- 追加された行はこの色です。
- 削除された行はこの色です。
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。
-戻る
--[[Azure]]
--[[Active Directory(機能一覧)]]
* 目次 [#n93ca295]
#contents
*概要 [#y1dcdf5a]
-Azure ADは、クラウド用ID管理サービスで、
--ID管理
--IDフェデレーション
--[[ID管理>#ebe9655c]]
--[[RBACアクセス制御>Role Based Access Control (RBAC)]]
>といった機能を提供するものだったが、
-最近は、IDMaaSとしてオンプレのデバイス管理なども行うようになっている。
--[[Windows Hello for Business]]
-最近は、IDMaaS機能を提供するようになっている。
--[[SaaSとのSSO認証>#he1b97f0]]
--[[条件付きアクセス>#q14da5ee]]
--オンプレのデバイス管理など
---[[Azure AD参加(Azure AD Join)>Windows Hello for Business#xcfec57b]]
*Edition [#uad34fb4]
-Azure Active Directory のエディション~
https://msdn.microsoft.com/ja-JP/library/azure/dn532272.aspx
**無償版 (Free) [#w8428399]
-[[ユーザー アカウントの管理>#f134229f]]
-[[ユーザー アカウントの管理>#ebe9655c]]
-オンプレミス ディレクトリとの同期化
--パスワード同期
--[[Hybrid-IdP構成を組む>#k86844c3]]
-[[SaaSとのSSO認証>#he1b97f0]]
**有償版 [#j7e8b774]
***Basic [#r5e9f89f]
無償のAzure ADの機能に加え、
-組織に合わせたサイトのカスタマイズ
-グループベースのアクセス制御
-ユーザーによるパスワードリセット
-99.9%のSLA
***Premium [#s386b536]
Azure AD Basicに加え、
-ユーザーによるグループ管理
-レポートとアラート機能
-多要素認証
--[[ADFS>フェデレーション サービス (AD FS)]]の多要素認証機能の機能強化
-[[多要素認証>#q14da5ee]]
--[[ADFSの多要素認証機能>フェデレーション サービス (AD FS)#b01980b9]]の強化
-デバイス認証
*機能 [#d76b405b]
**アクセス制御 [#db1663dd]
Azure ADのアカウントは、Azure Subscriptionの[[RBACアクセス制御>Role Based Access Control (RBAC)]]でも利用しているが、~
Azure ADのアカウントを使用したAzure AD自体のアクセス制御は、これとはまた、別の機能。
***概要 [#tce6a261]
-[[Azure SubscriptionとAzure ADの関連付け(≒信頼関係)>Azure Subscriptionの管理手順@エンプラ#q9fbb2b1]]
-[[Role Based Access Control (RBAC)]]
-Privileged Identity Management (PIM)
-[[Azure 管理の条件付きアクセス>#q14da5ee]]
-管理サービス ID (MSI)
***ロール [#c7f582a9]
-企業
--グローバル管理者
--会社の管理者
--課金管理者
-管理者(監査)
--セキュリティ閲覧者
-管理者(オペレータ)
--セキュリティ
---セキュリティ管理者
---特権ロール管理者
---[[条件付きアクセス管理者>#q14da5ee]]
--アカウント
---[[ユーザー アカウント管理者>#ebe9655c]]
---デバイス管理者
---[[ゲスト招待元>#u0768137]]~
--パスワード
---[[パスワード管理者>#ebe9655c]]
---[[ヘルプデスク管理者>#ebe9655c]]
--サポート要求
---サービス サポート管理者
-[[OAuthなどの同意フレームワーク>#he1b97f0]]を、
--サポートしていないアプリケーションで使用する、
---ディレクトリ リーダー
---ディレクトリ ライター
--[[Hybrid-IdP構成>#k86844c3]]でサポートするための、
---ディレクトリ同期アカウント
-SaaSのグローバル アクセス許可
--コンプライアンス管理者
--レポート リーダー
--Intune サービス管理者
--Exchange サービス管理者
--メールボックス管理者
--Skype for Business/Lync サービス管理者
--Information Protection 管理者
--CRM サービス管理者
--Power BI サービス管理者
--SharePoint サービス管理者
-Microsoft 再販パートナーを対象(廃止予定)
--Partner Tier 1 サポート
--Partner Tier 2 サポート
***権限 [#y1da803f]
-全体管理者
-課金管理者
-サービス管理者
-セキュリティ リーダー
-セキュリティ管理者
-[[ユーザー アカウント管理者>#ebe9655c]]
-[[パスワード管理者/ヘルプデスク管理者>#ebe9655c]]
-[[条件付きアクセス管理者>#q14da5ee]]
-Information Protection 管理者
-レポート リーダー
***参考 [#t4a64282]
-Microsoft Docs
--Azure Active Directory による Azure リソースへのアクセス管理~
https://docs.microsoft.com/ja-jp/azure/active-directory/manage-access-to-azure-resources
--Azure Active Directory でのユーザーの追加または削除~
https://docs.microsoft.com/ja-jp/azure/active-directory/add-users-azure-active-directory
--Azure Active Directory でユーザーを管理者ロールに割り当てる~
https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-users-assign-role-azure-portal
--Azure Active Directory の管理者ロールの割り当て~
https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-assign-admin-roles-azure-portal
**ユーザー アカウントの管理 [#f134229f]
シングルドメインのディレクトリサービスとしてクラウドIDを管理
***マルチテナント [#tedae145]
-マルチテナント アプリケーション パターンを使用してすべての Azure Active Directory (AD) ユーザーがサインインできるようにする方法~
すべての Azure AD ユーザーがサインイン可能なアプリを構築する方法 | Microsoft Docs~
https://docs.microsoft.com/ja-jp/azure/active-directory/develop/active-directory-devhowto-multi-tenant-overview
***基本的な機能 [#ebe9655c]
-ユーザー アカウントの
--追加と削除
--パスワードの変更
--[[ロール>#c7f582a9]] / [[権限>#y1da803f]]の管理
***ゲスト ユーザーの招待 [#u0768137]
[[Azure Active Directory B2B collaboration>#c7296189]]を使用してゲスト ユーザーを招待する。
***条件付きアクセス [#q14da5ee]
-多要素認証
-Intune 登録デバイスに制限。
-ユーザの場所と IP 範囲で制限。
-参考 : [[Graph API]]
-参考
--Microsoft Docs
---Azure Active Directory の条件付きアクセス~
https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-conditional-access-azure-portal
---Azure Active Directory の条件付きアクセスについての開発者ガイド~
https://docs.microsoft.com/ja-jp/azure/active-directory/develop/active-directory-conditional-access-developer#scenario-app-accessing-microsoft-graph
***マルチテナント [#tedae145]
[[SaaSとのSSO認証>#he1b97f0]]の機能で実現している。
-マルチテナント アプリケーション パターンを使用してすべての~
Azure Active Directory (AD) ユーザーがサインインできるようにする方法~
(すべての Azure AD ユーザーがサインイン可能なアプリを構築する方法) | Microsoft Docs~
https://docs.microsoft.com/ja-jp/azure/active-directory/develop/active-directory-devhowto-multi-tenant-overview
**SaaSとのSSO認証 [#he1b97f0]
***対象 [#o368f25f]
-Azure
-Office 365
-Salesforce
-Google Apps
-Dropbox
-Facebook
***[[SAML]] [#cefa01ed]
-Microsoft Docs
--Azure AD SAML のプロトコル リファレンス~
https://docs.microsoft.com/ja-jp/azure/active-directory/develop/active-directory-saml-protocol-reference
***[[OAuth]] 2.0 [#m24c66a2]
-Microsoft Docs
--Azure AD での OAuth 2.0 承認コード フローについて~
https://docs.microsoft.com/ja-jp/azure/active-directory/develop/active-directory-protocols-oauth-code
--Azure AD での OAuth2 の暗黙的な許可フローについて~
https://docs.microsoft.com/ja-jp/azure/active-directory/develop/active-directory-dev-understanding-oauth2-implicit-grant
***[[OpenID Connect]] [#ie265567]
-Microsoft Docs
--Azure AD での OpenID Connect 認証コード フローについて~
https://docs.microsoft.com/ja-jp/azure/active-directory/develop/active-directory-protocols-openid-connect-code
***参考 [#m2a3fcc1]
-[[Web SSO 開発>#v27b2645]]
-[[SaaS 連携>#qb08ac4e]]
-[[OpenID>#edb8d156]]
-[[OAuth>#a58c67e4]]
-[[Hybrid-IdP>#y4bcb133]]
**Hybrid-IdP構成 [#k86844c3]
-[[Azure AD(RP側STS) <---> ADFS(CP側STS)>WS-Federation#r33d7b42]]
-上記のような、(Azure AD(RP側STS)の)IDフェデレーションは、
--[[SAML]]と[[WS-FED>WS-Federation]]だけがサポートする。
--[[OAuth]] 2.0、[[OpenID Connect]]は、サポートしない。
***[[SAML]]と連携したHybrid-IdP構成のサポート [#ob5098c9]
***[[ADFS>フェデレーション サービス (AD FS)]]([[WS-FED>WS-Federation]])と連携したHybrid-IdP構成のサポート [#c629589e]
**B2X [#l143cdf9]
-MS、「Azure Active Directory」に2種類の認証サービスを追加 - ZDNet Japan~
https://japan.zdnet.com/article/35070674/
***[[B2B>Azure Active Directory B2B collaboration]] [#c7296189]
***[[B2B (Azure Active Directory B2B collaboration)>Azure Active Directory B2B collaboration]] [#c7296189]
***[[B2C>Azure Active Directory B2C]] [#n13f7bac]
***[[B2C (Azure Active Directory B2C)>Azure Active Directory B2C]] [#n13f7bac]
*参考 [#e9da413c]
-ドキュメント > Azure Active Directory > Azure ID 管理の基礎~
https://azure.microsoft.com/ja-jp/documentation/articles/fundamentals-identity/
**企業のID管理/シングルサインオンの新しい選択肢「IDaaS」の活用 [#m30941aa]
-Windows Server Insider 運用 - @IT~
企業のID管理/シングルサインオンの新しい選択肢「IDaaS」の活用~
http://www.atmarkit.co.jp/fwin2k/operation/indexpage/index.html#idaasov
--第1回 もはや企業のID管理で避けては通れない「IDaaS」とは?~
http://www.atmarkit.co.jp/ait/articles/1508/07/news034.html
--第2回 IDaaSの実装をAzure ADで理解する(前編)~
http://www.atmarkit.co.jp/ait/articles/1509/30/news051.html
--第3回 IDaaSの実装をAzure ADで理解する(後編)~
http://www.atmarkit.co.jp/ait/articles/1510/05/news013.html
--最終回 Windows 10によるAzure Active Directory活用の最大化--2015/12/16~
http://www.atmarkit.co.jp/ait/articles/1512/16/news041.html
**山市良のえぬなんとかわーるど [#q46d0613]
-お勧めホワイト ペーパー『マイクロソフト ID 保護ソリューション評価ガイド』~
http://yamanxworld.blogspot.jp/2016/04/id.html
--Enterprise Mobility Suite および Azure 試用版サインアップ
--Azure AD Premium (MFA、ディレクトリ同期、高度なレポート)
--Azure AD Privileged Identity Management
--Microsoft Identity Manager 2016
--Azure RMS
--Azure AD Identity Protection
--Microsoft Advanced Threat Analytics
**ネスケラボ [#e726314b]
-第1回 Azure Active Directory で簡単ユーザー認証~
https://blog.nextscape.net/archives/Date/2015/06/azuread01
-第2回 Azure Active Directoryで簡単認証~OpenIdConnect編~~
https://blog.nextscape.net/archives/Date/2015/06/azuread02
-第3回 Azure Active Directoryで簡単認証~多要素認証編(新規ユーザー作成時)~~
https://blog.nextscape.net/archives/Date/2015/06/azuread03
-第4回 Azure Active Directoryで簡単認証~多要素認証編(既存ユーザー設定時)~~
https://blog.nextscape.net/archives/Date/2015/06/azuread04
-第5回 Azure Active Directoryで簡単認証~自前でユーザー管理しよう Nativeアプリ 前編~~
https://blog.nextscape.net/archives/Date/2015/06/azuread05
-第6回 Azure Active Directoryで簡単認証~自前でユーザー管理しよう Nativeアプリ 後編~~
https://blog.nextscape.net/archives/Date/2015/07/azuread06
**Always on the clock [#afc0b06c]
-エキスパートが語るIdentity as a Service~
http://azuread.net/2011/07/11/%E3%82%A8%E3%82%AD%E3%82%B9%E3%83%91%E3%83%BC%E3%83%88%E3%81%8C%E8%AA%9E%E3%82%8Bidentity-as-a-service/
-Azure ADのアプリケーション連携
--Azure ADテナント ---> Facebook~
http://azuread.net/2013/10/15/windows-azure-active-directory%E3%81%AE%E3%82%A2%E3%83%97%E3%83%AA%E3%82%B1%E3%83%BC%E3%82%B7%E3%83%A7%E3%83%B3%E9%80%A3%E6%90%BA/
--Google Apps編~
http://azuread.net/2013/10/17/azure-ad%E3%81%AE%E3%82%A2%E3%83%97%E3%83%AA%E3%82%B1%E3%83%BC%E3%82%B7%E3%83%A7%E3%83%B3%E9%80%A3%E6%90%BA-%EF%BD%9E-google-apps%E7%B7%A8/
-Office 365にADFSが必要な理由~
http://azuread.net/2013/12/16/office-365%E3%81%ABadfs%E3%81%8C%E5%BF%85%E8%A6%81%E3%81%AA%E7%90%86%E7%94%B1/
-もうひとつのID連携 ~ Microsoft Azure Active Directoryとは?~
http://azuread.net/2014/09/01/%E3%82%82%E3%81%86%E3%81%B2%E3%81%A8%E3%81%A4%E3%81%AEid%E9%80%A3%E6%90%BA-%EF%BD%9E-microsoft-azure-active-directory%E3%81%A8%E3%81%AF%EF%BC%9F/
-Azure Active Directory Premiumまとめ(インフラ技術編)~
http://azuread.net/2014/10/15/azure-active-directory-premium%E3%81%BE%E3%81%A8%E3%82%81%E3%82%A4%E3%83%B3%E3%83%95%E3%83%A9%E6%8A%80%E8%A1%93%E7%B7%A8/
-Azure AD への参加とデバイス登録~
http://azuread.net/2015/08/18/azure-ad-%E3%81%B8%E3%81%AE%E5%8F%82%E5%8A%A0%E3%81%A8%E3%83%87%E3%83%90%E3%82%A4%E3%82%B9%E7%99%BB%E9%8C%B2/
**docs.microsoft.com [#j7e5bfb0]
***ハイブリッド ID [#pbda68dc]
-AzureActive Directory > 方法 > 計画と設計
--Azure AD のアーキテクチャを理解する > ハイブリッド ID ソリューションをデプロイする~
Azure Active Directory ハイブリッド ID の設計上の考慮事項~
https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-hybrid-identity-design-considerations-overview
--Azure Active Directory での要求マッピング
---要件を確認する >ID のライフサイクル戦略~
ハイブリッド ID ライフサイクルの導入戦略の決定~
https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-hybrid-identity-design-considerations-lifecycle-adoption-strategy
---ID ライフサイクルを計画する > タスク~
ハイブリッド ID ライフサイクルの計画を立てる~
https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-hybrid-identity-design-considerations-hybrid-id-management-tasks
---ID ライフサイクルを計画する > 採用戦略~
ハイブリッド ID 導入戦略の定義~
https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-hybrid-identity-design-considerations-identity-adoption-strategy
-Azure > Active Directory接続 > 概要 > Azure AD Connect とは~
オンプレミスのディレクトリと Azure Active Directory の統合~
https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnect
**Tsmatz [#p86310cf]
-Azure Active Directory とは (事前準備)~
http://blogs.msdn.com/b/tsmatsuz/archive/2012/09/01/windows-azure-active-directory-aad-basics.aspx
***Web SSO 開発 [#v27b2645]
[[WS-FED>WS-Federation]]や[[SAML]]でSSO。
-.NET 編 (WS-Fed)~
Azure Active Directory の SSO 開発 (Visual Studio 2013 編)~
http://blogs.msdn.com/b/tsmatsuz/archive/2013/10/03/develop-using-windows-azure-active-directory-and-visual-studio-2013.aspx
-PHP 編 (SAML)~
Azure Active Directory の SSO 開発 (PHP 編)~
http://blogs.msdn.com/b/tsmatsuz/archive/2014/01/30/azure-ad-and-php-application-sso-federation-using-simplesamlphp.aspx
-Node.js 編 (SAML)~
Azure Active Directory の SSO 開発 (Node.js 編)~
http://blogs.msdn.com/b/tsmatsuz/archive/2014/03/23/azure-ad-and-node-js-sso-federation-using-passport.aspx
-Microsoft Docs
--Azure Active Directory とアプリケーションの統合~
https://docs.microsoft.com/ja-jp/azure/active-directory/develop/active-directory-integrating-applications
***SaaS 連携 [#qb08ac4e]
SaaSと[[SAML]]でSSO。
-Google Apps (SAML)~
Azure AD の Google Apps (SaaS) 連携 (App Access Enhancements)~
http://blogs.msdn.com/b/tsmatsuz/archive/2014/01/17/windows-azure-active-directory-google-apps-federation-using-application-access-enhancements.aspx
-kintone (SAML)~
Azure AD の kintone 連携 (Application Gallery)~
http://blogs.msdn.com/b/tsmatsuz/archive/2014/11/14/kintone-and-azure-active-directory-saml-sso.aspx
***OAuth [#a58c67e4]
-Service の開発 (OAuth)~
Azure AD を使った API 開発 (access token の verify)~
http://blogs.msdn.com/b/tsmatsuz/archive/2015/02/18/azure-ad-service-web-api-programming-with-access-token-validation-check.aspx
-JavaScript Application の開発~
JavaScript による Azure AD 連携 (OAuth Implicit Grant)~
http://blogs.msdn.com/b/tsmatsuz/archive/2015/03/06/azure-ad-oauth-implicit-grant-flow-using-javascript.aspx
-Backend Server-Side アプリの開発~
Azure AD : ログインをしない Backend Server-Side アプリの開発 (Daemon など)~
http://blogs.msdn.com/b/tsmatsuz/archive/2015/04/10/azure-ad-create-server-side-daemon-app-with-application-role-using-client-secret-or-certificate.aspx
-HTTP Flow~
HTTP Flowは、resourcesというパラメタを使用したAzureADのOAuth2.0拡張っぽい。
--Native Application (iOS, Android, etc) の開発~
Azure AD を使った API 連携の Client 開発 (OAuth 2.0 紹介)~
http://blogs.msdn.com/b/tsmatsuz/archive/2013/07/11/native-application-login-to-windows-azure-active-directory-using-aal.aspx
--Login UI が表示できない場合のフロー (OAuth)~
Login UI が出せない Client の OAuth フロー (Azure AD)~
https://blogs.msdn.microsoft.com/tsmatsuz/2016/03/12/azure-ad-device-profile-oauth-flow/
***OpenID [#edb8d156]
-OpenID Connect サポート (OpenID)~
Azure AD の OpenID Connect サポート~
http://blogs.msdn.com/b/tsmatsuz/archive/2014/04/18/microsoft-azure-active-directory-openid-connect.aspx
-Azure AD v2.0 endpoint を使った Azure AD & MSA 対応アプリ開発
--v2.0 endpoint の OAuth を使った Client 開発 (Azure AD と MSA への対応)~
https://blogs.msdn.microsoft.com/tsmatsuz/2016/02/24/v2-endpoint-oauth2-client-using-azure-active-directory-and-microsoft-account/
--v2.0 endpoint の JavaScript Client 開発 (OAuth Implicit Grant Flow)~
https://blogs.msdn.microsoft.com/tsmatsuz/2016/03/02/azure-ad-msa-v2-endpoint-javascript-app-using-oauth-implicit-grant/
--How to use Application Permission with v2 endpoint and Microsoft Graph~
https://blogs.msdn.microsoft.com/tsmatsuz/2016/10/07/application-permission-with-v2-endpoint-and-microsoft-graph/
--v2.0 endpoint の OAuth Token の検証 (Verify)~
https://blogs.msdn.microsoft.com/tsmatsuz/2016/03/08/azure-ad-msa-v2-endpoint-validate-id_token/
--Build your own Web API protected by Azure AD v2.0 endpoint with custom scopes~
https://blogs.msdn.microsoft.com/tsmatsuz/2017/06/22/web-api-and-custom-scope-with-azure-ad-v2-endpoint/
>上記のコンテンツの内容を確認すると、
--Microsoft の組織アカウント (Azure Active Directory, Azure AD) と
--個人アカウント (Microsoft Account, MSA) の
>双方に対応した v2.0 endpoint (App Model v2) と連携し、~
[[OAuth]] 2.0(ではなく、推奨されるOpenID Connect)認証を行い、~
認証結果を他の API (Service) で検証し認証させている。
***Hybrid-IdP [#y4bcb133]
-Active Directory (企業内 Windows 環境) との Federation と同期~
Azure AD と Active Directory (AD FS) の Federation の手順~
http://blogs.msdn.com/b/tsmatsuz/archive/2015/03/04/federation-and-sync-with-azure-active-directory-and-server-active-directory.aspx
***[[Graph API]] [#sc0270fb]
***[[Web Account Manager API]] [#y949f4c9]
***Common Consent Framework [#l811026f]
-Common Consent Framework を使うと、
--管理者があらかじめ Microsoft Azure Management Portal や Windows PowerShell を使って Application登録していたものを、~
--Application 使用時に Consent UI(スコープの認可画面) を表示して権限設定を委譲 (Delegate) できる。
-Azure Active Directory の Common Consent Framework
--(Client 側)~
http://blogs.msdn.com/b/tsmatsuz/archive/2014/04/02/microsoft-azure-active-directory-user-consent-administrator-consent-for-multi-tenant-application.aspx
--(Service 側)~
http://blogs.msdn.com/b/tsmatsuz/archive/2014/05/27/microsoft-azure-active-directory-consent-ui-permissions-asp-net-web-api-programming-and-impersonation.aspx
***Multi-Factor Authentication [#x1aeef2b]
-Multi-Factor Authentication~
Azure Active Directory の Multi-Factor Authentication (MFA) の利用~
http://blogs.msdn.com/b/tsmatsuz/archive/2013/03/06/windows-azure-active-directory-multifactor-authentication.aspx
--Azureの認証におけるその他サービス ~ Azureモバイルサービス、多要素認証 - Build Insider~
http://www.buildinsider.net/web/msidentitydev/04
---Azureモバイルサービス: 認証機能とプッシュ通知をしよう![Objective-C] - Build Insider~
http://www.buildinsider.net/web/azuremobilesvc/02
***Password-based Single Sign-On [#r571067e]
上記の、Federation-based single sign-onに対する、~
UI automationぽい方法。あまりオススメでない。
-フェデレーション未対応の Web アプリとのWeb SSO (Password-based Single Sign-On)~
Azure AD で フェデレーション未対応の Web アプリと SSO を構成する (Password-based Single Sign-On)~
http://blogs.msdn.com/b/tsmatsuz/archive/2014/12/24/azure-ad-password-based-single-sign-on-sso.aspx
----
Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:Azure]], [[:Active Directory]], [[:認証基盤]], [[:クレームベース認証]]