本記事では、AZ-900で出てくるAzureのID管理サービスをまとめてみました。
認証と認可
- 認証:本人確認の機能で、IDとパスワードを入力し、本人確認を行うこと。
- その他に、携帯電話を利用した本人確認を行う多要素認証が利用されています。
- 認可:認証を済ませたユーザがサービスや機能を利用するためのアクセス権を持つことを確認する機能
Azure Active Directory(Azure AD)
AzureやOffice365などのマイクロソフトが提供するクラウドサービスにアクセスする際に行う認証と認可に使用されます。
主な機能は下記になります。
- ユーザー管理やユーザーの権限の割り当て機能
- Azure ADで一度認証が通れば、他のサービスにIDとパスワードを入力する必要のないシングルサインオンの機能
- 一度ログインしたらパスワードの変更が求められるようなパスワードの利用方法の管理を行うことが可能
Azure Active Directory Connect
- オンプレのADの情報をAzure ADに同期することができます。
- 30分に1度の間隔で自動的に同期されます。
- 同期の結果はSynchronization Serviceツールで確認可能です。
- 費用は、Azureサブスクリプションの範囲内であり、利用は無料です。
- Azure AD Connect Healthの利用には、Azure AD Premium P1 ライセンスが必要となります。
Azure AD Identity Protection
- Azure ADにおける不正アクセス検知や防止のためのサービスです。
- 不正アクセスを検視したらアラートや認証のブロック・多要素認証の強制などが可能です。
- 有償のAzure AD Pemium P2ライセンスが必要となります。
また、Azure AD Identity Protectionには下記の3つのリスクへの対処の設定を行うことができます。
サインインリスクポリシー
普段利用する場所とは異なる場所での認証やありえない移動などの不正アクセスの検証を行います。
ユーザーのリスクポリシー
多要素認証を設定していないなどの不正アクセスにあう可能性が高いユーザーの検出を行います。
Azure AD Privileged Identity Management
- 管理者ロール(以下ロールと記載)が割り当てられたユーザーに対し必要なタイミングでのみロールを与える方法です。
- ロールの申請をしないと管理者として作業できなくなります。
- 申請を行うと期限付きで管理者として作業可能です。
- 管理者ロールがアクティブになった時に通知を受けることができます。
- これにより、不必要なタイミングでのロール割り当てがなくなります。
- 監査に使用する監査履歴がダウンロードできます
利用条件
- Azure AD Premium P2ライセンスの保有
- 多要素認証の利用
条件付きアクセス
- あらかじめ決められた条件に基づいてアクセス許可/拒否が可能
- 連携済みクラウドサービスやAPIアクセスの連携を行うように構成されたアプリケーションに対してアクセス制限