under "Cloud apps"
- 信頼済みとなっている場所を除くすべての場所を [条件] の [場所] で指定します。注: 信頼できる IP は、MFA ポータルで構成します。- Target all locations except trusted ones under "Conditions" -> "Locations" Note: trusted IPs are configured in MFA Portal
- [許可] で Multi-Factor Authentication を必須とします。- Require multi-factor authentication under "Grant"
Azure Active Directory での条件付きアクセスの基本: ポリシーの構成の手順Get started with conditional access in Azure Active Directory: Policy configuration steps
企業ネットワーク内からアプリケーションにアクセスします。Access application from inside corporate network Azure Active Directory での条件付きアクセスの基本: ポリシーをテストするGet started with conditional access in Azure Active Directory: Testing the policy
パブリック ネットワークからアプリケーションにアクセスします。Access application from public network Azure Active Directory での条件付きアクセスの基本: ポリシーをテストするGet started with conditional access in Azure Active Directory: Testing the policy

考慮事項Considerations

フェデレーションを使用している場合、オンプレミスの ID プロバイダー (IdP) を使用し、企業ネットワークの内部/外部の状態を要求でやり取りすることができます。If you are using federation, you can use the on-premises Identity Provider (IdP) to communicate the inside/outside corporate network state with claims. この手法を使用するうえで、大規模な組織では評価および管理が難しい場合がある IP アドレスのリストの管理は必要ありません。You can use this technique without having to manage the list of IP addresses which might be complex to assess and manage in large organizations. このセットアップには、"ネットワーク ローミング" (ユーザーが内部ネットワークからログインし、その状態のまま、コーヒー ショップなどの場所に移動するシナリオ) 用のアカウントが必要です。また、それによって生じる影響を理解しておく必要があります。In that setup, you need account for the "network roaming" scenario (a user logging from the internal network, and while logged in switches locations such as a coffee shop) and make sure you understand the implications. 詳細情報: Azure Multi-Factor Authentication および AD FS を使用したクラウド リソースのセキュリティ保護: フェデレーション ユーザー用の信頼できる IPLearn more: Securing cloud resources with Azure Multi-Factor Authentication and AD FS: Trusted IPs for federated users

Privileged Identity Management (PIM)Privileged Identity Management (PIM)

推定所要時間: 15 分Approximate time to Complete: 15 minutes

前提条件Pre-requisites

前提条件Pre-requisite リソースResources
PIM の POC に参加する全体管理者を把握していること。Identify the global admin that will be part of the POC for PIM Azure AD Privileged Identity Management の使用開始Start using Azure AD Privileged Identity Management
セキュリティ管理者となる全体管理者を把握していること。Identify the global admin that will become the Security Administrator Azure AD Privileged Identity Management の使用開始Start using Azure AD Privileged Identity Management
Azure Active Directory PIM での別の管理者ロールDifferent administrative roles in Azure Active Directory PIM
(省略可) PIM で電子メール通知を実施するための電子メール アクセスが全体管理者にあるかどうかを確認すること。Optional: Confirm if the global admins have email access to exercise email notifications in PIM Azure AD Privileged Identity Management とは: ロール アクティブ化設定の構成What is Azure AD Privileged Identity Management?: Configure the role activation settings

手順Steps

手順Step リソースResources
全体管理者 (GA) として https://portal.azure.com にログインし、PIM ブレードを開きます。Login to https://portal.azure.com as a global admin (GA) and bootstrap the PIM blade. この手順を実行する全体管理者は、セキュリティ管理者として準備します。The Global Admin that performs this step is seeded as the security administrator. このアクターを GA1 と呼ぶことにしましょう。Let's call this actor GA1 Azure AD Privileged Identity Management でのセキュリティ ウィザードの使用Using the security wizard in Azure AD Privileged Identity Management
全体管理者を指定し、永続から候補に変更します。Identify the global admin and move them from permanent to eligible. 明確にするために、この管理者は、手順 1. とは別の管理者にする必要があります。This should be a separate admin from the one used in step 1 for clarity. このアクターを GA2 と呼ぶことにしましょう。Let's call this actor GA2 Azure AD Privileged Identity Management: ユーザー ロールを追加または削除する方法Azure AD Privileged Identity Management: How to add or remove a user role
Azure AD Privileged Identity Management とは: ロール アクティブ化設定の構成What is Azure AD Privileged Identity Management?: Configure the role activation settings
今度は GA2 として https://portal.azure.com にログインし、"ユーザー設定" の変更を試みます。Now, log in as GA2 to https://portal.azure.com and try changing "User Settings". 一部のオプションが淡色表示されていることに気が付きます。Notice, some options are grayed out.
新しいタブ (かつ手順 3. と同じセッション) で、今度は https://portal.azure.com に移動し、PIM ブレードをダッシュボードに追加します。In a new tab and in the same session as step 3, navigate now to https://portal.azure.com and add the PIM blade to the dashboard. Azure AD Privileged Identity Management でロールをアクティブ化または非アクティブ化する方法: Privileged Identity Management アプリケーションの追加How to activate or deactivate roles in Azure AD Privileged Identity Management: Add the Privileged Identity Management application
全体管理者ロールのアクティブ化を要求します。Request activation to the Global Administrator role Azure AD Privileged Identity Management でロールをアクティブ化または非アクティブ化する方法: ロールのアクティブ化How to activate or deactivate roles in Azure AD Privileged Identity Management: Activate a role
GA2 が MFA にサインアップしなかった場合、Azure MFA の登録が必要になります。Note, that if GA2 never signed up for MFA, registration for Azure MFA will be necessary
手順 3. の元のタブに戻り、ブラウザーの更新ボタンをクリックします。Go back to the original tab in step 3, and click the refresh button in the browser. "ユーザー設定" の変更に対するアクセスが許可されていることがわかります。Note that you now have access to change "User settings"
全体管理者が電子メールを有効にしている場合は、GA1 と GA2 の受信トレイを見て、ロールがアクティブ化されているという通知を確認してください。Optionally, if your global administrators have email enabled, you can check GA1 and GA2's inbox and see the notification of the role being activated
8 監査履歴をチェックし、レポートを見て、GA2 が昇格されていることの記録があることを確認します。8 Check the audit history and observe the report to confirm the elevation of GA2 is shown. Azure AD Privileged Identity Management とは: ロール アクティビティの確認What is Azure AD Privileged Identity Management?: Review role activity

考慮事項Considerations

これは Azure AD Premium P2 と EMS E5 に備わっている機能です。This capability is part of Azure AD Premium P2 and/or EMS E5

リスク イベントを検出するDiscovering Risk Events

推定所要時間: 20 分Approximate time to Complete: 20 minutes

前提条件Pre-requisites

前提条件Pre-requisite リソースResources
Tor Browser がダウンロード、インストールされているデバイス。Device with Tor browser downloaded and installed Tor Browser のダウンロードDownload Tor Browser
ログインを実行する POC ユーザーへのアクセス。Access to POC user to do the login Azure Active Directory Identity Protection プレイブックAzure Active Directory Identity Protection playbook

手順Steps

手順Step リソースResources
Tor Browser を開きます。Open tor browser Tor Browser のダウンロードDownload Tor Browser
POC ユーザー アカウントで https://myapps.microsoft.com にログインします。Log in to https://myapps.microsoft.com with the POC user account Azure Active Directory Identity Protection プレイブック: リスク イベントのシミュレーションAzure Active Directory Identity Protection playbook: Simulating Risk Events
5 ~ 7 分待ちます。Wait 5-7 minutes
全体管理者として https://portal.azure.com にログインし、[Identity Protection] ブレードを開きます。Log in as a global admin to https://portal.azure.com and open up the Identity Protection blade https://aka.ms/aadipgetstartedhttps://aka.ms/aadipgetstarted
[リスク イベント] ブレードを開きます。Open the risk events blade. [匿名 IP アドレスからのサインイン] にエントリが表示されます。You should see an entry under "Sign-ins from anonymous IP addresses" Azure Active Directory Identity Protection プレイブック: リスク イベントのシミュレーションAzure Active Directory Identity Protection playbook: Simulating Risk Events

考慮事項Considerations

これは Azure AD Premium P2 と EMS E5 に備わっている機能です。This capability is part of Azure AD Premium P2 and/or EMS E5

サインイン リスク ポリシーをデプロイするDeploying Sign-in risk policies

推定所要時間: 10 分Approximate time to Complete: 10 minutes

前提条件Pre-requisites

前提条件Pre-requisite リソースResources
Tor Browser がダウンロード、インストールされているデバイス。Device with Tor browser downloaded and installed Tor Browser のダウンロードDownload Tor Browser
ログイン テストを実行する POC ユーザーとしてのアクセス。Access as a POC user to do the log in testing
POC ユーザーが MFA に登録されていること。POC user is registered with MFA. 必ず受信状態の良い電話を使用してください。Make sure to use a phone with good reception 構成要素: 電話を使用した Azure Multi-Factor AuthenticationBuilding Block: Azure Multi-Factor Authentication with Phone Calls

手順Steps

手順Step リソースResources
全体管理者として https://portal.azure.com にログインし、[Identity Protection] ブレードを開きます。Log in as a global admin to https://portal.azure.com and open the Identity Protection blade https://aka.ms/aadipgetstartedhttps://aka.ms/aadipgetstarted
次のようにサインイン リスク ポリシーを有効にします。Enable a sign-in risk policy as follows:
- 割り当て先: POC ユーザー- Assigned to: POC user
- 条件: 中程度またはそれ以上のサインイン リスク (匿名の場所からのサインインはリスク レベルが中程度と見なされます)- Conditions: Sign-in risk medium or higher (sign-in from anonymous location is deemed as a medium risk level)
- コントロール: MFA を要求- Controls: Require MFA
Azure Active Directory Identity Protection プレイブック: サインイン リスクAzure Active Directory Identity Protection playbook: Sign-in risk
Tor Browser を開きます。Open tor browser Tor Browser のダウンロードDownload Tor Browser
PoC ユーザー アカウントで https://myapps.microsoft.com にログインします。Log in to https://myapps.microsoft.com with the PoC user account
MFA チャレンジを通知します。Notice the MFA challenge Azure AD Identity Protection を使用したサインイン エクスペリエンス: リスクの高いサインインの復旧Sign-in experiences with Azure AD Identity Protection: Risky sign-in recovery

考慮事項Considerations

これは Azure AD Premium P2 と EMS E5 に備わっている機能です。This capability is part of Azure AD Premium P2 and/or EMS E5. リスク イベントの詳細については、「Azure Active Directory リスク イベント」を参照してください。To learn more about risk events visit: Azure Active Directory risk events

証明書ベースの認証を構成するConfiguring certificate based authentication

推定所要時間: 20 分Approximate time to complete: 20 minutes

前提条件Pre-requisites

前提条件Pre-requisite リソースResources
エンタープライズ PKI からのユーザー証明書がプロビジョニングされているデバイス (Windows、iOS、Android のいずれか)。Device with user certificate provisioned (Windows, iOS or Android) from Enterprise PKI ユーザー証明書をデプロイするDeploy User Certificates
ADFS とフェデレーションされた Azure AD ドメイン。Azure AD domain federated with ADFS Azure AD Connect とフェデレーションAzure AD Connect and federation
Active Directory 証明書サービスの概要Active Directory Certificate Services Overview
(iOS デバイスの場合) Microsoft Authenticator アプリがインストールされていること。For iOS devices have Microsoft Authenticator app installed Microsoft Authenticator アプリの概要Get started with the Microsoft Authenticator app

手順Steps

手順Step リソースResources
ADFS で [証明書の認証] を有効にします。Enable "Certificate Authentication" on ADFS 認証ポリシーを構成する: Windows Server 2012 R2 でグローバルに主要な認証を構成するにはConfigure Authentication Policies: To configure primary authentication globally in Windows Server 2012 R2
(省略可) Azure AD で Exchange Active Sync クライアントに対する証明書認証を有効にします。Optional: Enable Certificate Authentication in Azure AD for Exchange Active Sync clients Azure Active Directory の証明書ベースの認証の概要Get started with certificate-based authentication in Azure Active Directory
アクセス パネルに移動し、ユーザー証明書を使って認証を行います。Navigate to Access Panel and authenticate using User Certificate https://myapps.microsoft.comhttps://myapps.microsoft.com

考慮事項Considerations

このデプロイの注意事項について詳しくは、「ADFS: Certificate Authentication with Azure AD & Office 365 (ADFS: Azure AD と Office 365 を使用した証明書認証)」を参照してください。To learn more about caveats of this deployment visit: ADFS: Certificate Authentication with Azure AD & Office 365

注意

所有するユーザー証明書はしっかりと保護する必要があります。Possession of user certificate should be guarded. デバイスを管理するか、スマート カードの場合は PIN を使用してください。Either by managing devices or with PIN in case of smart cards.

プレイブックの手順Playbook Steps

  1. はじめにIntroduction
  2. 内容Ingredients
  3. 実装Implementation
  4. 構成要素Building Blocks