Microsoft Learnを用いたMicrosoft Azure Fundamentals(AZ-900)の試験内容をまとめる投稿です。
この投稿ではMicrosoft Learnで学ぶ内容をできるだけ簡潔にまとめております。
Azureの勉強を一から始める方の参考になれば幸いです。
今回の学習内容
◆「Azure ディレクトリサービス」
◇対応するMicrosoft Learn ラーニングパス
Azure の基礎: Azure のアーキテクチャとサービスについて説明する
◇対応するモジュール
Azure ディレクトリ サービスについて説明する
※前回の投稿は下記から確認できます。
Azure Fundamentals(AZ-900):Azure の基礎: Azure のアーキテクチャとサービスについて説明する「Azureのファイル移動オプション」
Azure ディレクトリサービス
Azure Active Directory(Azure AD)
クラウドベースのIDおよびアクセス管理サービス
◆Azure ADの利用者
◆Azure ADが提供するサービス
◇認証
アプリとリソースにアクセスするためのIDの検証
・セルフサービスによるパスワードリセット
・多要素認証(MFA:Multi-Factor Authentication)
・禁止されているパスワードのカスタムリスト
・スマートロックアウトサービスなど
◇シングルサインオン(SSO:Single Sign On)
1つのユーザ名と1つのパスワードで複数のアプリにアクセス可能
・ユーザのIDは1つのため、セキュリティモデルが単純化
・アカウント変更/削除時の労力が大幅に減少
◇アプリ管理
クラウドとオンプレミスのアプリを管理可能
・アプリケーションプロキシ、SaaSアプリ、マイアプリポータル、SSOを使用すると、ユーザエクスペリエンスを向上可能
◇デバイス管理
デバイスの登録により、ツールを使用した管理が可能
・アカウントに関係なく、デバイスごとにアクセス制御が可能
◆オンプレミスのADとAzure ADの接続
オンプレミスのADとAzure ADがある場合は、2つのIDセットを維持する必要がある
⇒Azure AD Connectを用いて両者を接続することで、オンプレミスとクラウド間でユーザIDを同期可能
・Azure AD Connectでは両方のIDシステム間で変更が同期される
⇒両方のシステムでSSO、MFA、セルフサービスによるパスワードリセットが可能
Azure Active Directory Domain Services(Azure AD DS)
マネージドドメインサービスを提供
※マネージドドメインサービス(AD DS機能):ドメイン参加、グループポリシー、LDAP認証、Kerberos/NTLM認証など
・クラウドでドメインコントローラ(DC)をデプロイ、管理、パッチすることなく、ドメインサービスを使用可能
・既存のAzure ADテナントと統合されることにより、
-ユーザは既存の資格情報でサインイン可能
-既存のグループとユーザアカウントを使用して、リソースへのアクセス制御が可能
※Azure ADテナント:単一の組織を表し、Azure AD利用時に自動的に作成
◆Azure AD DSのしくみ
・マネージドドメインを作成するときは、一意の名前空間(ドメイン名)を定義する
⇒選択したリージョンに2つのWindowsサーバDCがデプロイされる( =レプリカセット)
・これらのDCの管理、構成、更新は自分で行う必要なし
⇒マネージドドメインの一部としてDCを処理
◆情報の同期
・マネージドドメインはAzure ADからの一方向の同期のみ
・マネージドドメイン内で直接リソース作成は可能だが、Azure ADに同期されない
・オンプレミスのAD DS環境とのハイブリッド環境
⇒Azure AD ConnectでID情報がAzure ADと同期された後、マネージドドメインと同期
・マネージドドメインに接続されるAzure内のアプリ、サービス、VMは共通のAD DS機能を使用可能
次の学習内容
◆Azureの認証方法
学習内容をまとめたページの一覧