AzureADのハンズオンセミナーに参加して

参加セミナー

Azure Antenna - 開発者の創造性を支援する発信基地の『Azure 開発・運用担当者のための ID 管理と権限制御』に参加しました。

参加目的

業務でAzureを利用しておりセキュリティ対策としてAzureADが使えるかどうかが知りたかった。

私の知識レベル

• Azureの以下のサービスを利用している。
  • WebApps
  • Azure Storage
  • SQL DB
  • VSTS
• ローカルのActiveDirectoryは理解している。
• AzureADについては使ったことは無い。

事前知識

資料を見る前に少し補足です。
これを知ってからみるとわかりやすいかなと思います。

AzureADとAzureの親子関係

• AzureADが親でAzureが子供になります。（このセミナーで初めて話を聞いて知りました）
• 子供のAzureにログインして親のAzureADを操作するという奇想天外な事になっている。

これならAzureADだけ名前を変えて独立したサービスにした方がよっぽどわかりやすい。

AzureにログインできるユーザーIDの種類

AzureにログインできるユーザーIDには2種類あります。

• Microsoftアカウント(MSA、旧 Windows Live ID）
• AzureADで作成したアカウント

Azureにログインするのに良いアカウントはどっち

• AzureADのアカウントをすでに持っている場合
  • AzureADアカウントを利用する
• AzureADのアカウントを持っていない場合
  • Microsoftアカウントを利用してログインしてAzureADアカウントを作成する

最初からAzureADアカウントを持っているパターンとしてはOffice 365を利用している等です。
Microsoftアカウントを作らないでAzureADのアカウントも作れるみたいですが、手間がかかるみたいなので素直にMicrosoftアカウントを作ってそれを管理者用として運用しましょう。
業務で使用するのにこれってどうなのって思うんですが、良くわからないので後でマイクロソフトの人に聞いてみたいなって思っています。

AzureADを作るとどうなるか

• AzureADアカウントを作るにはまずAzureADを作ります。
• AzureADを作るとAzureADディレクトリ（テナント）が作られる。
• AzureADディレクトリ内にAzureADアカウントを作っていきます。

AzureADアカウントは複数のAzureADディレクトリに属する事ができるので結構複雑になってきます。

サブスクリプションを作ってリソースグループと関連付ける

• Azureに最初にログインしたアカウントでサブスクリプションを作る。
• リソースグループを作ってそこにサブスクリプションを割り当てる。
• WebApps等のサービスを作成してリソースグループを割り当てる。

サブスクリプションって実際なんだかは良くわかってません。
セキュリティーの境界とAzureのサービスの課金単位って話です。
すいません。ここは理解不足です。

AzureADディレクトとAzureのリソースグループを関連付ける

• AzureADディレクトリ内のAzureADアカウントにサブスクリプションを割り当てる

ここまでを行うとAzureADアカウントとAzureのサービスの関連付けが終わるのでAzureADで管理することができます。

AzureでのAzureADの役割

• 認証
  • Azureを利用できるユーザーか判断する。
• 認可
  • Azureの各リソースに対するアクセス制御
• 監査
  • 各リソースの操作ログの取得

セミナーの内容

1. はじめに
2. Azure利用者のIDと権限管理
3. サブスクリプションとディレクトリ
4. Hands-on：自分の環境を確認しよう
5. Role Play：開発と運用の役割分担
6. ロール定義とカスタムロール
7. AzureにおけるIdentity
8. まとめ
9. Appendix

資料はこちらにあります。
私が説明するよりもこの資料を見てもらった方が良いかと思います。

やってはいけないこと

• 私がこの状態なのですが、Microsoftアカウントとして使っているメールアドレスをAzureADアカウントとして登録する事だそうです。
  一つのメールアドレスが、MicrosoftアカウントでありAzureADアカウントである状態です。
  Azureポータルとかにログインする時もそうなのですが、どっちのアカウントでログインしているかわかりません。
  なお、現在はこの設定はできないみたいです。
• Azureにログインして欲しくないユーザーをAzureADに登録してはいけません。
  ここに登録するとAzureにログインできてしまいサービスの設定とかが見れたり変更できたりできてしまいます。
• 一つのMicrosoftアカウントを複数人で使いまわしてはいけません。
  私はAzureADを知らなかったのでこれをやっていました。
  Aさんが作ったAzureにBさんもログインしたいって言った場合、AさんのMicrosoftアカウントでログインするしか方法が思いつかなかったので・・・
  実際は、AzureADアカウントを作ってそれでログインするが正解です。
  そうする事で操作ログもしっかりとれますので。

感想

無料のセミナーだったのでそんなに期待していなかったのですが、マイクロソフトの方が講師だとは思いませんでした。
とても親切に教えていただき短い時間でしたがAzureADについて理解することができました。

AzureADが効果的に使えるとセキュリティー面についてはかなり楽になるなという感じがしました。
ちゃんと操作ログも残せるし、権限設定によってできる事も変えられるので。
ここら辺はローカルADと似ている所ですね。
あと、複数人でAzureを利用する方法について知ることができたのもとてもよかったです。
ここは期待していなかったのですが、ずっと知りたかったので。

わかりずらい点としては、Azureの中にAzureADが入っている事です。
親と子が逆転しているのでなんだってなります。
できればAzureADは独立したサービスにする方が良いと感じています。
また、MicrosoftアカウントとAzureADアカウントを統合してもらえると最高です。
あと、ローカルADとも違うので思い切ってADって名前変えた方が良いかなとも感じています。

最後に、AzureADアカウントを利用してできる事やログの部分とかセキュリティーの設定とか続編的なセミナーを行ってもらえると私としては嬉しいです。