目的
SE初心者の私がAZ-104を勉強するにあたって、
Azureの単語や、「これ何?」と思ったインフラエンジニアとして知っておいたほうが良い単語をここに記載していきます。
勉強のセクションごとで記載しているため、Azureの単語と分からなかった単語はごっちゃになっていることがあります。ご了承ください。
【参考】
・徹底攻略 Microsoft Azure Administrator教科書[AZ-104]対応 徹底攻略シリーズ
今回の範囲
徹底攻略 Microsoft Azure Administrator教科書[AZ-104]対応 徹底攻略シリーズの第二章。
ただいま絶賛勉強中なので、内容は少なめです。
そのまま書いているわけではないですので、ご注意ください。
単語帳
Azure ADの仕組み
【Kerberos】
AD DS(Active Directory Domain Service)での、認証と承認を行う仕組み
【TGT】
Ticket Granting Ticket の略。
ドメインコントローラーがクライアントPCに発行する認証情報。
これがあることで、サーバーにアクセスするための第一段階が完了する。
【ST】
Service Ticket の略。
サーバーからクライアントPCに発行する、承認情報。
これによってクライアントPCからサーバーにアクセスするための最終段階が完了する。
【トークン】
Azure ADからAzure Portalを通してアクセスしたクライアントPCに発行する、認証情報。
このトークンを用いて、SaaSアプリにアクセスできる(Microsoft365、Facebook、Salesforceなど)。
SaaSアプリがトークンを読み、承認を与える仕組み
Azure ADのエディション
【Azure AD Free】
無料版Azure AD。ユーザー管理だけの基本的機能のみで、ユーザー数は500,000に制限。
【Azure AD office 365アプリ】
Microsoft365に含まれるたエディション。
Freeの機能+セルフサービスパスワードリセット。
【Azure AD Premium P1】
有料版のAzure ADエディション。オンプレミスとクラウドを併用する企業向けのサービス。
【Azure AD Premium P2】
最上位互換。P1の機能+Azure AD Identity Protection+Azure AD Privileged Identity Management
Azure ADの機能
【セルフサービスパスワードリセット】
パスワードを忘れたときに、自分でリセットできるようにする機能。
「パスワードを忘れましたか?」って時にメールとかで送ったり、秘密の質問答えたりする機能。
【Azure AD Identity Protection】
不正アクセス検知
【Azure AD Privileged Identity Management】
時間限定で管理者権限の付与
テナントの構成
【テナント】
AzureADのインスタンス。
組織を表す単位で、ユーザ、グループ、リソースアクセスを管理する。
複数のサブスクリプションを関連付けることが可能。
テナントは複数個作れるが、各テナント間の繋がりはなし。
【カスタムドメイン】
Azure ADのドメイン(テナント名)を変更できる。
認証情報の入力時はユーザ名@ドメイン名という形になり、
このドメイン名をカスタムして追加できる。
追加するためには、外部DNSサーバにレコード(TXT,MXレコード)情報を登録し、そのカスタムドメインの所有権を得なければならない。
ユーザ作成
【ID】
ユーザ名とドメイン設定など。
【設定】
サインインブロックの設定と利用場所の設定。
Azure AD Premiumの割り当て時には利用場所の設定は必須。
【一括作成】
ユーザ情報をCSVファイルに入力し、一括に登録できる方法。
Azureポータルからテンプレートをダウンロードすることができる。
テンプレートは3行からなり、3行目の「サンプルデータ」を変更すれば利用可能。
CSVファイルをアップロードして、登録。
グループ
【グループ】
ユーザが所属するグループ。
まとめてアクセス権限の付与を行える一つの単位。
SaaSアプリへのアクセス権限はAzure AD Premiumでなければ設定できない。
【動的メンバーシップルール】
Azure AD Premiumのみで使用可能。
ユーザやデバイスに基づいて、動的にメンバー管理を行う際に使用するクエリ。
下記のようなクエリで管理し、「部署」の部分で条件づけすることで、
条件から外れた場合にグループから外すというように管理できる。
| 名前 | 部署 |
|---|---|
| 鈴木 | 営業 |
| 田中 | 人事 |
条件では演算子を用いて様々な設定を行える。
ロール
【ロール】
テナントにおける管理者権限の付与。
管理者権限を持つことでテナントのユーザとグループ管理を行える。
テナント作成者にはグローバル管理者が付与される。
| ロール名 | 内容 |
|---|---|
| グローバル管理者 | Azure ADのすべての操作が可能 |
| グローバル閲覧者 | グローバル管理者が読める情報の閲覧が可能 |
| ユーザ管理者 | ユーザとグループに関する操作が可能 |
| パスワード管理者 | ユーザへのパスワード操作が可能 |
| ライセンス管理者 | ユーザやグループのライセンス管理が可能 |
| レポート閲覧者 | サインインや監査レポートの閲覧が可能 |
| ユーザー | 管理者権限を持たない、一般的ユーザ |
同期
【Azure AD Connect】
AD DSとAzure AD を同期させるツール。
同期間隔は既定で30分に設定されている。
AD DS の情報をAzure ADにそのまま反映する形式であり、
AD DSでのユーザやグループの変更をAzure ADに反映する
(AD DSでの登録時もAzure ADに登録が反映される)。
オンプレミスのドメインサーバにAzure AD Connectをダウンロードし、Azure AD Connect 同期サーバとして利用する。
【ステージングモード】
同期サーバを障害時でも冗長稼働させるために、
2台でのアクティブスタンバイで構成すること。
【アクティブスタンバイ】
同じサーバを用意し、一つを主系(プライマリ)、つまりはメインで普段は使い、もう一つは待機系(セカンダリ)として運用すること。
障害発生時に主系から待機系にフェールオーバーし、稼働するサーバを切り替える形式。
【Azure AD Connect Health】
Azure AD Connectをインストールしている同期サーバが適切に稼働しているかをAzure AD Connectポータル上から監視できるツール。
同期サーバ内のAzure AD Connectエージェントが情報をポータルに送る形式。
このツールは、Azure AD Premiumで利用可能。