はじめに
- Microsoft 社の IDaaS「Azure Active Directory」の機能のうち、「管理単位(AU)」について記載します。
IDaaS(Identity as a Service)とは
概要
- Identity 管理(ユーザアカウントといったIdentityの管理)を担うクラウドサービスを指します。
例
- 一例として以下があります。
| 名前 | 提供元企業 |
|---|---|
| Azure Active Directory | Microsoft社 |
| Okta | Okta社 |
| OneLogin | OneLogin社 |
Azure Active Directory (Azure AD) とは
- 前述のとおり、Microsoft 社が提供する IDaaS です。
機能
- 私見ですが、以下の機能があります。
| 種類 | 説明 |
|---|---|
| ディレクトリサービス | ユーザ、グループ、アプリケーション、デバイス、リソース操作のためのアカウント(マネージドID) を管理します。 |
| 認証 | 各サービスを利用するための認証基盤を担います。「SAML」や「Open ID Connect」といったフェデレーションプロトコルにより、Salesforceといったクラウドサービスへのシングルサインオン(1度の認証で複数サービスを利用可能とすること)を実現します。 |
| ID連携(プロビジョニング) | 「SCIM」といったプロビジョニングプロトコルにより外部サービスにIDを連携します。 |
| 認可 | 「Microsoft Graph」等の API について、許可された権限内でディレクトリのリソースを扱えるよう制御します。その際、「OAuth」, 「Open ID Connect」といったプロトコルが利用されます。 |
| IDの保護 | 「Azure AD identity protection」といった機能で匿名 IP アドレスからのログイン等、リスクの高いユーザに対するアラート、また自動でサインインのブロックを行います。 |
| Active Directory とのディレクトリ同期 | 「Azure AD Connect」、または 「Azure AD Connect Cloud Provisioning」 といったツールで、後述の 「Active Directory」とディレクトリを同期します。 |
Active Directory (AD) との違い
-
Microsoft 社は、Windows Server 上で Azure AD と似た名称の「Active Directory」というディレクトリサービスの機能を提供してきました。
- 近年は、PaaS 版 AD として「Azure Active Directory Domain Services」もあります。
-
私見ですが、以下は AD と Azure AD の違いです。
| 観点 | Active Directory | Azure Active Directory | 備考 |
|---|---|---|---|
| プロトコル | LDAP, Kerberos, NTLM | SCIM, OAuth, SAML, Open ID Connect など | |
| ドメイン | ドメインを親子関係で階層化し、複数のドメインツリーから成る「フォレスト」を形成する。 | ドメインは階層化しない。別ドメインのユーザは Azure AD B2B で自ドメインに招待する。 | |
| アクセス対象 | プロトコル「Kerberos」でドメインに参加したサーバーにアクセスする。 | プロトコル「SAML」,「Open ID Connect」でドメイン外のクラウドサービスにアクセスするケースが多い。 | 「Active Directory Federation Service」を利用すれば、ADでもドメイン外のクラウドサービスにアクセスはできる。 |
| オブジェクト | プロトコル「LDAP」により木構造で管理する。例えば、ユーザオブジェクトの場合、「cn=user,ou=accounts,dc=example,dc=com」といった DN (Distinguish Name) で表す。 | 木構造で管理しない。 | |
| グループポリシー | ou (Organizational Unit) にオブジェクト (ユーザ, グループ, コンピュータ等) を格納しグループポリシーを適用する。 | グループポリシーはない。代わりに、Microsoft Intune と組み合わせてデバイスのアクセスを管理する。 |
管理単位(AU)とは
- 公式ドキュメント より、「AU」は、Azure AD のユーザやグループ等を格納するコンテナを担います。
- また、AU の管理対象に対して、特定のロールを持つ AU の管理者をもうけることができます。
AD の ou との違い
- AD では ou というユーザやグループ等のオブジェクトを格納し、グループポリシーを適用する機能があります。
- Azure AD の AU はユーザやグループ等を格納できる点は類似しています。ただ、Azure AD ではグループポリシーの機能はないため、AD のようにグループポリシーを適用する利用方法はありません。AU に対して特定の管理者を割り当てることはできます。
AU の操作方法
-
公式ドキュメント より、以下が挙げられています。
- Azure Portal
- PowerShell
- Microsoft Graph
Azure Portal 上での AU の操作
以下では、AU にユーザを格納し、AU に対するライセンス管理者を設定する例を記載しています。
-
公式ドキュメント より、AU の管理者には Azure AD Premium P1 ライセンス、または、P2 ライセンスが必要です。事前に、AU の管理者とするユーザに本ライセンスを割り当てます。今回は、auadmin というユーザが該当します。
-
全体管理者で Azure Portal にログインし、[Azure Active Directory] - [管理単位] - [追加]を開き、AU を作成します。
i. AU の名前を設定します。
ii. AU に対する管理者を設定します。今回は、手順1 の auadmin をライセンス管理者として設定します。
iii. 最後に確認画面で AU を作成します。
-
[Azure Active Directory] - [管理単位] で、作成した AU を選択し、[メンバーの追加]を実行します。今回は、auuser というユーザを AU の管理対象として設定します。
-
AU のライセンス管理者である auadmin で Azure Portal に再ログインします。
-
[Azure Active Directory] - [ユーザー]より、AU の管理対象である auuser を開きます。[ライセンス]の[割り当て]が許可されていることが確認できます。
-
[Azure Active Directory] - [ユーザー]より、 AU で管理対象外のユーザを開きます。以下のように、ライセンスの[割り当て]が許可されていないことが確認できます。
