Azure Active Directoryのテナント作成方法のバックアップ(No.3)

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

戻る
- Azure Active Directory
- Azureによる基盤開発法

目次 †

↑

概要 †

ハイセキュアな Azure運用のためのAzure Active Directoryテナントの作り方

原則論としては 1 組織 = 1 テナントで、
その配下ですべてのクラウド・サービスを利用

ただし、Azure 運用用のテナントを分けたい場合もある
- オンプレ AD と同期している
  Azure Active Directory は OA 環境専用（O365 用）

業務システム運用に関わる
リソースなどを明確に分離しておきたい

デプロイ・ガイド（チェックリスト）に、幾つかアレンジ
- 管理を想定したアカウント構成
  （OA用アカウントとの切り離し）
- オンプレAD とのアカウント同期の削除
- アプリケーション管理の削除
- , etc.

↑

詳細 †

↑

サブスクリプション †

↑

基本的にEAから切り出す。 †

初期状態
- O365 AAD の EAポータルからサブスクリプションを作成する。
  - https://ea.azure.com
  - EA契約管理者からアサインされたEA契約アカウント管理者が実施。
- ディレクトリ・サブスクリプションには、課金と環境管理の紐付けがある。
  - 初期状態では、O365 AADと作成したサブスクリプションが関連付けられる。
  - アカウント管理者：課金、サービス管理者：環境管理ともに、サブスクリプションの作成者。

サブスクリプションの付け替え（信頼テナントの変更）作業
- サブスクリプションの環境管理の紐付け

↑

検証では、ダミー・テナントを使用。 †

↑

ホーム / B2B †

いずれの方式を利用する場合でも、
複数の作業者でアカウントを共有することは避ける。

↑

ホーム・アカウント †

個別作成（Azure Active Directoryにアカウントを別途作って利用する）

一方、退職や人事異動を確実に反映させる必要があり、面倒
OA 作業からアカウントや端末を切り離せるため、マルウェア攻撃を受け難い。
故に、特権アカウントは、B2Bアカウントではなくホーム・アカウントを使用すると良い。

↑

B2Bアカウント †

B2B 招待（O365 テナントから B2B 招待したアカウントを利用する）

1 ユーザ = 1 ID となり、作業者から見て使い勝手がよい
多くの場合、人事システムやオンプレ AD と連携しており、退職時に自動失効する
故に、各種、作業者アカウントは、コチラを使用すると良い。

↑

静的 / 動的 †

どちらの場合でも、以下のようにするのが基本

セキュリティ管理者（あるいは権限管理システム）に対して、
静的に Privilege Role Administrator ロールを割り当てる。
その上で、静的または動的（推奨）に、
必要に応じて Global Administrator などの作業特権を与える。

↑

静的権限 †

ユーザ単位（またはグループ単位）に権限を付与する
高権限をむやみに与えないようにする（最大でも 5 人程度）

↑

動的権限 †

AAD PIM（特権 ID 管理）を利用して、ユーザに対して動的に権限を付与・はく奪する。

↑

手順 †

↑

InPrivate?ブラウザで作業するなど。 †

キャッシュが残らないようにする
（複数アカウントを使い回すので）。

↑

Step 0. O365 用 AAD テナントの作成 †

通常は、O365 用 AAD テナントを作成
検証用なら既定のディレクトリか、
以下から作成した、ダミー・テナントでも良い。
https://account.azure.com/organization

全体管理者アカウントを作成する。

サブスクリプションは作成しない。

Azureポータルに遷移

↑

Azure Active Directoryに遷移 †

以下の 4つのアカウントを作成

EA エンタープライズ管理者の個人アカウント

EA アカウント管理者の個人アカウント
（Azure サブスクリプション払い出し）

一般ユーザ１アカウント
一般ユーザ２アカウント

↑

Step 1. Azure 用 AAD テナントの作成 †

ダミー・テナントと同じ方法で作成。

全体管理者アカウントを初期構築用として作成。
サブスクリプションは作成しない。
Azureポータルに遷移

↑

Azure Active Directoryに遷移 †

P2ライセンスの試用版の有効化

初期構築用アカウントを経こう

テナント（ディレクトリ）の属性を変更
名称や詳細の技術を変更する。

全体管理者アカウントの属性を変更
- 名称や詳細の技術を変更する。
- サブスクリプションのRBACアクセス権限を取得するよう設定する。

以下の 4つのアカウントを作成
- 緊急事態用アカウント（Breakglass Account）
  AAD 用、Azure 用の 2 つが必要
  - ホーム・アカウントとして作成し、
  - 条件付きアクセスなどの適用対象外にする必要がある
    （代わりに、パスワード長を長めに設定する）
- AAD 管理用アカウント
  日常的な Azure AD の管理用に利用するアカウントだが、以下 2 つの検討が必要
  - ホーム or B2Bアカウントどちらを利用するのか？
  - 静的 or 動的どちらの方法で権限割り当てを行うのか？

役割		主な日常作業	個人/共用	ホーム/B2B	AAD 権限	Azure 権限
緊急事態用アカウント	Azure AD 用	ナシ	共用	ホーム	Global Administrator（静的）	昇格権限
緊急事態用アカウント	Azure 用	ナシ	共用	ホーム	ナシ	Tenant Root Group/owner（静的）
個人アカウント	特権ロール管理用	AAD, Azure の権限払い出し	個人	ホーム or B2B	Privilege Role Administrator (静的)	なし（暗黙的に User Access Admin を持つ）
個人アカウント	AAD 管理者用	AAD の設定・操作・監査	個人	ホーム or B2B	・（Global Reader（静的））・Global Administrator（PIM）	ナシ

アカウントの作成
上記の表の通り、Azure 権限を除いて、アカウントを作成する。

作成後の設定

緊急事態用アカウント（Azure AD 用）
- P2ライセンスの設定
- パスワード・ポリシーの変更
- 管理者アカウントの保護
- Azure権限付与
- 封緘用パスワードの設定

緊急事態用アカウント（Azure用）
- P2ライセンスの設定
- パスワード・ポリシーの変更
- 管理者アカウントの保護
- Azure権限付与
- 封緘用パスワードの設定

個人アカウント（特権ロール管理用）
- P2ライセンスの設定
- パスワード・ポリシーの変更
- 管理者アカウントの保護
- Azure権限付与

個人アカウント（AAD 管理者用）
- P2ライセンスの設定
- パスワード・ポリシーの変更
- 管理者アカウントの保護
- Azure権限付与

パスワード・ポリシーの変更
- パスワード保護機能（必要に応じて）
  - [Azure Active Directory] > [セキュリティ] > [認証方法] > [パスワード保護]を開く
  - 必要に応じてロックアウト、禁止パスワードの登録などを行う

パスワード有効期限の無効化

既定は 90 日で失効
緊急事態用アカウントでは必須

PowerShellで設定

Install-Module -Name AzureAD
Connect-AzureAD
Get-AzureADUser -Filter "startswith(userPrincipalName,'緊急事態用アカウントのプレフィックス')" | Set- AzureADUser -PasswordPolicies DisablePasswordExpiration

管理者アカウントの保護
- セキュリティ・グループの作成と割当
  - 緊急事態用アカウント用グループを作成し、各アカウントに割当
  - 個人アカウント用グループを作成し、各アカウントに割当
    （権限をPIMでJIT割当するようなアカウントは変更される可能性が高いので、対象外にする等）
  - 必要に応じて、動的メンバーシップ・ルールを使用する。

条件付きアクセスの有効化
- 対象：個人アカウント用グループ、対象外：緊急事態用アカウント用グループ
- アクセス制御で、多要素認証（MFA）などを追加する。
  その他、ネームド・ロケーション、セキュア・ワークステーション等がある。
- レポート専用で作成して、問題なく動作しているか確認してからオンする。