Microsoft Azure Active Directory - マイクロソフト系技術情報 Wiki

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

戻る
- Azure
- Active Directory（機能一覧）

目次 †

目次
概要
Edition
- 無償版 (Free)
- 有償版
  - Basic
  - Premium
  - 参考
ディレクトリ
- オンプレミス・ディレクトリ
- Azure Active Directory ディレクトリ (テナント)
  - 既定のディレクトリ
  - O356用と運用用のディレクトリ（テナント）
機能
参考

↑

概要 †

Azure Active Directory、Azure AD（AzAD）は、
クラウド用ID管理サービスで、
- ユーザー・アカウントの管理
- RBACアクセス制御

といった機能を提供するものだったが、

最近は、IDMaaS機能を提供するようになっている。

そして、更に複雑な機能を提供。
- Azure AD参加（Azure AD Join）
  オンプレのデバイス管理など
- Azure Active Directory B2C
  ソーシャル・ログイン統合
- Azure Active Directory B2B collaboration
  外部ディレクトリとの統合

オンプレのActive Directoryとは別物と言える。
- Azure用の認証基盤で（クラウド用）
- (Microsoft Account, Live ID、MSAに近い（インターネット用）。

↑

Edition †

Azure Active Directory のエディション
https://msdn.microsoft.com/ja-JP/library/azure/dn532272.aspx

↑

オンプレミス・ディレクトリとの同期 †

選択肢

同期ID
- パスワード・ハッシュ同期（オススメ）
- パススルー認証

フェデレーションID
- Hybrid-IdP構成によるフェデレーション連携

ディシジョン

オンプレがActive Directoryの場合、全ての選択肢を使用できるが、

3RDのIdPの場合、Hybrid-IdP構成によるフェデレーション連携のみ利用可能。

なお、同期元は、１つのオンプレ・ディレクトリに限定される。

１つのオンプレ・ディレクトリを
複数のAzure Active Directoryに
同期することは出来ない。

複数のオンプレ・ディレクトリを
１つのAzure Active Directoryに
集約することは出来ない。

※ Azure Subscriptionとの関係

↑

有償版 †

↑

Basic †

無償のAzure ADの機能に加え、

組織に合わせたサイトのカスタマイズ
グループベースのアクセス制御
ユーザーによるパスワードリセット
99.9%のSLA

↑

Premium †

Azure AD Basicに加え、

ユーザーによるグループ管理

レポートとアラート機能

条件付きアクセス、多要素認証（MFA）
- ADFSの多要素認証機能の強化

デバイス認証

↑

参考 †

https://azure.microsoft.com/ja-jp/pricing/details/active-directory/

↑

ディレクトリ †

↑

オンプレミス・ディレクトリ †

オンプレミスのディレクトリと
AzADのディレクトリ (テナント) は
別物だが、同期することが出来る。
参考：オンプレミス・ディレクトリとの同期

↑

Azure Active Directory ディレクトリ (テナント) †

各 Azure Active Directory ディレクトリ (テナント) は独立している。

YYY.XXX.com
ZZZ.XXX.com

↑

既定のディレクトリ †

個人アカウント (Microsoft Account, Live ID、MSA) の既定のディレクトリ
Azure操作のための、ダミーのディレクトリとも言える。
野良テナントなので、非常事態への対応ができなくなる。

↑

O356用と運用用のディレクトリ（テナント） †

O356用と運用用のディレクトリ（テナント）は別で設けることがある。
参考：AzADirectoryのテナント作成方法

↑

機能 †

↑

アクセス制御 †

Azure ADのアカウントによるアクセス制御

Azure ADのアカウントは、
- サブスクリプション管理者ロール
- RBACで利用するロール

でも利用しているが、

Azure AD自体のアクセス制御は、
- Azure AD管理者ロール

これとはまた、別の機能。

↑

ロール †

企業

★ グローバル管理者
Global Administrator
課金管理者
Billing Administrator
会社の管理者
Company Administrator

管理者（監査）
- セキュリティ閲覧者

管理者（オペレータ）

セキュリティ
- セキュリティ管理者
  Security Administrator
- ★ 特権ロール管理者
  Priviledged Role Administrator
- 条件付きアクセス管理者

アカウント
- ★ ユーザー・アカウント管理者
  User Account Administrator
- ★ ゲスト招待元
  Guest Inviter
- デバイス管理者
  Device Administrators

パスワード
- パスワード管理者
  Password Administrator
- ヘルプデスク管理者

サポート要求
- サービスサポート管理者

OAuthなどの同意フレームワークを、
- サポートしていないアプリケーションで使用する、
  - ディレクトリリーダー
    Directory Readers
  - ディレクトリライター
    Directory Writers
- Hybrid-IdP構成でサポートするための、
  - ディレクトリ同期アカウント

SaaSのグローバルアクセス許可
- コンプライアンス管理者
- レポートリーダー
- Intune サービス管理者
  Intune Administrator
- Exchange サービス管理者
  Exchange Administrator
- メールボックス管理者
- Skype for Business/Lync サービス管理者
- Information Protection 管理者

CRM サービス管理者
Power BI サービス管理者
SharePoint サービス管理者

Microsoft 再販パートナーを対象（廃止予定）
- Partner Tier 1 サポート
- Partner Tier 2 サポート

参考
Azure AD ロールの説明とアクセス許可 - Azure Active Directory | Microsoft Docs
https://docs.microsoft.com/ja-jp/azure/active-directory/roles/permissions-reference

↑

管理者 †

Azure Active Directory管理者ロールは、
Azure Active DirectoryとOffice 365の管理に使用される。

種類
- 全体管理者
- 課金管理者

サービス管理者

セキュリティリーダー
セキュリティ管理者

ユーザー・アカウント管理者
パスワード管理者/ヘルプデスク管理者
条件付きアクセス管理者

Information Protection 管理者
レポートリーダー

ディレクトリ毎に別
- あるディレクトリで全体管理者になっていても、
  別のディレクトリの全体管理者になるわけではない。

例えば
YYY.XXX.com と言うディレクトリの全体管理者は、
ZZZ.XXX.com と言うディレクトリの全体管理者ではない。

↑

参考 †

Azureのアクセス制御と権限

Microsoft Docs
- Azure Active Directory による Azure リソースへのアクセス管理
  https://docs.microsoft.com/ja-jp/azure/active-directory/manage-access-to-azure-resources
- Azure Active Directory でのユーザーの追加または削除
  https://docs.microsoft.com/ja-jp/azure/active-directory/add-users-azure-active-directory
- Azure Active Directory でユーザーを管理者ロールに割り当てる
  https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-users-assign-role-azure-portal
- Azure Active Directory の管理者ロールの割り当て
  https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-assign-admin-roles-azure-portal

↑

ユーザー・アカウントの管理 †

シングルドメインのディレクトリサービスとしてクラウドIDを管理

↑

基本的な機能 †

ユーザー・アカウントの
- 追加と削除
- パスワードの変更
- ロール / 権限の管理

↑

ユーザの招待 †

Azure Active Directory B2B collaborationを使用してユーザを招待する。

↑

条件付きアクセス †

↑

マルチテナント †

アプリケーションがSaaSでのSSO認証の機能に対応することで実現する。

マルチテナントアプリケーションパターンを使用してすべての
Azure Active Directory (AD) ユーザーがサインインできるようにする方法
（すべての Azure AD ユーザーがサインイン可能なアプリを構築する方法） | Microsoft Docs
https://docs.microsoft.com/ja-jp/azure/active-directory/develop/active-directory-devhowto-multi-tenant-overview

↑

SaaSでのSSO認証 †

OpenID系の認証は、B2Cでも別の機能としてサポートされている模様。

↑

対象 †

Azure
Office 365
Salesforce
Google Apps
Dropbox
Facebook
, etc.

↑

SAML †

Microsoft Docs
- Azure AD SAML のプロトコルリファレンス
  https://docs.microsoft.com/ja-jp/azure/active-directory/develop/active-directory-saml-protocol-reference

↑

OAuth 2.0 †

Microsoft Docs
- Azure AD での OAuth 2.0 承認コードフローについて
  https://docs.microsoft.com/ja-jp/azure/active-directory/develop/active-directory-protocols-oauth-code
- Azure AD での OAuth2 の暗黙的な許可フローについて
  https://docs.microsoft.com/ja-jp/azure/active-directory/develop/active-directory-dev-understanding-oauth2-implicit-grant

↑

OpenID Connect †

Microsoft Docs
- Azure AD での OpenID Connect 認証コードフローについて
  https://docs.microsoft.com/ja-jp/azure/active-directory/develop/active-directory-protocols-openid-connect-code

↑

↑

Hybrid-IdP構成 †

Azure AD(RP側STS) <---> ADFS(CP側STS)

上記のような、（Azure AD(RP側STS)の）IDフェデレーションは、
- SAMLとWS-FEDだけがサポートする。
- OAuth 2.0、OpenID Connectは、サポートしない。

参考

↑

SAMLと連携したHybrid-IdP構成のサポート †

↑

ADFS（WS-FED）と連携したHybrid-IdP構成のサポート †

↑

B2X †

MS、「Azure Active Directory」に2種類の認証サービスを追加 - ZDNet Japan
https://japan.zdnet.com/article/35070674/
Azure Active Directory での B2B コラボレーションと B2C の比較 | Microsoft Docs
https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-b2b-compare-b2c

↑

B2B (Azure Active Directory B2B collaboration) †

↑

B2C (Azure Active Directory B2C) †

↑

Azure Active Directory Domain Services †

↑

Azure Subscriptionとの関係 †

↑

Azureによる基盤開発法 †

↑

AzADirectoryのテナント作成方法 †

↑

参考 †

Japan Azure Identity Support Blog
https://jpazureid.github.io/blog/

↑

Windows Server Insider 運用－＠IT †

企業のID管理／シングルサインオンの新しい選択肢「IDaaS」の活用
http://www.atmarkit.co.jp/fwin2k/operation/indexpage/index.html#idaasov

第1回　もはや企業のID管理で避けては通れない「IDaaS」とは？
http://www.atmarkit.co.jp/ait/articles/1508/07/news034.html
第2回　IDaaSの実装をAzure ADで理解する（前編）
http://www.atmarkit.co.jp/ait/articles/1509/30/news051.html
第3回　IDaaSの実装をAzure ADで理解する（後編）
http://www.atmarkit.co.jp/ait/articles/1510/05/news013.html
最終回　Windows 10によるAzure Active Directory活用の最大化--2015/12/16
http://www.atmarkit.co.jp/ait/articles/1512/16/news041.html

↑

山市良のえぬなんとかわーるど †

お勧めホワイトペーパー『マイクロソフト ID 保護ソリューション評価ガイド』
http://yamanxworld.blogspot.jp/2016/04/id.html
- Enterprise Mobility Suite および Azure 試用版サインアップ
- Azure AD Premium (MFA、ディレクトリ同期、高度なレポート)
- Azure AD Privileged Identity Management
- Microsoft Identity Manager 2016
- Azure RMS
- Azure AD Identity Protection
- Microsoft Advanced Threat Analytics

↑

ネスケラボ †

第１回 Azure Active Directory で簡単ユーザー認証
https://blog.nextscape.net/archives/Date/2015/06/azuread01
第２回 Azure Active Directoryで簡単認証～OpenIdConnect?編～
https://blog.nextscape.net/archives/Date/2015/06/azuread02
第３回 Azure Active Directoryで簡単認証～多要素認証編(新規ユーザー作成時)～
https://blog.nextscape.net/archives/Date/2015/06/azuread03
第４回 Azure Active Directoryで簡単認証～多要素認証編(既存ユーザー設定時)～
https://blog.nextscape.net/archives/Date/2015/06/azuread04
第５回 Azure Active Directoryで簡単認証～自前でユーザー管理しよう Nativeアプリ前編～
https://blog.nextscape.net/archives/Date/2015/06/azuread05
第６回 Azure Active Directoryで簡単認証～自前でユーザー管理しよう Nativeアプリ後編～
https://blog.nextscape.net/archives/Date/2015/07/azuread06

↑

Always on the clock †

エキスパートが語るIdentity as a Service
http://azuread.net/2011/07/11/%E3%82%A8%E3%82%AD%E3%82%B9%E3%83%91%E3%83%BC%E3%83%88%E3%81%8C%E8%AA%9E%E3%82%8Bidentity-as-a-service/

Azure ADのアプリケーション連携

Azure ADテナント ---> Facebook
http://azuread.net/2013/10/15/windows-azure-active-directory%E3%81%AE%E3%82%A2%E3%83%97%E3%83%AA%E3%82%B1%E3%83%BC%E3%82%B7%E3%83%A7%E3%83%B3%E9%80%A3%E6%90%BA/

Google Apps編
http://azuread.net/2013/10/17/azure-ad%E3%81%AE%E3%82%A2%E3%83%97%E3%83%AA%E3%82%B1%E3%83%BC%E3%82%B7%E3%83%A7%E3%83%B3%E9%80%A3%E6%90%BA-%EF%BD%9E-google-apps%E7%B7%A8/

Office 365にADFSが必要な理由
http://azuread.net/2013/12/16/office-365%E3%81%ABadfs%E3%81%8C%E5%BF%85%E8%A6%81%E3%81%AA%E7%90%86%E7%94%B1/

もうひとつのID連携～ Microsoft Azure Active Directoryとは？
http://azuread.net/2014/09/01/%E3%82%82%E3%81%86%E3%81%B2%E3%81%A8%E3%81%A4%E3%81%AEid%E9%80%A3%E6%90%BA-%EF%BD%9E-microsoft-azure-active-directory%E3%81%A8%E3%81%AF%EF%BC%9F/

Azure Active Directory Premiumまとめ(インフラ技術編)
http://azuread.net/2014/10/15/azure-active-directory-premium%E3%81%BE%E3%81%A8%E3%82%81%E3%82%A4%E3%83%B3%E3%83%95%E3%83%A9%E6%8A%80%E8%A1%93%E7%B7%A8/

Azure AD への参加とデバイス登録
http://azuread.net/2015/08/18/azure-ad-%E3%81%B8%E3%81%AE%E5%8F%82%E5%8A%A0%E3%81%A8%E3%83%87%E3%83%90%E3%82%A4%E3%82%B9%E7%99%BB%E9%8C%B2/

↑

microsoft.com †

↑

azure †

ドキュメント > Azure Active Directory > Azure ID 管理の基礎
https://azure.microsoft.com/ja-jp/documentation/articles/fundamentals-identity/

↑

docs †

Hybrid-IdP構成
- AzureActive? Directory > 方法 > 計画と設計
  - Azure AD のアーキテクチャを理解する
    '> ハイブリッド ID ソリューションをデプロイする
    '> Azure Active Directory ハイブリッド ID の設計上の考慮事項
    https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-hybrid-identity-design-considerations-overview
  - Azure Active Directory での要求マッピング
    ・要件を確認する >ID のライフサイクル戦略
    　> ハイブリッド ID ライフサイクルの導入戦略の決定
    　https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-hybrid-identity-design-considerations-lifecycle-adoption-strategy
    ・ID ライフサイクルを計画する > タスク
    　> ハイブリッド ID ライフサイクルの計画を立てる
    　https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-hybrid-identity-design-considerations-hybrid-id-management-tasks
    ・ID ライフサイクルを計画する > 採用戦略
    　> ハイブリッド ID 導入戦略の定義
    　https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-hybrid-identity-design-considerations-identity-adoption-strategy

Azure > Active Directory接続 > 概要 > Azure AD Connect とは
オンプレミスのディレクトリと Azure Active Directory の統合
https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnect

↑

Tsmatz †

Azure Active Directory とは (事前準備)
https://tsmatz.wordpress.com/2012/09/01/windows-azure-active-directory-aad-basics.aspx

↑

Web SSO 開発 †

WS-FEDやSAMLでSSO。

.NET 編 (WS-Fed)
Azure Active Directory の SSO 開発 (Visual Studio 2013 編)
https://tsmatz.wordpress.com/2013/10/03/azure-active-directory-sso-visual-studio-2013/
PHP 編 (SAML)
Azure Active Directory の SSO 開発 (PHP 編)
https://tsmatz.wordpress.com/2014/01/29/azure-active-directory-sso-php/
Node.js 編 (SAML)
Azure Active Directory の SSO 開発 (Node.js 編)
https://tsmatz.wordpress.com/2014/03/22/azure-active-directory-sso-node-js/

Microsoft Docs
- Azure Active Directory とアプリケーションの統合
  https://docs.microsoft.com/ja-jp/azure/active-directory/develop/active-directory-integrating-applications

↑

SaaS 連携 †

SaaSとSAMLでSSO。

Google Apps (SAML)
Azure AD の Google Apps (SaaS) 連携 (App Access Enhancements)
https://tsmatz.wordpress.com/2014/01/16/azure-ad-google-apps-saas-app-access-enhancements/

~~kintone (SAML)~~
~~Azure AD の kintone 連携 (Application Gallery)~~

↑

OAuth †

Service の開発 (OAuth)
Azure AD を使った API 開発 (access token の verify)
https://tsmatz.wordpress.com/2015/02/17/azure-ad-service-access-token-validation-check/

JavaScript Application の開発
JavaScript による Azure AD 連携 (OAuth Implicit Grant)
https://tsmatz.wordpress.com/2015/03/05/javascript-azure-ad-oauth-implicit-grant/

Backend Server-Side アプリの開発
Azure AD : ログインをしない Backend Server-Side アプリの開発 (Daemon など)
https://tsmatz.wordpress.com/2015/04/09/azure-ad-backend-server-side-deamon-service/

HTTP Flow
HTTP Flowは、resourcesというパラメタを使用したAzureADのOAuth2.0拡張っぽい。

Native Application (iOS, Android, etc) の開発
Azure AD を使った API 連携の Client 開発 (OAuth 2.0 紹介)
https://tsmatz.wordpress.com/2013/07/11/native-application-mobile-app-azure-active-directory-login-authentication/
Login UI が表示できない場合のフロー (OAuth)
Login UI が出せない Client の OAuth フロー (Azure AD)
https://tsmatz.wordpress.com/2016/03/12/azure-ad-device-profile-oauth-flow/

↑

OpenID †

OpenID Connect サポート (OpenID)
Azure AD の OpenID Connect サポート
https://tsmatz.wordpress.com/2014/04/17/azure-ad-openid-connect/

OAuth : App development for Azure AD v2.0 endpoint
- Walkthrough for OAuth flow in Azure Active Directory
  https://tsmatz.wordpress.com/2016/02/24/v2-endpoint-oauth2-client-using-azure-active-directory-and-microsoft-account/
- For JavaScript Application
  https://tsmatz.wordpress.com/2016/03/02/azure-ad-msa-v2-endpoint-javascript-app-using-oauth-implicit-grant/
- How to use Application Permission with v2 endpoint and Microsoft Graph
  https://tsmatz.wordpress.com/2016/10/07/application-permission-with-v2-endpoint-and-microsoft-graph/
- How to Verify Token
  https://tsmatz.wordpress.com/2016/03/08/azure-ad-msa-v2-endpoint-validate-id_token/
- Build your own Web API protected by Azure AD v2.0 endpoint with custom scopes
  https://tsmatz.wordpress.com/2017/06/22/web-api-and-custom-scope-with-azure-ad-v2-endpoint/

上記のコンテンツの内容を確認すると、

Microsoft の組織アカウント (Azure Active Directory, Azure AD) と

個人アカウント (Microsoft Account, Live ID、MSA) の

双方に対応した v2.0 endpoint (App Model v2) と連携し、
OAuth 2.0（ではなく、推奨されるOpenID Connect）認証を行い、
認証結果を他の API (Service) で検証し認証させている。

↑

Hybrid-IdP †

Active Directory (企業内 Windows 環境) との Federation と同期
Azure AD と Active Directory (AD FS) の Federation の手順
https://tsmatz.wordpress.com/2015/03/03/azure-ad-active-directory-federation/

↑

Graph API †

↑

Web Account Manager API †

↑

Common Consent Framework †

Common Consent Framework を使うと、
- 管理者があらかじめ AzureポータルやPowerShellを使ってアプリ登録していたものを、
- アプリ使用時に Consent UI（スコープの認可画面）を表示して権限設定を委譲 (Delegate) できる。

Azure Active Directory の Common Consent Framework
- (Client 側)
  https://tsmatz.wordpress.com/2014/04/01/azure-active-directory-common-consent-framework-client/
- (Service 側)
  https://tsmatz.wordpress.com/2014/05/27/azure-active-directory-common-consent-framework-service/

↑

Multi-Factor Authentication †

Multi-Factor Authentication
Azure Active Directory の Multi-Factor Authentication (MFA) の利用
https://tsmatz.wordpress.com/2013/03/05/azure-active-directory-multi-factor-authentication-mfa/

Azureの認証におけるその他サービス～ Azureモバイルサービス、多要素認証 - Build Insider
http://www.buildinsider.net/web/msidentitydev/04
- Azureモバイルサービス：認証機能とプッシュ通知をしよう！［Objective-C］ - Build Insider
  http://www.buildinsider.net/web/azuremobilesvc/02

↑

Password-based Single Sign-On †

上記の、Federation-based single sign-onに対する、
UI automationぽい方法。あまりオススメでない。

フェデレーション未対応の Web アプリとのWeb SSO (Password-based Single Sign-On)
Azure AD でフェデレーション未対応の Web アプリと SSO を構成する (Password-based Single Sign-On)
https://tsmatz.wordpress.com/2014/12/23/azure-ad-web-sso-pa/

↑

nakama †

FgCF > ゼロトラスト型マルチクラウド IT 環境 > Azure による仮想データセンタ構築手法 > 共通技術 > 認証基盤の構成方法

※ 体系はコチラ、pwdはコチラ

↑

Azure AD 基礎 †

↑

Azure AD 詳細 †

https://nakama.blob.core.windows.net/mskk/2019_04_18_AzureAuthorizationDesignAndManagement_v0.67.zip

↑

Azure 管理用 Azure AD テナントの作成方法 †

YouTube?
https://www.youtube.com/watch?v=wCqnGJHQueM
video、ppt
https://nakama.blob.core.windows.net/mskk/2020_10_10_AzureAADforAzure_v0.01.zip

Tags: :インフラストラクチャ, :クラウド, :Azure, :Active Directory, :認証基盤, :クレームベース認証

最新の70件

目次 †

概要 †

Edition †

無償版 (Free) †

オンプレミス・ディレクトリとの同期 †

有償版 †

Basic †

Premium †

参考 †

ディレクトリ †

オンプレミス・ディレクトリ †

Azure Active Directory ディレクトリ (テナント) †

既定のディレクトリ †

O356用と運用用のディレクトリ（テナント） †

機能 †

アクセス制御 †

ロール †

管理者 †

参考 †

ユーザー・アカウントの管理 †

基本的な機能 †

ユーザの招待 †

マルチテナント †

SaaSでのSSO認証 †

対象 †

OAuth 2.0 †

参考 †

Hybrid-IdP構成 †

SAMLと連携したHybrid-IdP構成のサポート †

ADFS（WS-FED）と連携したHybrid-IdP構成のサポート †

B2X †

参考 †

Windows Server Insider 運用 － ＠IT †

山市良のえぬなんとかわーるど †

ネスケラボ †

Always on the clock †

microsoft.com †

azure †

docs †

Tsmatz †

Web SSO 開発 †

SaaS 連携 †

OAuth †

OpenID †

Hybrid-IdP †

Common Consent Framework †

Multi-Factor Authentication †

Password-based Single Sign-On †

nakama †

Azure AD 基礎 †

Azure AD 詳細 †

Azure 管理用 Azure AD テナントの作成方法 †

Windows Server Insider 運用－＠IT †