Azure Active Directory のデプロイ計画Azure Active Directory deployment plans

ここでは、Azure Active Directory (Azure AD) の機能のデプロイについてのエンド ツー エンドのガイダンスを紹介しています。Looking for end-to-end guidance on deploying Azure Active Directory (Azure AD) capabilities? Azure AD のデプロイ計画では、Azure AD の代表的な機能について、そのビジネス上の価値や計画の考慮事項、正しくデプロイするうえで必要な運用手順をひととおり説明しています。Azure AD deployment plans walk you through the business value, planning considerations, and operational procedures needed to successfully deploy common Azure AD capabilities.

任意の計画ページから、ブラウザーの PDF に印刷機能を使用して、最新のオフライン バージョンのドキュメントを作成します。From any of the plan pages, use your browser’s Print to PDF capability to create an up-to-date offline version of the documentation.

適切な関係者を含めるInclude the right stakeholders

新しい機能のデプロイ計画を始めるときは、組織全体の主要な関係者を含めることが重要です。When beginning your deployment planning for a new capability, it’s important to include key stakeholders across your organization. 次の各役割を果たす個人を特定して文書化し、それらの人と協力してプロジェクトへの関与方法を判断することをお勧めします。We recommend that you identify and document the person or people who fulfill each of the following roles, and work with them to determine their involvement in the project.

次のような役割がありますRoles might include the following

RoleRole 説明Description
エンドユーザーEnd-user 機能を実装する対象となるユーザーの代表的なグループ。A representative group of users for which the capability will be implemented. 多くの場合、パイロット プログラムの変更をプレビューします。Often previews the changes in a pilot program.
IT サポート マネージャーIT Support Manager ヘルプデスクの観点から、この変更のサポート可能性に関する情報を提供できる、IT サポート組織の代表。IT support organization representative who can provide input on the supportability of this change from a helpdesk perspective.
ID アーキテクトまたは Azure グローバル管理者Identity Architect or Azure Global Administrator この変更をどのように組織内の主要な ID 管理インフラストラクチャに合わせるかを定義する責任がある、ID 管理チームの代表。Identity management team representative in charge of defining how this change is aligned with the core identity management infrastructure in your organization.
アプリケーション ビジネス所有者Application Business Owner 影響を受けるアプリケーションの全体的なビジネス所有者。アクセスの管理を含む場合があります。The overall business owner of the affected application(s), which may include managing access.  エンドユーザーの観点から、この変更のユーザー エクスペリエンスと有用性についての情報も提供できます。  May also provide input on the user experience and usefulness of this change from an end-user’s perspective.
セキュリティ所有者Security Owner 計画が組織のセキュリティ要件を満たしていることをサインオフできるセキュリティ チームの代表。A representative from the security team that can sign off that the plan will meet the security requirements of your organization.
Compliance ManagerCompliance Manager 企業、業界、または政府の要件に確実に準拠する責任を負う組織内の個人。The person within your organization responsible for ensuring compliance with corporate, industry, or governmental requirements.

次のような関与のレベルがあります。Levels of involvement might include:

  • R プロジェクト計画と結果の実施に責任を負うResponsible for implementing project plan and outcome

  • A プロジェクト計画と成果の承認Approval of project plan and outcome

  • C プロジェクト計画と成果への貢献者Contributor to project plan and outcome

  • I プロジェクト計画と成果を知らされるInformed of project plan and outcome

パイロットのベスト プラクティスBest practices for a pilot

すべてのユーザーに対して機能を有効にする前に、パイロットを使用して、小規模なグループでテストすることができます。A pilot allows you to test with a small group before turning a capability on for everyone. テストの一部として、組織内の各ユース ケースが十分にテストされていることを確認します。Ensure that as part of your testing, each use case within your organization is thoroughly tested. 組織全体にロールアウトする前に、特定のパイロット ユーザー グループを対象にすることをお勧めします。It’s best to target a specific group of pilot users before rolling this out to your organization as a whole.

最初の段階では、テストを受けてフィードバックを提供できる IT、ユーザビリティ、およびその他の適切なユーザーを対象にします。In your first wave, target IT, usability, and other appropriate users who can test and provide feedback. このフィードバックを使用して、ユーザーに伝える情報と指示をさらに開発し、サポート スタッフが確認する可能性がある問題の種類に関する分析情報を提供します。This feedback should be used to further develop the communications and instructions you send to your users, and to give insights into the types of issues your support staff may see.

大規模なユーザー グループへのロールアウトの拡大は、対象とするグループのスコープを広げることで実行する必要があります。Widening the rollout to larger groups of users should be carried out by increasing the scope of the group(s) targeted. これは、動的グループ メンバーシップを使用するか、対象グループにユーザーを手動で追加することで実行できます。This can be done through dynamic group membership, or by manually adding users to the targeted group(s).

認証のデプロイDeploy authentication

機能Capability 説明Description
Multi-Factor AuthenticationMulti-Factor Authentication Azure Multi-Factor Authentication (MFA) は、Microsoft の 2 段階認証ソリューションです。Azure Multi-Factor Authentication (MFA) is Microsoft's two-step verification solution. 管理者が承認した認証方式を使用することにより、Azure MFA では、データやアプリケーションへのアクセスを保護しながら、シンプルなサインイン プロセスへの要求に応えることができます。Using admin-approved authentication methods, Azure MFA helps safeguard access to your data and applications while meeting the demand for a simple sign-in process.
条件付きアクセスConditional Access 条件付きアクセスを使用すると、クラウド アプリへのアクセスをだれに許可するかを各種の条件に基づいて自動的に判断するアクセスの制御を実装できます。With Conditional Access, you can implement automated access control decisions for who can access your cloud apps, based on conditions.
セルフサービスのパスワード リセットSelf-service password reset パスワード リセットのセルフサービスにより、ユーザーは、必要に応じていつでも、どこでも、管理者の介入なしでパスワードをリセットできます。Self-service password reset helps your users reset their passwords without administrator intervention, when and where they need to.
パスワードレスPasswordless 組織内の Microsoft Authenticator アプリまたは FIDO2 セキュリティ キーを使用してパスワードレス認証を実装します。Implement passwordless authentication using the the Microsoft Authenticator app or FIDO2 Security keys in your organization

アプリケーション管理のデプロイDeploy application management

機能Capability 説明Description
シングル サインオンSingle sign-on シングル サインオンは、ユーザーが 1 回サインインするだけで作業に必要なアプリとリソースにアクセスできる機能です。Single sign-on helps your users access the apps and resources they need to do business while signing in only once. サインインすると、資格情報をもう一度入力する必要なしに、Microsoft Office から SalesForce、Box、さらには内部アプリケーションにアクセスできるようになります。After they've signed in, they can go from Microsoft Office to SalesForce to Box to internal applications without being required to enter credentials a second time.
アクセス パネルAccess panel すべてのアプリケーションを検出し、それにアクセスするための単純なハブをユーザーに提供します。Offer your users a simple hub to discover and access all their applications. ユーザーが、アプリやグループへのアクセスを要求したり、他のユーザーに代わってリソースへのアクセスを管理したりするなどのセルフサービス機能を使用して生産性を向上できるようにします。Enable them to be more productive with self-service capabilities, like requesting access to apps and groups, or managing access to resources on behalf of others.

ハイブリッド シナリオのデプロイDeploy hybrid scenarios

機能Capability 説明Description
ADFS からパスワード ハッシュ同期への移行ADFS to Password Hash Sync パスワード ハッシュ同期では、ユーザー パスワードのハッシュがオンプレミスの Active Directory から Azure AD に同期されます。これにより Azure AD では、オンプレミスの Active Directory とやり取りすることなくユーザーを認証することができますWith Password Hash Synchronization, hashes of user passwords are synchronized from on-premises Active Directory to Azure AD, letting Azure AD authenticate users with no interaction with the on-premises Active Directory
ADFS からパススルー認証への移行ADFS to Pass Through Authentication Azure AD パススルー認証を使用すると、ユーザーは同じパスワードを使用して、オンプレミスのアプリケーションとクラウドベースのアプリケーションの両方にサインインできます。Azure AD Pass-through Authentication helps your users sign in to both on-premises and cloud-based applications using the same passwords. この機能により、ユーザー エクスペリエンスが向上します。ユーザーは、覚えておくパスワードが 1 つ少なくなり、ユーザーがサインイン方法を忘れる可能性が低くなるため IT ヘルプデスクのコストが削減されます。This feature provides users with a better experience - one less password to remember - and reduces IT helpdesk costs because users are less likely to forget how to sign in. この機能により、ユーザーが Azure AD を使用してサインインするとき、ユーザーのパスワードがオンプレミスの Active Directory に対して直接検証されます。When people sign in using Azure AD, this feature validates users' passwords directly against your on-premises Active Directory.
Azure AD アプリケーション プロキシAzure AD Application Proxy 現在、従業員は、どこでも、いつでも、どんなデバイスからでも生産的であることを望んでいます。Employees today want to be productive at any place, at any time, and from any device. クラウド内の SaaS アプリとオンプレミスの企業アプリにアクセスする必要があります。They need to access SaaS apps in the cloud and corporate apps on-premises. Azure AD アプリケーション プロキシを使用すると、コストが高く複雑な仮想プライベート ネットワーク (VPN) や非武装地帯 (DMZ) を使用することなく、この堅牢なアクセスが可能になります。Azure AD Application proxy enables this robust access without costly and complex virtual private networks (VPNs) or demilitarized zones (DMZs).
シームレス SSOSeamless SSO Azure Active Directory シームレス シングル サインオン (Azure AD シームレス SSO) では、ユーザーが企業ネットワークに接続される会社のデバイスを使用するときに、自動的にサインインを行います。Azure Active Directory Seamless Single Sign-On (Azure AD Seamless SSO) automatically signs users in when they are on their corporate devices connected to your corporate network. この機能を使用すると、ユーザーは Azure AD にサインインするためにパスワードを入力する必要がなくなり、通常はユーザー名の入力も不要です。With this feature, users won't need to type in their passwords to sign in to Azure AD and usually won't need to enter their usernames. この機能により、追加のオンプレミス コンポーネントを必要とせずに、認可されたユーザーはクラウドベースのアプリケーションに簡単にアクセスできるようになります。This feature provides authorized users with easy access to your cloud-based applications without needing any additional on-premises components.

ユーザー プロビジョニングのデプロイDeploy user provisioning

機能Capability 説明Description
ユーザー プロビジョニングUser provisioning Azure AD を使用すると、Dropbox、Salesforce、ServiceNow などのクラウド (SaaS) アプリケーションで、ユーザー ID の作成、保守、削除を自動化できます。Azure AD helps you automate the creation, maintenance, and removal of user identities in cloud (SaaS) applications, such as Dropbox, Salesforce, ServiceNow, and more.
Workday 主導の受信ユーザー プロビジョニングWorkday-driven Inbound User Provisioning Active Directory への Workday 主導の受信ユーザー プロビジョニングによって、継続的な ID ガバナンスのための基礎が作成され、権限のある ID データに依存するビジネス プロセスの品質が向上します。Workday-driven Inbound User Provisioning to Active Directory creates a foundation for ongoing identity governance and enhances the quality of business processes that rely on authoritative identity data. この機能を使用すると、Joiner-Mover-Leaver プロセス (新規採用、退職、異動など) を IT プロビジョニング アクション (作成、有効化、無効化など) にマッピングする規則を構成することによって、従業員や臨時社員の ID ライフサイクルをシームレスに管理できますUsing this feature, you can seamlessly manage the identity lifecycle of employees and contingent workers by configuring rules that map Joiner-Mover-Leaver processes (such as New Hire, Terminate, Transfer) to IT provisioning actions (such as Create, Enable, Disable)

ガバナンスとレポートのデプロイDeploy governance and reporting

機能Capability 説明Description
Privileged Identity ManagementPrivileged Identity Management Azure AD Privileged Identity Management (PIM) は、Azure AD、Azure リソース、およびその他の Microsoft Online Services 全体の特権管理者ロールを管理するのに役立ちます。Azure AD Privileged Identity Management (PIM) helps you manage privileged administrative roles across Azure AD, Azure resources, and other Microsoft Online Services. PIM では Just-In-Time アクセス、承認要求ワークフロー、完全に統合されたアクセス レビューなどのソリューションが提供されるので、リアルタイムに特権ロールの悪意のあるアクティビティを特定し、明らかにして防ぐことができます。PIM provides solutions like just-in-time access, request approval workflows, and fully integrated access reviews so you can identify, uncover, and prevent malicious activities of privileged roles in real time.
レポートと監視Reporting and Monitoring Azure AD のレポートおよび監視ソリューションは、法令、セキュリティ、運用の各要件と、既存の環境およびプロセスによって異なります。The design of your Azure AD reporting and monitoring solution depends on your legal, security, and operational requirements as well as your existing environment and processes. この記事では、さまざまな設計オプションを紹介し、正しいデプロイ戦略のガイドを示します。This article presents the various design options and guides you to the right deployment strategy.