はじめに
本記事は、Microsoft AzureのAzure AD及び、ID関連の基本的なオペレーションを纏めた記事となる。
Microsoft Azureを学習する上でAzure AD及びID関連の理解は必須であり、読者の助けになれば良いと考えている。
本記事の対象はMicrosoft Azureの初学者、及びAzureADに触ったことはあるが、理解が乏しい方が対象となる。
また、実務でAzureADでデバイスを管理している方も対象とする。
また、筆者の簡単な自己紹介をする。
某ISPのSI部門で働く若手エンジニア(20代半ば)である。
技術領域はNW(L2・L3(Cisco CatalystやNexus)/FW/LB/BGP)・Server(Linux/時々Windows)・ストレージ・オンプレ(IPMI等のサーバ管理)・クラウド(主にAzure)・仮想基盤(vSphere)・自社サービス導入とインフラ領域で多岐にわたる。(※逆に専門と言えるものがないのが一つの悩みではある..)
本題に戻る。
Azureに関しては、既にWeb上(Qiita含む)には本テーマに関する優れたコンテンツも多くある。
必要に応じて、気になったことに関しては、更なる調査や検証は実施してもらいたい。
そのため、私自身の言葉で説明をしつつ公式ドキュメントをもとに関連のURLを掲示した纏めとして本記事を記載する。
各種オペレーションパターン
追加デバイスを管理者にする方法
Azure AD Premiumを利用しているテナントにユーザ(hogehoge@hoge.com)を追加すると仮定する。
追加したユーザを「すべてのAzure AD参加済みデバイスのローカル管理者」にする場合は、Azure Portal の [デバイス] ページで管理する。管理者にするオペレーションは定期的に発生するため、頭の中に入れておきたい。
###### 参照先:
https://docs.microsoft.com/ja-jp/azure/active-directory/devices/assign-local-admin#manage-the-device-administrator-role
外部ユーザをAzure ADテナントへ招待する方法
外部のベンダーをAzure ADテナントにゲストユーザーとして招待するケースも定期的に発生する。
その場合、外部コラボレーション設定から、ゲストの招待を許可するようにすることで可能となる。
詳細な権限等は設定すること。
参照先:
Azure ADにユーザ端末が登録・許可されない場合のトラブルシューティング
前提として、ユーザが元々、他のデバイス端末でAzure AD参加ができている場合とする。
デバイスが既に参加させることができているため、デバイス参加自体は許可されていることがわかる。
そのため、確認点はユーザーが参加させることができる最大デバイス数が上限に達しているか確認する必要がある。
デフォルトはデバイス数が50となる。最大100まで増やすことができる。
デバイス数50はPC・スマホをそれぞれ所持しており、AD参加させる必要がある場合、25人分となる。
上限に達するケースは多くありそうだ。
参照先:
M365グループの有効期限ポリシーの設定で一時的にアクセス権付与する方法
Microsoft 365グループの有効期限ポリシーを設定し、一時的にMicrosoft 365 の権限を与えたい場合や、非アクティブなグループを削除する運用を図ることが可能。
前提として、
- Azure ADテナントに参加していること
- M365テナントに参加していること
期限を設定することで期限内に利用できるMicrosoft 365の対象サービスは下記となる。
- SharePoint
- Outlook
- Teams
- Yammer
方法としては下記のいずれかのグループを作成し、ユーザを登録する。
- 対象ユーザを割り当て済みのM365アカウントグループ
- 動的で割り当て済みのM365アカウントグループ
注意点として、有効期限を設定できるのは、M365グループのみであり、Azure ADグループでは有効期限を設定することはできない。
参照先:
終わりに
簡単ではあるが、 AzureのAzure AD及び、ID関連の基本的なオペレーションを纏めた。
日々の運用等に落とし込むと、本記事で記載した以外にも様々なパターンがある。
基本的なことや前提・制約を踏まえて、実際にどのようにオペレーションすれば良いかを考えていく必要がある。
今後もAzureを中心に記事を更新する。
コメントなどは気軽に受け付けているので、お待ちしております。