Azure AD の学習リソース

はじめに

• Azure の学習リソース の続き
• Azure Active Directory など、ID管理に関連するものに特化した、簡単なメモを付加したリンクの集まり
• 自分の学習状況によって、結構、記載は偏っている。網羅的なものはもとより作成するつもりは無い。
• 情報のソースは公式ドキュメントが中心。ネット上の検索で取得できる一般公開されている情報から得られる情報をもとにしている

Azure Active Directory

概要

• Azure ADとは
  • クラウドベースの ID およびアクセス管理サービス。
  • IT管理者、アプリ開発者、Office365などアプリのサブスクライバーが使用する
  • Azure Portal のメニューから「Azure Active Directory」を選択すると、ディレクトリを管理できる
• Azure AD のSLA
• 公式情報
  • Microsoft Docs
  • Azure Identity サポート チームのブログ
  • GitHub - Azure Active Directory
  • GitHub - azure-docs
• 参考 : AzureAD-Tips

用語

• Microsoft アカウントとは
• Microsoft Graph
  • Microsoft Graph API を使用する
  • 以前は、Office 365 との連携に Azure AD Graph APIという RESTful Web API を使っていたが、この Microsoft Graph API に変更となった。
• Azure AD の用語
• Azure リソースのマネージド ID とは
• Azure Active Directory B2C

ライセンス

• Azure AD のライセンスとは
  • Free, Premium P1 , Premium P2
• Office 365 E5
  • Microsoft 365 F3, E3, E5
• Enterprise Mobility + Security (EMS)
  • E3, E5

ツール

fiddler と postman はどちらも便利そうだが、使い分けるというよりは好みなのだろうか。
まだ深く触れていないので、しばらく使ってみてどちらがどのような場合に使いやすいかは、今後残しておきたい

PowerShell

• Azure Active Directory V2 PowerShell Module
• Azure Active Directory PowerShell for Graph
• RSAT
  • Remote Server Administration Tools
  • Active Directoryのユーザー管理用コマンドレット
  • windows10 1809 以降(ただしHomeエディション以外)の場合の参考URL : https://www.atmarkit.co.jp/ait/articles/1901/10/news006.html

デバッグ、テスト

• fiddler
  • 自分の端末とインターネットの間のHTTP/HTTPSトラフィックを記録し、デバッグのために通信の中身を調べたり、リクエスト/レスポンスの中身を書き換えたり、性能やセキュリティーのテストをすることができるツール。
  • Download page
• postman
  • どのようなツールかは、以下が参考になった。curl で実施していた操作が、より便利に GUI でできる
  • RESTサービスを触る際の必須ツールPostmanを使ってみました

その他

• Azure Authenticator モバイルアプリ
  • MFA がきちんと動作するか確認
• アクセス パネルのブラウザー拡張機能のインストール
  • たとえば Firefox なら : https://addons.mozilla.org/en-US/firefox/addon/access-panel-extension/
• kusto
  • dotから始まる制御コマンドと、dotと#以外の文字で始まるクエリを使ってデータ検索するツール

SSPR

• 動作のしくみ: Azure AD のセルフサービス パスワード リセット

多要素認証

• 動作のしくみ: Azure Multi-Factor Authentication
  • 条件付きアクセスポリシー機能 にて使用できる
  • 「信頼済みIP」を使うと社内NWからのAADサインインでMFAをスキップできる。Premium P1以上が必要
• アプリパスワード
  • 2段階認証に対応していないアプリ向けの機能

アプリケーションプロキシ

• Azure AD アプリケーションプロキシ
  • オンプレ Web アプリへのセキュアなリモート アクセスを提供する

Azure AD Privileged Identity Management (PIM)

• Azure AD Privileged Identity Management とは
  • 必要なときだけ管理者権限を使うことができる。だいぶ違うがsudo的なイメージ
  • Identity : authenticationの対象。OSのユーザアカウントや、K8sのサービスアカウントなど。
  • Principal : authorizationされたroleを付与されたIdentity。
  • Service Principal : サービスやアプリで使われるIdentityで、なんらかのRoleを付与されたもの

Azure AD Identity Protection

• Azure Active Directory Identity Protection とは
  • 疑わしいサインインやイベントを自動検出。結果レポートをポータルで確認、アラート通知の受領などができる

Azure AD Domain Services

Azure AD DS

• Azure AD Domain Services とは
• Active Directory と Azure Active Directory の比較
• Active Directory 管理ツールをインストールする

AD DS

• Active Directory Domain Service
  • Azureのついていない、素のAD DS
  • Windows Server 2016 の評価版などで試すことができる
• Active Directory Domain Services の概要
• Understanding Active Directory

Azure AD connect

• Azure AD Connect とは
  • オンプレADとAzure ADの連携
• Single Sign-On (SSO)
• ADFS連携
• パスワードハッシュ認証
• パススルー認証
• sSSO (seamless SSO)

SSO, プロトコル, パスワードレスのサインイン

• Kerberos
• SAML
• OAuth
• OpenID Connect
• WS-Federation
• WS-Trust
• FIDO2
• Windows Hello for business

AAD に関連する他サービス、機能

• Azure Key Vault
  • シークレット、暗号化キー、証明書の管理
• Azure DNS
  • カスタムドメイン名で使用できる
  • ドメインはどこかであらかじめ購入したうえで使用する
• Microsoft Intune
  • MDM
  • MAM

Azure CLI

• ユーザー一覧

 az ad user list -o table

• グループ一覧

 az ad group list -o table

• サービスプリンシパル一覧

 az ad sp list -o table

• 登録されたアプリケーション一覧

 az ad app list