勉強したこと
セルフサービスパスワードリセット
・ハイブリッド環境で有効にするにはライセンスがプレミアムであること
(365ではビジネスプレミアムとエンタープライズに含まれる)
Azure AD 外部コラボレーション
カスタムドメインの所有権の確認のためのDNS設定追加
・TXTレコードとMXレコードをDNSレジストラで登録する。
MFA認証方法
・モバイルアプリ認証コード
・電話へのテキストメッセージ(6桁のPIN)
・自動音声通話メッセージをユーザの電話に掛ける
ID保護、特権ID管理
・Azure AD premium2ライセンスが必要、E3以上
緊急アクセス用管理者アカウント
https://docs.microsoft.com/ja-jp/azure/active-directory/roles/security-emergency-access
・オンプレから同期されていないクラウド専用アカウント
・認証方法は他と異なるようにする
・グローバル管理者ロールを割り当て、サインイン ログと監査ログを監視し、定期的に検証する
パスワードハッシュ同期
・オンプレADが使えないときでも認証可能
パススルー認証
・オンプレにエージェントインストールが必要
ADフェデレーションサービス
・オンプレADに認証、スマートカード認証をサポート
パスワードレスソリューション
・Windows HELLO for Business … 認証情報はローカル。生体認証・PINのため専用端末がいる
・FIDO … 外部セキュリティキー・デバイスに組み込まれたプラットホームキー、専用端末いらない
よくわかんなかったメモ
クライアントシークレット(アプリケーションパスワード)
・有効期限は最大24か月。
自己署名証明書
https://docs.microsoft.com/ja-jp/azure/active-directory/develop/howto-create-self-signed-certificate
Microsoft Defender for Cloud Apps(旧MCAS)
・ログ欠落のアラートは48時間後
サードパーティのセキュリティ情報およびイベント管理システムにエクスポートする
https://docs.microsoft.com/ja-jp/learn/modules/monitor-maintain-azure-active-directory/5-export-logs-to-third-party-security-information
・AzLogコマンドの使用 … splunc、IBM QRadar、ArcSight
ゲスト ユーザー向けの SAML/WS-Fed ID プロバイダーとのフェデレーション
https://docs.microsoft.com/ja-jp/azure/active-directory/external-identities/direct-federation
Azure Active Directory の動的グループ メンバーシップ ルール
https://docs.microsoft.com/ja-jp/azure/active-directory/enterprise-users/groups-dynamic-membership
・等しくない … -ne
・等しい … -eq
Azure AD エンタイトルメント管理でリソースのカタログを作成して管理する
https://docs.microsoft.com/ja-jp/azure/active-directory/governance/entitlement-management-catalog-create
・Microsoft Graphのため委任された 「EntitlementManagement.ReadWrite.All」アクセス許可
試験対策
〇既存の環境等で注意すること
・グローバル管理者が割り当てられているクラウド専用のアカウントがあるか