Azure Active Directoryのテナント作成方法のバックアップ(No.5)

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

戻る
- Azure Active Directory
- Azureによる基盤開発法

目次 †

目次
概要
詳細
手順
参考
- Microsoft Docs
- nakama

↑

概要 †

ハイセキュアな Azure運用のためのAzure Active Directoryテナントの作り方

原則論としては 1 組織 = 1 テナントで、
その配下ですべてのクラウド・サービスを利用

ただし、Azureの運用用のテナントを分けたい場合もある
- オンプレ AD と同期している
  Azure Active Directory は OA環境専用（O365 用）

業務システム運用に関わるリソースなど
OA用アカウントと明確に分離しておきたい。

と言う事で、
デプロイ・ガイド（チェックリスト）に、
幾つかアレンジを加えたモノが本項となっている。
- 管理を想定したアカウント構成
  （OA用アカウントとの切り離し）
- オンプレAD とのアカウント同期の削除
- アプリケーション管理の削除
- , etc.

↑

詳細 †

↑

サブスクリプション †

↑

基本的にEAから切り出す。 †

初期状態
- O365 AAD の EAポータルからサブスクリプションを作成する。
  - https://ea.azure.com
  - EA契約管理者からアサインされたEA契約アカウント管理者が実施。
- ディレクトリ・サブスクリプションには、課金と環境管理の紐付けがある。
  - 初期状態では、O365 AADと作成したサブスクリプションが関連付けられる。
  - アカウント管理者：課金、サービス管理者：環境管理ともに、サブスクリプションの作成者。

サブスクリプションの付け替え（信頼テナントの変更）作業

↑

検証では、ダミー・テナントを使用。 †

「Microsoft Azure Pass」を使用して、払い出しを行うことが出来る。
- https://www.microsoftazurepass.com/
- EA契約アカウント管理者のアカウントでログイン

Azure Active Directory管理用のサブスクリプションを作成
（コード入力、質問回答などを行って、作成する。）

サブスクリプションが出来たら名称の変更を行う。

ディレクトリ・サブスクリプションは、「基本的にEAから切り出す。」と同じ。

サブスクリプションの付け替え（信頼テナントの変更）作業

↑

ホーム / B2B †

いずれの方式を利用する場合でも、
複数の作業者でアカウントを共有することは避ける。

↑

ホーム・アカウント †

個別作成（Azure Active Directoryにアカウントを別途作って利用する）

一方、退職や人事異動を確実に反映させる必要があり、面倒
OA 作業からアカウントや端末を切り離せるため、マルウェア攻撃を受け難い。
故に、特権アカウントは、B2Bアカウントではなくホーム・アカウントを使用すると良い。

↑

B2Bアカウント †

B2B 招待（O365 テナントから B2B 招待したアカウントを利用する）

1 ユーザ = 1 ID となり、作業者から見て使い勝手がよい
多くの場合、人事システムやオンプレ AD と連携しており、退職時に自動失効する
故に、各種、作業者アカウントは、コチラを使用すると良い。

↑

静的 / 動的 †

どちらの場合でも、以下のようにするのが基本

セキュリティ管理者（あるいは権限管理システム）に対して、
静的に Privilege Role Administrator ロールを割り当てる。
その上で、静的または動的（推奨）に、
必要に応じて Global Administrator などの作業特権を与える。

↑

静的権限 †

ユーザ単位（またはグループ単位）に権限を付与する
高権限をむやみに与えないようにする（最大でも 5 人程度）

↑

動的権限 †

Azure AD PIM（特権 ID 管理）を利用して、ユーザに対して動的に権限を付与・はく奪する。

↑

手順 †

↑

２つのアカウントを併用するので...。 †

以下の手順で、複数アカウントを使い回すので...。

↑

InPrivate?ブラウザで作業するなど。 †

加えて、キャッシュが残らないようにできる。

↑

異なるブラウザを使用する（EdgeとChrome）。 †

そもそも別物なので。

↑

WWWブラウザのセッション等を別にする。 †

ユーザ・プロファイルも別になる。

↑

Step 0. O365 用 AAD テナント †

通常は、既存の O365 用 AAD テナントを利用

検証用なら

既定のディレクトリ（使用できる？）か、

以下からダミー・テナントを作成しても良い。
https://account.azure.com/organization
- 全体管理者アカウントを作成する。
- サブスクリプションは作成しない。

Azureポータル > Azure Active Directoryに遷移

以下の 4つのアカウントを作成

ea_ea@o365aad	EA エンタープライズ管理者の個人アカウント
ea_aa@o365aad	EA アカウント管理者の個人アカウント	Azure サブスクリプション払い出し
xxxx@o365aad	一般ユーザ１の個人アカウント
yyyy@o365aad	一般ユーザ２の個人アカウント

↑

Step 1. Azure 用 AAD テナントの作成 †

ダミー・テナントと同じ方法で作成。
- 全体管理者アカウントを
  「初期構築用アカウント」として作成。
- サブスクリプションは作成しない。

Azureポータル > Azure Active Directoryに遷移

P2ライセンスの試用版の有効化

テナント（ディレクトリ）の属性を変更
名称や詳細の記述を変更する。

全体管理者アカウント（初期構築用アカウント）の属性を変更
- 名称や詳細の記述を変更する。
- サブスクリプションのRBACアクセス権限を取得するよう設定する。

↑

Step 2. 管理者アカウントの作成と保護 †

↑

アカウントの作成 †

以下の 4つのアカウントを作成
- 緊急事態用アカウント（Breakglass Account）
  Azure AD 用、Azure 用の 2 つが必要
  - ホーム・アカウントとして作成し、
  - 条件付きアクセスなどの適用対象外にする必要がある
    （代わりに、パスワード長を長めに設定する）
- Azure AD 管理用アカウント
  日常的な Azure AD の管理用に利用するアカウントだが、以下 2 つの検討が必要
  - ホーム or B2Bアカウントどちらを利用するのか？
  - 静的 or 動的どちらの方法で権限割り当てを行うのか？

ID	役割		主な日常作業	個人/共用	ホーム/B2B	AAD 権限	Azure 権限
bg_admin_aad@prodaad	緊急事態用アカウント	Azure AD 用	ナシ	共用	ホーム	Global Administrator（静的）	昇格権限
bg_admin_azure@prodaad	緊急事態用アカウント	Azure 用	ナシ	共用	ホーム	ナシ	Tenant Root Group/owner（静的）
XXXX_prv_admin@prodaad	個人アカウント	特権ロール管理用	AAD, Azure の権限払い出し	個人	ホーム or B2B	Privilege Role Administrator (静的)	なし（暗黙的に User Access Admin を持つ）
YYYY_aad_admin@prodaad	個人アカウント	Azure AD 管理者用	AAD の設定・操作・監査	個人	ホーム or B2B	・（Global Reader（静的））・Global Administrator（PIM）	ナシ

※ 上記の表の通り、Azure 権限を除いて、アカウントを作成する。

作成後の設定

Azure AD 用の緊急事態用アカウント
- P2ライセンスの設定
- パスワード・ポリシーの変更
- 管理者アカウントの保護
- ~~Azure権限付与~~
- 封緘用パスワードの設定

Azure用の緊急事態用アカウント
- P2ライセンスの設定
- パスワード・ポリシーの変更
- 管理者アカウントの保護
- Azure権限付与（ルート管理グループ）
- 封緘用パスワードの設定

特権ロール管理用の個人アカウント
- P2ライセンスの設定
- パスワード・ポリシーの変更
- 管理者アカウントの保護
- Azure権限付与

Azure AD 管理者用の個人アカウント
- P2ライセンスの設定
- パスワード・ポリシーの変更
- 管理者アカウントの保護
- Azure権限付与

↑

パスワード・ポリシーの変更 †

パスワード保護機能（必要に応じて）
- [Azure Active Directory] > [セキュリティ] > [認証方法] > [パスワード保護]を開く
- 必要に応じてロックアウト、禁止パスワードの登録などを行う

パスワード有効期限の無効化

既定は 90 日で失効
緊急事態用アカウントでは必須

PowerShellで設定

Install-Module -Name AzureAD
Connect-AzureAD
Get-AzureADUser -Filter "startswith(userPrincipalName,'緊急事態用アカウントのプレフィックス')" | Set- AzureADUser -PasswordPolicies DisablePasswordExpiration

↑

管理者アカウントの保護 †

セキュリティ・グループの作成と割当

緊急事態用アカウント用グループを作成し、各アカウントに割当

個人アカウント用グループを作成し、各アカウントに割当
権限をPIMでJIT割当するYYYY_aad_admin@prodaadのような
アカウントは変更される可能性が高いので、対象外にする等。

必要に応じて、B2Bを使用している場合など、動的メンバーシップ・ルールを使用する。

条件付きアクセスの有効化

対象
- 対象：個人アカウント用グループ
- 対象外：緊急事態用アカウント用グループ

アクセス制御で、多要素認証（MFA）などを追加する。
その他、ネームド・ロケーション、セキュア・ワークステーション等がある。
レポート専用で作成して、問題なく動作しているか確認してからオンする。

ID保護の有効化

対象
- 対象：個人アカウント用グループ
- 対象外：緊急事態用アカウント用グループ

ユーザ・リスク、サインイン・リスク、MFA登録ポリシーなどを追加する。

↑

Step 3. Azure サブスクリプションの準備 †

↑

サブスクリプションを作成する。 †

Step 1のテナントで、サブスクリプションを作成する。

作成に使用するアカウントは、
EAアカウント管理者の個人アカウント（ea_aa@o365aad）

２つのテナントに１つのサブスクリプションとなる。

次に、既定のテナントとサブスクリプションの関連付けを変更する。
サービス管理者：環境管理のみ関連付けを変更する。

↑

サブスクリプションの環境管理を付け替える。 †

Step 1のテナントからStep 0のテナントの
EA契約アカウント管理者（ea_aa@o365aad）を、
初期構築アカウントを使用して、B2Bで招待する。

EA契約アカウント管理者（ea_aa@o365aad）は、招待を承認する。

メールボックスがない場合、
EA契約アカウント管理者（ea_aa@o365aad）が以下のURL直打ちでも行ける。
http://portal.azure.com/Step 1のテナント.onmicrosoft.com

招待を承認する。
ディレクトリの切替が可能になる。

ディレクトリを切り替える
- Step 0のテナントでは、サブスクリプション、アリとなる。
- Step 1のテナントでは、サブスクリプション、ナシとなる。

ディレクトリの変更を実行する。
- コレを、Step 0のテナントのサブスクリプションで行う。
- フェイルオーバー先にStep 1のテナントを指定する（30分-1時間かかる）。

サービス管理者：環境管理を、
- EA契約アカウント管理者（ea_aa@o365aad）から
- Azure用の緊急事態用アカウント（bg_admin_azure@prodaad）に

変更する。...が「Microsoft Azure Pass」だと出来ないとのこと。

↑

Azure権限付与（ルート管理グループ） †

初期構築アカウントでログインし、
「Azureリソースのアクセス管理」が「はい」に
なっていることを確認し、以下の作業を行う。

自身がユーザ・アクセス管理者（User Access Administrator）権限を
持っているので、自身に更に所有者（Owner）権限を追加する。
- 管理グループ（Tenant Root Group）のアクセス制御（IAM）画面から、
  Azure AD 用の緊急事態用アカウント（bg_admin_aad@prodaad）に以下の権限を割当てる。
  - 所有者（Owner）
  - ユーザ・アクセス管理者（User Access Administrator）

↑

Step 4. ログ・監視・アラートの設定 †

↑

長期ログ保存のための設定 †

サブスクリプションに対し各種のログを長期保存
するため、ストレージの作成と診断ログの設定を行う。

初期作業ユーザに対して、当該 Azure サブスクリプションに対する Owner 権限を付与

以下 3 つのリソースを作成

リソース・グループ

Log Analyticsワーク・スペース
イベント・ログの収集と表示

ストレージ・アカウント
- より長期のログ保管のストレージ
- プライベート・エンドポイントを指定（パブリック・エンドポイントを塞ぐ）

診断設定を有効化する。
- Azure AD > サインイン > データ設定のエクスポート > 診断設定
- サブスクリプション > アクティビティ・ログ > 診断設定

↑

緊急事態用アカウント利用時に警告メールを送付する。 †

緊急事態用アカウントの２つのオブジェクトIDを調査する（xxxx, yyyy）。

Log Analytics ワークスペースに2 種類のアラートルールを追加

緊急事態アカウントのサインイン（重大度 0）

Custom Log Search から以下の検索クエリを指定

SigninLogs
| project UserId
| where UserId == "xxxx" or UserId == "yyyy"

アラート・ロジック：「結果の数が 0 より大きい場合」（既定値）

セキュリティ・チームのML宛にメール送信するアクション・グループを作成・設定

アラート・ルールの詳細でタイトル、本文、重大度 0 など設定。

緊急事態アカウントの設定変更（重大度 1）

Custom Log Search から以下の検索クエリを指定

AuditLogs
| where TargetResources[0].id == "xxxx" or TargetResources[0].id == "yyyy"

アラートロジック：「結果の数が 0 より大きい場合」（既定値）

先ほど作成したアクション・グループを設定

アラート・ルールの詳細でタイトル、本文、重大度 1 など設定。

参考
- 緊急アクセス用管理者アカウントを管理する - Azure AD | Microsoft Docs
  https://docs.microsoft.com/ja-jp/azure/active-directory/users-groups-roles/directory-emergency-access#monitor-sign-in-and-audit-logs

↑

Step 5. テストとクリーンアップ †

↑

封緘パスワードの用意 †

Add-type -AssemblyName System.Web
$len = 30
do { $pwd = [System.Web.Security.Membership]::GeneratePassword($len,0) } until 
( $pwd -match '^[0-9a-zA-Z]+$' ); $pwd

↑