SC-300 Entra ID基礎 ハンズオン Module 01

Microsoftが提供しているSC-300のHandsOnを正月休みにやっていく。

英語版。

日本語版はこちら。

全部で4 Module。
Module 01: https://qiita.com/smr1/items/1c2558fdb466795669cc
Module 02: https://qiita.com/smr1/items/975769ee5d0822562aef
Module 03: https://qiita.com/smr1/items/8de42c5504511b067890
Module 04: https://qiita.com/smr1/items/fdd57f3f2bc2acab9633

Entra Idの機能の一覧を簡単に把握したい方もどうぞ。

実際にやってみると中々長くなるので、自分用にまとめます。記憶に残るようにスクショ多めで。まずはModule 01分。
文章の説明はBing Copilotに質問して回答してもらいました！自己責任で利用します。

ハンズオンでは、Microsoft Entra Admin Centerを使っていく。

ユーザー

ユーザーをcsvで一括登録するときの入力必須項目。

PowershellのコマンドはNew-Mg...、Microsoft Graphの略なのか。

Identities > Propertiesでログイン画面に表示するプライバシーや法的根拠等のリンクを設定することができる。ちなみにSecurity Defaultsもここで設定できる。

デフォルトだと、君の組織プライバシーリンク等設定していないよ、というメッセージが表示される。

グループ

Groupを作成する。
気になるのは、①Group Type、②Membership Type、③Owner。

GroupType

Microsoft 365 Groupというのは使ったことがなかったので、少し調べる。

Azure ADでは、以下の種類のグループがサポートされています¹：

1. Microsoft 365 グループ¹：共同作業の性質にあり、プロジェクトまたはチームで共同作業するユーザーに最適です。それは、以下を含む、グループのメンバーが共有するリソースとともに作成されます¹：
   - Outlook 会話
   - Outlook カレンダー
   - SharePoint ファイル
   - OneNote ノートブック
   - SharePoint チーム サイト
   - Planner の計画
   - Intune デバイス管理¹

1. セキュリティ グループ¹：リソースへのユーザー アクセスを制御するためのものです。ユーザーがセキュリティ グループのメンバーであるかどうかを確認することで、そのユーザーがアプリ内のいくつかのセキュア リソースにアクセスしようとしているときに、アプリが承認を判断することができます¹。

1. メールが有効なセキュリティ グループ¹：セキュリティ グループと同じ方法で使用されますが、グループ メンバーにメールを送信するために使用できます¹。

1. 配布グループ¹：ユーザーのグループに通知を送信するために使用されます⁴。
   これらのグループの種類は、groupType、mailEnabled、securityEnabledの各プロパティの設定で特定できます¹。具体的な詳細については、Microsoft Graph でのグループの操作に関するページを参照してください¹。¹⁴

Membership Type

Azure ADのグループのメンバーシップタイプは主に以下の2つに分類されます12：

割り当て済み（Assigned）12：手動でユーザーまたはデバイスを登録できます12。具体的には、管理者が個々のユーザーやデバイスをグループに追加または削除します12。

動的（Dynamic）12：属性ベースのルールを作成して、グループの動的メンバーシップを有効にすることができます1。動的グループメンバーシップは、メンバー属性に基づき、メンバーシップルールを使用してグループメンバーを自動的に追加および削除します1。ユーザーまたはデバイスの属性が変更されると、システムはディレクトリ内のすべての動的なグループルールを評価して、この変更によってグループの追加または削除がトリガーされるかどうかを確認します1。動的グループのメンバーを手動で追加または削除することはできません1。

ライセンスをアサインした後にReprocessで反映を確認することができる。

Owner

グループを管理できる。PIMもOwnerが承認する機能か。

Azure ADのグループの所有者には、以下のような機能が利用できます：

グループメンバーの追加と削除1：所有者はグループメンバーを追加したり、削除したりすることができます。

所有者の取得と追加2：Get-AzureADGroupOwnerコマンドレットを使用して、Azure Active Directory (AD) のグループの所有者を取得することができます。また、Add-AzureADGroupOwnerコマンドレットを使用して、グループに所有者を追加することもできます。

グループの所有者ロールとメンバーロールの管理3：グループ向けの PIM (Privileged Identity Management) は、グループの所有者ロールおよびメンバーロールを必要な時に必要な時間だけ付与すると> いう JIT (Just-In-Time) アクセスの機能です。

グループオブジェクトの変更4：所有者は、グループオブジェクトの変更を許可されています。

External Collaboration Settings

ゲストをどの程度招待できるかとかを設定できる。

Guest Invitation

CSVで一括Inviteできる。
Redirect URLを設定できるのCSVの特徴。手動でInviteしたときは設定できないぽい。

Powershellでやった場合。

Federated Identity Provider

概要

詳しい手順はこちら。
Azure ADとGCPのGoogleのIDPを連携する設定。

Invitationだけじゃなくて、Self service sign upもできるようになる。