【Azure】 Azure Active Directory の ID の保護およびガバナンスの機能

はじめに

平素より大変お世話になっております。

いつまでたってもAzureADの内容があいまいだったので、まとめてみた記事第2弾！
今回は、ID の保護およびガバナンスの機能です！

AzureADでのIDライフサイクル

例えば、一般的な企業がIDのライフサイクルを考える場合、以下の3つがイベントとなります。

1.入社
2.異動
3.退社

この3つのイベントが発生したときに、IDを作成・変更・削除しなければなりません。
Azure AD Premiumでは、他SaaSシステムとID管理を統合できるので、AzureADでユーザーアカウントの管理が可能になります。

IDライフサイクルの管理として、AzureADで必要なプロセスは2つあります。

アクセスのライフサイクル

時と場合により、ユーザーが持つ権限の変更が発生するのは自明の理ですね。
利用しているリソースに対してアクセス権限を設定したり、反対に削除したりする必要があります。
Azureではこれを動的グループを用いて自動化することができます。
動的グループとは、要件によりグループのメンバーを決定できる機能です。
ユーザーに付加された情報が変更された場合は、自動的にグループも組み替えられ、動的グループに関連付けられた権限により、ユーザーに権限付加がされるようになります。

特権アクセスのライフサイクル

特権アクセス=管理者権限です。必要に合わせて各アカウントに対して管理者権限を付加する場合がありますが、言わずもがなこれは利用終了次第、すぐに削除するなど管理をしないとなりません。
AzureADでは、この特権アクセスの管理にAzure AD Privileged Identity Managementを利用します。

Privileged Identity Management

上で書いた通り、AzureADでの特権管理を行う機能です。
特徴は以下の通り。

• ユーザーのアクセスを利用開始・終了日で管理できる
• 権限を付加する際に特定ユーザーの承認を求めることができる
• 権限が付与されたら特定ユーザーへ通知が送信できる
• アクセス履歴がダウンロードでき、後に監査が必要な場合に利用できる

この機能はAzure AD Premium P2で利用できます。

エンタイトルメント管理(Identity Governance)

エンタイトルメント管理は、組織が ID とアクセスのライフサイクルを大規模に管理できるようにする ID ガバナンス機能です。
エンタイトルメント管理により、アクセス要求ワークフロー、アクセス割り当て、レビュー、および有効期限が自動的に管理されます。

機能的には、権限管理のためのワークフローが実装されるイメージですね。

エンタイトルメント管理を利用すると、アクセスパッケージの管理を特定のユーザーに委任することができます。

委任されたユーザーは、

• アクセス権を要求できるユーザー
• そのアクセス権の承認を担当するユーザー
• アクセス権の有効期限などのルール
  などを含むポリシーを定義します。

また、外部ユーザーに対しては以下のようにもできます。

• アクセス権が承認されると、自動的にディレクトリに招待され、アクセス権が付与される
• アクセス権の有効期限が切れた際、他のアクセスパッケージに割り当てされていない場合は、自動的にB2Bアカウントを削除する。

この機能もAzure AD Premium P2で利用できます。

Azure AD アクセスレビュー

Azure AD へのアクセス権限を確認することができる機能です。
アクセスレビューを有効化すると、各ユーザー自身または特定のユーザーが各自のアクセス権をレビューし、正しいアクセス権が付加されているか確認してもらうことができます。これはゲストも同様です。
アクセスレビューを作成する管理者は、レビュー担当者がプロセスを完了するまでの進行状況を追跡できます。
アクセスレビューが完了したら、手動・自動的にグループのメンバーシップやアプリケーションの割り当てからアクセス権が削除されるようにできます。
ただし、動的グループやオンプレミスのグループは除きます。

この機能もAzure AD Premium P2で利用できます。

Azure Identity Protection

Azure Identity Protectionは、ID周りの脅威チェック・自動修復してくれるツールです。
もうお分かりかと思いますが…この機能もAzure AD Premium P2で利用できます。

Microsoftでは、様々なMicorosoftで利用している信号を解析し、脅威となる信号をAzure Identity Protectionに送信します。
Azure Identity Protectionは送られた情報を元にリスクを低・中・高に分類します。

また、サインインリスクとユーザーIDリスクを計算することもできます。

サインインリスク

ユーザーがサインインする際に懸念されるリスクです。主に以下のようなものが該当します。

• 匿名IPアドレスでのアクセス
• 通常の利用場所(地域)と異なる場所からのアクセス、地理的に離れた場所(地域)からのアクセス
• マルウェアにリンクされているIPからのアクセス
• パスワードスプレー攻撃
• Micorosoftの過去データに基づく異常なサインイン

ユーザーリスク

特定IDのIDのパスワードが流出したなど、ユーザー側の資格情報に関するリスクです。主に以下のようなものが該当します。

• 漏洩した資格情報としてMicorosoftが情報を得た場合
• Micorosoftの過去データに基づく異常な資格情報

レポート

環境のリスクを調査するために使用できる 3 種類のレポートが組織に提供されます。

• 危険なユーザー
• 危険なサインイン
• リスク検出

の3つです。これらの情報は、セキュリティ戦略の弱点を特定するために重要です。

おわりに

今回の内容は、参考に張り付けてあるMSLearn 「Azure AD の ID の保護およびガバナンスの機能について説明する」 を要略したものです。
これ全部Azure AD Premium P2でしか利用できないので、個人で勉強しようと思うと実機が触れなくてよくわからなかったのですよね…
しかもいっぱいあってややこしい…

その他にもMSLearnには優良なコンテンツがたくさんありますので、ご確認してみてください！

参考