82.5K Views
January 12, 24
スライド概要
IT 勉強向けの Microsoft 365 関連の勉強用資料です。
今回は 「Microsoft Entra ID」 を簡単をまとめました。
参考にしていただければ幸いです。
ナガシヨミ Microsoft 365 Microsoft Entra ID 概要 2024 年 1 月 タクヤ オータ
IT 勉強向けの資料として公開しています Microsoft の正式見解であったり、内容をコミットするものではございません。 仕様が変わったり、サポートされる情報が変化することもあることをご了承ください。 内容を一部だけ変更して使うなどを控えていただければ、シェアは自由にしていただいて構いません。 ビジネス目的での使用はお控えください。m(_ _)m 2024 年 1 月 タクヤ オータ
ナガシヨミ Microsoft 365 Microsoft Entra ID 概要 1. Microsoft Entra ID 概要 2. Microsoft Entra ID 主な機能紹介 2-1. 認証 / SSO / アプリケーション アクセス 2-2. 多要素認証と条件付きアクセス 2-3. 管理とハイブリッド ID 2-4. ID 保護 2-5. エンド ユーザー セルフサービス 2-6. イベント ログとレポート 2-7. ID ガバナンス 3. まとめ
Microsoft Entra 製品ファミリー ID & アクセス管理 新しい ID カテゴリ ネットワーク アクセス Microsoft Entra ID Microsoft Entra Verified ID Microsoft Entra Internet Access Microsoft Entra ID Governance Microsoft Entra Permissions Management Microsoft Entra Private Access Microsoft Entra External ID Microsoft Entra Workload ID (currently Azure AD) (formerly Azure AD External Identities) © 2024 タクヤ オータ 4
Microsoft Entra ID (旧 Azure AD) クラウドベースの ID およびアクセス管理サービス IDaaS の基本機能 ユーザーとグループの管理、オンプレミス ディレクトリ同期、 基本レポート、クラウド ユーザー向けのセルフサービスのパス ワード変更のほか、Azure、Microsoft 365、および多くの 一般的な SaaS アプリ全体のシングル サインオンを提供。 Microsoft のクラウド サービスを利用する場合必須 Microsoft Entra ID P1 / P2 基本機能に加え、ハイブリッド ユーザーがオンプレミスと クラウドの両方のリソースにアクセスすることも可能。 AI や ML を利用して高度な ID の保護を実現する Identity Protection、また、ローコードツールとの連携に よって高度な ID 管理機能もサポート。 © 2024 タクヤ オータ 5
Microsoft Entra ID ですべてのアプリケーションを保護する理由 セキュリティ 環境全体で安全性と 回復力を維持 © 2024 タクヤ オータ 生産性 シームレスなアクセスで 生産性を向上 コスト コスト削減と IT効率の向上 6
Active Directory と Microsoft Entra ID Active Directory Microsoft Entra ID オンプレミス ディレクトリサービス • LDAP • Kerberos • NTLM c オンプレミスで使われる認証のサポート Microsoft 製 ディレクトリ サービス オンプレミス型 ID 管理 オンプレミス システムと連携 Windows の管理 (グループ ポリシー) © 2024 タクヤ オータ IDaaS • • • • OAuth 2.0 Open ID Connect SAML WS-Fed クラウドで使われる認証のサポート Microsoft 製 IDaaS クラウド型 ID 管理 SaaS サービスと連携 デバイスのポリシー機能なし (Intune で提供) 7
Microsoft Entra ID の主な機能 認証 / SSO / アプリケーション アクセス ユーザーの認証と SSO SaaS アプリへの接続 様々なアプリの認証と認可 オンプレミス アプリへの接続 多要素認証と条件付きアクセス 様々な多様認証のサポート パスワードの保護 アクセス制御 アクセス制御との連携 管理とハイブリッド ID ロールベースのアクセス制御 高度なグループ管理 ID のプロビジョニング オンプレミス AD との統合 外部 ID との連携 ID 保護 脆弱性とリスクの検出 リスクベースのアクセス制御 高度な条件付きアクセス エンド ユーザー セルフサービス ユーザー用のポータル セルフサービス パスワード リセット サインインの確認 アクセス要求 イベント ログとレポート 監査ログ サインインログ 使用状況のレポート Microsoft Entra のプランと価格 | Microsoft Security © 2024 タクヤ オータ 8
Microsoft Entra ID の主な機能 ID ガバナンス 主要な機能 自動ユーザープロビジョニング ライフサイクル ワークフロー エンタイトルメント管理 アクセスレ ビュー 特権 ID 管理 (PIM) © 2024 タクヤ オータ Microsoft Entra のプランと価格 | Microsoft Security 9
Microsoft Entra ID Free Microsoft Entra ID の主な機能とプラン 認証 / シングル サインオン / アプリケーション アクセス 管理とハイブリッド ID Microsoft Entra ID P1 Microsoft Entra ID P2 エンド ユーザー セルフサービス シングル サインオン (SSO) 無制限 ロールベースのアクセス制御 (RBAC) アプリケーション起動ポータル (マイ アプリ) アプリケーションへのグループ割り当て ユーザーとグループの管理 セルフサービス アカウント管理ポータル (マイ アカウント) クラウド認証 (パススルー認証、パスワード ハッシュ同期) 高度なグループ管理 (動的グループ、有効期限) セルフサービス パスワード変更 (クラウド ユーザーのみ) フェデレーション認証 (AD FS、または他の ID プロバイダー) オンプレミス AD との同期 (Connect 同期、クラウド同期) セルフサービス パスワード リセット (オンプレミスも可) アプリケーション プロキシ オンプレミス ID 同期の監視と分析 (Connect Health) サインイン アクティビティの検索とレポート (自分のサインイン) サービス レベル アグリーメント (99.99%) テナント間同期 セルフサービス エンタイトルメント管理 (マイ アクセス) 多要素認証と条件付きアクセス イベント ログとレポート ID 保護 多要素認証 (MFA) リスクベースの条件付きアクセス 基本的なセキュリティと使用状況レポート パスワードレス認証 認証コンテキスト (ステップアップ認証) 高度なセキュリティと使用状況レポート 条件付きアクセス デバイスとアプリケーションのフィルター (条件付きアクセス用) 監査ログ (7 日間) セッション有効期間管理 / 継続的アクセス評価 トークン保護 監査ログやサインインログ (30 日間) パスワード保護 (グローバル禁止パスワード、クラウドのみ) 脆弱性とリスクの高いアカウント パスワード保護 (カスタム禁止パスワード、オンプレミス) リスク イベント調査や SIEM 接続 © 2024 タクヤ オータ Microsoft Entra のプランと価格 | Microsoft Security 10
Microsoft Entra ID の主な機能とプラン Microsoft Entra ID Free Microsoft Entra ID P1 Microsoft Entra ID P2 Microsoft Entra ID Governance ID ガバナンス SaaS アプリに対する自動ユーザー プロビジョニング オンプレミス アプリに対する自動ユーザー プロビジョニング アプリに対する自動グループ プロビジョニング 人事主導のプロビジョニング 条件付きアクセス - 使用条件の構成証明 基本的なアクセス認定とレビュー 機械学習支援によるアクセス認定とレビュー エンタイトルメント管理 Verified ID を使用するエンタイトルメント管理 ライフサイクル ワークフロー ID ガバナンス ダッシュボード 特権 ID 管理 (PIM) © 2024 タクヤ オータ Microsoft Entra のプランと価格 | Microsoft Security 11
ナガシヨミ Microsoft 365 Microsoft Entra ID 概要 1. Microsoft Entra ID 概要 2. Microsoft Entra ID 主な機能紹介 2-1. 認証 / SSO / アプリケーション アクセス 2-2. 多要素認証と条件付きアクセス 2-3. 管理とハイブリッド ID 2-4. ID 保護 2-5. エンド ユーザー セルフサービス 2-6. イベント ログとレポート 2-7. ID ガバナンス 3. まとめ
Microsoft Entra ID の主な機能 認証 / SSO / アプリケーション アクセス 管理とハイブリッド ID ユーザーの認証と SSO SaaS アプリへの接続 様々なアプリの認証と認可 オンプレミス アプリへの接続 ロールベースのアクセス制御 高度なグループ管理 Windows クライアント管理 オンプレミス AD との統合 外部 ID との連携 多要素認証と条件付きアクセス ID 保護 様々な多様認証のサポート パスワードの保護 アクセス制御 アクセス制御との連携 © 2024 タクヤ オータ 脆弱性とリスクの検出 リスクベースのアクセス制御 高度な条件付きアクセス エンド ユーザー セルフサービス ユーザー用のポータル セルフサービス パスワード リセット サインインの確認 アクセス要求 イベント ログとレポート 監査ログ サインインログ 使用状況のレポート Microsoft Entra のプランと価格 | Microsoft Security 13
Microsoft Entra ID Free SSO / 認証 Microosft Entra ID による ID 統合 Office 365 や SaaS アプリに オンプレと同じ証情報で SSO 1 つのユーザー ID で 様々なサービスの認証 SaaS アプリ ユーザー Microsoft Entra ID シングル サイン オン (SSO) クラウドホスト型アプリ オンプレミスアプリ © 2024 タクヤ オータ 14
Microsoft Entra ID Free SSO / 認証 SaaS アプリへの接続 約 3,700 もの統合済み SaaS アプリケーションへのシングルサインオンが可能 Microsoft Entra ID ギャラリーには、シングルサインオ ン用に事前に統合された約 3,700 ものアプリケーショ ンがあり、簡単に接続が可能 Microsoft Entra ID ギャラリーで利用できないアプリ ケーションについては、独自のアプリケーションを作成し、 カスタム テンプレートを使用して直接接続 © 2024 タクヤ オータ 15
Microsoft Entra ID Free SSO / 認証 様々なアプリの認証と認可 Web またはモバイル アプリのようなクライアント アプリや Web API などを登録することが可能 認証・認可の標準プロトコルをサポート OAuth 2.0 OpenID Connect (OIDC) JSON Web トークン (JWT) Security Assertion Markup Language (SAML) クロスドメイン ID 管理システム (SCIM) Web Services Federation (WS-Fed) 様々なアプリのタイプの認証をサポート シングルページ アプリ Web Apps Web API モバイル アプリ ネイティブ アプリ © 2024 タクヤ オータ 16
Microsoft Entra ID Free SSO / 認証 Microsoft Entra ID P1 Microosft Entra ID による ID 統合 Office 365 や SaaS アプリに オンプレと同じ証情報で SSO 1 つのユーザー ID で 様々なサービスの認証 SaaS アプリ ユーザー Microsoft Entra ID シングル サイン オン (SSO) クラウドホスト型アプリ Microsoft Entra Connect オンプレミス Active Directory © 2024 タクヤ オータ オンプレミス AD のユーザーと オンプレミス AD のユーザーと 同期・関連付けも可能 同期・関連付けも可能 オンプレミスアプリ 17
Microsoft Entra ID P1 アプリケーション プロキシ オンプレミス アプリへの接続 - アプリケーション プロキシ ユーザー アプリとデータ Microsoft Entra ID クラウド オンプレミス アプリケーション プロキシ 安全なハイブリッド アクセス オンプレミスの境界ベースのネットワーク © 2024 タクヤ オータ 18
Microsoft Entra ID P1 アプリケーション プロキシ Microsoft Entra アプリケーション プロキシ アプリケーション プロキシにより、社内の Web システムを安全に外部に公開することが可能 Microsoft Entra の 「条件付きアクセス」 機能により、デバイスやユーザーのリスクレベルに応じた動的なアクセス制 御でセキュリティを高められる 社内の Web システムを 安全に外部に公開 ユーザー Microsoft Entra ID アプリケーション プロキシ https://sales.msappproxy.net/ https://sales/ コネクター Web システム VPN 不要 © 2024 タクヤ オータ 19
Microsoft Entra ID Free 安全なハイブリッド アクセス オンプレミス アプリへの接続 - アプリケーション プロキシ ユーザー アプリとデータ Microsoft Entra ID クラウド オンプレミス アプリケーション プロキシ 安全なハイブリッド アクセス オンプレミスの境界ベースのネットワーク © 2024 タクヤ オータ 20
Microsoft Entra ID Free 安全なハイブリッド アクセス 安全なハイブリッドアクセス - パートナーシップの拡大 「安全なハイブリッド アクセス」 の統合機能により レガシー認証プロトコルを幅広くサポート : 現在のパートナー • Kerberos • Header-based Auth • NTLM • LDAP • RDP • SSH • non-HTTP 安全なハイブリッド アクセス、Microsoft Entra ID を使用してレガシ アプリを保護する - Microsoft Entra | Microsoft Learn © 2024 タクヤ オータ 新たなパートナー 21
Microsoft Entra 製品ファミリー ID & アクセス管理 新しい ID カテゴリ ネットワーク アクセス Microsoft Entra ID Microsoft Entra Verified ID Microsoft Entra Internet Access Microsoft Entra ID Governance Microsoft Entra Permissions Management Microsoft Entra Private Access Microsoft Entra External ID Microsoft Entra Workload ID (currently Azure AD) (formerly Azure AD External Identities) © 2024 タクヤ オータ 22
Internet Access / Private Access オンプレミス アプリへの接続 – Private Access (Preview) 「アプリケーション プロキシ」 を拡張し、Web 以外のアプリ (RDP、SSH、SMB、FTP、などを) へのアクセスをサポート ユーザー アプリとデータ Microsoft Entra ID クラウド NEW Microsoft Entra Internet Access オンプレミス アプリケーション プロキシ 安全なハイブリッドNEW アクセス Microsoft Entra Private Access オンプレミスの境界ベースのネットワーク © 2024 タクヤ オータ 23
Microsoft Entra – ネットワーク アクセス Microsoft Entra Internet Access Microsoft Entra Private Access SWG © 2024 タクヤ オータ Microsoft 365 アクセスのセキュリティと可視性の強化 ユニバーサル条件付きアクセス 準拠ネットワークのチェック ZTNA プライベート アプリへの安全なアクセス インターネットや SaaS への安全なアクセス » » » » » (パブリック プレビュー) » » » Quick Access アプリの検出 アプリごとのアクセス 送信元 IP の復元 ユニバーサルテナント制限 24
Microsoft Entra Internet Access / Private Access 通常のインターネットアクセス Global Secure Access を 利用するための条件指定 (MFA や端末準拠) エンドポイント Global Secure Access インターネットアプリとリソース ターゲットリソース へ アクセスするための条件指定 (Global Secure Access 経由を必須) (北米、南米、アジア、ヨーロッパ、アフリカ) 条件付きアクセス 継続的アクセス評価 Global Secure Access クライアント 条件付きアクセス 継続的アクセス評価 すべてのインターネットおよび SaaS アプリ Microsoft Entra Internet Access エージェント 専用トンネル VPN 接続 ルーター 専用トンネル プライベートアプリとリソース Microsoft Entra Private Access HTTP/HTTPS コネクタ RDP/SSH SMB, FTP プリンター … © 2024 タクヤ オータ 25
まとめ - 認証 / SSO / アプリケーション アクセス 認証 / SSO / アプリケーション アクセス ユーザーの認証と SSO SaaS アプリへの接続 様々なアプリの認証と認可 オンプレミス アプリへの接続 さまざまな SaaS アプリへの SSO を提供 • Microsoft Entra ID ギャラリーにて 約 3,700 ものアプリを簡単に接続 • 独自のアプリケーションを作成し接続することも可能 オンプレミス アプリへの接続も • 「アプリケーション プロキシ」 により社内の Web システムを安全に公開 • 「安全なハイブリッド アクセス」 によるパートナー製品との統合 ネットワーク セキュリティ機能が登場 • 2024 にリリース予定の Microsoft のネットワーク セキュリティ • ゼロトラスト モデルの安全なネットワークアクセスの提供 SSO © 2024 タクヤ オータ 26
ナガシヨミ Microsoft 365 Microsoft Entra ID 概要 1. Microsoft Entra ID 概要 2. Microsoft Entra ID 主な機能紹介 2-1. 認証 / SSO / アプリケーション アクセス 2-2. 多要素認証と条件付きアクセス 2-3. 管理とハイブリッド ID 2-4. ID 保護 2-5. エンド ユーザー セルフサービス 2-6. イベント ログとレポート 2-7. ID ガバナンス 3. まとめ
Microsoft Entra ID の主な機能 認証 / SSO / アプリケーション アクセス 管理とハイブリッド ID ユーザーの認証と SSO SaaS アプリへの接続 様々なアプリの認証と認可 オンプレミス アプリへの接続 ロールベースのアクセス制御 高度なグループ管理 Windows クライアント管理 オンプレミス AD との統合 外部 ID との連携 多要素認証と条件付きアクセス ID 保護 様々な多様認証のサポート パスワードの保護 アクセス制御 アクセス制御との連携 脆弱性とリスクの検出 リスクベースのアクセス制御 高度な条件付きアクセス エンド ユーザー セルフサービス ユーザー用のポータル セルフサービス パスワード リセット サインインの確認 アクセス要求 イベント ログとレポート 監査ログ サインインログ 使用状況のレポート Microsoft Entra のプランと価格 | Microsoft Security © 2024 タクヤ オータ 28
Microsoft Entra ID Free 多要素認証 (MFA) Microsoft Entra ID P1 多要素認証 (MFA) - Microsoft Entra ID の対応 パスワードレス テクノロジーを含む 幅広い多要素認証 オプションをサポート Microsoft Authenticator Windows Hello FIDO2 Security key Biometrics Push Notification Soft Tokens OTP Hard Tokens OTP SMS, Voice 多要素認証により、 ID 攻撃の 99.9% をブロック MFA は認証の基本要素である以下の3つのうち2つ以上を複合的に利用する事で、パスワード=知識要素をのみを利用する場合と比較して飛躍的に安全性を高めること が可能です。 知識要素(What you know) = Password, PIN, 秘密の質問 など 所有要素(What you have) = 携帯電話, クレジット・キャッシュカード,ワンタイムトークン 生体要素(What you are) = 指紋、顔、虹彩 © 2024 タクヤ オータ 認証方法と機能 - Microsoft Entra | Microsoft Learn 29
多要素認証 (MFA) Microsoft Authenticator 概要 • • 標準規格に基づくMFA ワンタイム パスコード、プッシュ通知、生体認証 + ナンバーマッチ 対応 OS • • Android iOS Microsoft Authenticator の認証方法 Microsoft Entra | Microsoft Learn Microsoft Entra ID Free
Microsoft Entra ID P1 多要素認証 (MFA) Windows Hello for Business Windows 10 デバイスに素早く安全にアクセスする代替手段 特徴 デバイス ロック解除を PIN もしくはパスワードレス化 PIN、生体認証情報利用時はローカルのみに保存 メリット のぞき見や使いまわしなどによるパスワード流出を防止 素早い認証、パスワード入力の手間から解放 Windows Hello で可能な認証 Microsoft アカウント Active Directory アカウント Microsoft Entra ID アカウント FIDO v2.0 認証をサポートする ID プロバイダー サービス または証明書利用者サービス (進行中) © 2024 タクヤ オータ Windows Hello を利用した Windows へのサインイン 31
Microsoft Entra ID P1 多要素認証 (MFA) FIDO2 セキュリティ キー ビジネスニーズに合わせてフォームファクターを選択可能 USB/NFC Key © 2024 タクヤ オータ USB Biometric Key NFC & BLE 32
Microsoft Entra ID Free パスワードの保護 Microsoft Entra ID P1 パスワードの保護 – Microsoft Entra パスワード保護 既知の悪いパターンと定義したパターンに基づいて パスワードを動的に禁止 Global banned password list Microsoft は、約2,000の単語、フレーズ、パターンを 持つグローバルリストを定義 Custom banned password list 自組織特有の1,000語とフレーズ Banned password algorithm すべての弱いパスワードのバリエーションを検索 © 2024 タクヤ オータ 33
パスワードの保護 パスワードの保護 – 一時アクセス パス (プレビュー) 時限式の一時パスワードを発行し MFA/パスワードレス デバイスの初期セットアップ/更新を簡素化 パスワードレス認証との組み合わせでユーザーがパスワードを意識しない世界を実現 © 2024 タクヤ オータ 34
Microsoft Entra ID P1 条件付きアクセス 条件付きアクセスと多要素認証で ID とリソースを保護 シグナル ユーザーと場所 全てのアクセス試行検証 デバイス アプリ・データへのアクセス アクセス許可 MFA要求 アクセス制限 アプリケーション リアルタイムなリスク パスワードリセット アクセス監視 どこからでも、どんなデバイスでも、セキュアにアプリケーションへアクセス © 2024 タクヤ オータ 35
Microsoft Entra ID P1 条件付きアクセス 条件付きアクセス ポリシー設定例 (多要素認証の組み込み) 設定:校外から Office 365 へアクセスする場合は多要素認証を要求 アクセス条件の例 誰が どこから どのデバイスで アクセス制御 何を使って どのアプリに 許可 ただし… 営業 社内 PC ブラウザー Office 多要素認証を要求 Intune で管理され 準拠としてマーク済み 社外スタッフ ハイブリッド AD 参加デバイス 社外 モバイル アプリ 他社 SaaS 承認された クライアント アプリが必要 管理者 拒否 © 2024 タクヤ オータ 36
条件付きアクセス © 2024 タクヤ オータ Microsoft Entra ID P1 37
Microsoft Entra ID P1 条件付きアクセス 継続的アクセス評価 (CAE) 従来は、アクセス トークンが有効の間は、条件付 きアクセスやユーザー / デバイスの状態 (パスワード 変更や無効化) が評価されず、最大 1 時間アク セスしつづけられるラグが発生していた 上記の問題を解消するために、“継続的アクセス 評価という仕組みを用いて、ほぼリアルタイム (最 大 15 分ほどラグあり) でユーザーやデバイスの状態、 ユーザーの場所 (IP アドレス) の変化を検知し、アク セス制御が可能 継続的アクセス評価の初期実装では、Exchange、 Teams、SharePoint Online に重点を置いていま す。 Microsoft Entra ID での継続的アクセス評価 Microsoft Entra | Microsoft Learn © 2024 タクヤ オータ 39
Microsoft Entra ID P1 条件付きアクセス 条件付きアクセス連携 – Microsoft Intune 「コンプライアンス ポリシー」 ❶ ポリシー設定 デバイスのコンプライアンスを設定 ❷ 条件付きアクセス設定 非準拠の場合のアクションを指定 ❸ アクセス制御 状況に応じてアクセスをブロック OS のアップデート ウイルス対策の有効化 パスワード文字数など 「準拠している」 を アクセス条件に指定 Microsoft Intune 管理コンソール © 2024 タクヤ オータ Microsoft Intune 管理コンソール (Microsoft Entra ID 管理コンソールでも可) クライアントからクラウド アプリへアクセス 40
Microsoft Entra ID P1 条件付きアクセス連携 – Defender for Endpoint 条件付きアクセス 安全なデバイス リスクレベル低 ウイルスに感染 危険なデバイス リスクレベル高 © 2024 タクヤ オータ クラウド アプリ 41
まとめ - 多要素認証と条件付きアクセス 多要素認証と条件付きアクセス 様々な多様認証のサポート パスワードの保護 アクセス制御 アクセス制御との連携 様々な多要素認証や機能で ID を保護 • Microsoft Authenticator アプリ (無料) での保護 • 電話や SMS、生体認証、業界標準機能による多要素認証をサポート • その他パスワード保護機能も提供 「条件付きアクセス」 によるアクセス制御 • 「条件付きアクセス」 による境界防御に頼らないセキュリティの実現 • Microsoft の様々なサービス・製品と連携し強固なセキュリティを提供 © 2024 タクヤ オータ 42
ナガシヨミ Microsoft 365 Microsoft Entra ID 概要 1. Microsoft Entra ID 概要 2. Microsoft Entra ID 主な機能紹介 2-1. 認証 / SSO / アプリケーション アクセス 2-2. 多要素認証と条件付きアクセス 2-3. 管理とハイブリッド ID 2-4. ID 保護 2-5. エンド ユーザー セルフサービス 2-6. イベント ログとレポート 2-7. ID ガバナンス 3. まとめ
Microsoft Entra ID の主な機能 認証 / SSO / アプリケーション アクセス 管理とハイブリッド ID ユーザーの認証と SSO SaaS アプリへの接続 様々なアプリの認証と認可 オンプレミス アプリへの接続 ロールベースのアクセス制御 高度なグループ管理 Windows クライアント管理 オンプレミス AD との統合 外部 ID との連携 多要素認証と条件付きアクセス ID 保護 様々な多様認証のサポート パスワードの保護 アクセス制御 アクセス制御との連携 © 2024 タクヤ オータ 脆弱性とリスクの検出 リスクベースのアクセス制御 高度な条件付きアクセス エンド ユーザー セルフサービス ユーザー用のポータル セルフサービス パスワード リセット サインインの確認 アクセス要求 イベント ログとレポート 監査ログ サインインログ 使用状況のレポート Microsoft Entra のプランと価格 | Microsoft Security 44
Microsoft Entra ID Free ID 管理 Microsoft Entra ID P1 ロールベースのアクセス制御の概要 Microsoft Entra ロールを使用すると、最小限の特 権の原則に従って、管理者に詳細なアクセス許可を 付与できます。 ロールの例 • アプリケーション管理者 • アプリケーション開発者 • セキュリティ管理者 • 課金管理者 • グローバル管理者 • ヘルプデスク管理者 • Teams 管理者 上記は一例であり、組織の要件に合わせた 「カスタム ロール」 も作成することが可能 (P1) Microsoft Entra ロール ベースのアクセス制御 (RBAC) の 概要 - Microsoft Entra | Microsoft Learn © 2024 タクヤ オータ 45
Microsoft Entra ID P1 ID 管理 高度なグループ管理機能例 動的グループ ユーザーの属性に基づいて、該当のアカウントを自動的 にグループに登録 グループ単位のライセンス付与 製品のライセンスをユーザーグループに割り当てて、 所属するユーザーに自動的にライセンスを付与可能 グループ単位のアプリケーションの割り当て アプリケーションにグループを割り当てると、グループ内の ユーザーのみがアクセスが可能 管理単位 (Administrative Unit) 特定のユーザー、デバイス、グループを 「管理単位」 として 定義し、管理単位内のユーザーの基本的な管理を行うこ とが可能 © 2024 タクヤ オータ 46
Microsoft Entra ID Free ID 管理 Windows クライアント管理 Microsoft Entra 参加 (旧 Azure AD 参加) SaaS Microsoft Entra ID クラウド ID (メールアドレス) で Windows にサインイン Microsoft Entra ハイブリッド参加 オンプレミス ID で Windows にサインイン SaaS contoso¥takuyaot [email protected] Microsoft が最も推奨する クラウドネイティブな方式 クラウド ID で Windows にサインイン Microsoft Entra ID (インターネット経由) での認証 SaaS アプリへの SSO Connect することで オンプレミス リソースにも SSO 可能 © 2024 タクヤ オータ オンプレミス AD オンプレミス AD に参加したまま シームレスにクラウド対応 オンプレミス ID で Windows にサインイン オンプレミス AD での認証 オンプレミス リソースへの SSO Conenct することで SaaS アプリにも SSO 可能 47
Microsoft Entra ID Free ハイブリッド ID オンプレミス AD との統合 Office 365 や SaaS アプリに オンプレと同じ証情報で SSO 1 つのユーザー ID で 様々なサービスの認証 SaaS アプリ ユーザー Microsoft Entra ID シングル サイン オン (SSO) クラウドホスト型アプリ Microsoft Entra Connect オンプレミス Active Directory © 2024 タクヤ オータ オンプレミス AD のユーザーと オンプレミス AD のユーザーと 同期・関連付けも可能 同期・関連付けも可能 オンプレミスアプリ 48
Microsoft Entra ID Free ハイブリッド ID 2 種類の統合ツール 「Connect 同期」 と 「クラウド同期」 Connect 同期 (2015 年 ~ 提供) クラウド 同期 (2021 年 ~ 提供) Microsoft Entra ID Microsoft Entra ID Connect 専用の Windows Server に インストール推奨 1 テナントに対し 1 つのみ存在可能 オンプレミス AD ※ デバイスは Microsoft Entra ※ ハイブリッド参加” をサポート デバイス / ユーザー / グループを同期 テナントあたり 1 つのみ存在 専用サーバーを推奨で様々なオプションをサポート © 2024 タクヤ オータ 軽量エージェントを Windows Server に インストール 1 テナントに対し 複数での存在可能 オンプレミス AD ユーザー / グループのみを同期 テナントあたり複数での存在在可能 軽量エージェントで一部のオプションのみサポート 49
Microsoft Entra ID Free Microsoft Entra - Connect 同期とクラウド同期の違い Connect 同期 同期対象オブジェクト ユーザー、グループ、コンタクト、デバイス *ユーザーとデバイスは同一フォレストにあること クラウド同期 ユーザー、グループ、コンタクト *デバイスは同期できない 単一オンプレミス AD フォレス トとの統合 ○ 複数オンプレミス AD フォレス トとの統合 ○ *1台の Microsoft Entra Connect サーバーが全てのフォレストに接続できる こと (冗長構成可能) 複数オンプレミス AD フォレス トから Microsoft Entra ID への直接統合 ✕ *全てのフォレストから1台の Microsoft Entra Connect サーバーを介して同 期 (冗長構成可能) ○ ユーザー定義 AD 属性の同期 ○ ✕ 同期・認証モード パスワードハッシュ、パススルー、フェデレーション ○ ○ *複数のフォレストから直接 Microsoft Entra ID に接続して同期可能 パスワードハッシュ、フェデレーション パスワードライトバック ○ ○ デバイスライトバック ○ ✕ システム構成 Microsoft Entra Connect ツール (DCとの共存は非推奨) Microsoft Entra クラウド同期ツール (DC との共存可能) https://docs.microsoft.com/ja-jp/azure/active-directory/cloud-sync/what-is-cloud-sync © 2024 タクヤ オータ 50
Microsoft Entra 製品ファミリー ID & アクセス管理 新しい ID カテゴリ ネットワーク アクセス Microsoft Entra ID Microsoft Entra Verified ID Microsoft Entra Internet Access Microsoft Entra ID Governance Microsoft Entra Permissions Management Microsoft Entra Private Access Microsoft Entra External ID Microsoft Entra Workload ID (currently Azure AD) (formerly Azure AD External Identities) © 2024 タクヤ オータ 51
外部 ID との連携 自社の従業員だけでなく、パートナーや顧客にも安全なアクセスを許可 従業員 パートナー © 2024 タクヤ オータ ー エンジ リシ ン ポ 顧客 セキュリティ カスタマイズ 52
Microsoft Entra ID Free 外部 ID 連携 Microsoft Entra ID P1 外部 ID との連携 – Microsoft Entra External ID B2B 直接接続 B2B コラボレーション SaaS 他の Microsoft Entra ID 組織との相互 の信頼関係を設定し、互いの組織にゲス トとして追加することなく、 Teams で チャットやファイル共有が可能 ※ Microsoft Teams 共有チャネルで動作 © 2024 タクヤ オータ SaaS 管理者が異なる A社 Azure AD B2C / External ID (CIAM) B社 Federation Federation 他の Microsoft Entra ID 組織のユーザー を招待して、サービスへのアクセス許可など を行い共同作業を行うことが可能 自動的にユーザーを同期する 「テナント間 同期」 もリリース ソーシャル ID、メール、またはローカル アカ ウントやビジネス ID を利用して、アプリ・ サービスを提供することが可能 53
B2B 直接接続 他の Microsoft Entra ID テナントとの相互の信頼関係を設定し、 互いの組織にゲストとして追加することなく、 Teams でチャットやファイル共有が可能 この機能は現在、Microsoft Teams 共有チャネルで動作 外部の全ての Microsoft Entra ID Teams 共有チャネル チャネルに外部ユーザーを追加し 会議・チャット・ファイル共有を 実現 リソース テナント A (自組織) ユーザーホームテナント B (他組織) B2B 直接接続 既定の設定 テナントBからの 受信方向の許可 テナントAへ 送信方向の許可 Microsoft Teams 共有チャネルにアクセス *共有チャネルをホスト 会議, チャット, ファイル B2B 直接接続の概要 https://docs.microsoft.com/ja-jp/azure/active-directory/external-identities/b2b-direct-connect-overview © 2024 タクヤ オータ 54
Microsoft Entra ID Free 外部 ID 連携 Microsoft Entra ID P1 外部 ID との連携 – Microsoft Entra External ID B2B 直接接続 B2B コラボレーション SaaS 他の Microsoft Entra ID 組織との相互 の信頼関係を設定し、互いの組織にゲス トとして追加することなく、 Teams で チャットやファイル共有が可能 ※ Microsoft Teams 共有チャネルで動作 © 2024 タクヤ オータ SaaS 管理者が異なる A社 Azure AD B2C / External ID (CIAM) B社 Federation Federation 他の Microsoft Entra ID 組織のユーザー を招待して、サービスへのアクセス許可など を行い共同作業を行うことが可能 自動的にユーザーを同期する 「テナント間 同期」 もリリース ソーシャル ID、メール、またはローカル アカ ウントやビジネス ID を利用して、アプリ・ サービスを提供することが可能 55
外部 ID との連携 – B2B コラボレーション 組織にゲスト ユーザーを招待して共同作業を行うことができる機能 招待元 : テナント A (リソース ディレクトリ) 招待先 : テナント B ❶ 管理者が招待 (ホーム ディレクトリ) ❷ ユーザーの承諾 SaaS ❸ ゲストとして登録 サービスへアクセス可 A さん (ゲスト) テナント A は B のユーザーに • サービスの利用認可 • 条件付きアクセス(任意) A さん 認証は テナント B 側で 実施 Point! 認証:ゲストユーザーの認証は所属企業のテナント(ホーム ディレクトリ)で行われます。 * ゲストユーザーは、招待元のテナント(リソースディレクトリ)にパスワード情報を保持しないため、認証ができません。 認可:アプリの認可は、招待元のテナント(リソースディレクトリ)で行われます。 © 2024 タクヤ オータ 56
外部 ID との連携 – B2B コラボレーション 1 つのターゲットと 1 つのソース 複数のソースと 1 つのターゲット 1 つのソースと複数のターゲット メッシュ ピアツーピア 「テナント間同期」 機能で 自動的に同期も可能 SaaS A社 B社 Federation 自動的にユーザーを同期する 「テナント間 同期」 を利用することで様々なパターンの テナント構成をとることが可能 © 2024 タクヤ オータ 57
Microsoft Entra ID Free 外部 ID 連携 Microsoft Entra ID P1 外部 ID との連携 – Microsoft Entra External ID B2B 直接接続 B2B コラボレーション SaaS 他の Microsoft Entra ID 組織との相互 の信頼関係を設定し、互いの組織にゲス トとして追加することなく、 Teams で チャットやファイル共有が可能 ※ Microsoft Teams 共有チャネルで動作 © 2024 タクヤ オータ SaaS 管理者が異なる A社 Azure AD B2C / External ID (CIAM) B社 Federation Federation 他の Microsoft Entra ID 組織のユーザー を招待して、サービスへのアクセス許可など を行い共同作業を行うことが可能 自動的にユーザーを同期する 「テナント間 同期」 もリリース ソーシャル ID、メール、またはローカル アカ ウントやビジネス ID を利用して、アプリ・ サービスを提供することが可能 58
Azure AD B2C お客様 Business ソーシャル ID、メール、 またはローカル アカウント アプリと API 使い慣れた ID プロバイダーを使って 顧客を安全に認証する ビジネスおよび政府 ID contoso © 2024 タクヤ オータ 顧客のログイン、環境設定、 変換データを取り込む ブランド独自 (ホワイト レーベル) の 登録およびログイン エクスペリエン スを提供する 分析 外部システムの 統合 59
お客様の方法でソリューションを構築する アプリ開発者 任意のユーザー (ID プロバイダー、 ソーシャルまたはメール、コンシューマーとエンター プライズ) をサインイン 各ピクセル (ブランド、HTML、CSS) をカスタマ イズする ソーシャル アカウントの使用 カスタム ユーザー属性の作成 ビルトイン、セルフサービス、ユーザー エクスペリ エンスを使用する ユーザーを MFA で保護する HTML と CSS を使ってページを カスタマイズする 何百万ものユーザーに合わせて拡張、エンター プライズ対応、セキュリティ、優れたコスト効率 © 2024 タクヤ オータ </> 60
B2C デジタルエクスペリエンスのカスタマイズ ブランド登録とログインの提供 © 2024 タクヤ オータ ソーシャル ID と 電子メールを 使用したセルフサービス サインアップ サインアップ中に収集された ユーザ属性のカスタマイズと ローカライズ 61
まとめ - 管理とハイブリッド ID 管理とハイブリッド ID ロールベースのアクセス制御 高度なグループ管理 Windows クライアント管理 オンプレミス AD との統合 外部 ID との連携 組織向けの ID 管理機能な提供 • ロールベースでの権限管理 • 高度なグループの管理機能によるオペレーションの最適化 Windows やオンプレミス ID との統合 • Windows クライアントをクラウド ID で統合 • オンプレミス AD と接続し ID を統合 外部 ID との連携 • グループ企業や提携会社の ID との連携 • コンシューマー向け ID に対してのサービス提供 • 料金は別途 ⇒ 料金 - Active Directory 外部 ID | Microsoft Azure © 2024 タクヤ オータ 62
ナガシヨミ Microsoft 365 Microsoft Entra ID 概要 1. Microsoft Entra ID 概要 2. Microsoft Entra ID 主な機能紹介 2-1. 認証 / SSO / アプリケーション アクセス 2-2. 多要素認証と条件付きアクセス 2-3. 管理とハイブリッド ID 2-4. ID 保護 2-5. エンド ユーザー セルフサービス 2-6. イベント ログとレポート 2-7. ID ガバナンス 3. まとめ
Microsoft Entra ID の主な機能 認証 / SSO / アプリケーション アクセス 管理とハイブリッド ID ユーザーの認証と SSO SaaS アプリへの接続 様々なアプリの認証と認可 オンプレミス アプリへの接続 ロールベースのアクセス制御 高度なグループ管理 Windows クライアント管理 オンプレミス AD との統合 外部 ID との連携 多要素認証と条件付きアクセス ID 保護 様々な多様認証のサポート パスワードの保護 アクセス制御 アクセス制御との連携 © 2024 タクヤ オータ 脆弱性とリスクの検出 リスクベースのアクセス制御 高度な条件付きアクセス エンド ユーザー セルフサービス ユーザー用のポータル セルフサービス パスワード リセット サインインの確認 アクセス要求 イベント ログとレポート 監査ログ サインインログ 使用状況のレポート Microsoft Entra のプランと価格 | Microsoft Security 64
Microsoft Entra ID P2 Microsoft Entra ID による脅威保護 ライセンス 機能 Microsoft Entra ID P1 サイン画面の カスタマイズ コントソ株式会社 多要素認証 Microsoft Entra Identity Protection アクセス制御 なりすまし検出 © 2024 タクヤ オータ 攻撃情報 ID を不正に入手 特権ID の 管理 ID / パスワード イメージ 攻撃者 侵害状況の 可視化 なりすまして侵入 全体管理者 不正な侵害 65
Microsoft Entra ID P2 条件付きアクセス + Identity Protection 171TB 条件 制御 アクセスの許可 / ブロック IdP アカウント ID Business Social Machine Learning Session Risk 場所 Physical クライアント アプリ / 認証方法 Browser apps © 2024 タクヤ オータ Client apps MFA を要求 Real time Evaluation Engine Network Policies Web アプリ Effective policy ***** パスワードリセット の強制 APIs モバイル アプリ 66
Microsoft Entra ID P2 ユーザーのサインインシグナルの網羅的な分析・脅威検知 リスク (危険なユーザー、危険なサインイン) ベースのアクセス制御が可能 Session 1 2 3 4 5 6 日付 3-Mar 3-Mar 3-Mar 4-Mar 4-Mar 5-Mar 田中さん は通常、朝2時にロ グインしない 時刻 10:05 15:07 16:45 10:23 2:04 11:30 ユーザー 田中 田中 田中 田中 田中 田中 田中さんが普段利用し ないデバイス 端末 iPhone 8 iPhone 8 Windows 10 Windows 10 Linux iPhone 8 アプリケーション Teams SharePoint Online Teams Word Sway Word 不審なIPアドレス IPアドレス 1.2.3.4 1.2.3.5 2.2.2.1 2.2.2.1 13.22.12.12 1.2.3.4 場所 Tokyo, Japan Tokyo, Japan Tokyo, Japan Tokyo, Japan Seattle, US Tokyo, Japan 悪いように 見える 田中さんが今までアメリカ からログインした事はない • あり得ない移動(日本からアクセスした少し後に、アメリカからアクセスがある) • 不審なアクティビティのあるIPアドレスからのアクセス • パスワード漏洩が検知された場合 • 匿名IPアドレスからのサインイン • 通常利用しない場所からのサインイン © 2024 タクヤ オータ ・・・等 67
Microsoft Entra ID P2 Microsoft Entra ID によるリスクの検出 ブロックされた攻撃の数 保護されているユーザーの数 場所別の危険なアクティビティ ユーザーリスクを修復するための 平均時間 © 2024 タクヤ オータ 危険度の高いユーザー数 68
Microsoft Entra ID P2 Microsoft Entra ID によるリスクの検出 危険と判断されたアクティビティ詳細の確認 IPアドレス、デバイス、アクセス先、利用されたプロトコル など © 2024 タクヤ オータ 69
Microsoft Entra ID P2 管理者への通知 ユーザーのリスクとリスク検出の管理に役立つ 2 種類の自動通知電子メールが配信 危険な状態のユーザーが検出された電子メール © 2024 タクヤ オータ 週間ダイジェスト電子メール Azure Active Directory Identity Protection の通知 - Microsoft Entra | Microsoft Learn 70
まとめ - ID 保護 (ID Protection) ID 保護 脆弱性とリスクの検出 リスクベースのアクセス制御 高度な条件付きアクセス ユーザー ID を監視・保護 • ユーザーの行動パターンを機械学習 • 普段とは異なるサイン イン情報からリスクレベルを判定 • ブラックマーケットなどに情報が流れてないかも管理 より高度な ID の保護・自動対処 • ユーザーのリスクレベルに応じた 「条件付きアクセス」 • 様々なダッシュボードやレポートによる通知 © 2024 タクヤ オータ 71
ナガシヨミ Microsoft 365 Microsoft Entra ID 概要 1. Microsoft Entra ID 概要 2. Microsoft Entra ID 主な機能紹介 2-1. 認証 / SSO / アプリケーション アクセス 2-2. 多要素認証と条件付きアクセス 2-3. 管理とハイブリッド ID 2-4. ID 保護 2-5. エンド ユーザー セルフサービス 2-6. イベント ログとレポート 2-7. ID ガバナンス 3. まとめ
Microsoft Entra ID の主な機能 認証 / SSO / アプリケーション アクセス 管理とハイブリッド ID ユーザーの認証と SSO SaaS アプリへの接続 様々なアプリの認証と認可 オンプレミス アプリへの接続 ロールベースのアクセス制御 高度なグループ管理 Windows クライアント管理 オンプレミス AD との統合 外部 ID との連携 多要素認証と条件付きアクセス ID 保護 様々な多様認証のサポート パスワードの保護 アクセス制御 アクセス制御との連携 脆弱性とリスクの検出 リスクベースのアクセス制御 高度な条件付きアクセス エンド ユーザー セルフサービス ユーザー用のポータル セルフサービス パスワード リセット サインインの確認 アクセス要求 イベント ログとレポート 監査ログ サインインログ 使用状況のレポート Microsoft Entra のプランと価格 | Microsoft Security © 2024 タクヤ オータ 73
Microsoft Entra ID Free ユーザー用のポータル – マイ アカウント 自分のセキュリティ情報の表示と管理 アカウントへのサインインやパスワードの再設定に使用する方法を 設定。多要素認証の要素の追加 接続されているデバイスを表示と管理 Microsoft Entra ID で管理されているデバイスの表示 ゲスト参加している組織の表示と管理 他の組織への参加状況の確認と組織からの脱退 サインイン アクティビティの表示 いつどこでサインインしたかを確認し、異常なものがないかどうかを 確認 設定およびプライバシー 組織でのプライバシー関連データの使用方法を表示 © 2024 タクヤ オータ https://myaccount.microsoft.com 74
Microsoft Entra ID Free ユーザー用のポータル - マイ アプリ Microsoft Entra ID でアプリケーションを管理 および起動するために使用される Web ベース のポータル ユーザーがアクセスすると割り当てられたアプリ の一覧が表示され、 アプリをクリックしてアク セスすることができる アクセス権のあるアプリケーションの検出 新しいアプリケーションを要求する アプリケーションの個人用コレクションを作成する アプリケーションへのアクセスを管理する https://myapps.microsoft.com © 2024 タクヤ オータ 75
Microsoft Entra ID P1 ユーザー用のポータル – マイ サインイン MySignins ページに、Identity Protection で検 出された不審なアクティビティが “普通ではないア クティビティ" の新しいセクションの下に追加 新しいボタン「これは私ではありません」 と 「私で す」 という新しいボタンが追加。 ユーザが 「これは私ではありません」 を選択した場 合、「セキュリティ情報」ページに誘導され、パスワー ドの変更やアカウントの安全性を確保するための さらなる措置を講じることができます。 https://mysignins.microsoft.com © 2024 タクヤ オータ 76
Microsoft Entra ID Free Microsoft Entra ID P1 セルフサービス パスワード リセット パスワードを忘れてしまった場合の対処イメージ すぐに復旧し利用者の機会損失を最小限に ヘルプデスク業務の負荷軽減によるコスト削減 https://passwordreset.microsoftonline.com © 2024 タクヤ オータ 77
まとめ - エンドユーザー セルフサービス エンドユーザー セルフサービス ユーザー用のポータル セルフサービス パスワード リセット サインインの確認 アクセス要求 © 2024 タクヤ オータ ユーザーのセルフサービス用ポータルの提供 • 利用できるアプリへの SSO の提供 • 自身によるパスワード リセットによるヘルプデスクの負荷軽減 • サインインの確認によるセキュリティの向上 78
ナガシヨミ Microsoft 365 Microsoft Entra ID 概要 1. Microsoft Entra ID 概要 2. Microsoft Entra ID 主な機能紹介 2-1. 認証 / SSO / アプリケーション アクセス 2-2. 多要素認証と条件付きアクセス 2-3. 管理とハイブリッド ID 2-4. ID 保護 2-5. エンド ユーザー セルフサービス 2-6. イベント ログとレポート 2-7. ID ガバナンス 3. まとめ
Microsoft Entra ID の主な機能 認証 / SSO / アプリケーション アクセス 管理とハイブリッド ID ユーザーの認証と SSO SaaS アプリへの接続 様々なアプリの認証と認可 オンプレミス アプリへの接続 ロールベースのアクセス制御 高度なグループ管理 Windows クライアント管理 オンプレミス AD との統合 外部 ID との連携 多要素認証と条件付きアクセス ID 保護 様々な多様認証のサポート パスワードの保護 アクセス制御 アクセス制御との連携 脆弱性とリスクの検出 リスクベースのアクセス制御 高度な条件付きアクセス エンド ユーザー セルフサービス ユーザー用のポータル セルフサービス パスワード リセット サインインの確認 アクセス要求 イベント ログとレポート 監査ログ サインインログ 使用状況のレポート Microsoft Entra のプランと価格 | Microsoft Security © 2024 タクヤ オータ 80
MicrosoftEntra EntraID IDFree P1 Microsoft Microsoft Entra ID のログ - サインイン ログ サインイン ログ からわかること • “誰が”サインインしたのか • “何に”サインインしたのか • “いつ”サインインしたのか • “どこから”サインインしたのか • “なぜ”サインインできたのか/できなかったのか サインイン ログ を利用したタスク例 • ユーザー の サインイン パターンを確認する • アプリケーション の利用率 (外部 レポート と連携) • 利用している ブラウザ ・ OS の確認 • セキュリティ インシデント の調査 • 失敗した サインイン の調査 © 2024 タクヤ オータ 81
Microsoft Entra ID Free Microsoft Entra ID のログ - 監査ログ 監査ログから分かること • “誰が”変更をしたのか • “どの”オブジェクトに対して変更をしたのか • “何を”変更したのか • “いつ”変更したのか • “その”実行は成功したのか 監査ログを利用したタスク例 • セルフサービス パスワード リセット の登録状況 • ポリシーの変更を調査 • ID が ”なにもしていないのに” 消えたんだが… • PIM の昇格イベントの調査 • ユーザーのプロビジョニング状況の確認 © 2024 タクヤ オータ 82
Microsoft Entra ID Free Microsoft Entra ID P1 ログの保持期間 - アクティビティ ログ Microsoft Entra ID Free Microsoft Entra ID P1 Microsoft Entra ID P2 監査ログ 7日 30 日 30 日 サインイン 該当なし 30 日 30 日 MFA の使用状況 30 日 30 日 30 日 以下のようなソリューションを使うことで上記期間を超えてログを保存することが可能 • • • • Azure Blob Storage Azure EventHub Azure Log Analytics (おすすめ) Azure Sentinel (おすすめ) © 2024 タクヤ オータ 83
Microsoft Entra ID P1 レポート例 : 条件付きアクセス | 分析情報とレポート 「分析情報とレポート」 では、指定された期間における1つまたは複数の条件付きアクセス・ポリシーの影響を確認可能 ME-ID のサインインログをLog Analyticsに送信する必 要があります。 ダッシュボードは以下の項目でフィルタリングできる : • 条件付きアクセス ポリシー • 時間の範囲 • ユーザーUser • アプリ • データ ビュー © 2024 タクヤ オータ 84
Microsoft Entra ID P1 レポート例 : 認証方法 | アクティビティ 認証方法の使用状況と分析情報 管理者が組織全体の認証方法の登録 と使用を監視可能 このレポート機能は、組織が登録中の方 法や各方法の使用状況を確認する手 段となる 認証方法アクティビティ - Microsoft Entra | Microsoft Learn © 2024 タクヤ オータ 85
Microsoft Entra ID P1 レポート例 : 使用状況と分析情報 | アプリケーション アクティビティ 1 回以上のサインインを試行したアプリケーションの 一覧が表示されます。 選択した日付範囲内のすべてのアプリケーション ア クティビティがレポートに表示されます。 このレポートでは、成功したサインインの数、失敗した サインインの数、および成功率で並べ替えを行うこと ができます。 使用状況と分析情報のレポート Microsoft Entra | Microsoft Learn © 2024 タクヤ オータ 86
まとめ - イベント ログとレポート ID 管理における必要なログの提供 イベント ログとレポート 監査ログ サインインログ 使用状況のレポート • • • • 「サインイン ログ」 によるユーザーのサインイン状況の確認 「監査ログ」 によるユーザー操作などの確認 無料では 7 日間に加え、P1 以上であれば 30 日間のログ保存 それ以上の保存が必要な場合、別途さまざまな手段を提供 さまざまなレポートの提供 • 「条件付きアクセス」 に関する分析情報とレポート • 認証方法やアプリに関する使用レポートも提供 © 2024 タクヤ オータ 87
ナガシヨミ Microsoft 365 Microsoft Entra ID 概要 1. Microsoft Entra ID 概要 2. Microsoft Entra ID 主な機能紹介 2-1. 認証 / SSO / アプリケーション アクセス 2-2. 多要素認証と条件付きアクセス 2-3. 管理とハイブリッド ID 2-4. ID 保護 2-5. エンド ユーザー セルフサービス 2-6. イベント ログとレポート 2-7. ID ガバナンス 3. まとめ
Microsoft Entra 製品ファミリー ID & アクセス管理 新しい ID カテゴリ ネットワーク アクセス Microsoft Entra ID Microsoft Entra Verified ID Microsoft Entra Internet Access Microsoft Entra ID Governance Microsoft Entra Permissions Management Microsoft Entra Private Access Microsoft Entra External ID Microsoft Entra Workload ID (currently Azure AD) (formerly Azure AD External Identities) © 2024 タクヤ オータ 89
Microsoft Entra ID のプラン Microsoft Entra ID Free Microsoft Entra ID P1 Microsoft Entra ID P2 Microsoft Entra ID Governance ID ガバナンス ID ガバナンス SaaS アプリに対する自動ユーザー プロビジョニング オンプレミス アプリに対する自動ユーザー プロビジョニング アプリに対する自動グループ プロビジョニング 人事主導のプロビジョニング 使用条件構成証明 主要な機能 自動ユーザープロビジョニング ライフサイクル ワークフロー エンタイトルメント管理 アクセスレ ビュー 特権 ID 管理 (PIM) 基本的なアクセス認定とレビュー 機械学習支援によるアクセス認定とレビュー エンタイトルメント管理 Verified ID を使用するエンタイトルメント管理 ライフサイクル ワークフロー ID ガバナンス ダッシュボード 特権 ID 管理 (PIM) © 2024 タクヤ オータ Microsoft Entra のプランと価格 | Microsoft Security 90
Microsoft Entra ID Governance ID ライフサイクル管理と各コンポーネントの関連性 入社~異動~退社の流れ ライフサイクルの自動化 ライフサイクルワークフロー HR システム・ 外部 ID・AD・CSV ユーザーを自動的に ディレクトリに登録 リソースへの アクセス権付与を自動化 Microsoft Entra ID 追加アクセスが必要な場合の セルフサービス・アクセスリクエスト エンタイトルメント管理 ジャスト・イン・タイムのアクセス、アラート、 承認ワークフローにより、重要なリソースへのアクセスを保護 特権 ID 管理 (PIM) Office 365 Teams sites SharePoin t Libraries ユーザーの降板時に アクセス権を自動削除 SaaS アプリ アクセス再認証 リスクを軽減 オンプレミスアプリ 継続的な監査と報告 アクセスレビュー © 2024 タクヤ オータ 91
自動ユーザープロビジョニング - 様々なタイプのサポート HR からの ユーザー プロビジョニング Cloud HR On-premises HR 任意のアプリケーションへの ユーザープロビジョニング On-premises apps オンプレミスからの クラウドプロビジョニング Non-Microsoft cloud apps Microsoft Entra ID Microsoft Entra ID © 2024 タクヤ オータ Microsoft Entra ID On-premises identities 92
プロビジョニング 人事部主導のユーザープロビジョニングを可能にし、従業員や臨時従業員の入社/移動/退職プロセスを自動化 ユーザー 勤務地/部署変更 Cloud HR ユーザー 新規雇用 人事システムに合わせて Logic Apps 属性を加工して投入 © 2024 タクヤ オータ ユーザー 終了 Cloud apps Microsoft Entra ID (synced with Active Directory) ユーザー昇格 “属性やグループ“に合わせた 権限管理 ユーザー 退職のお知らせ (有効期限) あらゆるデータソースから Microsoft Entra ID に ID を同期する新しい方法のご紹介 https://jpazureid.github.io/blog/azure-active-directory/introducing-a-new-flexible-way-of-bringingidentities-from-any/ 93
ユーザープロビジョニング自動化 Cloud HR ユーザー同期 ユーザープロビジョニング SaaS システム /PaaSなど Microsoft Entra ID 人事システム 作成/変更/削除 人事部 作成/変更/削除 ※各システムによる 人事部 自動化 1. GUI をベースでの属性マッピング/加工ルールを 作成し、処理の自動化 © 2024 タクヤ オータ 2. 人事イベントに合わせたメール送付/処理を 自動化 3. ユーザー権限に合わせて SaaS システムの権限 反映自動化 94
Microsoft Entra ID Governance ライフサイクル ワークフロー 雇用における様々なシーンでの管理業務を自動化し負荷軽減 ⇒① 入社時 ② 異動時 ③ 退社時 の 3 パターンを想定 1. テンプレートの選択 入社時テンプレート 2 種 退社時テンプレート 4 種 © 2024 タクヤ オータ 2. スコープ選択 対象範囲を選択 例 : マーケティング部への入社時 3. タスク選択 実行するタスクを選択 95
Microsoft Entra ID P2 ID ライフサイクル管理と各コンポーネントの関連性 入社~異動~退社の流れ ライフサイクルの自動化 ライフサイクルワークフロー HR システム・ 外部 ID・AD・CSV ユーザーを自動的に ディレクトリに登録 リソースへの アクセス権付与を自動化 Microsoft Entra ID 追加アクセスが必要な場合の セルフサービス・アクセスリクエスト エンタイトルメント管理 ジャスト・イン・タイムのアクセス、アラート、 承認ワークフローにより、重要なリソースへのアクセスを保護 特権 ID 管理 (PIM) Office 365 Teams sites SharePoin t Libraries ユーザーの降板時に アクセス権を自動削除 SaaS アプリ アクセス再認証 リスクを軽減 オンプレミスアプリ 継続的な監査と報告 アクセスレビュー © 2024 タクヤ オータ 96
Microsoft Entra ID P2 アクセスレビュー - 不要なメンバーや権限を適宜確認 グループ メンバーシップ、アプリケーションへのアクセス、ロールの割り当てを効率的に管理 推奨をベースにアプリとグループ のメンバーシップをレビュー IT 管理者がアクセスレビューを作成 レビュー対象のグループと アプリ指定 ゲストのみ or 全員の スコープを指定 レビュー担当者を指定 周期を指定 レビュー担当者が 必要なアクセス権か どうかを判断 レビュー担当者に メールで通知 Weekly / Monthly Quarterly / Yearly 不要なアクセス権を削除 © 2024 タクヤ オータ 97
アクセス レビュー Microsoft Entra ID Governance 非アクティブなユーザーのレビュー • 指定された期間中にアクティブでなく なった古いアカウントに対して対処する • インタラクティブなサインインについても対 応が可能 • テナント毎に非アクティブの意味を定義 古くなったアカウントを自動的に削除 © 2024 タクヤ オータ Review inactive user accounts 98
マシンラーニングを利用した新たなアクセスレビュー Microsoft Entra ID Governance 非アクティブユーザーに関する推奨事項 非アクティブユーザーの確認を手助け ユーザーは過去30日以内にテナントにサインインしていない場合、 そのユーザーは非アクティブとみなされます 本機能が有効になっていると以下の価値を得られます • 推奨アクションとして“拒否”を指定 • レビュー対象ユーザーの最終サインイン日の表示 © 2024 タクヤ オータ Inactive user recommendations 99
マシンラーニングを利用した新たなアクセスレビュー Microsoft Entra ID Governance ユーザー対グループの所属 ユーザー対グループへの所属を把握し 多くのインサイトに基づいた意思決定が可能 • 組織の階層構造を考慮しグループ内の他のユーザーとの相対的 な所属関係を分析 • 機械学習ベースのスコアリングメカニズムを利用し、グループ内の 他のユーザーと著しく離れているユーザを特定し、そのユーザーを “所属度が低い”と特定 • レビュー担当者はアクセスレビューの際に My Access から推奨 事項を確認 © 2024 タクヤ オータ User-to-group recommendations 100
Microsoft Entra ID P2 ID ライフサイクル管理と各コンポーネントの関連性 入社~異動~退社の流れ ライフサイクルの自動化 ライフサイクルワークフロー HR システム・ 外部 ID・AD・CSV ユーザーを自動的に ディレクトリに登録 リソースへの アクセス権付与を自動化 Microsoft Entra ID 追加アクセスが必要な場合の セルフサービス・アクセスリクエスト エンタイトルメント管理 ジャスト・イン・タイムのアクセス、アラート、 承認ワークフローにより、重要なリソースへのアクセスを保護 特権 ID 管理 (PIM) Office 365 Teams sites SharePoin t Libraries ユーザーの降板時に アクセス権を自動削除 SaaS アプリ アクセス再認証 リスクを軽減 オンプレミスアプリ 継続的な監査と報告 アクセスレビュー © 2024 タクヤ オータ 101
Microsoft Entra ID P2 エンタイトルメント管理 – リソースに対するアクセス権の管理 ID Governance の エンタイトルメント管理で、権限割当が必要なリソースとその権限を管理 エンタイトルメント管理の仕組み ユーザー オンボード ① アクセス パッケージを作る 退職 etc 様々なリソースの アクセス権の詰め合わせ アクセス パッケージ リソース グループ アクセス レビュー (棚卸) 継続的な監査 レポート アクセス権 リクエスト © 2024 タクヤ オータ ② ユーザーがリクエストをする Sharepoint サイト ③ 承認プロセス を通過 Teams ポリシー 承認プロセス 有効期限 … アクセス権付与 アプリ ④ リソースへのアクセスが 許可される ユーザー アクセス パッケージ URL に アクセスして、1 回申請するだけ! 102
参考:エンタイトルメント管理者の操作 実際の設定内容 権限を付与するリソース 自動承認、マネージャー(特定の 方)承認などの承認ルール リクエスト可能な人/要求する際 の質問(多言語) 有効期限/棚卸頻度 (棚卸担当者) 追加で呼び出すワークフロー © 2024 タクヤ オータ 103
参考:実際のユーザー操作 申請画面 (マイアクセス) 承認メール 様々なリソースのアクセス権の詰め合わせ 1 回申請するだけ © 2024 タクヤ オータ 104
Microsoft Entra ID P2 ID ライフサイクル管理と各コンポーネントの関連性 入社~異動~退社の流れ ライフサイクルの自動化 ライフサイクルワークフロー HR システム・ 外部 ID・AD・CSV ユーザーを自動的に ディレクトリに登録 リソースへの アクセス権付与を自動化 Microsoft Entra ID 追加アクセスが必要な場合の セルフサービス・アクセスリクエスト エンタイトルメント管理 ジャスト・イン・タイムのアクセス、アラート、 承認ワークフローにより、重要なリソースへのアクセスを保護 特権 ID 管理 (PIM) Office 365 Teams sites SharePoin t Libraries ユーザーの降板時に アクセス権を自動削除 SaaS アプリ アクセス再認証 リスクを軽減 オンプレミスアプリ 継続的な監査と報告 アクセスレビュー © 2024 タクヤ オータ 105
Microsoft Entra ID P2 特権 ID 管理 (PIM) - 一時的な権限付与 ID Governance の 特権 ID 管理 (PIM) で必要最小限の権限管理を 舞黒太郎 時 間 対象のユーザーに、 数時間のみ、 期限付きで、 最低限の範囲で、 最低限必要なロールのみ 管理者候補 舞黒太郎 © 2024 タクヤ オータ 管理者 ( 特権昇格 ) 対象化 (特権ロール管理者によって候補者にする) 舞黒太郎 舞黒太郎 非対象化 承認者 有効化要求 ・ 一般ユーザ 承認者 承認 舞黒太郎 管理作業 実施 無効化 ( タイムアウト or 手動 ) セキュリティレビュー 継続 舞黒太郎 特権ロール管理者の 特権のメンテナンス作業 特権ロール管理者の通常作業 106
ID ガバナンス ダッシュボード ID ガバナンスの現在の状態を一目で確認でき、アクション可能なボタンと機能ドキュメントへのすばやくアクセス可能 勉強用資料 | Microsoft の正式見解ではありません 107
ID ガバナンス - まとめ ID ガバナンス 主要な機能 自動ユーザープロビジョニング ライフサイクル ワークフロー エンタイトルメント管理 アクセスレ ビュー 特権 ID 管理 (PIM) © 2024 タクヤ オータ ID のライフサイクルを一括管理 • さまざまな自動ユーザープロビジョニングの方法をサポート • ID の発行から削除までの一連の流れをサポート 運用における ID 管理の効率化をフォロー • 「エンタイトルメント管理」 によるリソースへのアクセス パッケージの提供 • 「アクセス レビュー」 による定期的な ID の棚卸をサポート • 「特権 ID 管理」 による一時的なアクセス権の要求と許可 108
ナガシヨミ Microsoft 365 Microsoft Entra ID 概要 1. Microsoft Entra ID 概要 2. Microsoft Entra ID 主な機能紹介 2-1. 認証 / SSO / アプリケーション アクセス 2-2. 多要素認証と条件付きアクセス 2-3. 管理とハイブリッド ID 2-4. ID 保護 2-5. エンド ユーザー セルフサービス 2-6. イベント ログとレポート 2-7. ID ガバナンス 3. まとめ
Microsoft Entra ID (旧 Azure AD) クラウドベースの ID およびアクセス管理サービス IDaaS の基本機能 ユーザーとグループの管理、オンプレミス ディレクトリ同期、 基本レポート、クラウド ユーザー向けのセルフサービスのパス ワード変更のほか、Azure、Microsoft 365、および多くの 一般的な SaaS アプリ全体のシングル サインオンを提供。 Microsoft のクラウド サービスを利用する場合必須 Microsoft Entra ID P1 / P2 基本機能に加え、ハイブリッド ユーザーがオンプレミスと クラウドの両方のリソースにアクセスすることも可能。 AI や ML を利用して高度な ID の保護を実現する Identity Protection、また、ローコードツールとの連携に よって高度な ID 管理機能もサポート。 © 2024 タクヤ オータ 110
Microsoft Entra ID ですべてのアプリケーションを保護する理由 セキュリティ 環境全体で安全性と 回復力を維持 © 2024 タクヤ オータ 生産性 シームレスなアクセスで 生産性を向上 コスト コスト削減と IT効率の向上 111
Active Directory と Microsoft Entra ID Active Directory Microsoft Entra ID オンプレミス ディレクトリサービス • LDAP • Kerberos • NTLM c オンプレミスで使われる認証のサポート Microsoft 製 ディレクトリ サービス オンプレミス型 ID 管理 オンプレミス システムと連携 Windows の管理 (グループ ポリシー) © 2024 タクヤ オータ IDaaS • • • • OAuth 2.0 Open ID Connect SAML WS-Fed クラウドで使われる認証のサポート Microsoft 製 IDaaS クラウド型 ID 管理 SaaS サービスと連携 デバイスのポリシー機能なし (Intune で提供) 112
Microsoft Entra ID の主な機能 認証 / SSO / アプリケーション アクセス 管理とハイブリッド ID ユーザーの認証と SSO SaaS アプリへの接続 様々なアプリの認証と認可 オンプレミス アプリへの接続 ロールベースのアクセス制御 高度なグループ管理 Windows クライアント管理 オンプレミス AD との統合 外部 ID との連携 多要素認証と条件付きアクセス ID 保護 様々な多様認証のサポート パスワードの保護 アクセス制御 アクセス制御との連携 脆弱性とリスクの検出 リスクベースのアクセス制御 高度な条件付きアクセス エンド ユーザー セルフサービス ユーザー用のポータル セルフサービス パスワード リセット サインインの確認 アクセス要求 イベント ログとレポート 監査ログ サインインログ 使用状況のレポート Microsoft Entra のプランと価格 | Microsoft Security © 2024 タクヤ オータ 113
Microsoft Entra ID の主な機能 ID ガバナンス 主要な機能 自動ユーザープロビジョニング ライフサイクル ワークフロー エンタイトルメント管理 アクセスレ ビュー 特権 ID 管理 (PIM) Microsoft Entra のプランと価格 | Microsoft Security © 2024 タクヤ オータ 114
Microsoft Entra ID Free Microsoft Entra ID の主な機能とプラン 認証 / シングル サインオン / アプリケーション アクセス 管理とハイブリッド ID Microsoft Entra ID P1 Microsoft Entra ID P2 エンド ユーザー セルフサービス シングル サインオン (SSO) 無制限 ロールベースのアクセス制御 (RBAC) アプリケーション起動ポータル (マイ アプリ) アプリケーションへのグループ割り当て ユーザーとグループの管理 セルフサービス アカウント管理ポータル (マイ アカウント) クラウド認証 (パススルー認証、パスワード ハッシュ同期) 高度なグループ管理 (動的グループ、有効期限) セルフサービス パスワード変更 (クラウド ユーザーのみ) フェデレーション認証 (AD FS、または他の ID プロバイダー) オンプレミス AD との同期 (Connect 同期、クラウド同期) セルフサービス パスワード リセット (オンプレミスも可) アプリケーション プロキシ オンプレミス ID 同期の監視と分析 (Connect Health) サインイン アクティビティの検索とレポート (自分のサインイン) サービス レベル アグリーメント (99.99%) テナント間同期 セルフサービス エンタイトルメント管理 (マイ アクセス) 多要素認証と条件付きアクセス イベント ログとレポート ID 保護 多要素認証 (MFA) リスクベースの条件付きアクセス 基本的なセキュリティと使用状況レポート パスワードレス認証 認証コンテキスト (ステップアップ認証) 高度なセキュリティと使用状況レポート 条件付きアクセス デバイスとアプリケーションのフィルター (条件付きアクセス用) 監査ログ (7 日間) セッション有効期間管理 / 継続的アクセス評価 トークン保護 監査ログやサインインログ (30 日間) パスワード保護 (グローバル禁止パスワード、クラウドのみ) 脆弱性とリスクの高いアカウント パスワード保護 (カスタム禁止パスワード、オンプレミス) リスク イベント調査や SIEM 接続 © 2024 タクヤ オータ Microsoft Entra のプランと価格 | Microsoft Security 115
Microsoft Entra ID の主な機能とプラン Microsoft Entra ID Free Microsoft Entra ID P1 Microsoft Entra ID P2 Microsoft Entra ID Governance ID ガバナンス SaaS アプリに対する自動ユーザー プロビジョニング オンプレミス アプリに対する自動ユーザー プロビジョニング アプリに対する自動グループ プロビジョニング 人事主導のプロビジョニング 条件付きアクセス - 使用条件の構成証明 基本的なアクセス認定とレビュー 機械学習支援によるアクセス認定とレビュー エンタイトルメント管理 Verified ID を使用するエンタイトルメント管理 ライフサイクル ワークフロー ID ガバナンス ダッシュボード 特権 ID 管理 (PIM) Microsoft Entra のプランと価格 | Microsoft Security © 2024 タクヤ オータ 116
ナガシヨミ Microsoft 365 Microsoft Entra ID 概要 END 2024 年 1 月 タクヤ オータ