Azure Active Directory 機能のデプロイ ガイドAzure Active Directory feature deployment guide

組織の Azure Active Directory (Azure AD) をデプロイして、継続的にセキュリティで保護するのは、大変に感じる場合があります。It can seem daunting to deploy Azure Active Directory (Azure AD) for your organization and keep it secure. この記事では、お客様が 30 日間、60 日間、90 日間、またはそれ以上にわたって複数のフェーズでセキュリティ体制の強化を完了するうえで役立つ一般的なタスクを明らかにします。This article identifies common tasks that customers find helpful to complete in phases, over the course of 30, 60, 90 days, or more, to enhance their security posture. 既に Azure AD をデプロイした組織でも、投資から確実に最大限のメリットを引き出すために、このガイドを利用することができます。Even organizations who have already deployed Azure AD can use this guide to ensure they are getting the most out of their investment.

綿密に計画されて作り上げられる ID インフラストラクチャは、既知のユーザーとデバイスのみが、生産性向上のワークロードとデータにセキュリティで保護されたアクセスを行うための道を開きます。A well-planned and executed identity infrastructure paves the way for secure access to your productivity workloads and data by known users and devices only.

さらに、お客様は自社の ID セキュリティ スコアをチェックし、マイクロソフトのベスト プラクティスにどれだけ整合しているかを確認することができます。Additionally customers can check their identity secure score to see how aligned they are to Microsoft best practices. これらの推奨事項を実装する前後にセキュリティ スコアをチェックして、同じ業界の他の企業や、同じ規模の他の組織と比べてどの程度うまくやっているかを確認します。Check your secure score before and after implementing these recommendations to see how well you are doing compared to others in your industry and to other organizations of your size.

前提条件Prerequisites

このガイドの推奨事項の多くは、Azure AD Free で、またはまったくライセンスがなくても、実装することができます。Many of the recommendations in this guide can be implemented with Azure AD Free or no license at all. ライセンスが必要な場合は、タスクを遂行するために最小限どのライセンスが必要であるかを示します。Where licenses are required we state which license is required at minimum to accomplish the task.

ライセンスに関する追加の情報については、以下のページをご覧ください。Additional information about licensing can be found on the following pages:

フェーズ 1:セキュリティ基盤の構築Phase 1: Build a foundation of security

このフェーズでは、通常のユーザー アカウントをインポートまたは作成する前に、管理者がベースラインのセキュリティ機能を有効にして、より安全で使いやすい基盤を Azure AD 内に作成します。In this phase, administrators enable baseline security features to create a more secure and easy to use foundation in Azure AD before we import or create normal user accounts. この基盤フェーズにより、ユーザーが最初からより安全な状態にあること、およびエンドユーザーに紹介される新しい概念は一度に 1 つだけにする必要があることを確実にします。This foundational phase ensures you are in a more secure state from the start and that your end-users only have to be introduced to new concepts one time.

タスクTask DetailDetail 必要とされるライセンスRequired license
複数のグローバル管理者を指定するDesignate more than one global administrator 緊急事態があった場合に使用するため、クラウド専用の永続的なグローバル管理者アカウントを少なくとも 2 つ割り当てます。Assign at least two cloud-only permanent global administrator accounts for use if there is an emergency. これらのアカウントは日常は使用されないもので、長く複雑なパスワードにする必要があります。These accounts are not be used daily and should have long and complex passwords. Azure AD FreeAzure AD Free
可能な場合は非グローバル管理者ロールを使用するUse non-global administrative roles where possible 管理者には、アクセスする必要がある領域だけに必要なアクセスのみを付与します。Give your administrators only the access they need to only the areas they need access to. すべての管理者がグローバル管理者である必要はありません。Not all administrators need to be global administrators. Azure AD FreeAzure AD Free
管理者ロールの使用の追跡について Privileged Identity Management を有効にするEnable Privileged Identity Management for tracking admin role use Privileged Identity Management を有効にして、管理者ロールの使用状況の追跡を開始します。Enable Privileged Identity Management to start tracking administrative role usage. Azure AD Premium P2Azure AD Premium P2
セルフサービスによるパスワードのリセットをロール アウトするRoll out self-service password reset ユーザーに管理者権限を付与するポリシーを使用して、スタッフによる各自のパスワードのリセットを許可することで、パスワードのリセットに関するヘルプデスクの呼び出しを削減します。Reduce helpdesk calls for password resets by allowing staff to reset their own passwords using policies you as an administrator control.
組織固有の禁止パスワードのカスタム リストを作成するCreate an organization specific custom banned password list ユーザーが、お客様の組織や分野において一般的な単語や語句を含むパスワードを作成しないようにします。Prevent users from creating passwords that include common words or phrases from your organization or area.
Azure AD のパスワード保護とのオンプレミス統合を有効にするEnable on-premises integration with Azure AD password protection 禁止パスワード リストをオンプレミスのディレクトリまで拡張して、オンプレミスで設定されるパスワードが、グローバルでテナント固有の禁止パスワード リストにも確実に準拠するようにします。Extend the banned password list to your on-premises directory, to ensure passwords set on-premises are also in compliance with the global and tenant-specific banned password lists. Azure AD Premium P1Azure AD Premium P1
Microsoft のパスワードのガイダンスを有効にするEnable Microsoft's password guidance 設定したスケジュールでのパスワード変更をユーザーに要求することをやめ、複雑さに関する要件を無効にします。ユーザーは自分のパスワードを、より覚えやすく安全な何かのままにしておきやすくなります。Stop requiring users to change their password on a set schedule, disable complexity requirements, and your users are more apt to remember their passwords and keep them something that is secure. Azure AD FreeAzure AD Free
クラウド ベースのユーザー アカウントの定期的なパスワード リセットを無効にするDisable periodic password resets for cloud-based user accounts 定期的なパスワード リセットでは、ユーザーに、既存のパスワードを増やすことが推奨されています。Periodic password resets encourage your users to increment their existing passwords. Microsoft のパスワードのガイダンス ドキュメントに記載されたガイドラインを使用し、オンプレミスのポリシーをクラウドのみのユーザーにミラー化します。Use the guidelines in Microsoft's password guidance doc and mirror your on-premises policy to cloud-only users. Azure AD FreeAzure AD Free
Azure Active Directory のスマート ロックアウトをカスタマイズするCustomize Azure Active Directory smart lockout オンプレミスの Active Directory ユーザーにレプリケートされないように、クラウド ベースのユーザーからのロックアウトを停止しますStop lockouts from cloud-based users from being replicated to on-premises Active Directory users
AD FS のエクストラネット スマート ロックアウトを有効にするEnable Extranet Smart Lockout for AD FS AD FS のエクストラネット ロックアウトは、ブルート フォース パスワード推測攻撃からの保護を行います。同時に、有効な AD FS ユーザーには引き続き自分のアカウントを使用させます。AD FS extranet lockout protects against brute force password guessing attacks, while letting valid AD FS users continue to use their accounts.
条件付きアクセス ポリシーを使用して Azure AD Multi-Factor Authentication をデプロイするDeploy Azure AD Multi-Factor Authentication using Conditional Access policies 条件付きアクセス ポリシーを使用して、機密性の高いアプリケーションにアクセスするときには 2 段階認証を実行するようユーザーに要求します。Require users to perform two-step verification when accessing sensitive applications using Conditional Access policies. Azure AD Premium P1Azure AD Premium P1
Azure Active Directory Identity Protection を有効にするEnable Azure Active Directory Identity Protection 組織内のユーザーについて、リスクのあるサインインや侵害された資格情報の追跡を有効にします。Enable tracking of risky sign-ins and compromised credentials for users in your organization. Azure AD Premium P2Azure AD Premium P2
リスク検出を使用して多要素認証とパスワード変更をトリガーするUse risk detections to trigger multi-factor authentication and password changes 多要素認証、パスワードのリセット、リスクに基づいたサインインのブロックなどのイベントをトリガーできるオートメーションを有効にします。Enable automation that can trigger events such as multi-factor authentication, password reset, and blocking of sign-ins based on risk. Azure AD Premium P2Azure AD Premium P2
セルフサービスのパスワード リセットと Azure AD Multi-Factor Authentication の集中型登録 (プレビュー) を有効にするEnable converged registration for self-service password reset and Azure AD Multi-Factor Authentication (preview) Azure Multi-Factor Authentication とセルフ サービス パスワード リセットの両方について、ユーザーが 1 つの共通操作で登録できるようにします。Allow your users to register from one common experience for both Azure Multi-Factor Authentication and self-service password reset. Azure AD Premium P1Azure AD Premium P1

フェーズ 2:ユーザーのインポート、同期の有効化、デバイスの管理Phase 2: Import users, enable synchronization, and manage devices

次に、フェーズ 1 で構築した基盤への追加を行います。ユーザーのインポート、同期の有効化、ゲスト アクセスの計画、追加機能のサポートのための準備を行います。Next, we add to the foundation laid in phase 1 by importing our users and enabling synchronization, planning for guest access, and preparing to support additional functionality.

タスクTask DetailDetail 必要とされるライセンスRequired license
Azure AD Connect のインストールInstall Azure AD Connect 既存のオンプレミス ディレクトリのユーザーをクラウドに同期する準備をします。Prepare to synchronize users from your existing on-premises directory to the cloud. Azure AD FreeAzure AD Free
パスワード ハッシュ同期の実装Implement Password Hash Sync パスワード ハッシュを同期し、パスワード変更のレプリケート、不正なパスワードの検出と修正、漏洩した資格情報の報告を行えるようにします。Synchronize password hashes to allow password changes to be replicated, bad password detection and remediation, and leaked credential reporting. Azure AD FreeAzure AD Free
パスワード ライトバックの実装Implement Password Writeback クラウドでのパスワードの変更を、オンプレミスの Windows Server Active Directory 環境に書き戻すことを許可します。Allow password changes in the cloud to be written back to an on-premises Windows Server Active Directory environment. Azure AD Premium P1Azure AD Premium P1
Azure AD Connect Health の実装Implement Azure AD Connect Health Azure AD Connect サーバー、AD FS サーバー、およびドメイン コント ローラーについて、正常性に関する重要な統計情報の監視を有効にします。Enable monitoring of key health statistics for your Azure AD Connect servers, AD FS servers, and domain controllers. Azure AD Premium P1Azure AD Premium P1
Azure Active Directory のグループ メンバーシップでユーザーにライセンスを割り当てるAssign licenses to users by group membership in Azure Active Directory ユーザーごとの設定ではなく、グループ別に機能を有効または無効にするライセンス グループを作成することで、時間と労力を節約します。Save time and effort by creating licensing groups that enable or disable features by group instead of setting per user.
ゲスト ユーザー アクセスの計画を作成するCreate a plan for guest user access ゲスト ユーザーが各自の職場 ID、学校 ID、またはソーシャル ID を使用してアプリやサービスにサインインできるようにして、共同作業を行います。Collaborate with guest users by letting them sign in to your apps and services with their own work, school, or social identities. Azure AD B2B のライセンスに関するガイダンスAzure AD B2B licensing guidance
デバイス管理戦略を決定するDecide on device management strategy デバイスに関して組織が何を許可するかを決定します。Decide what your organization allows regarding devices. 登録か参加か、Bring Your Own Device か会社支給かなどです。Registering vs joining, Bring Your Own Device vs company provided.
組織に Windows Hello for Business を配置するDeploy Windows Hello for Business in your organization Windows Hello を使用するパスワードなしの認証のための準備を行いますPrepare for passwordless authentication using Windows Hello
ユーザー用にパスワードなしの認証方法をデプロイするDeploy passwordless authentication methods for your users ユーザーに便利なパスワードなしの認証方法を提供しますProvide your users with convenient passwordless authentication methods Azure AD Premium P1Azure AD Premium P1

フェーズ 3: アプリケーションの管理Phase 3: Manage applications

以前のフェーズを基にした構築を続行するので、移行と Azure AD との統合の候補となるアプリケーションを特定し、それらのアプリケーションのセットアップを完了します。As we continue to build on the previous phases, we identify candidate applications for migration and integration with Azure AD and complete the setup of those applications.

タスクTask DetailDetail 必要とされるライセンスRequired license
アプリケーションを特定するIdentify your applications オンプレミス アプリケーション、クラウドの SaaS アプリケーション、その他の基幹業務アプリケーションなど、組織で使用中のアプリケーションを特定します。Identify applications in use in your organization: on-premises, SaaS applications in the cloud, and other line-of-business applications. これらのアプリケーションの Azure AD での管理が、可能であるか、する必要があるかを判断します。Determine if these applications can and should be managed with Azure AD. ライセンス不要No license required
ギャラリーのサポートされている SaaS アプリケーションを統合するIntegrate supported SaaS applications in the gallery Azure AD には、あらかじめ統合された何千ものアプリケーションが含まれるギャラリーがあります。Azure AD has a gallery that contains thousands of pre-integrated applications. 組織で使用しているアプリケーションの一部は、おそらく、Azure portal から直接アクセスできるギャラリーにあります。Some of the applications your organization uses are probably in the gallery accessible directly from the Azure portal. Azure AD FreeAzure AD Free
アプリケーション プロキシを使用してオンプレミス アプリケーションを統合するUse Application Proxy to integrate on-premises applications アプリケーション プロキシを使用すると、ユーザーは Azure AD アカウントでサインインして、オンプレミスのアプリケーションにアクセスできます。Application Proxy enables users to access on-premises applications by signing in with their Azure AD account.

フェーズ 4: 特権 ID の監査、アクセス レビューの完了、ユーザー ライフ サイクルの管理Phase 4: Audit privileged identities, complete an access review, and manage user lifecycle

フェーズ 4 では、管理者が、管理用の最低限の特権を適用し、最初のアクセス レビューを完了し、一般的なユーザー ライフ サイクルのタスクの自動化を有効にします。Phase 4 sees administrators enforcing least privilege principles for administration, completing their first access reviews, and enabling automation of common user lifecycle tasks.

タスクTask DetailDetail 必要とされるライセンスRequired license
Privileged Identity Management の使用を強制するEnforce the use of Privileged Identity Management 通常の日常ユーザー アカウントから管理者ロールを削除します。Remove administrative roles from normal day to day user accounts. 管理ユーザーにそのロールの使用を認めるのは、多要素認証チェックの成功後、業務上妥当である理由の提示後、指定された承認者からの要求後とします。Make administrative users eligible to use their role after succeeding a multi-factor authentication check, providing a business justification, or requesting approval from designated approvers. Azure AD Premium P2Azure AD Premium P2
PIM で Azure AD ディレクトリ ロールのアクセス レビューを完了するComplete an access review for Azure AD directory roles in PIM セキュリティおよびリーダーシップ チームと協力して、組織のポリシーに基づいて管理アクセスをレビューするアクセス レビュー ポリシーを作成します。Work with your security and leadership teams to create an access review policy to review administrative access based on your organization's policies. Azure AD Premium P2Azure AD Premium P2
動的グループ メンバーシップのポリシーを実装するImplement dynamic group membership policies 動的グループを使用して、部門、役職、リージョン、その他の属性など、人事 (または、信頼できるソース) からの属性に基づいて、グループにユーザーを自動的に割り当てます。Use dynamic groups to automatically assign users to groups based on their attributes from HR (or your source of truth), such as department, title, region, and other attributes.
グループ ベースのアプリケーション プロビジョニングを実装するImplement group based application provisioning グループベース アクセス管理のプロビジョニングを使用して、SaaS アプリケーションのユーザーを自動的にプロビジョニングします。Use group-based access management provisioning to automatically provision users for SaaS applications.
ユーザー プロビジョニングとプロビジョニング解除を自動化するAutomate user provisioning and deprovisioning 未承認のアクセスを防ぐために、従業員のアカウント ライフサイクルから手動の手順をなくします。Remove manual steps from your employee account lifecycle to prevent unauthorized access. 適切なソース (人事システム) からの ID を Azure AD に同期する。Synchronize identities from your source of truth (HR System) to Azure AD.

次の手順Next steps

Azure AD のライセンスと価格の詳細Azure AD licensing and pricing details

ID とデバイスのアクセスの構成Identity and device access configurations

推奨される一般的な ID とデバイスのアクセス ポリシーCommon recommended identity and device access policies