Azure Active Directoryのテナント作成方法
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
]
開始行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-戻る([[Azure]]、[[Azure Active Directory]])
--[[Azureの評価環境を入手する]]
--[[AzureのPoC環境を契約する]]
--[[AzureのPoC環境を構築する]]
--[[Azure上に素早く環境を構築する]]
--AzADのテナント作成方法
--[[Azure Subscriptionの管理@エンプラ]]~
'> [[Azure Subscriptionの管理手順@エンプラ]]
---[[Azureによる基盤開発法]]
---[[Azureの高可用性設計]]
---[[Azureの監視と管理]]
---[[Azureのアクセス制御と権限]]
* 目次 [#x83b72a2]
#contents
*概要 [#hfab901d]
ハイセキュアな [[Azure]]運用のための[[Azure Active Direct...
-原則論としては 1 組織 = 1 テナントで、その配下ですべての...
-ただし、[[Azure]]の運用用のテナントを分けたい場合もある
--オンプレ AD と同期している [[Azure Active Directory]] ...
--業務システム運用に関わるリソースなどOA用アカウントと明...
-と言う事で、[[デプロイ・ガイド(チェックリスト)>#i7d094...
--管理を想定したアカウント構成(OA用アカウントとの切り離...
--オンプレAD とのアカウント同期の削除
--アプリケーション管理の削除
--, etc.
*詳細 [#u75a302e]
**サブスクリプション [#keeb7cb5]
***基本的にEAから切り出す。 [#rf39e10d]
-O365 AzAD の EAポータルからサブスクリプションを作成する。
--https://ea.azure.com
--EA契約管理者からアサインされたEA契約アカウント管理者が...
-ディレクトリ・サブスクリプションには、課金と環境管理の紐...
--初期状態では、O365 AzADと作成したサブスクリプションが関...
--[[アカウント管理者:課金、サービス管理者:環境管理>Azur...
-[[サブスクリプションの付け替え(信頼テナントの変更)作業...
***検証では、ダミー・テナントを使用。 [#p62eb228]
-特定の期間(通常30日から90日)に限り、Azureのサービスを...
-クレジットの金額や期間は、提供されるパッケージによって異...
-主に企業や教育機関向けに提供されることが多く、大規模なプ...
-EA契約アカウント管理者のアカウントでログイン~
https://www.microsoftazurepass.com/
--ディレクトリ・サブスクリプションを作成(コード入力、質...
--ディレクトリ・サブスクリプションが出来たら名称の変更を...
--ディレクトリ・サブスクリプションについては「[[基本的にE...
-[[サブスクリプションの付け替え(信頼テナントの変更)作業...
**ホーム / B2B [#sdbcaead]
いずれの方式を利用する場合でも、~
複数の作業者でアカウントを共有することは避ける。
***ホーム・アカウント [#neb415f1]
個別作成([[Azure Active Directory]]にアカウントを別途作...
-一方、退職や人事異動を確実に反映させる必要があり、面倒
-OA 作業からアカウントや端末を切り離せるため、マルウェア...
-故に、特権アカウントは、[[B2Bアカウント>#x4346bdd]]では...
***B2Bアカウント [#x4346bdd]
B2B 招待(O365 テナントから B2B 招待したアカウントを利用...
-1 ユーザ = 1 ID となり、作業者から見て使い勝手がよい
-多くの場合、人事システムやオンプレ AD と連携しており、退...
-故に、各種、作業者アカウントは、コチラを使用すると良い。
**静的 / 動的 [#m72c07a3]
どちらの場合でも、以下のようにするのが基本~
-セキュリティ管理者(あるいは権限管理システム)に対して、~
静的に Privilege Role Administrator ロールを割り当てる。
-その上で、[[静的>#rc9788e7]]または[[動的(推奨)>#k83896...
必要に応じて Global Administrator などの作業特権を与える。
***静的権限 [#rc9788e7]
-ユーザ単位(またはグループ単位)に権限を付与する
-高権限をむやみに与えないようにする(最大でも 5 人程度)
***動的権限 [#k83896d4]
[[Azure AD PIM>Azure AD Privileged Identity Management (P...
*手順 [#gf653552]
**初期構築用アカウント [#vb8829e5]
[[初期構築時と、構築後の構成変更とを分けて考える。>Azure ...
**2つのアカウントを併用するので...。 [#a18fea0a]
以下の手順で、[[初期構築用アカウント>#vb8829e5]]に加え複...
***InPrivateブラウザで作業するなど。 [#p8ed6c13]
加えて、キャッシュが残らないようにできる。
***異なるブラウザを使用する(EdgeとChrome)。 [#nc91238f]
そもそも別物なので。
***[[WWWブラウザのセッション等を別にする。>https://dotnet...
ユーザ・プロファイルも別になる。
**Step 0. O365 用 AzAD テナント [#p67c88ae]
-通常は、既存の O365 用 AzAD テナントを利用
-検証用なら
--[[既定のディレクトリ>Microsoft Azure Active Directory#a...
--以下からダミー・テナントを作成しても良い。~
https://account.azure.com/organization
---[[全体管理者>Microsoft Azure Active Directory#y1da803f...
---サブスクリプションは作成しない。
---Azureポータル > [[Azure Active Directory]]に遷移
---以下の 4つのアカウントを作成
|ea_ea@o365aad|EA エンタープライズ管理者の個人アカウント||
|ea_aa@o365aad|EA アカウント管理者の個人アカウント|Azure ...
|xxxx@o365aad|一般ユーザ1の個人アカウント||
|yyyy@o365aad|一般ユーザ2の個人アカウント||
**Step 1. Azure 用 AzAD テナントの作成 [#afd077de]
-[[ダミー・テナント>#p67c88ae]]と同じ方法で作成。
--全体管理者アカウントを~
「[[初期構築用アカウント>#vb8829e5]]」として作成。
--サブスクリプションは作成しない。
-Azureポータル > [[Azure Active Directory]]に遷移
--P2ライセンスの試用版の有効化
--テナント(ディレクトリ)の属性を変更~
名称や詳細の記述を変更する。
--[[全体管理者>Microsoft Azure Active Directory#y1da803f]...
---名称や詳細の記述を変更する。
---サブスクリプションの[[RBACアクセス権限>Role Based Acce...
**Step 2. 管理者アカウントの作成と保護 [#w29c1731]
***アカウントの作成 [#f701af9b]
-以下の 4つのアカウントを作成
--緊急事態用アカウント(Breakglass Account)~
Azure AD 用、Azure 用の 2 つが必要
---[[ホーム・アカウント>#neb415f1]]として作成し、
---[[条件付きアクセス>Azure Active Directory 条件付きアク...
(代わりに、パスワード長を長めに設定する)
--Azure AD 管理用アカウント~
日常的な Azure AD の管理用に利用するアカウントだが、以下 ...
---[[ホーム or B2B>#sdbcaead]]アカウントどちらを利用する...
---[[静的 or 動的>#m72c07a3]]どちらの方法で権限割り当てを...
|ID|>|役割|主な日常作業|個人/共用|ホーム/B2B|AzAD 権限|Az...
|bg_admin_aad@prodaad|緊急事態用&br;アカウント|Azure AD ...
|bg_admin_azure@prodaad|~|Azure 用|~|~|~|ナシ|Tenant Root...
|XXXX_prv_admin@prodaad|個人アカウント|特権ロール管理用|A...
|YYYY_aad_admin@prodaad|~|Azure AD 管理者用|AzAD の設定・...
>※ 上記の表の通り、Azure 権限を除いて、アカウントを作成す...
-作成後の設定
--Azure AD 用の緊急事態用アカウント
---P2ライセンスの設定
---[[パスワード・ポリシーの変更>#wcfa5c3a]]
---[[管理者アカウントの保護>#bef1f9bc]]
---%%Azure権限付与%%
---[[封緘用パスワードの設定>#c8dc7823]]
--Azure用の緊急事態用アカウント
---P2ライセンスの設定
---[[パスワード・ポリシーの変更>#wcfa5c3a]]
---[[管理者アカウントの保護>#bef1f9bc]]
---[[Azure権限付与(ルート管理グループ)>#xb627853]]
---[[封緘用パスワードの設定>#c8dc7823]]
--特権ロール管理用の個人アカウント
---P2ライセンスの設定
---[[パスワード・ポリシーの変更>#wcfa5c3a]]
---[[管理者アカウントの保護>#bef1f9bc]]
--Azure AD 管理者用の個人アカウント
---P2ライセンスの設定
---[[パスワード・ポリシーの変更>#wcfa5c3a]]
---[[管理者アカウントの保護>#bef1f9bc]]
***パスワード・ポリシーの変更 [#wcfa5c3a]
-パスワード保護機能(必要に応じて)
--[Azure Active Directory] > [セキュリティ] > [認証方法] ...
--必要に応じてロックアウト、禁止パスワードの登録などを行う
-パスワード有効期限の無効化
--既定は 90 日で失効
--緊急事態用アカウントでは必須
--PowerShellで設定
Install-Module -Name AzureAD
Connect-AzureAD
Get-AzureADUser -Filter "startswith(userPrincipalName,'...
***管理者アカウントの保護 [#bef1f9bc]
-セキュリティ・グループの作成と割当
--緊急事態用アカウント用グループを作成し、各アカウントに...
--個人アカウント用グループを作成し、各アカウントに割当~
権限を[[PIM>#k83896d4]]でJIT割当するYYYY_aad_admin@prodaa...
アカウントは変更される可能性が高いので、対象外にする等。
--必要に応じて、B2Bを使用している場合など、動的メンバーシ...
-[[条件付きアクセス>Azure Active Directory 条件付きアクセ...
--対象
---対象:個人アカウント用グループ
---対象外:緊急事態用アカウント用グループ
--アクセス制御で、多要素認証(MFA)などを追加する。~
その他、ネームド・ロケーション、セキュア・ワークステーシ...
--レポート専用で作成して、問題なく動作しているか確認して...
-[[ID保護>Azure Active Directory Identity Protection]]の...
--対象
---対象:個人アカウント用グループ
---対象外:緊急事態用アカウント用グループ
--ユーザ・リスク、サインイン・リスク、MFA登録ポリシーなど...
**Step 3. Azure サブスクリプションの準備 [#d81fedd4]
***[[サブスクリプションを作成する。>#keeb7cb5]] [#k61ed153]
[[Step 1のテナント>#afd077de]]で、サブスクリプションを作...
-作成に使用するアカウントは、~
EAアカウント管理者の個人アカウント(ea_aa@o365aad)
-2つのテナントに1つのサブスクリプションとなる。
-次に、既定のテナントとサブスクリプションの関連付けを変更...
[[サービス管理者:環境管理>Azure Subscriptionの管理@エン...
***サブスクリプションの環境管理を付け替える。 [#o459168f]
-[[Step 1のテナント>#afd077de]]から[[Step 0のテナント>#p6...
EA契約アカウント管理者(ea_aa@o365aad)を、~
初期構築アカウントを使用して、B2Bで招待する。
-EA契約アカウント管理者(ea_aa@o365aad)は、招待を承認す...
--メールボックスがない場合、~
EA契約アカウント管理者(ea_aa@o365aad)が以下のURL直打ち...
http://portal.azure.com/[[Step 1のテナント>#afd077de]].on...
---招待を承認する。
---ディレクトリの切替が可能になる。
--ディレクトリを切り替える
---[[Step 0のテナント>#p67c88ae]]では、サブスクリプション...
---[[Step 1のテナント>#afd077de]]では、サブスクリプション...
--ディレクトリの変更を実行する。
---コレを、[[Step 0のテナント>#p67c88ae]]のサブスクリプシ...
---フェイルオーバー先に[[Step 1のテナント>#afd077de]]を指...
-[[サービス管理者:環境管理>Azure Subscriptionの管理@エン...
--EA契約アカウント管理者(ea_aa@o365aad)から
--Azure用の緊急事態用アカウント(bg_admin_azure@prodaad)に
>変更する。...が「Microsoft Azure Pass」だと出来ないとの...
***Azure権限付与(ルート管理グループ) [#xb627853]
-初期構築アカウントでログインし、~
「Azureリソースのアクセス管理」が「はい」に~
なっていることを確認し、以下の作業を行う。
-自身がユーザ・アクセス管理者(User Access Administrator...
持っているので、自身に更に所有者(Owner)権限を追加する。
--管理グループ(Tenant Root Group)のアクセス制御(IAM)...
Azure AD 用の緊急事態用アカウント(bg_admin_aad@prodaad)...
---所有者(Owner)
---ユーザ・アクセス管理者(User Access Administrator)
**Step 4. ログ・監視・アラートの設定 [#za554a44]
***長期ログ保存のための設定 [#g5bb7d2d]
サブスクリプションに対し各種のログを長期保存~
するため、ストレージの作成と診断ログの設定を行う。
-[[初期構築用アカウント>#vb8829e5]]に対して、~
当該 Azure サブスクリプションに対する Owner 権限を付与
-以下 3 つのリソースを作成
--リソース・グループ
--Log Analyticsワーク・スペース~
イベント・ログの収集と表示
--ストレージ・アカウント
---より長期のログ保管のストレージ
---プライベート・エンドポイントを指定(パブリック・エンド...
-診断設定を有効化する。
--Azure AD > サインイン > データ設定のエクスポート > 診断...
--サブスクリプション > アクティビティ・ログ > 診断設定
***緊急事態用アカウント利用時に警告メールを送付する。 [#p...
-緊急事態用アカウントの2つのオブジェクトIDを調査する(xx...
-Log Analytics ワークスペースに2 種類の[[アラート・ルール...
--緊急事態アカウントのサインイン(重大度 0)
---Custom Log Search から以下の検索クエリを指定
SigninLogs
| project UserId
| where UserId == "xxxx" or UserId == "yyyy"
---アラート・ロジック:「結果の数が 0 より大きい場合」(...
---セキュリティ・チームのML宛にメール送信するアクション・...
---アラート・ルールの詳細でタイトル、本文、重大度 0 など...
--緊急事態アカウントの設定変更(重大度 1)
---Custom Log Search から以下の検索クエリを指定
AuditLogs
| where TargetResources[0].id == "xxxx" or TargetResourc...
---アラートロジック:「結果の数が 0 より大きい場合」(既...
---先ほど作成したアクション・グループを設定
---アラート・ルールの詳細でタイトル、本文、重大度 1 など...
-参考
--緊急アクセス用管理者アカウントを管理する - Azure AD | M...
https://docs.microsoft.com/ja-jp/azure/active-directory/u...
**Step 5. テストとクリーンアップ [#e2ec6c3e]
***緊急事態アカウントの動作確認 [#c8dc7823]
-封緘パスワードの用意
Add-type -AssemblyName System.Web
$len = 30
do { $pwd = [System.Web.Security.Membership]::GeneratePa...
( $pwd -match '^[0-9a-zA-Z]+$' ); $pwd
-緊急事態アカウントでサインイン~
初回アクセス時にPWD変更が求められるので、封緘パスワードに...
-緊急事態アカウントの動作確認~
ログイン、権限確認、監査ログの参照などを行う。
-緊急事態アカウントのパスワードの封緘~
アカウント情報を封緘(リアルに封筒などに入れる)
-[[前述の緊急事態アカウントのアラート確認>#p1fb9841]]~
[[初期構築用アカウント>#vb8829e5]]で確認する。
***全体セキュリティ管理者アカウントの動作確認 [#i492e418]
-特権ロール管理用の個人アカウント(XXXX_prv_admin@prodaad...
-PIMでAzure AD 管理者用の個人アカウント(YYYY_aad_admin@p...
-Azure AD 管理者用の個人アカウント(YYYY_aad_admin@prodaa...
***[[初期構築用アカウント>#vb8829e5]]の削除 [#v44df434]
-[[全体セキュリティ管理者アカウントの動作確認>#i492e418]]...
-[[初期構築用アカウント>#vb8829e5]]を削除する。
*参考 [#gdcedb84]
**MFA死亡 [#f3340e8b]
-グローバル管理者はMFA必須でデバイスをロストしたりすると...
-そんな場合は、私の場合はプレミアサポートから誘導して貰っ...
-で、窓口はドコに?...→ ココにヒントが(個人契約の場合は...
--[[[2025/1/15 更新] 一般法人向け Microsoft 365...
--[[機種変更後のAuthenticatorの回復のためオペレータの方と...
**Microsoft Docs [#i7d0945c]
-Azure AD デプロイ チェックリスト~
https://docs.microsoft.com/ja-jp/azure/active-directory/f...
-セルフサービス パスワード リセット ポリシー~
https://docs.microsoft.com/ja-jp/azure/active-directory/a...
**nakama [#wfe1692b]
※ [[Azure 管理用 Azure AD テナントの作成方法>Microsoft Az...
----
Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:Azure]...
終了行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-戻る([[Azure]]、[[Azure Active Directory]])
--[[Azureの評価環境を入手する]]
--[[AzureのPoC環境を契約する]]
--[[AzureのPoC環境を構築する]]
--[[Azure上に素早く環境を構築する]]
--AzADのテナント作成方法
--[[Azure Subscriptionの管理@エンプラ]]~
'> [[Azure Subscriptionの管理手順@エンプラ]]
---[[Azureによる基盤開発法]]
---[[Azureの高可用性設計]]
---[[Azureの監視と管理]]
---[[Azureのアクセス制御と権限]]
* 目次 [#x83b72a2]
#contents
*概要 [#hfab901d]
ハイセキュアな [[Azure]]運用のための[[Azure Active Direct...
-原則論としては 1 組織 = 1 テナントで、その配下ですべての...
-ただし、[[Azure]]の運用用のテナントを分けたい場合もある
--オンプレ AD と同期している [[Azure Active Directory]] ...
--業務システム運用に関わるリソースなどOA用アカウントと明...
-と言う事で、[[デプロイ・ガイド(チェックリスト)>#i7d094...
--管理を想定したアカウント構成(OA用アカウントとの切り離...
--オンプレAD とのアカウント同期の削除
--アプリケーション管理の削除
--, etc.
*詳細 [#u75a302e]
**サブスクリプション [#keeb7cb5]
***基本的にEAから切り出す。 [#rf39e10d]
-O365 AzAD の EAポータルからサブスクリプションを作成する。
--https://ea.azure.com
--EA契約管理者からアサインされたEA契約アカウント管理者が...
-ディレクトリ・サブスクリプションには、課金と環境管理の紐...
--初期状態では、O365 AzADと作成したサブスクリプションが関...
--[[アカウント管理者:課金、サービス管理者:環境管理>Azur...
-[[サブスクリプションの付け替え(信頼テナントの変更)作業...
***検証では、ダミー・テナントを使用。 [#p62eb228]
-特定の期間(通常30日から90日)に限り、Azureのサービスを...
-クレジットの金額や期間は、提供されるパッケージによって異...
-主に企業や教育機関向けに提供されることが多く、大規模なプ...
-EA契約アカウント管理者のアカウントでログイン~
https://www.microsoftazurepass.com/
--ディレクトリ・サブスクリプションを作成(コード入力、質...
--ディレクトリ・サブスクリプションが出来たら名称の変更を...
--ディレクトリ・サブスクリプションについては「[[基本的にE...
-[[サブスクリプションの付け替え(信頼テナントの変更)作業...
**ホーム / B2B [#sdbcaead]
いずれの方式を利用する場合でも、~
複数の作業者でアカウントを共有することは避ける。
***ホーム・アカウント [#neb415f1]
個別作成([[Azure Active Directory]]にアカウントを別途作...
-一方、退職や人事異動を確実に反映させる必要があり、面倒
-OA 作業からアカウントや端末を切り離せるため、マルウェア...
-故に、特権アカウントは、[[B2Bアカウント>#x4346bdd]]では...
***B2Bアカウント [#x4346bdd]
B2B 招待(O365 テナントから B2B 招待したアカウントを利用...
-1 ユーザ = 1 ID となり、作業者から見て使い勝手がよい
-多くの場合、人事システムやオンプレ AD と連携しており、退...
-故に、各種、作業者アカウントは、コチラを使用すると良い。
**静的 / 動的 [#m72c07a3]
どちらの場合でも、以下のようにするのが基本~
-セキュリティ管理者(あるいは権限管理システム)に対して、~
静的に Privilege Role Administrator ロールを割り当てる。
-その上で、[[静的>#rc9788e7]]または[[動的(推奨)>#k83896...
必要に応じて Global Administrator などの作業特権を与える。
***静的権限 [#rc9788e7]
-ユーザ単位(またはグループ単位)に権限を付与する
-高権限をむやみに与えないようにする(最大でも 5 人程度)
***動的権限 [#k83896d4]
[[Azure AD PIM>Azure AD Privileged Identity Management (P...
*手順 [#gf653552]
**初期構築用アカウント [#vb8829e5]
[[初期構築時と、構築後の構成変更とを分けて考える。>Azure ...
**2つのアカウントを併用するので...。 [#a18fea0a]
以下の手順で、[[初期構築用アカウント>#vb8829e5]]に加え複...
***InPrivateブラウザで作業するなど。 [#p8ed6c13]
加えて、キャッシュが残らないようにできる。
***異なるブラウザを使用する(EdgeとChrome)。 [#nc91238f]
そもそも別物なので。
***[[WWWブラウザのセッション等を別にする。>https://dotnet...
ユーザ・プロファイルも別になる。
**Step 0. O365 用 AzAD テナント [#p67c88ae]
-通常は、既存の O365 用 AzAD テナントを利用
-検証用なら
--[[既定のディレクトリ>Microsoft Azure Active Directory#a...
--以下からダミー・テナントを作成しても良い。~
https://account.azure.com/organization
---[[全体管理者>Microsoft Azure Active Directory#y1da803f...
---サブスクリプションは作成しない。
---Azureポータル > [[Azure Active Directory]]に遷移
---以下の 4つのアカウントを作成
|ea_ea@o365aad|EA エンタープライズ管理者の個人アカウント||
|ea_aa@o365aad|EA アカウント管理者の個人アカウント|Azure ...
|xxxx@o365aad|一般ユーザ1の個人アカウント||
|yyyy@o365aad|一般ユーザ2の個人アカウント||
**Step 1. Azure 用 AzAD テナントの作成 [#afd077de]
-[[ダミー・テナント>#p67c88ae]]と同じ方法で作成。
--全体管理者アカウントを~
「[[初期構築用アカウント>#vb8829e5]]」として作成。
--サブスクリプションは作成しない。
-Azureポータル > [[Azure Active Directory]]に遷移
--P2ライセンスの試用版の有効化
--テナント(ディレクトリ)の属性を変更~
名称や詳細の記述を変更する。
--[[全体管理者>Microsoft Azure Active Directory#y1da803f]...
---名称や詳細の記述を変更する。
---サブスクリプションの[[RBACアクセス権限>Role Based Acce...
**Step 2. 管理者アカウントの作成と保護 [#w29c1731]
***アカウントの作成 [#f701af9b]
-以下の 4つのアカウントを作成
--緊急事態用アカウント(Breakglass Account)~
Azure AD 用、Azure 用の 2 つが必要
---[[ホーム・アカウント>#neb415f1]]として作成し、
---[[条件付きアクセス>Azure Active Directory 条件付きアク...
(代わりに、パスワード長を長めに設定する)
--Azure AD 管理用アカウント~
日常的な Azure AD の管理用に利用するアカウントだが、以下 ...
---[[ホーム or B2B>#sdbcaead]]アカウントどちらを利用する...
---[[静的 or 動的>#m72c07a3]]どちらの方法で権限割り当てを...
|ID|>|役割|主な日常作業|個人/共用|ホーム/B2B|AzAD 権限|Az...
|bg_admin_aad@prodaad|緊急事態用&br;アカウント|Azure AD ...
|bg_admin_azure@prodaad|~|Azure 用|~|~|~|ナシ|Tenant Root...
|XXXX_prv_admin@prodaad|個人アカウント|特権ロール管理用|A...
|YYYY_aad_admin@prodaad|~|Azure AD 管理者用|AzAD の設定・...
>※ 上記の表の通り、Azure 権限を除いて、アカウントを作成す...
-作成後の設定
--Azure AD 用の緊急事態用アカウント
---P2ライセンスの設定
---[[パスワード・ポリシーの変更>#wcfa5c3a]]
---[[管理者アカウントの保護>#bef1f9bc]]
---%%Azure権限付与%%
---[[封緘用パスワードの設定>#c8dc7823]]
--Azure用の緊急事態用アカウント
---P2ライセンスの設定
---[[パスワード・ポリシーの変更>#wcfa5c3a]]
---[[管理者アカウントの保護>#bef1f9bc]]
---[[Azure権限付与(ルート管理グループ)>#xb627853]]
---[[封緘用パスワードの設定>#c8dc7823]]
--特権ロール管理用の個人アカウント
---P2ライセンスの設定
---[[パスワード・ポリシーの変更>#wcfa5c3a]]
---[[管理者アカウントの保護>#bef1f9bc]]
--Azure AD 管理者用の個人アカウント
---P2ライセンスの設定
---[[パスワード・ポリシーの変更>#wcfa5c3a]]
---[[管理者アカウントの保護>#bef1f9bc]]
***パスワード・ポリシーの変更 [#wcfa5c3a]
-パスワード保護機能(必要に応じて)
--[Azure Active Directory] > [セキュリティ] > [認証方法] ...
--必要に応じてロックアウト、禁止パスワードの登録などを行う
-パスワード有効期限の無効化
--既定は 90 日で失効
--緊急事態用アカウントでは必須
--PowerShellで設定
Install-Module -Name AzureAD
Connect-AzureAD
Get-AzureADUser -Filter "startswith(userPrincipalName,'...
***管理者アカウントの保護 [#bef1f9bc]
-セキュリティ・グループの作成と割当
--緊急事態用アカウント用グループを作成し、各アカウントに...
--個人アカウント用グループを作成し、各アカウントに割当~
権限を[[PIM>#k83896d4]]でJIT割当するYYYY_aad_admin@prodaa...
アカウントは変更される可能性が高いので、対象外にする等。
--必要に応じて、B2Bを使用している場合など、動的メンバーシ...
-[[条件付きアクセス>Azure Active Directory 条件付きアクセ...
--対象
---対象:個人アカウント用グループ
---対象外:緊急事態用アカウント用グループ
--アクセス制御で、多要素認証(MFA)などを追加する。~
その他、ネームド・ロケーション、セキュア・ワークステーシ...
--レポート専用で作成して、問題なく動作しているか確認して...
-[[ID保護>Azure Active Directory Identity Protection]]の...
--対象
---対象:個人アカウント用グループ
---対象外:緊急事態用アカウント用グループ
--ユーザ・リスク、サインイン・リスク、MFA登録ポリシーなど...
**Step 3. Azure サブスクリプションの準備 [#d81fedd4]
***[[サブスクリプションを作成する。>#keeb7cb5]] [#k61ed153]
[[Step 1のテナント>#afd077de]]で、サブスクリプションを作...
-作成に使用するアカウントは、~
EAアカウント管理者の個人アカウント(ea_aa@o365aad)
-2つのテナントに1つのサブスクリプションとなる。
-次に、既定のテナントとサブスクリプションの関連付けを変更...
[[サービス管理者:環境管理>Azure Subscriptionの管理@エン...
***サブスクリプションの環境管理を付け替える。 [#o459168f]
-[[Step 1のテナント>#afd077de]]から[[Step 0のテナント>#p6...
EA契約アカウント管理者(ea_aa@o365aad)を、~
初期構築アカウントを使用して、B2Bで招待する。
-EA契約アカウント管理者(ea_aa@o365aad)は、招待を承認す...
--メールボックスがない場合、~
EA契約アカウント管理者(ea_aa@o365aad)が以下のURL直打ち...
http://portal.azure.com/[[Step 1のテナント>#afd077de]].on...
---招待を承認する。
---ディレクトリの切替が可能になる。
--ディレクトリを切り替える
---[[Step 0のテナント>#p67c88ae]]では、サブスクリプション...
---[[Step 1のテナント>#afd077de]]では、サブスクリプション...
--ディレクトリの変更を実行する。
---コレを、[[Step 0のテナント>#p67c88ae]]のサブスクリプシ...
---フェイルオーバー先に[[Step 1のテナント>#afd077de]]を指...
-[[サービス管理者:環境管理>Azure Subscriptionの管理@エン...
--EA契約アカウント管理者(ea_aa@o365aad)から
--Azure用の緊急事態用アカウント(bg_admin_azure@prodaad)に
>変更する。...が「Microsoft Azure Pass」だと出来ないとの...
***Azure権限付与(ルート管理グループ) [#xb627853]
-初期構築アカウントでログインし、~
「Azureリソースのアクセス管理」が「はい」に~
なっていることを確認し、以下の作業を行う。
-自身がユーザ・アクセス管理者(User Access Administrator...
持っているので、自身に更に所有者(Owner)権限を追加する。
--管理グループ(Tenant Root Group)のアクセス制御(IAM)...
Azure AD 用の緊急事態用アカウント(bg_admin_aad@prodaad)...
---所有者(Owner)
---ユーザ・アクセス管理者(User Access Administrator)
**Step 4. ログ・監視・アラートの設定 [#za554a44]
***長期ログ保存のための設定 [#g5bb7d2d]
サブスクリプションに対し各種のログを長期保存~
するため、ストレージの作成と診断ログの設定を行う。
-[[初期構築用アカウント>#vb8829e5]]に対して、~
当該 Azure サブスクリプションに対する Owner 権限を付与
-以下 3 つのリソースを作成
--リソース・グループ
--Log Analyticsワーク・スペース~
イベント・ログの収集と表示
--ストレージ・アカウント
---より長期のログ保管のストレージ
---プライベート・エンドポイントを指定(パブリック・エンド...
-診断設定を有効化する。
--Azure AD > サインイン > データ設定のエクスポート > 診断...
--サブスクリプション > アクティビティ・ログ > 診断設定
***緊急事態用アカウント利用時に警告メールを送付する。 [#p...
-緊急事態用アカウントの2つのオブジェクトIDを調査する(xx...
-Log Analytics ワークスペースに2 種類の[[アラート・ルール...
--緊急事態アカウントのサインイン(重大度 0)
---Custom Log Search から以下の検索クエリを指定
SigninLogs
| project UserId
| where UserId == "xxxx" or UserId == "yyyy"
---アラート・ロジック:「結果の数が 0 より大きい場合」(...
---セキュリティ・チームのML宛にメール送信するアクション・...
---アラート・ルールの詳細でタイトル、本文、重大度 0 など...
--緊急事態アカウントの設定変更(重大度 1)
---Custom Log Search から以下の検索クエリを指定
AuditLogs
| where TargetResources[0].id == "xxxx" or TargetResourc...
---アラートロジック:「結果の数が 0 より大きい場合」(既...
---先ほど作成したアクション・グループを設定
---アラート・ルールの詳細でタイトル、本文、重大度 1 など...
-参考
--緊急アクセス用管理者アカウントを管理する - Azure AD | M...
https://docs.microsoft.com/ja-jp/azure/active-directory/u...
**Step 5. テストとクリーンアップ [#e2ec6c3e]
***緊急事態アカウントの動作確認 [#c8dc7823]
-封緘パスワードの用意
Add-type -AssemblyName System.Web
$len = 30
do { $pwd = [System.Web.Security.Membership]::GeneratePa...
( $pwd -match '^[0-9a-zA-Z]+$' ); $pwd
-緊急事態アカウントでサインイン~
初回アクセス時にPWD変更が求められるので、封緘パスワードに...
-緊急事態アカウントの動作確認~
ログイン、権限確認、監査ログの参照などを行う。
-緊急事態アカウントのパスワードの封緘~
アカウント情報を封緘(リアルに封筒などに入れる)
-[[前述の緊急事態アカウントのアラート確認>#p1fb9841]]~
[[初期構築用アカウント>#vb8829e5]]で確認する。
***全体セキュリティ管理者アカウントの動作確認 [#i492e418]
-特権ロール管理用の個人アカウント(XXXX_prv_admin@prodaad...
-PIMでAzure AD 管理者用の個人アカウント(YYYY_aad_admin@p...
-Azure AD 管理者用の個人アカウント(YYYY_aad_admin@prodaa...
***[[初期構築用アカウント>#vb8829e5]]の削除 [#v44df434]
-[[全体セキュリティ管理者アカウントの動作確認>#i492e418]]...
-[[初期構築用アカウント>#vb8829e5]]を削除する。
*参考 [#gdcedb84]
**MFA死亡 [#f3340e8b]
-グローバル管理者はMFA必須でデバイスをロストしたりすると...
-そんな場合は、私の場合はプレミアサポートから誘導して貰っ...
-で、窓口はドコに?...→ ココにヒントが(個人契約の場合は...
--[[[2025/1/15 更新] 一般法人向け Microsoft 365...
--[[機種変更後のAuthenticatorの回復のためオペレータの方と...
**Microsoft Docs [#i7d0945c]
-Azure AD デプロイ チェックリスト~
https://docs.microsoft.com/ja-jp/azure/active-directory/f...
-セルフサービス パスワード リセット ポリシー~
https://docs.microsoft.com/ja-jp/azure/active-directory/a...
**nakama [#wfe1692b]
※ [[Azure 管理用 Azure AD テナントの作成方法>Microsoft Az...
----
Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:Azure]...
ページ名:
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
