Azure Active Directoryのテナント作成方法 のバックアップ(No.2)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• Azure Active Directoryのテナント作成方法 へ行く。
  • 1 (2021-03-08 (月) 12:39:42)
  • 2 (2021-03-08 (月) 15:38:49)
  • 3 (2021-03-08 (月) 18:19:05)
  • 4 (2021-03-08 (月) 21:50:31)
  • 5 (2021-03-09 (火) 00:49:57)
  • 6 (2021-03-09 (火) 00:59:52)
  • 7 (2021-03-12 (金) 16:32:01)
  • 8 (2021-04-08 (木) 15:05:57)
  • 9 (2021-04-16 (金) 14:57:24)
  • 10 (2021-06-21 (月) 14:43:29)
  • 11 (2021-08-31 (火) 10:54:16)
  • 12 (2025-02-20 (木) 15:36:49)
  • 13 (2025-02-21 (金) 13:37:13)
  • 14 (2025-03-03 (月) 10:41:36)

---

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る
  • Azure Active Directory
  • Azureによる基盤開発法

目次 †

概要 †

ハイセキュアな Azure運用のためのAzure Active Directoryテナントの作り方

• 原則論としては 1 組織 = 1 テナントで、
  その配下ですべてのクラウド・サービスを利用

• ただし、Azure 運用用の テナントを分けたい場合もある
  • オンプレ AD と同期している
    Azure Active Directory は OA 環境専用（O365 用）

• 業務システム運用に関わる
  リソースなどを明確に分離しておきたい

• デプロイ・ガイド（チェックリスト）に、幾つかアレンジ
  • 管理を想定したアカウント構成
    （OA用アカウントとの切り離し）
  • オンプレAD とのアカウント同期の削除
  • アプリケーション管理の削除
  • , etc.

詳細 †

サブスクリプション †

基本的にEAから切り出す。 †

検証では、ダミー・テナントを使用。 †

ホーム / B2B †

いずれの方式を利用する場合でも、
複数の作業者でアカウントを共有することは避ける。

ホーム・アカウント †

個別作成（Azure Active Directoryにアカウントを別途作って利用する）

• OA 作業からアカウントや端末を切り離せるため、マルウェア攻撃を受け難い。
• 一方、退職や人事異動を確実に反映させる必要があり、面倒

B2Bアカウント †

B2B 招待（O365 テナントから B2B 招待したアカウントを利用する）

• 1 ユーザ = 1 ID となり、作業者から見て使い勝手がよい
• 多くの場合、人事システムやオンプレ AD と連携しており、退職時に自動失効する

静的 / 動的 †

どちらの場合でも、以下のようにするのが基本

• セキュリティ管理者（あるいは権限管理システム）に対して、
  静的に Privilege Role Administrator ロールを割り当てる。
• その上で、静的または動的（推奨）に、
  必要に応じて Global Administrator などの作業特権を与える。

静的権限 †

• ユーザ単位（またはグループ単位）に権限を付与する
• 高権限をむやみに与えないようにする（最大でも 5 人程度）

動的権限（PIM） †

PIM （特権 ID 管理）を利用して、ユーザに対して動的に権限を付与・はく奪する。

手順 †

InPrivate?ブラウザで作業するなど。 †

キャッシュが残らないようにする
（複数アカウントを使い回すので）。

Step 0. O365 用 AAD テナントの作成 †

• 通常は、O365 用 AAD テナントを作成
• 検証用なら既定のディレクトリか、
• 以下から作成した、ダミー・テナントでも良い。
  https://account.azure.com/organization

• 全体管理者アカウントを作成する。

• サブスクリプションは作成しない。

• Azureポータルに遷移

Azure Active Directoryに遷移 †

• 以下の 4つのアカウントを作成
  

• EA エンタープライズ管理者の個人アカウント

• EA アカウント管理者の個人アカウント
  （Azure サブスクリプション払い出し）

• 一般ユーザ１アカウント
• 一般ユーザ２アカウント

Step 1. Azure 用 AAD テナントの作成 †

ダミー・テナントと同じ方法で作成。

• 全体管理者アカウントを初期構築用として作成。
• サブスクリプションは作成しない。
• Azureポータルに遷移

Azure Active Directoryに遷移 †

• P2ライセンスの試用版の有効化

• 初期構築用アカウントを経こう

• テナント（ディレクトリ）の属性を変更
  名称や詳細の技術を変更する。

• 全体管理者アカウントの属性を変更
  • 名称や詳細の技術を変更する。
  • サブスクリプションのRBACアクセス権限を取得するよう設定する。

• 以下の 4つのアカウントを作成
  • 緊急事態用アカウント（Breakglass Account）
    AAD 用、Azure 用の 2 つが必要
    • ホーム・アカウントとして作成し、
    • 条件付きアクセスなどの適用対象外にする必要がある
      （代わりに、パスワード長を長めに設定する）
  • AAD 管理用アカウント
    日常的な Azure AD の管理用に利用するアカウントだが、以下 2 つの検討が必要
    • ホーム or B2Bアカウントどちらを利用するのか？
    • 静的 or 動的どちらの方法で権限割り当てを行うのか？

• 作成後の設定

• 常事態アカウント（Azure AD 用）
  • P2ライセンスの設定
  • Azure権限付与
  • 封緘用パスワードの設定

• 常事態アカウント（Azure用）
  • P2ライセンスの設定
  • Azure権限付与
  • 封緘用パスワードの設定

• 個人アカウント（特権ロール管理用）
  • P2ライセンスの設定
  • Azure権限付与

• 個人アカウント（AAD 管理者用）
  • Azure権限付与
  • P2ライセンスの設定

参考 †

Microsoft Docs †

• Azure AD デプロイ チェックリスト
  https://docs.microsoft.com/ja-jp/azure/active-directory/fundamentals/active-directory-deployment-checklist-p2

nakama †

※ Azure 管理用 Azure AD テナントの作成方法中にも同様のトピックが含まれる。

---

Tags: :インフラストラクチャ, :クラウド, :Azure, :Active Directory, :認証基盤, :クレームベース認証

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.034 sec.