個人用のメモ。
Azure ADについてまったく知識がなかったので覚書として概要をメモしておきます。
Azure ADとは
- Saasとして提供されるユーザ、デバイス、ディレクトリ管理サービス。インターネット上の統合認証基盤。
- Azure ADでできる主なこと
- ユーザー及びデバイスの管理
- アプリケーションの管理(ユーザーに対して割り当てるアプリ)
- 様々なクラウドサービスへのシングルサインオン(SAML認証 or パスワード認証)
- 多要素認証
- オンプレリソースへのリバースプロキシ(アプリケーションプロキシ)
- 元々はOffice365のユーザ認証で利用されている。Office365テナント契約時には自動的に環境作成されるが、Azure AD無償版の範囲なので、より幅広くサービス利用する場合は有償ライセンスの契約が別途必要。
オンプレActive Directoryとの関係性
- オンプレのActive DirectoryとAzure ADは完全に別物。信頼関係も結べない。
- ただしAzure AD Connectを構成することで、オンプレADからAzure ADにディレクトリ情報、オブジェクト、パスワードを同期可能。
- 同期は基本的に一方向(オンプレ→Azure AD)
- Azure ADでアカウントのパスワードを変更した場合のみ、オンプレADにパスワードを反映可能。(パスワードの書き戻し)
- Azure AD Connectで「パススルー認証」を構成すると、ユーザがAzure ADアクセス時にオンプレのADでユーザ認証できるようになる。IDフェデレーション環境に従来必要であったAD FSは不要。
利用できる認証方式
- MFA(多要素認証)(ワンタイムパスワード、SMS)
- Windows Hello for Business(登録デバイス+生体認証)
- デバイス認証(管理化デバイス or 個人デバイスの判断)
- 条件付きアクセスポリシー(信頼できる場所、デバイスの状態、ユーザー)
Azure AD ドメインサービス?
- Azure AD上に構成するドメインコントローラーのサービスもある。
- Kerberos認証やLDAP読取りアクセスを行うオンプレのアプリを、リフト&シフト方式でAzureに移行し、オンプレでそのアプリをホストしているハードウェアを廃止したいときなどに使用する機能。
- Azure ADドメインサービスでオンプレのAD DSのすべての機能が提供されているわけではない。オンプレのADをそのまま移行できるわけではないので注意。
Azure ADドメインサービスの制限事項
Domain Admins / Enterprise Adminsがない
- 上記の権限が必要な場合は利用不可
- 同レベルのアカウントとしてAAD DC Administratorsを利用
Default Domain Policyを変更できない
- パスワードポリシーなどは変更できない
フォレストに対する管理、変更ができない
- 信頼関係、スキーマ拡張、機能レベルの変更
参考にしました
Active Directory?Azure Active Directory?混乱ポイントを整理!
Active DirectoryのPaaS版、Azure Active Directory Domain Servicesとは?
気になること
- Azure AD + GSuiteの運用 ユーザプロビジョニングなど運用効率はいかがなものか
- 将来的にオンプレのActive DirectoryはAzure ADに移行できるものかの検討
- Intuneを利用したデバイス管理 BYOD利用のアクセス制御、ログ運用とユーザビリティのバランスについて
- 他の認証基盤サービスとの比較 ex.HENNGE One コスト面での対比など
Azure ADで行えることは非常に多岐にわたっており、夢が広がりまくることまでは認識したが
実際の社内での運用において必須とされる要件や、内製可能な範囲は限られるはずなので
他の類似サービスとは、運用上のマスト要件部分での比較が必要だなと思った次第。
とりあえずAzure ADと、Azure上に構築したVMのActive Directoryサービスを
勝手に混同してイメージしていたのには恥じ入るばかり。。
引続き学習を進めます。