こんにちは。
今回は、Azure AD ほげほげって色々あるので、辞書的に整理してみようと思います。
ひとまず、果てしなく沢山ありそうなので、ポータルで 「azure ad」で検索で出てきた上の内容を中心にまとめてみよっと♪
Azure Active Directory
- Azure AD のサービスそのもので、以降のサービスや機能は基本的には、Azur AD の機能やそこから派生したサービス
- Azure のサブスクリプションや、Microsoft 365 のテナント管理で使われます。
※ Microsoft Azure のテナントとサブスクリプションの関係 – メモログ (memobog.net) - ドキュメントに載っているAzure AD の主な機能(半分くらい後述してます)
- Azure AD は Free,P1,P2 って SKU があります。ざっくり違いを知るのは価格のページがいいのかな〜。なんかこのページちゃんと情報更新されるのか若干怪しいんだよな。。。。
- Azure AD の SLA についてはこちら。SLA を受けるためには、P1 以上の有料のSKU ってことだけど、Free だと SLA 違反でもサービスクレジットを返すための元の支払いがないから、そりゃそーかって感じ
Azure AD Authentication methods
- サービス名の通り、Azure AD の認証方法を設定する機能
ドキュメントに、認証方法とセキュリティ強度はこんな感じで整理されてます。
ちなみに、AAD Authentication method の Policy を設定するためには、統合されたセキュリティ情報の登録の有効化をする必要がありましたよ。
Azure AD Authentication strengths
- AAD Authentication method の中の 1 機能で、現時点(2023/02/02) ではプレビューの機能
- 認証方法の組み合わせをカスタマイズできる条件付きアクセスです。
こんな感じ
Azure AD B2C
- Azure AD とは別サービスになるので、課金モデルは異なる。
- カスタム ブランドの ID ソリューション
- 自テナントとは別のテナントを Azure のサブスクリプションに作成できる
- B2C で使うシーンが多いのかもだけど、「ユーザ主導でアカウントを作成できる(管理者が絡まない)と認証時に自社ロゴを出すなどのブランディングができるテナント」くらいで、まずは思ってもいいかも。
Azure AD B2C テナントを作成するためには Resource providers で、Microsoft.AzureActiveDirectory が Registerd になってる必要がある。
Azure AD Conditional Access
- P1 ライセンスが必要
- 認証を行う際のポリシー(多要素認証を強制するとか、レガシー認証をブロックするとか)の作成とその適用状況のレポート
- 認証の際に利用規約を表示するような機能もある。
- Azure Portal への接続できる「場所」を限定的にするケースでよく使われてる機能だと感じます。
- 場所を限定する使い方も大切だけど、その前に多要素認証とかを強制して ID を守ることも大切かも。。
Azure AD Named Locations
- Azure AD Conditional Access の機能の一部
- P1 ライセンスが必要
- 名前付きネットワークを定義(国[IPベース]や、IPの範囲)し、Condtion Access のポリシー作成で関連づけて利用する。
[Named Loction で Japan だけ許可したのを作って]
[Condtiona Access の Policy で紐づける]
Azure AD Connect Health
- Azure AD Connect クラウド同期を使うことで、オンプレ AD のユーザー、グループ、連絡先を Azure AD に同期することができます。
- Azure AD Connect は以下の機能を持つ
- Azure AD Connect Health はAzure AD Connect の正常性監視の機能です。
Azure AD Connect のある環境がないので、クイックスタートを貼っとこっと。 Azure AD Premium 試用版を入手してって書いてあるけど、Azure AD Connect は無料の SKU で利用できたはず。
Azure AD Domain Service
- Azure Active Directory Domain Services(AADDS) は、すんごくざっくり言うと、オンプレ Active Directory Domain Service を Azure 上でできるようにしたもんです。なので、GPO の配布とかもできます。
- オンプレ AD にいちいち認証行かないといけないようなアプリがあるとすると、それを Azure ないで済ませてしまおうって言った時に使うケースもあるかも。
- Azure Virtual Desktop とかのサービスを作る際に必要になったりもする。
- Azure AD とは別サービスで課金体系も異なる。
- AAD ,AADDS,オンプレADDS の使い分けにを理解するには、このドキュメントがいいかも。
Azure AD Identity Protection
- 名前の通り、AAD の ID を監視分析を行い、以下の機能を提供する
- ID ベースのリスクの検出と修復を自動化します。
- ポータルのデータを使用してリスクを調査します。
- リスク検出データを他のツールにエクスポートします。
- 危険な状態のユーザーが検出された電子メール
- P2ライセンスが必要
- リスクが検出されてブロックされたユーザのブロック解除も当然必要になりますよね。
Azure AD Identity Secure Score
- こんな感じ(めっちゃスコア低いw)
- 一般的な構成をベースにアセスメントしているので、100%にはなかなかならないかも。
- 状態で代替えの軽減策を利用して解決済みというような選択肢もあるので、これをベースに Azure 環境のセキュリティ対策の改善を行ってもいいかも。
Azure AD Risk detections
- Azure AD Identity Protection を利用すると、以下の 3 つのレポートが提供され、その中の 1 つ
- 危険なユーザ
- 危険なサインイン
- リスク検出
- リスク検出レポートによって提供される情報を使用して、管理者は、以下を見つけることができます
- 各リスク検出についての種類を含む情報
- 同時にトリガーされたその他のリスク
- サインインが試行された場所
- Microsoft Defender for Cloud Apps から得られた情報をさらに詳しく確認するためのリンク
Azure AD Risky sign-ins
- Azure AD Identity Protection を利用すると、以下の 3 つのレポートが提供され、その中の 1 つ
- 危険なユーザ
- 危険なサインイン
- リスク検出
- 危険なサインイン レポートによって提供される情報を使用して、管理者は、以下を見つけることができます。
- どのサインインが、危険である、侵害が確認された、安全であると確認された、無視された、または修復されたと分類されているか
- サインイン試行に関連付けられ、リアルタイムで集計されたリスク レベル
- トリガーされた検出の種類
- 適用された条件付きアクセス ポリシー
- MFA の詳細
- デバイス情報
- アプリケーション情報
- 場所情報
Azure AD Risky users
- Azure AD Identity Protection を利用すると、以下の 3 つのレポートが提供され、その中の 1 つ
- 危険なユーザ
- 危険なサインイン
- リスク検出
- 危険なユーザー レポートによって提供される情報を使用して、管理者は、以下を見つけることができます。
- どのユーザーにリスクがあり、リスクが修復されたか無視されたか
- 検出の詳細
- すべての危険なサインインの履歴
- リスクの履歴
- 管理者は、これらのイベントに対してアクションを実行することを選択できます。 管理者は、以下を実行することを選択できます。
- ユーザー パスワードをリセットする
- ユーザーの侵害を確認する
- ユーザー リスクを無視する
- ユーザーによるサインインをブロックする
- Azure ATP を使用してさらに調査する
Azure AD Risky workload identities
- Azure AD Identity Protection は、ID ベースのリスクの保護してきました。
現在、これらの機能をワークロード ID に拡張して、アプリケーションとサービス プリンシパルを保護します。
Azure AD Password protection
- まぁー、パスワードは大切だから、簡単なのにしないようにしましょうねってことと、入力ミスがあれば、ロックしちゃいましょうっていう考え方ですね。
- ただ、MS では MS Authenticate とかを使うなどの多要素認証を推奨していて、それらが使えない場合に、対策を練るようなものだと思ってます。
Azure AD Privileged Identity Management
- P2 ライセンスが必要
- ざっくり言うと、Just in Time ができて、一時的にアクセスする権限をつけることができる
Azure AD Security
- Azure Active Directory Security タブの内容と一緒
Azure AD roles and administrators
- Azure Active Directory
- Azure AD Authentication methods
- Azure AD Authentication strengths
- Azure AD B2C
- Azure AD Conditional Access
- Azure AD Named Locations
- Azure AD Connect Health
- Azure AD Domain Service
- Azure AD Identity Protection
- Azure AD Identity Secure Score
- Azure AD Risk detections
- Azure AD Risky sign-ins
- Azure AD Risky users
- Azure AD Risky workload identities
- Azure AD Password protection
- Azure AD Privileged Identity Management
- Azure AD Security
- Azure AD roles and administrators
- おまけ
- まとめ
おまけ
ポータルに、Azure AD で検索しても出てこなかったけど、おまけ的に書きたくなった機能です。
Azure AD B2B コラボレーション
- AAD の機能の一つで、自テナントに、よそのテナントをゲスト招待する機能
- 多分、これはみんなこの機能って意識しないで使ってることが多いと思います。
Azure AD B2B Direct Connect
- 現在(2023/01/16)は、Microsoft Teams の共有チャネルで動いている機能
- 自テナントと他テナントを相互に信頼関係を設定する機能
- B2Bコラボレーションのように、自テナントにゲストユーザのオブジェクトは作成しない
Azure AD Application Proxy
- 社外から、社内のWEbアプリケーションにVPNやDMZを使わずにアクセスできる機能
- アプリケーションに接続する際は、まずは、M365 テナントの認証が行われる。
なので、多要素認証などを導入しやすい。 - 登録したアプリケーションは、「https://myapps.microsoft.com」に表示される。
- Azure AD P1 プランが必要
まとめ
多分、ここに載ってきてない、Azure AD なんちゃらってまだまだ沢山あるような気がします。
MS のドキュメントも、サービスの話をしてるのか機能の話をしてるのか、レポートの名前の話してるのか、よくわかんないので混乱の元になると思いますが、1 つ 1 つの機能がわかっちゃえばわかると思うので、ゆっくり読みほぐしていければなって思います。
AAD も、ただの認証プロバイダーという位置付けから、ID を保護するセキュリティの部分で進化していて、より信頼できる認証プロバイダーとなっているんだなーって、今回整理して思いました。
って、AAD って色々機能あり過ぎて全然情報追えてないので、もっと色々勉強しよっと。
コメント