LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@Yukimi_Choko(雪見 チョコ)

Azureハンズオン学習(無料枠範囲内・EntraID特化)

Last updated at Posted at 2025-01-16

Azureハンズオン学習

Azureを実務になった際に少しでも使えるようにするためAzure無料枠を使い学習していく。他社のドメイン確保など他社が絡むものは作業を行なったものとして進めていく

またAzureドメインは無料で簡単に作成できるため割愛

1.新しいユーザーの作成

ユーザー→「新しいユーザー」→情報入力

2.グループの作成

グループ→「新しいグループ」→情報入力しユーザーを割り当て

3.アプリケーションの登録

アプリの登録から「新規登録」
外部アプリケーションやサービスがAzureEntraIDを使って認証認可を行えるようにするための機能。
細かく見ていく、数個は下記に別途記載

①認証と認可の管理
OAuth2.0やOIDなどの認証プロトコルを使用して安全にアクセスを制御できる
②APIの保護とアクセス制御
必要に応じてアプリケーション専用のスコープやロールを定義し、どのユーザーやアプリがどのリソースにアクセス可能かを細かく管理できる
③アプリケーション固有の設定
アプリケーションとEntraIDのセキュアな連携
④SSOの実現
⑤マルチテナント対応アプリケーションの開発
マルチテナント設定を有効にすると他のEntraID(顧客や他社)からのユーザーもアプリケーションを使用可能になる
⑥トークンベースのアクセス管理
トークンを発行しアプリケーションに必要な情報を取得

4.SSO(シグナルサインオン)の設定

EntraIDに移動→アプリの登録→入力→登録
(リダイレクトURLはローカル環境の場合http://localistを設定)
その後、アプリの設定ページへ→認証メニューで設定
EntraIDトップページへ戻りエンタープライズアプリケーション→作成したSSOをクリック→ユーザーとグループ→割り当て→表示されたページにある「+ユーザーまたはグループの追加」→割り当てて保存
※Azure無料版ではグループ割り当てはできない

5.MFA(多要素認証)

設定したいユーザーを登録する→セキュリティ→表示された認証方法
ポリシー画面でポリシーやユーザーを設定
次回ログイン時から多要素認証が適用される、EntraID→監視(下の方)→サインインログで適用されているか確認
※Azure無料範囲内ではセキュリティから多要素認証を設定したが有料版になると詳細設定ができる、その際に今回使わなかった「多要素認証タブ」を使用する

6.グループベースのアクセス制御

(2でグループを作成しておく)
エンタープライズアプリケーション→対象のアプリを選択→ユーザーとグループの割り当て
※Azure無料版ではグループ割り当てはできない(やり方は上記で以上)

7.サインインと監査ログの確認

サインインログの確認はEntraID→サインインログ
※特定のユーザーやアプリケーションのログを確認
監査ログの確認はEntraID→監査ログ
※変更履歴(ユーザーの作成やロール割り当てなど)を確認

8.カスタムドメインの追加

ドメインの追加
EntraID→カスタムドメイン名→「+カスタムドメインの追加」→カスタムドメイン名を入力
ドメインの所有権を検証
カスタムドメイン名を追加した際にレコードタイプや名前、値、TTLの一覧が出てくる。それらをコピーしておく→ドメインを購入したプロバイダーの管理画面にアクセスしDNS設定をする
Azureポータルで検証
DNS設定が完了したらEntraID→カスタムドメイン名→追加したドメインを選択→確認ボタンを押す
※今回はハンズオンのためプロバイダー設定はできないためドメイン名確認できず。本番環境でもDNSが全世界に反映されるまで15分〜1時間掛かる

9.セキュリティ機能の確認

リスクのあるサインイン確認
EntraID→セキュリティ→レポート→危険なサインイン
※不審なサインインが記録されている場合に通知を確認
ユーザーリスク確認
EntraID→セキュリティ→レポート→危険なユーザー
※不正利用の可能性があるアカウントを確認

10.AzureリソースへのRBACを構成

Azureリソースに対してアクセス権を設定
RBACとはAzureなどのシステムでリソースへのアクセスを「ロール(役割)」に基づいて管理するアクセス制御の仕組み
リソースグループの作成
Azureポータル最初の画面でリソースグループ→新しいリソースグループ→名前とリージョンを指定して作成
RBACの設定
設定したいリソースグループを選択→アクセス制御(IAM)→ロールの割り当て追加→ユーザーまたはグループを選択→レビューと割り当て

配布される約3万円以内でできる事

・ユーザー管理とアクセス制御でAzure Entra ID P1プランを1〜2ヶ月利用
(1500〜3000円/月×必要ユーザー分)

・SSOや多要素認証、条件付きアクセスの有料枠を使うためプレミアムP1/P2プラン利用
(1500〜2300円/月)

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?