Microsoft Azure Active Directory
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
]
開始行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-戻る
--[[Azure]]
--[[Active Directory(機能一覧)]]
* 目次 [#n93ca295]
#contents
*概要 [#y1dcdf5a]
-Azure Active Directory、Azure AD(AzAD)は、~
クラウド用ID管理サービスで、
--[[ユーザー・アカウントの管理>#gcea3a72]]
--[[RBACアクセス制御>Role Based Access Control (RBAC)]]
>といった機能を提供するものだったが、
-最近は、IDMaaS機能を提供するようになっている。
--[[SaaSでのSSO認証>#xc6bee31]]
--[[オンプレミス・ディレクトリとの同期>#yf5be6a6]]
--[[条件付きアクセス、多要素認証(MFA)>#q14da5ee]]
-そして、更に複雑な機能を提供。
--[[Azure AD参加(Azure AD Join)>Windows Hello for Busin...
オンプレのデバイス管理など
--[[Azure Active Directory B2C]]~
ソーシャル・ログイン統合
--[[Azure Active Directory B2B collaboration]]~
外部ディレクトリとの統合
-オンプレの[[Active Directory]]とは別物と言える。
--[[Azure]]用の認証基盤で(クラウド用)
--(Microsoft Account, Live ID、MSAに近い(インターネット...
*Edition [#uad34fb4]
-Azure Active Directory のエディション~
https://msdn.microsoft.com/ja-JP/library/azure/dn532272.a...
**無償版 (Free) [#w8428399]
***[[ユーザー・アカウントの管理>#ebe9655c]] [#gcea3a72]
***[[SaaSでのSSO認証>#he1b97f0]] [#xc6bee31]
***[[オンプレミス・ディレクトリ>#vb5701c9]]との同期 [#yf5...
-選択肢
--同期ID
---パスワード・ハッシュ同期(オススメ)
---パススルー認証
--フェデレーションID
---[[Hybrid-IdP構成によるフェデレーション連携>#k86844c3]]~
-ディシジョン
--オンプレがActive Directoryの場合、全ての選択肢を使用で...
--3RDのIdPの場合、[[Hybrid-IdP構成によるフェデレーション...
-なお、同期元は、1つのオンプレ・ディレクトリに限定される。
--1つのオンプレ・ディレクトリを~
複数の[[Azure Active Directory]]に~
同期することは出来ない。
--複数のオンプレ・ディレクトリを~
1つの[[Azure Active Directory]]に~
集約することは出来ない。
※ [[Azure Subscriptionとの関係>#qc9c0cc5]]
**有償版 [#j7e8b774]
***Basic [#r5e9f89f]
無償のAzure ADの機能に加え、
-組織に合わせたサイトのカスタマイズ
-グループベースのアクセス制御
-ユーザーによるパスワードリセット
-99.9%のSLA
***Premium [#s386b536]
Azure AD Basicに加え、
-ユーザーによるグループ管理
-レポートとアラート機能
-[[条件付きアクセス、多要素認証(MFA)>#q14da5ee]]
--[[ADFSの多要素認証機能>フェデレーション サービス (AD FS...
-デバイス認証
***参考 [#r7f9c7df]
https://azure.microsoft.com/ja-jp/pricing/details/active-...
*ディレクトリ [#n8237570]
**オンプレミス・ディレクトリ [#vb5701c9]
-オンプレミスのディレクトリと~
[[AzADのディレクトリ (テナント) >#qf51a4d5]]は~
別物だが、同期することが出来る。
-参考:[[オンプレミス・ディレクトリとの同期>#yf5be6a6]]
**[[Azure Active Directory]] ディレクトリ (テナント) [#qf...
各 [[Azure Active Directory]] ディレクトリ (テナント) は...
-YYY.XXX.com
-ZZZ.XXX.com
***既定のディレクトリ [#abca1734]
-個人アカウント (Microsoft Account, Live ID、MSA) の既定...
-[[Azure]]操作のための、ダミーのディレクトリとも言える。
-野良テナントなので、非常事態への対応ができなくなる。
***O356用と運用用のディレクトリ(テナント) [#fc12822c]
-O356用と運用用のディレクトリ(テナント)は別で設けること...
-参考:[[AzADirectoryのテナント作成方法>Azure Active Dire...
*機能 [#d76b405b]
**アクセス制御 [#db1663dd]
Azure ADのアカウントによるアクセス制御
-Azure ADのアカウントは、
--[[サブスクリプション管理者ロール>Azure Subscriptionの管...
--[[RBACで利用するロール>Role Based Access Control (RBAC)]]
>でも利用しているが、
-Azure AD自体のアクセス制御は、
--Azure AD管理者ロール
>これとはまた、別の機能。
***ロール [#c7f582a9]
-企業
--★ グローバル管理者~
Global Administrator
--課金管理者~
Billing Administrator
--会社の管理者~
Company Administrator
-管理者(監査)
--セキュリティ閲覧者
-管理者(オペレータ)
--セキュリティ
---セキュリティ管理者~
Security Administrator
---★ 特権ロール管理者~
Priviledged Role Administrator
---[[条件付きアクセス>#q14da5ee]]管理者
--アカウント
---★ [[ユーザー・アカウント管理者>#ebe9655c]]~
User Account Administrator
---★ [[ゲスト招待元>#u0768137]]~
Guest Inviter~
---デバイス管理者~
Device Administrators
--パスワード
---[[パスワード管理者>#ebe9655c]]~
Password Administrator
---[[ヘルプデスク管理者>#ebe9655c]]
--サポート要求
---サービス サポート管理者
-[[OAuthなどの同意フレームワーク>#he1b97f0]]を、
--サポートしていないアプリケーションで使用する、
---ディレクトリ リーダー~
Directory Readers
---ディレクトリ ライター~
Directory Writers
--[[Hybrid-IdP構成>#k86844c3]]でサポートするための、
---ディレクトリ同期アカウント
-SaaSのグローバル アクセス許可
--コンプライアンス管理者
--レポート リーダー
--Intune サービス管理者~
Intune Administrator
--Exchange サービス管理者~
Exchange Administrator
--メールボックス管理者
--Skype for Business/Lync サービス管理者
--Information Protection 管理者
--CRM サービス管理者
--Power BI サービス管理者
--SharePoint サービス管理者
-Microsoft 再販パートナーを対象(廃止予定)
--Partner Tier 1 サポート
--Partner Tier 2 サポート
-参考
-Azure AD ロールの説明とアクセス許可 - Azure Active Direc...
https://docs.microsoft.com/ja-jp/azure/active-directory/r...
***管理者 [#y1da803f]
[[Azure Active Directory]]管理者ロールは、~
[[Azure Active Directory]]と[[Office 365]]の管理に使用さ...
-種類
--全体管理者
--課金管理者
--サービス管理者
--セキュリティ リーダー
--セキュリティ管理者
--[[ユーザー・アカウント>#ebe9655c]]管理者
--[[パスワード管理者/ヘルプデスク>#ebe9655c]]管理者
--[[条件付きアクセス>#q14da5ee]]管理者
--Information Protection 管理者
--レポート リーダー
-[[ディレクトリ>#n8237570]]毎に別
--ある[[ディレクトリ>#n8237570]]で全体管理者になっていて...
別の[[ディレクトリ>#n8237570]]の全体管理者になるわけでは...
--例えば~
YYY.XXX.com と言う[[ディレクトリ>#n8237570]]の全体管理者...
ZZZ.XXX.com と言う[[ディレクトリ>#n8237570]]の全体管理者...
***参考 [#t4a64282]
-[[Azureのアクセス制御と権限]]
-Microsoft Docs
--Azure Active Directory による Azure リソースへのアクセ...
https://docs.microsoft.com/ja-jp/azure/active-directory/m...
--Azure Active Directory でのユーザーの追加または削除~
https://docs.microsoft.com/ja-jp/azure/active-directory/a...
--Azure Active Directory でユーザーを管理者ロールに割り当...
https://docs.microsoft.com/ja-jp/azure/active-directory/a...
--Azure Active Directory の管理者ロールの割り当て~
https://docs.microsoft.com/ja-jp/azure/active-directory/a...
**ユーザー・アカウントの管理 [#f134229f]
シングルドメインのディレクトリサービスとしてクラウドIDを...
***基本的な機能 [#ebe9655c]
-ユーザー・アカウントの
--追加と削除
--パスワードの変更
--[[ロール>#c7f582a9]] / [[権限>#y1da803f]]の管理
***ユーザの招待 [#u0768137]
[[Azure Active Directory B2B collaboration>#c7296189]]を...
***[[条件付きアクセス>Azure Active Directory 条件付きアク...
***マルチテナント [#tedae145]
アプリケーションが[[SaaSでのSSO認証>#he1b97f0]]の機能に対...
-マルチテナント アプリケーション パターンを使用してすべて...
Azure Active Directory (AD) ユーザーがサインインできるよ...
(すべての Azure AD ユーザーがサインイン可能なアプリを構...
https://docs.microsoft.com/ja-jp/azure/active-directory/d...
**SaaSでのSSO認証 [#he1b97f0]
OpenID系の認証は、[[B2C>#n13f7bac]]でも別の機能としてサポ...
***対象 [#o368f25f]
-[[Azure]]
-[[Office 365]]
-Salesforce
-Google Apps
-Dropbox
-Facebook
-, etc.
***[[SAML]] [#cefa01ed]
-Microsoft Docs
--Azure AD SAML のプロトコル リファレンス~
https://docs.microsoft.com/ja-jp/azure/active-directory/d...
***[[OAuth]] 2.0 [#m24c66a2]
-Microsoft Docs
--Azure AD での OAuth 2.0 承認コード フローについて~
https://docs.microsoft.com/ja-jp/azure/active-directory/d...
--Azure AD での OAuth2 の暗黙的な許可フローについて~
https://docs.microsoft.com/ja-jp/azure/active-directory/d...
***[[OpenID Connect]] [#ie265567]
-Microsoft Docs
--Azure AD での OpenID Connect 認証コード フローについて~
https://docs.microsoft.com/ja-jp/azure/active-directory/d...
***参考 [#m2a3fcc1]
-[[Web SSO 開発>#v27b2645]]
-[[SaaS 連携>#qb08ac4e]]
-[[OpenID>#edb8d156]]
-[[OAuth>#a58c67e4]]
-[[Hybrid-IdP>#y4bcb133]]
**Hybrid-IdP構成 [#k86844c3]
-[[Azure AD(RP側STS) <---> ADFS(CP側STS)>WS-Federation#r3...
-上記のような、(Azure AD(RP側STS)の)IDフェデレーション...
--[[SAML]]と[[WS-FED>WS-Federation]]だけがサポートする。
--[[OAuth]] 2.0、[[OpenID Connect]]は、サポートしない。
-[[参考>#j7e5bfb0]]
***[[SAML]]と連携したHybrid-IdP構成のサポート [#ob5098c9]
***[[ADFS>フェデレーション サービス (AD FS)]]([[WS-FED>W...
**B2X [#l143cdf9]
-MS、「Azure Active Directory」に2種類の認証サービスを追...
https://japan.zdnet.com/article/35070674/
-Azure Active Directory での B2B コラボレーションと B2C ...
https://docs.microsoft.com/ja-jp/azure/active-directory/a...
***[[B2B (Azure Active Directory B2B collaboration)>Azure...
***[[B2C (Azure Active Directory B2C)>Azure Active Direct...
***[[Azure Active Directory Domain Services]] [#g4075cf3]
**[[Azure Subscriptionとの関係>Azure Subscriptionの管理@...
***[[Azureによる基盤開発法>Azure Subscriptionの管理@エン...
***[[AzADirectoryのテナント作成方法>Azure Subscriptionの...
*参考 [#e9da413c]
-Japan Azure Identity Support Blog~
https://jpazureid.github.io/blog/
**Windows Server Insider 運用 - @IT [#m30941aa]
企業のID管理/シングルサインオンの新しい選択肢「IDaaS」の...
http://www.atmarkit.co.jp/fwin2k/operation/indexpage/inde...
-第1回 もはや企業のID管理で避けては通れない「IDaaS」とは...
http://www.atmarkit.co.jp/ait/articles/1508/07/news034.html
-第2回 IDaaSの実装をAzure ADで理解する(前編)~
http://www.atmarkit.co.jp/ait/articles/1509/30/news051.html
-第3回 IDaaSの実装をAzure ADで理解する(後編)~
http://www.atmarkit.co.jp/ait/articles/1510/05/news013.html
-最終回 Windows 10によるAzure Active Directory活用の最大...
http://www.atmarkit.co.jp/ait/articles/1512/16/news041.html
**山市良のえぬなんとかわーるど [#q46d0613]
-お勧めホワイト ペーパー『マイクロソフト ID 保護ソリュー...
http://yamanxworld.blogspot.jp/2016/04/id.html
--Enterprise Mobility Suite および Azure 試用版サインアップ
--Azure AD Premium (MFA、ディレクトリ同期、高度なレポート)
--Azure AD Privileged Identity Management
--Microsoft Identity Manager 2016
--Azure RMS
--Azure AD Identity Protection
--Microsoft Advanced Threat Analytics
**ネスケラボ [#e726314b]
-第1回 Azure Active Directory で簡単ユーザー認証~
https://blog.nextscape.net/archives/Date/2015/06/azuread01
-第2回 Azure Active Directoryで簡単認証~OpenIdConnect編...
https://blog.nextscape.net/archives/Date/2015/06/azuread02
-第3回 Azure Active Directoryで簡単認証~多要素認証編(新...
https://blog.nextscape.net/archives/Date/2015/06/azuread03
-第4回 Azure Active Directoryで簡単認証~多要素認証編(既...
https://blog.nextscape.net/archives/Date/2015/06/azuread04
-第5回 Azure Active Directoryで簡単認証~自前でユーザー...
https://blog.nextscape.net/archives/Date/2015/06/azuread05
-第6回 Azure Active Directoryで簡単認証~自前でユーザー...
https://blog.nextscape.net/archives/Date/2015/07/azuread06
**Always on the clock [#afc0b06c]
-エキスパートが語るIdentity as a Service~
http://azuread.net/2011/07/11/%E3%82%A8%E3%82%AD%E3%82%B9...
-Azure ADのアプリケーション連携
--Azure ADテナント ---> Facebook~
http://azuread.net/2013/10/15/windows-azure-active-direct...
--Google Apps編~
http://azuread.net/2013/10/17/azure-ad%E3%81%AE%E3%82%A2%...
-Office 365にADFSが必要な理由~
http://azuread.net/2013/12/16/office-365%E3%81%ABadfs%E3%...
-もうひとつのID連携 ~ Microsoft Azure Active Directoryと...
http://azuread.net/2014/09/01/%E3%82%82%E3%81%86%E3%81%B2...
-Azure Active Directory Premiumまとめ(インフラ技術編)~
http://azuread.net/2014/10/15/azure-active-directory-prem...
-Azure AD への参加とデバイス登録~
http://azuread.net/2015/08/18/azure-ad-%E3%81%B8%E3%81%AE...
**microsoft.com [#cfc06457]
***azure [#uced8a56]
-ドキュメント > Azure Active Directory > Azure ID 管理の...
https://azure.microsoft.com/ja-jp/documentation/articles/...
***docs [#j7e5bfb0]
-Hybrid-IdP構成
--AzureActive Directory > 方法 > 計画と設計
---Azure AD のアーキテクチャを理解する~
'> ハイブリッド ID ソリューションをデプロイする~
'> Azure Active Directory ハイブリッド ID の設計上の考慮...
https://docs.microsoft.com/ja-jp/azure/active-directory/a...
---Azure Active Directory での要求マッピング~
・要件を確認する >ID のライフサイクル戦略~
> ハイブリッド ID ライフサイクルの導入戦略の決定~
https://docs.microsoft.com/ja-jp/azure/active-directory...
・ID ライフサイクルを計画する > タスク~
> ハイブリッド ID ライフサイクルの計画を立てる~
https://docs.microsoft.com/ja-jp/azure/active-directory...
・ID ライフサイクルを計画する > 採用戦略~
> ハイブリッド ID 導入戦略の定義~
https://docs.microsoft.com/ja-jp/azure/active-directory...
--Azure > Active Directory接続 > 概要 > Azure AD Connect ...
オンプレミスのディレクトリと Azure Active Directory の統合~
https://docs.microsoft.com/ja-jp/azure/active-directory/c...
**Tsmatz [#p86310cf]
-Azure Active Directory とは (事前準備)~
https://tsmatz.wordpress.com/2012/09/01/windows-azure-act...
***Web SSO 開発 [#v27b2645]
[[WS-FED>WS-Federation]]や[[SAML]]でSSO。
-.NET 編 (WS-Fed)~
Azure Active Directory の SSO 開発 (Visual Studio 2013 編)~
https://tsmatz.wordpress.com/2013/10/03/azure-active-dire...
-PHP 編 (SAML)~
Azure Active Directory の SSO 開発 (PHP 編)~
https://tsmatz.wordpress.com/2014/01/29/azure-active-dire...
-Node.js 編 (SAML)~
Azure Active Directory の SSO 開発 (Node.js 編)~
https://tsmatz.wordpress.com/2014/03/22/azure-active-dire...
-Microsoft Docs
--Azure Active Directory とアプリケーションの統合~
https://docs.microsoft.com/ja-jp/azure/active-directory/d...
***SaaS 連携 [#qb08ac4e]
SaaSと[[SAML]]でSSO。
-Google Apps (SAML)~
Azure AD の Google Apps (SaaS) 連携 (App Access Enhanceme...
https://tsmatz.wordpress.com/2014/01/16/azure-ad-google-a...
-%%kintone (SAML)%%~
%%Azure AD の kintone 連携 (Application Gallery)%%~
***OAuth [#a58c67e4]
-Service の開発 (OAuth)~
Azure AD を使った API 開発 (access token の verify)~
https://tsmatz.wordpress.com/2015/02/17/azure-ad-service-...
-JavaScript Application の開発~
JavaScript による Azure AD 連携 (OAuth Implicit Grant)~
https://tsmatz.wordpress.com/2015/03/05/javascript-azure-...
-Backend Server-Side アプリの開発~
Azure AD : ログインをしない Backend Server-Side アプリの...
https://tsmatz.wordpress.com/2015/04/09/azure-ad-backend-...
-HTTP Flow~
HTTP Flowは、resourcesというパラメタを使用したAzureADのOA...
--Native Application (iOS, Android, etc) の開発~
Azure AD を使った API 連携の Client 開発 (OAuth 2.0 紹介)~
https://tsmatz.wordpress.com/2013/07/11/native-applicatio...
--Login UI が表示できない場合のフロー (OAuth)~
Login UI が出せない Client の OAuth フロー (Azure AD)~
https://tsmatz.wordpress.com/2016/03/12/azure-ad-device-p...
***OpenID [#edb8d156]
-OpenID Connect サポート (OpenID)~
Azure AD の OpenID Connect サポート~
https://tsmatz.wordpress.com/2014/04/17/azure-ad-openid-c...
-OAuth : App development for Azure AD v2.0 endpoint
--Walkthrough for OAuth flow in Azure Active Directory~
https://tsmatz.wordpress.com/2016/02/24/v2-endpoint-oauth...
--For JavaScript Application~
https://tsmatz.wordpress.com/2016/03/02/azure-ad-msa-v2-e...
--How to use Application Permission with v2 endpoint and ...
https://tsmatz.wordpress.com/2016/10/07/application-permi...
--How to Verify Token~
https://tsmatz.wordpress.com/2016/03/08/azure-ad-msa-v2-e...
--Build your own Web API protected by Azure AD v2.0 endpo...
https://tsmatz.wordpress.com/2017/06/22/web-api-and-custo...
>上記のコンテンツの内容を確認すると、
-Microsoft の組織アカウント (Azure Active Directory, Azur...
-個人アカウント (Microsoft Account, Live ID、MSA) の
>双方に対応した v2.0 endpoint (App Model v2) と連携し、~
[[OAuth]] 2.0(ではなく、推奨されるOpenID Connect)認証を...
認証結果を他の API (Service) で検証し認証させている。
***Hybrid-IdP [#y4bcb133]
-Active Directory (企業内 Windows 環境) との Federation ...
Azure AD と Active Directory (AD FS) の Federation の手順~
https://tsmatz.wordpress.com/2015/03/03/azure-ad-active-d...
***[[Graph API]] [#sc0270fb]
***[[Web Account Manager API]] [#y949f4c9]
***Common Consent Framework [#l811026f]
-Common Consent Framework を使うと、
--管理者があらかじめ Azureポータルや[[PowerShell]]を使っ...
--アプリ使用時に Consent UI(スコープの認可画面) を表示...
-Azure Active Directory の Common Consent Framework
--(Client 側)~
https://tsmatz.wordpress.com/2014/04/01/azure-active-dire...
--(Service 側)~
https://tsmatz.wordpress.com/2014/05/27/azure-active-dire...
***Multi-Factor Authentication [#x1aeef2b]
-Multi-Factor Authentication~
Azure Active Directory の Multi-Factor Authentication (MF...
https://tsmatz.wordpress.com/2013/03/05/azure-active-dire...
--Azureの認証におけるその他サービス ~ Azureモバイルサー...
http://www.buildinsider.net/web/msidentitydev/04
---Azureモバイルサービス: 認証機能とプッシュ通知をしよう...
http://www.buildinsider.net/web/azuremobilesvc/02
***Password-based Single Sign-On [#r571067e]
上記の、Federation-based single sign-onに対する、~
UI automationぽい方法。あまりオススメでない。
-フェデレーション未対応の Web アプリとのWeb SSO (Password...
Azure AD で フェデレーション未対応の Web アプリと SSO を...
https://tsmatz.wordpress.com/2014/12/23/azure-ad-web-sso-...
**nakama [#gc82c333]
FgCF > ゼロトラスト型マルチクラウド IT 環境 > Azure によ...
※ 体系は[[コチラ>FgCF (Financial-grade Cloud Fundamentals...
***Azure AD 基礎 [#t714bd82]
-YouTube~
https://www.youtube.com/watch?v=H7TKjAGT7pA
-video、ppt~
https://nakama.blob.core.windows.net/mskk/2020_01_08_FgCF...
***Azure AD 詳細 [#zd3a479c]
https://nakama.blob.core.windows.net/mskk/2019_04_18_Azur...
***Azure 管理用 Azure AD テナントの作成方法 [#a15d6990]
-YouTube~
https://www.youtube.com/watch?v=wCqnGJHQueM
-video、ppt~
https://nakama.blob.core.windows.net/mskk/2020_10_10_Azur...
----
Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:Azure]...
終了行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-戻る
--[[Azure]]
--[[Active Directory(機能一覧)]]
* 目次 [#n93ca295]
#contents
*概要 [#y1dcdf5a]
-Azure Active Directory、Azure AD(AzAD)は、~
クラウド用ID管理サービスで、
--[[ユーザー・アカウントの管理>#gcea3a72]]
--[[RBACアクセス制御>Role Based Access Control (RBAC)]]
>といった機能を提供するものだったが、
-最近は、IDMaaS機能を提供するようになっている。
--[[SaaSでのSSO認証>#xc6bee31]]
--[[オンプレミス・ディレクトリとの同期>#yf5be6a6]]
--[[条件付きアクセス、多要素認証(MFA)>#q14da5ee]]
-そして、更に複雑な機能を提供。
--[[Azure AD参加(Azure AD Join)>Windows Hello for Busin...
オンプレのデバイス管理など
--[[Azure Active Directory B2C]]~
ソーシャル・ログイン統合
--[[Azure Active Directory B2B collaboration]]~
外部ディレクトリとの統合
-オンプレの[[Active Directory]]とは別物と言える。
--[[Azure]]用の認証基盤で(クラウド用)
--(Microsoft Account, Live ID、MSAに近い(インターネット...
*Edition [#uad34fb4]
-Azure Active Directory のエディション~
https://msdn.microsoft.com/ja-JP/library/azure/dn532272.a...
**無償版 (Free) [#w8428399]
***[[ユーザー・アカウントの管理>#ebe9655c]] [#gcea3a72]
***[[SaaSでのSSO認証>#he1b97f0]] [#xc6bee31]
***[[オンプレミス・ディレクトリ>#vb5701c9]]との同期 [#yf5...
-選択肢
--同期ID
---パスワード・ハッシュ同期(オススメ)
---パススルー認証
--フェデレーションID
---[[Hybrid-IdP構成によるフェデレーション連携>#k86844c3]]~
-ディシジョン
--オンプレがActive Directoryの場合、全ての選択肢を使用で...
--3RDのIdPの場合、[[Hybrid-IdP構成によるフェデレーション...
-なお、同期元は、1つのオンプレ・ディレクトリに限定される。
--1つのオンプレ・ディレクトリを~
複数の[[Azure Active Directory]]に~
同期することは出来ない。
--複数のオンプレ・ディレクトリを~
1つの[[Azure Active Directory]]に~
集約することは出来ない。
※ [[Azure Subscriptionとの関係>#qc9c0cc5]]
**有償版 [#j7e8b774]
***Basic [#r5e9f89f]
無償のAzure ADの機能に加え、
-組織に合わせたサイトのカスタマイズ
-グループベースのアクセス制御
-ユーザーによるパスワードリセット
-99.9%のSLA
***Premium [#s386b536]
Azure AD Basicに加え、
-ユーザーによるグループ管理
-レポートとアラート機能
-[[条件付きアクセス、多要素認証(MFA)>#q14da5ee]]
--[[ADFSの多要素認証機能>フェデレーション サービス (AD FS...
-デバイス認証
***参考 [#r7f9c7df]
https://azure.microsoft.com/ja-jp/pricing/details/active-...
*ディレクトリ [#n8237570]
**オンプレミス・ディレクトリ [#vb5701c9]
-オンプレミスのディレクトリと~
[[AzADのディレクトリ (テナント) >#qf51a4d5]]は~
別物だが、同期することが出来る。
-参考:[[オンプレミス・ディレクトリとの同期>#yf5be6a6]]
**[[Azure Active Directory]] ディレクトリ (テナント) [#qf...
各 [[Azure Active Directory]] ディレクトリ (テナント) は...
-YYY.XXX.com
-ZZZ.XXX.com
***既定のディレクトリ [#abca1734]
-個人アカウント (Microsoft Account, Live ID、MSA) の既定...
-[[Azure]]操作のための、ダミーのディレクトリとも言える。
-野良テナントなので、非常事態への対応ができなくなる。
***O356用と運用用のディレクトリ(テナント) [#fc12822c]
-O356用と運用用のディレクトリ(テナント)は別で設けること...
-参考:[[AzADirectoryのテナント作成方法>Azure Active Dire...
*機能 [#d76b405b]
**アクセス制御 [#db1663dd]
Azure ADのアカウントによるアクセス制御
-Azure ADのアカウントは、
--[[サブスクリプション管理者ロール>Azure Subscriptionの管...
--[[RBACで利用するロール>Role Based Access Control (RBAC)]]
>でも利用しているが、
-Azure AD自体のアクセス制御は、
--Azure AD管理者ロール
>これとはまた、別の機能。
***ロール [#c7f582a9]
-企業
--★ グローバル管理者~
Global Administrator
--課金管理者~
Billing Administrator
--会社の管理者~
Company Administrator
-管理者(監査)
--セキュリティ閲覧者
-管理者(オペレータ)
--セキュリティ
---セキュリティ管理者~
Security Administrator
---★ 特権ロール管理者~
Priviledged Role Administrator
---[[条件付きアクセス>#q14da5ee]]管理者
--アカウント
---★ [[ユーザー・アカウント管理者>#ebe9655c]]~
User Account Administrator
---★ [[ゲスト招待元>#u0768137]]~
Guest Inviter~
---デバイス管理者~
Device Administrators
--パスワード
---[[パスワード管理者>#ebe9655c]]~
Password Administrator
---[[ヘルプデスク管理者>#ebe9655c]]
--サポート要求
---サービス サポート管理者
-[[OAuthなどの同意フレームワーク>#he1b97f0]]を、
--サポートしていないアプリケーションで使用する、
---ディレクトリ リーダー~
Directory Readers
---ディレクトリ ライター~
Directory Writers
--[[Hybrid-IdP構成>#k86844c3]]でサポートするための、
---ディレクトリ同期アカウント
-SaaSのグローバル アクセス許可
--コンプライアンス管理者
--レポート リーダー
--Intune サービス管理者~
Intune Administrator
--Exchange サービス管理者~
Exchange Administrator
--メールボックス管理者
--Skype for Business/Lync サービス管理者
--Information Protection 管理者
--CRM サービス管理者
--Power BI サービス管理者
--SharePoint サービス管理者
-Microsoft 再販パートナーを対象(廃止予定)
--Partner Tier 1 サポート
--Partner Tier 2 サポート
-参考
-Azure AD ロールの説明とアクセス許可 - Azure Active Direc...
https://docs.microsoft.com/ja-jp/azure/active-directory/r...
***管理者 [#y1da803f]
[[Azure Active Directory]]管理者ロールは、~
[[Azure Active Directory]]と[[Office 365]]の管理に使用さ...
-種類
--全体管理者
--課金管理者
--サービス管理者
--セキュリティ リーダー
--セキュリティ管理者
--[[ユーザー・アカウント>#ebe9655c]]管理者
--[[パスワード管理者/ヘルプデスク>#ebe9655c]]管理者
--[[条件付きアクセス>#q14da5ee]]管理者
--Information Protection 管理者
--レポート リーダー
-[[ディレクトリ>#n8237570]]毎に別
--ある[[ディレクトリ>#n8237570]]で全体管理者になっていて...
別の[[ディレクトリ>#n8237570]]の全体管理者になるわけでは...
--例えば~
YYY.XXX.com と言う[[ディレクトリ>#n8237570]]の全体管理者...
ZZZ.XXX.com と言う[[ディレクトリ>#n8237570]]の全体管理者...
***参考 [#t4a64282]
-[[Azureのアクセス制御と権限]]
-Microsoft Docs
--Azure Active Directory による Azure リソースへのアクセ...
https://docs.microsoft.com/ja-jp/azure/active-directory/m...
--Azure Active Directory でのユーザーの追加または削除~
https://docs.microsoft.com/ja-jp/azure/active-directory/a...
--Azure Active Directory でユーザーを管理者ロールに割り当...
https://docs.microsoft.com/ja-jp/azure/active-directory/a...
--Azure Active Directory の管理者ロールの割り当て~
https://docs.microsoft.com/ja-jp/azure/active-directory/a...
**ユーザー・アカウントの管理 [#f134229f]
シングルドメインのディレクトリサービスとしてクラウドIDを...
***基本的な機能 [#ebe9655c]
-ユーザー・アカウントの
--追加と削除
--パスワードの変更
--[[ロール>#c7f582a9]] / [[権限>#y1da803f]]の管理
***ユーザの招待 [#u0768137]
[[Azure Active Directory B2B collaboration>#c7296189]]を...
***[[条件付きアクセス>Azure Active Directory 条件付きアク...
***マルチテナント [#tedae145]
アプリケーションが[[SaaSでのSSO認証>#he1b97f0]]の機能に対...
-マルチテナント アプリケーション パターンを使用してすべて...
Azure Active Directory (AD) ユーザーがサインインできるよ...
(すべての Azure AD ユーザーがサインイン可能なアプリを構...
https://docs.microsoft.com/ja-jp/azure/active-directory/d...
**SaaSでのSSO認証 [#he1b97f0]
OpenID系の認証は、[[B2C>#n13f7bac]]でも別の機能としてサポ...
***対象 [#o368f25f]
-[[Azure]]
-[[Office 365]]
-Salesforce
-Google Apps
-Dropbox
-Facebook
-, etc.
***[[SAML]] [#cefa01ed]
-Microsoft Docs
--Azure AD SAML のプロトコル リファレンス~
https://docs.microsoft.com/ja-jp/azure/active-directory/d...
***[[OAuth]] 2.0 [#m24c66a2]
-Microsoft Docs
--Azure AD での OAuth 2.0 承認コード フローについて~
https://docs.microsoft.com/ja-jp/azure/active-directory/d...
--Azure AD での OAuth2 の暗黙的な許可フローについて~
https://docs.microsoft.com/ja-jp/azure/active-directory/d...
***[[OpenID Connect]] [#ie265567]
-Microsoft Docs
--Azure AD での OpenID Connect 認証コード フローについて~
https://docs.microsoft.com/ja-jp/azure/active-directory/d...
***参考 [#m2a3fcc1]
-[[Web SSO 開発>#v27b2645]]
-[[SaaS 連携>#qb08ac4e]]
-[[OpenID>#edb8d156]]
-[[OAuth>#a58c67e4]]
-[[Hybrid-IdP>#y4bcb133]]
**Hybrid-IdP構成 [#k86844c3]
-[[Azure AD(RP側STS) <---> ADFS(CP側STS)>WS-Federation#r3...
-上記のような、(Azure AD(RP側STS)の)IDフェデレーション...
--[[SAML]]と[[WS-FED>WS-Federation]]だけがサポートする。
--[[OAuth]] 2.0、[[OpenID Connect]]は、サポートしない。
-[[参考>#j7e5bfb0]]
***[[SAML]]と連携したHybrid-IdP構成のサポート [#ob5098c9]
***[[ADFS>フェデレーション サービス (AD FS)]]([[WS-FED>W...
**B2X [#l143cdf9]
-MS、「Azure Active Directory」に2種類の認証サービスを追...
https://japan.zdnet.com/article/35070674/
-Azure Active Directory での B2B コラボレーションと B2C ...
https://docs.microsoft.com/ja-jp/azure/active-directory/a...
***[[B2B (Azure Active Directory B2B collaboration)>Azure...
***[[B2C (Azure Active Directory B2C)>Azure Active Direct...
***[[Azure Active Directory Domain Services]] [#g4075cf3]
**[[Azure Subscriptionとの関係>Azure Subscriptionの管理@...
***[[Azureによる基盤開発法>Azure Subscriptionの管理@エン...
***[[AzADirectoryのテナント作成方法>Azure Subscriptionの...
*参考 [#e9da413c]
-Japan Azure Identity Support Blog~
https://jpazureid.github.io/blog/
**Windows Server Insider 運用 - @IT [#m30941aa]
企業のID管理/シングルサインオンの新しい選択肢「IDaaS」の...
http://www.atmarkit.co.jp/fwin2k/operation/indexpage/inde...
-第1回 もはや企業のID管理で避けては通れない「IDaaS」とは...
http://www.atmarkit.co.jp/ait/articles/1508/07/news034.html
-第2回 IDaaSの実装をAzure ADで理解する(前編)~
http://www.atmarkit.co.jp/ait/articles/1509/30/news051.html
-第3回 IDaaSの実装をAzure ADで理解する(後編)~
http://www.atmarkit.co.jp/ait/articles/1510/05/news013.html
-最終回 Windows 10によるAzure Active Directory活用の最大...
http://www.atmarkit.co.jp/ait/articles/1512/16/news041.html
**山市良のえぬなんとかわーるど [#q46d0613]
-お勧めホワイト ペーパー『マイクロソフト ID 保護ソリュー...
http://yamanxworld.blogspot.jp/2016/04/id.html
--Enterprise Mobility Suite および Azure 試用版サインアップ
--Azure AD Premium (MFA、ディレクトリ同期、高度なレポート)
--Azure AD Privileged Identity Management
--Microsoft Identity Manager 2016
--Azure RMS
--Azure AD Identity Protection
--Microsoft Advanced Threat Analytics
**ネスケラボ [#e726314b]
-第1回 Azure Active Directory で簡単ユーザー認証~
https://blog.nextscape.net/archives/Date/2015/06/azuread01
-第2回 Azure Active Directoryで簡単認証~OpenIdConnect編...
https://blog.nextscape.net/archives/Date/2015/06/azuread02
-第3回 Azure Active Directoryで簡単認証~多要素認証編(新...
https://blog.nextscape.net/archives/Date/2015/06/azuread03
-第4回 Azure Active Directoryで簡単認証~多要素認証編(既...
https://blog.nextscape.net/archives/Date/2015/06/azuread04
-第5回 Azure Active Directoryで簡単認証~自前でユーザー...
https://blog.nextscape.net/archives/Date/2015/06/azuread05
-第6回 Azure Active Directoryで簡単認証~自前でユーザー...
https://blog.nextscape.net/archives/Date/2015/07/azuread06
**Always on the clock [#afc0b06c]
-エキスパートが語るIdentity as a Service~
http://azuread.net/2011/07/11/%E3%82%A8%E3%82%AD%E3%82%B9...
-Azure ADのアプリケーション連携
--Azure ADテナント ---> Facebook~
http://azuread.net/2013/10/15/windows-azure-active-direct...
--Google Apps編~
http://azuread.net/2013/10/17/azure-ad%E3%81%AE%E3%82%A2%...
-Office 365にADFSが必要な理由~
http://azuread.net/2013/12/16/office-365%E3%81%ABadfs%E3%...
-もうひとつのID連携 ~ Microsoft Azure Active Directoryと...
http://azuread.net/2014/09/01/%E3%82%82%E3%81%86%E3%81%B2...
-Azure Active Directory Premiumまとめ(インフラ技術編)~
http://azuread.net/2014/10/15/azure-active-directory-prem...
-Azure AD への参加とデバイス登録~
http://azuread.net/2015/08/18/azure-ad-%E3%81%B8%E3%81%AE...
**microsoft.com [#cfc06457]
***azure [#uced8a56]
-ドキュメント > Azure Active Directory > Azure ID 管理の...
https://azure.microsoft.com/ja-jp/documentation/articles/...
***docs [#j7e5bfb0]
-Hybrid-IdP構成
--AzureActive Directory > 方法 > 計画と設計
---Azure AD のアーキテクチャを理解する~
'> ハイブリッド ID ソリューションをデプロイする~
'> Azure Active Directory ハイブリッド ID の設計上の考慮...
https://docs.microsoft.com/ja-jp/azure/active-directory/a...
---Azure Active Directory での要求マッピング~
・要件を確認する >ID のライフサイクル戦略~
> ハイブリッド ID ライフサイクルの導入戦略の決定~
https://docs.microsoft.com/ja-jp/azure/active-directory...
・ID ライフサイクルを計画する > タスク~
> ハイブリッド ID ライフサイクルの計画を立てる~
https://docs.microsoft.com/ja-jp/azure/active-directory...
・ID ライフサイクルを計画する > 採用戦略~
> ハイブリッド ID 導入戦略の定義~
https://docs.microsoft.com/ja-jp/azure/active-directory...
--Azure > Active Directory接続 > 概要 > Azure AD Connect ...
オンプレミスのディレクトリと Azure Active Directory の統合~
https://docs.microsoft.com/ja-jp/azure/active-directory/c...
**Tsmatz [#p86310cf]
-Azure Active Directory とは (事前準備)~
https://tsmatz.wordpress.com/2012/09/01/windows-azure-act...
***Web SSO 開発 [#v27b2645]
[[WS-FED>WS-Federation]]や[[SAML]]でSSO。
-.NET 編 (WS-Fed)~
Azure Active Directory の SSO 開発 (Visual Studio 2013 編)~
https://tsmatz.wordpress.com/2013/10/03/azure-active-dire...
-PHP 編 (SAML)~
Azure Active Directory の SSO 開発 (PHP 編)~
https://tsmatz.wordpress.com/2014/01/29/azure-active-dire...
-Node.js 編 (SAML)~
Azure Active Directory の SSO 開発 (Node.js 編)~
https://tsmatz.wordpress.com/2014/03/22/azure-active-dire...
-Microsoft Docs
--Azure Active Directory とアプリケーションの統合~
https://docs.microsoft.com/ja-jp/azure/active-directory/d...
***SaaS 連携 [#qb08ac4e]
SaaSと[[SAML]]でSSO。
-Google Apps (SAML)~
Azure AD の Google Apps (SaaS) 連携 (App Access Enhanceme...
https://tsmatz.wordpress.com/2014/01/16/azure-ad-google-a...
-%%kintone (SAML)%%~
%%Azure AD の kintone 連携 (Application Gallery)%%~
***OAuth [#a58c67e4]
-Service の開発 (OAuth)~
Azure AD を使った API 開発 (access token の verify)~
https://tsmatz.wordpress.com/2015/02/17/azure-ad-service-...
-JavaScript Application の開発~
JavaScript による Azure AD 連携 (OAuth Implicit Grant)~
https://tsmatz.wordpress.com/2015/03/05/javascript-azure-...
-Backend Server-Side アプリの開発~
Azure AD : ログインをしない Backend Server-Side アプリの...
https://tsmatz.wordpress.com/2015/04/09/azure-ad-backend-...
-HTTP Flow~
HTTP Flowは、resourcesというパラメタを使用したAzureADのOA...
--Native Application (iOS, Android, etc) の開発~
Azure AD を使った API 連携の Client 開発 (OAuth 2.0 紹介)~
https://tsmatz.wordpress.com/2013/07/11/native-applicatio...
--Login UI が表示できない場合のフロー (OAuth)~
Login UI が出せない Client の OAuth フロー (Azure AD)~
https://tsmatz.wordpress.com/2016/03/12/azure-ad-device-p...
***OpenID [#edb8d156]
-OpenID Connect サポート (OpenID)~
Azure AD の OpenID Connect サポート~
https://tsmatz.wordpress.com/2014/04/17/azure-ad-openid-c...
-OAuth : App development for Azure AD v2.0 endpoint
--Walkthrough for OAuth flow in Azure Active Directory~
https://tsmatz.wordpress.com/2016/02/24/v2-endpoint-oauth...
--For JavaScript Application~
https://tsmatz.wordpress.com/2016/03/02/azure-ad-msa-v2-e...
--How to use Application Permission with v2 endpoint and ...
https://tsmatz.wordpress.com/2016/10/07/application-permi...
--How to Verify Token~
https://tsmatz.wordpress.com/2016/03/08/azure-ad-msa-v2-e...
--Build your own Web API protected by Azure AD v2.0 endpo...
https://tsmatz.wordpress.com/2017/06/22/web-api-and-custo...
>上記のコンテンツの内容を確認すると、
-Microsoft の組織アカウント (Azure Active Directory, Azur...
-個人アカウント (Microsoft Account, Live ID、MSA) の
>双方に対応した v2.0 endpoint (App Model v2) と連携し、~
[[OAuth]] 2.0(ではなく、推奨されるOpenID Connect)認証を...
認証結果を他の API (Service) で検証し認証させている。
***Hybrid-IdP [#y4bcb133]
-Active Directory (企業内 Windows 環境) との Federation ...
Azure AD と Active Directory (AD FS) の Federation の手順~
https://tsmatz.wordpress.com/2015/03/03/azure-ad-active-d...
***[[Graph API]] [#sc0270fb]
***[[Web Account Manager API]] [#y949f4c9]
***Common Consent Framework [#l811026f]
-Common Consent Framework を使うと、
--管理者があらかじめ Azureポータルや[[PowerShell]]を使っ...
--アプリ使用時に Consent UI(スコープの認可画面) を表示...
-Azure Active Directory の Common Consent Framework
--(Client 側)~
https://tsmatz.wordpress.com/2014/04/01/azure-active-dire...
--(Service 側)~
https://tsmatz.wordpress.com/2014/05/27/azure-active-dire...
***Multi-Factor Authentication [#x1aeef2b]
-Multi-Factor Authentication~
Azure Active Directory の Multi-Factor Authentication (MF...
https://tsmatz.wordpress.com/2013/03/05/azure-active-dire...
--Azureの認証におけるその他サービス ~ Azureモバイルサー...
http://www.buildinsider.net/web/msidentitydev/04
---Azureモバイルサービス: 認証機能とプッシュ通知をしよう...
http://www.buildinsider.net/web/azuremobilesvc/02
***Password-based Single Sign-On [#r571067e]
上記の、Federation-based single sign-onに対する、~
UI automationぽい方法。あまりオススメでない。
-フェデレーション未対応の Web アプリとのWeb SSO (Password...
Azure AD で フェデレーション未対応の Web アプリと SSO を...
https://tsmatz.wordpress.com/2014/12/23/azure-ad-web-sso-...
**nakama [#gc82c333]
FgCF > ゼロトラスト型マルチクラウド IT 環境 > Azure によ...
※ 体系は[[コチラ>FgCF (Financial-grade Cloud Fundamentals...
***Azure AD 基礎 [#t714bd82]
-YouTube~
https://www.youtube.com/watch?v=H7TKjAGT7pA
-video、ppt~
https://nakama.blob.core.windows.net/mskk/2020_01_08_FgCF...
***Azure AD 詳細 [#zd3a479c]
https://nakama.blob.core.windows.net/mskk/2019_04_18_Azur...
***Azure 管理用 Azure AD テナントの作成方法 [#a15d6990]
-YouTube~
https://www.youtube.com/watch?v=wCqnGJHQueM
-video、ppt~
https://nakama.blob.core.windows.net/mskk/2020_10_10_Azur...
----
Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:Azure]...
ページ名: