はじめに
- Azure AD関連の情報について、Microsoftの公開情報を中心に、参照したもの、参考になったものを残しておく。
- 基本的に既に公開された情報へのリンクのため、目新しい情報は無い、自習目的のリンク集である。
- 自分の知らなかったこと、興味をもったものなどを集めたため、網羅的ではなく偏りがある。
TOC
- Azure Active Directory
- Azure AD Connect
- Cloud Provisioning
- AD FS
- Account
- Office 365
- Azure AD DS
- Windows Virtual Desktop
- Virtual Network
- VM
- PowerShell
- Application
- Key Vault
- Intune
- Tools
Azure Active Directory
一般
- Azure Active Directory とは
- Azure Active Directory の価格
- Azure Active Directory のアーキテクチャの概要
- Azure Active Directory の可用性の進化
- Azure の更新情報
- Azure Active Directory Terms of Use
- Azure Active Directory の新着情報
機能
ログ、監査
- Azure プラットフォーム ログの概要
- Azure Active Directory ポータルの監査アクティビティ レポート
- リソースのアクションを監視するアクティビティ ログの表示
- 監査されるアクティビティ
- Azure AD 監査アクティビティのリファレンス
- Azure AD にレポート データが保存される期間
- Azure AD にデータが保存される期間
- Azure AD ログを Azure Monitor ログと統合する (Log Analytics)
- チュートリアル:Azure AD のログを Azure ストレージ アカウントにアーカイブする
- チュートリアル:Azure Active Directory ログを Azure イベント ハブにストリーム配信する
- Azure Monitor を使用して Azure Active Directory のログを ArcSight と統合する
- 方法:Azure Monitor を使用して Azure Active Directory のログを Splunk と統合する
- Azure Active Directory (Azure AD) からデータを接続する (Sentinel)
Azure AD Connect
構築
- Microsoft Azure Active Directory Connect - Download
- Azure AD Connect の前提条件
- Hardware requirements for Azure AD Connect
- Azure AD Connect:バージョンのリリース履歴
- Azure AD Connect:バージョンのリリース履歴アーカイブ
- Azure AD Connect:旧バージョンから最新バージョンにアップグレードする
- Azure AD Connect ダウンロード
- Azure AD Connect のカスタム インストール
- Azure AD アプリと属性フィルター
- ドメインと OU のフィルター処理
- 簡単設定を使用した Azure AD Connect の開始
- Azure AD Connect:自動アップグレード
- Azure AD Connect 同期: インストール ウィザードの 2 回目の実行
- ディレクトリ スキーマの更新
トポロジ、冗長化
アカウント
- Azure AD Connect:アカウントとアクセス許可 - Azure AD Connect に使用されるアカウント
- Azure AD Connect: AD DS コネクタ アカウントのアクセス許可の構成
- MS-DS-Consistency-Guid のアクセス許可の構成
- ADSync サービス アカウント
- 既定の ADSync サービス アカウント
同期
- Azure AD Connect 同期: アーキテクチャの概要
- 同期エンジンの名前空間の内部構造
- Azure Active Directory ポータルを使用してカスタム ドメイン名を追加する
- Azure AD Connect: 設計概念
- Azure AD Connect: 設計概念 sourceAnchor
- ConsistencyGuid 機能を有効にする方法 - 既存のデプロイ
- sourceAnchor 属性の変更
- Azure AD Connect の Sync Service Manager でコネクタを使用する
- 肯定のフィルター処理 (同期対象の指定)
- 属性ベースのフィルター処理
- 同期規則をカスタマイズする方法
- Azure AD Connect 同期を使用したパスワード ハッシュ同期の実装
- Azure AD Connect 同期: フィルター処理の構成 - 属性ベースのフィルター処理
- Azure AD Connect 同期: 既定の構成について
- Azure AD Connect 同期: Azure Active Directory に同期される属性
- Office 365 ProPlus
- Azure AD Connect 同期: 既定の構成の変更するためのベスト プラクティス
- 同期規則に対する変更
- AzureADユーザーのonPremisesSamAccountName属性について
- Azure AD で proxyAddresses 属性がどのように設定されるか
- ハードマッチによる同期ユーザーの切り替え方法 (AD フォレスト移行 編)
- ソフトマッチによる Azure AD (Office 365) 上のユーザーをオンプレミス Active Directory ユーザーと紐付ける方法
- ユーザーをソフトマッチする手順
- Azure AD Connect: デバイスの書き戻しの有効化
DB
- Azure AD Connect は、既定でSQL Server 2012 Express LocalDB
- Azure AD Connect の前提条件 - Azure AD Connect で使用される SQL Server
- Azure Active Directory Connect に関する FAQ - Q:Azure AD Connect データベースをローカル データベースからリモート SQL Server インスタンスに移行できますか。
- Microsoft SQL Server の最新の更新プログラム
- SQL Server Express LocalDB
性能
Azure AD Connect Health
- Azure AD Connect Health エージェントのダウンロードとインストール
- Azure AD Connect Health を使用した AD FS の 監視
- Azure AD Connect Health についてよく寄せられる質問
- 操作に関する質問
- Azure AD Connect の同期の高 CPU 使用率
トラブルシューティング
- Azure AD 接続性のトラブルシューティング
- 同期中のエラーのトラブルシューティング
- Azure AD Connect Sync を使用したオブジェクト同期のトラブルシューティング
- 既存の管理者ロールの競合
- Azure AD Connect の同期の高 CPU 使用率
- Troubleshoot Azure AD connectivity
- 1つまたは複数の Azure Active Directory 同期サービスが開始しない
- 承認されていないクライアントを使用した Azure AD Connect バックエンドへのアクセス
Cloud Provisioning
構築
スキーマ
ツール
AD FS
構築
フェデレーション
証明書
- AD FS の TS および TD 証明書を取得して構成する
- Office 365 証明書利用者信頼の署名ハッシュ アルゴリズムを変更する
- Windows SHA-2 用の Azure Log Analytics エージェントの署名日付が延長されました
- アクションが必要 - Windows 用 Log Analytics エージェントでは 2020 年 5 月 18 日に SHA-2 署名が適用されます
- Azure Site Recovery - Windows サービス スタックと SHA-2 の更新プログラム
ハイブリッド Azure Active Directory 参加
- Azure AD 登録 と Azure AD 参加 の違い
- フェデレーション ドメイン用(AD FS あり) Hybrid Azure AD Join を一から構成する
- マネージド ドメイン用(AD FS なし) Hybrid Azure AD Join を一から構成する
- Hybrid Azure AD Join 失敗の初動調査方法について (フェデレーション編)
- Hybrid Azure AD Join 失敗時の初動調査方法について (マネージド編)
- チュートリアル:マネージド ドメイン用のハイブリッド Azure Active Directory 参加の構成
- チュートリアル:フェデレーション ドメイン用のハイブリッド Azure Active Directory 参加の構成
- チュートリアル:ハイブリッド Azure Active Directory 参加済みデバイスを手動で構成する
- Windows の現在のデバイスでのハイブリッド Azure AD 参加の制御された検証
Azure AD 参加
- Azure Active Directory 認証 (プレビュー) を使用して Azure 内の Windows 仮想マシンにサインインする
- Azure Active Directory デバイス管理の FAQ
Account
種類
テナント
- 複数の Azure Active Directory 組織が対話する方法を理解する
- テナント間の独立性
- Azure Active Directory の非管理対象ディレクトリを管理者として引き継ぐ
- 外部管理者の引き継ぎのサポート
- 内部管理者の引き継ぎ
- Azure サブスクリプションを Azure Active Directory テナントに関連付けるまたは追加する
- Azure Active Directory のカスタム ドメイン名の管理
- 複数のカスタムドメインを追加可能
- 第3レベルドメイン名を追加する場合、最初に第2レベルを追加し確認する
ロール
- Azure ロールベースのアクセス制御 (Azure RBAC) とは
- Azure ロールの定義について
- 従来のサブスクリプション管理者ロール、Azure ロール、および Azure AD ロール
- ※Azure ロールとAzure AD ロールは別物なので注意。この記事の図を参照。
- Azure の従来のサブスクリプション管理者
- Azure 組み込みロール
- ※これは「Azure ロール」の話
- 所有者
- ストレージ BLOB データ共同作成者
- Asure の課金情報へのアクセスの管理
- Azure Active Directory での管理者ロールのアクセス許可
- ※これは「Azure AD ロール」の話
- 使用可能なロール
- Azure ロールベースのアクセス制御の組み込みロール
- Azure のロールベースのアクセス制御のためのカスタム ロールを作成する
- Azure カスタム ロール
- チュートリアル:Azure CLI を使用して Azure カスタム ロールを作成する
グループベースのライセンス
- Azure Active Directory のグループベースのライセンスとは
- Azure Active Directory のグループのライセンスに関する問題を特定して解決する
- サービス プランの競合
- ライセンス数の不足
一括登録、一括招待
- チュートリアル:Azure AD B2B コラボレーション ユーザーを一括で招待する
- チュートリアル:PowerShell を使用して Azure AD B2B コラボレーション ユーザーを一括で招待する
- Azure Active Directory B2B コラボレーションのライセンスに関するガイダンス
パスワード
- 組織のパスワード有効期限ポリシーを設定します。
- Set-MsolPasswordPolicy
- たとえば、Set-MsolPasswordPolicy -DomainName contoso.onmicrosoft.com -NotificationDays 14 -ValidityPeriod 90
- Azure AD パスワード ポリシー
セルフサービスパスワードリセット(SSPR)
- セルフサービスパスワードリセットの設定ページ
- セルフサービスパスワードリセット ポータル
- Azure Active Directory のパスワード ポリシーとアカウント制限
- チュートリアル:Azure Active Directory のセルフサービス パスワード リセットを使用して、ユーザーが自分のアカウントのロック解除またはパスワードのリセットを実行できるようにする
- 管理者リセット ポリシーの相違点
条件付きアクセス
- 条件付きアクセスとは
- ライセンスの要件
- 条件付きアクセス:クラウド アプリまたはアクション
- 条件付きアクセスポリシーでの場所の条件の使用
- 条件付きアクセス:条件 - 場所
- 条件付きアクセス ポリシーの構築
多要素認証、MFA
- Azure MFA 導入パターンを網羅的にご紹介!
- 段階的なロールアウトを使用してクラウド認証に移行する (プレビュー)
- Azure Multi-Factor Authentication のデプロイを計画する認証オプションを追加する
- 代替の電話
- 条件付きアクセス:Azure 管理のために MFA を必須にする- ユーザーの除外
- 信頼済みデバイスで 2 段階認証のバイパスを許可する日数
ロックアウト
- パスワード攻撃
- チュートリアル:Azure Active Directory のセルフサービス パスワード リセットを使用して、ユーザーが自分のアカウントのロック解除またはパスワードのリセットを実行できるようにする
- Azure Active Directory スマート ロックアウトを使用してユーザー アカウントを攻撃から保護する
Azure B2C
- Azure Active Directory B2C とは
- チュートリアル:Azure Active Directory B2C 内にユーザー フローを作成する
- Azure Active Directory B2C の課金モデル
- MAU
Privileged Identity Management (PIM)
- Azure AD Privileged Identity Management (PIM) をデプロイする
- Privileged Identity Management を使用するためのライセンスの要件
Office
使用
ダウンロード
-
Exchange Server CU download
- Active Directory で スキーマ拡張の際に必要。mailNickName 属性の同期の検証などで使った。(setup.exe にて DC サーバーに入れた)
Azure AD DS
概要
- Azure Active Directory Domain Services とは (Azure AD DS)
- Azure AD Domain Services の利用シナリオ
- 自己管理型の Active Directory Domain Services、Azure Active Directory、およびマネージド Azure Active Directory Domain Services の比較
- チュートリアル:Azure Active Directory Domain Services のマネージド ドメインを作成して構成する
ネットワーク
- ドメイン環境で使用されるポートについて
- DCの通信要件はAzure AD DSでも基本的に同じ
- Azure Active Directory Domain Services マネージド ドメインで DNS を管理し、条件付きフォワーダーを作成する
同期
- Azure Active Directory Domain Services のマネージド ドメイン内でのオブジェクトと資格情報の同期のしくみ
- ユーザー アカウントの属性のマッピング
- AADとAAD DSの属性の対応
- アカウント ロックアウトの一般的な理由 (AAD DS)
Windows Virtual Desktop
概要
Virtual Network
App Service
VPN、ピアリング
VM
概要
ARMテンプレート
Storage
概要
構築
PowerShell
構築
- Azure Active Directory の PowerShell モジュール
- Azure Active Directory の PowerShell モジュール(github)
- Azure Active Directory の PowerShell モジュール(technet blog)
- Office 365 PowerShell でユーザー アカウントを表示する
- グループの設定を構成するための Azure Active Directory コマンドレット
- Azure AD 2.0.2.116 Module
- MSOnline 1.1.183.57 Module
- パッケージの手動ダウンロード
- NuGet パッケージから PowerShell モジュールをインストールする
- Azure PowerShell モジュールのアンインストール
コマンド別マニュアル
Microsoft.PowerShell.Core
Microsoft.PowerShell.Utility
Microsoft.PowerShell.Security
PowerShellGet
MsOnline
- Set-MsolDomainAuthentication (MSOnline)
- Set-MsolUser
- Get-MsolPasswordPolicy
- Get-MsolUser
- Get-MsolDirSyncFeatures
- Get-MsolDomain
- Convert-MsolDomainToFederated
- Get-MsolDomainFederationSettings
- Set-MsolDomainFederationSettings
Azure AD
Azure AD Connect
ADFS
ADDSDeployment
Azure CLI
- Install the Azure CLI
- 2020年11月頭時点で、2.14.0が最新。
- 2.11以降、upgradeができるようになっている。
- Install Azure CLI with apt
- 完全に構成された仮想マシンの作成
- Deploy a simple Windows VM
Application
概要
アプリの登録
- Web API を呼び出すデーモン アプリを登録する - Microsoft ID プラットフォーム | Microsoft Docs
- Web API を呼び出す Web アプリを構築する - Microsoft ID プラットフォーム | Microsoft Docs
- ユーザーの代わりにアクセスを取得
- ユーザーなしでアクセスを取得
- アプリの登録に必要なアクセス許可
- 「ユーザーはアプリケーションを登録できる」の設定について
- 方法:Azure AD アプリを Azure AD テナントの一連のユーザーに制限する
- 「管理者の承認が必要」のメッセージが表示された場合の対処法 | Japan Azure Identity Support Blog
- Microsoft Graph のアクセス許可のリファレンス - ユーザーのアクセス許可
サービスプリンシパル
- Azure AD におけるアプリとサービス プリンシパル - Microsoft identity platform | Microsoft Docs
- Azure CLI で Azure サービス プリンシパルを作成する
- az ad sp credential | Microsoft Docs
テナント制限
Key Vault
可用性
Intune
概要
Tools
Ldifde.exe
- LDIFDE
- Active Directory への一括インポートおよびエクスポートのステップ バイ ステップ ガイド
- Import or Export Directory Objects Using Ldifde
psr.exe
- Problems Step Recorder (PSR.exe) Command Line Options
- ステップ記録ツール(psr.exe)はキャプチャ取得ツールとして使えるのか
- Windows ステップ記録ツール(psr)のススメ
cert
その他
プレゼンテーション、資料作成
- Azure アーキテクチャ アイコン
- Azure Icon Collection
- Microsoft Azure Cloud and AI Symbol / Icon Set - SVG - Pointer
- 古い。今は Azure アーキテクチャ アイコン に移動
各種管理画面
- Azure ポータル
- Office 365 管理センター
- Microsoft 365 管理センター
- Exchange 管理センター (EAC)
- Outlook
- Office 365 セキュリティ/コンプライアンス
- セルフサービスパスワードリセットの設定ページ
- セルフサービスパスワードリセット ポータル
- My Account
- アクセスパネル
- myapps は古いほう。
コマンド
nslookup
Powershell.exe -ExecutionPolicy RemoteSigned -Command {コマンド}
Powershell.exe -ExecutionPolicy ByPass -Command {コマンド }
klist purge
klist purge -li [引数]
ipconfig /flushdns
nbtstat -R
netsh trace start
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
整理中
非管理対象デバイスからのアクセスを制御する
特定の SharePoint サイトや OneDrive へのアクセスをブロックまたは制限する
https://docs.microsoft.com/ja-jp/sharepoint/control-access-from-unmanaged-devices#block-or-limit-access-to-a-specific-sharepoint-site-or-onedrive
Azure Active Directory でテナントを削除する
https://docs.microsoft.com/ja-jp/azure/active-directory/users-groups-roles/directory-delete-howto
ディレクトリ同期のために非ルーティング ドメインの準備を整える
https://docs.microsoft.com/ja-jp/office365/enterprise/prepare-a-non-routable-domain-for-directory-synchronization
Azure AD の UserPrincipalName の設定
代替ログイン ID
https://docs.microsoft.com/ja-jp/azure/active-directory/hybrid/plan-connect-userprincipalname#alternate-login-id
仮想マシン ロールの割り当てを構成する
https://docs.microsoft.com/ja-jp/azure/virtual-machines/linux/login-using-aad#configure-role-assignments-for-the-vm
マネージド ドメイン用(AD FS なし) Hybrid Azure AD Join を一から構成する
Azure AD へのデバイス同期の確認
https://jpazureid.github.io/blog/azure-active-directory/how-to-create-hybridazureadjoin-managed/
Azure AD サービスの制限と制約 - グループ
https://docs.microsoft.com/ja-jp/azure/active-directory/users-groups-roles/directory-service-limits-restrictions
Azure portal を使用して Azure ロールの割り当てを追加または削除する
https://docs.microsoft.com/ja-jp/azure/role-based-access-control/role-assignments-portal
Azure portal を使用して BLOB とキュー データへのアクセスのための Azure ロールを割り当てる
https://docs.microsoft.com/ja-jp/azure/storage/common/storage-auth-aad-rbac-portal
Azure Active Directory における管理タスク別の管理者ロール
https://docs.microsoft.com/ja-jp/azure/active-directory/users-groups-roles/roles-delegate-by-task
Azure Active Directory での管理者ロールのアクセス許可
https://docs.microsoft.com/ja-jp/azure/active-directory/users-groups-roles/directory-assign-admin-roles
ステージング サーバー
https://docs.microsoft.com/ja-jp/azure/active-directory/hybrid/plan-connect-topologies#staging-server
Azure AD の既存のユーザーとの同期
https://docs.microsoft.com/ja-jp/azure/active-directory/hybrid/how-to-connect-install-existing-tenant#sync-with-existing-users-in-azure-ad
PowerShellGet プライベート リポジトリの操作 - ローカル リポジトリを登録する
https://docs.microsoft.com/ja-jp/powershell/scripting/gallery/how-to/working-with-local-psrepositories?view=powershell-7#registering-a-local-repository