クラウド、ハイブリッド、マルチクラウドのアクセス戦略を設計する (Microsoft Entra ID など)
このユニットでは、クラウド導入フレームワークの Azure ID およびアクセス管理の設計領域に基づく、クラウド環境の ID およびアクセス管理に関連する設計推奨事項をまとめました。 関連するあらゆる設計ディスカッションについて詳しくは、次の記事を参照してください。
ID ソリューションの比較
Active Directory と Microsoft Entra ID: ユーザー管理
| 概念 | Active Directory (AD) | Microsoft Entra ID |
|---|---|---|
| ユーザー | ||
| プロビジョニング: ユーザー | 組織では、手動で内部ユーザーを作成するか、Microsoft Identity Manager などの社内または自動のプロビジョニング システムを使用して、HR システムと統合します。 | 既存の AD 組織では Microsoft Entra Connect を使用して、ID をクラウドに同期します。 Microsoft Entra ID により、クラウド HR システムからユーザーを自動的に作成するためのサポートが追加されます。 Microsoft Entra ID では、SCIM が有効化された SaaS アプリ内で ID をプロビジョニングして、ユーザーにアクセスを許可するために必要な詳細情報を自動的にアプリに提供できます。 |
| プロビジョニング: 外部 ID | 組織では、専用の外部 AD フォレスト内に外部ユーザーを通常のユーザーとして手動で作成します。これにより、外部 ID (ゲスト ユーザー) のライフサイクルを管理するための管理オーバーヘッドが生じます。 | Microsoft Entra ID では、外部 ID をサポートするための特殊な ID クラスを提供しています。 Microsoft Entra B2B では、外部ユーザーが確実に有効になるように、外部ユーザー ID へのリンクが管理されます。 |
| エンタイトルメントの管理とグループ | 管理者は、ユーザーをグループのメンバーにすることができます。 アプリとリソースの所有者は、アプリまたはリソースへのアクセス権をグループに付与します。 | また、グループは Microsoft Entra ID でも使用でき、管理者はグループを使用してリソースへのアクセス許可を付与することも可能です。 Microsoft Entra ID では、管理者はグループにメンバーシップを手動で割り当てるか、またはクエリを使用してユーザーをグループに動的に含めることができます。 管理者は Microsoft Entra ID に備わっているエンタイトルメント管理を使用し、ワークフローと (必要な場合は) 時間ベースの条件を使って、アプリとリソースのコレクションへのアクセス権をユーザーに付与できます。 |
| 管理者の管理 | 組織では、AD 内のドメイン、組織単位、およびグループの組み合わせを使用して管理者権限を委任し、管理対象のディレクトリとリソースを管理します。 | Microsoft Entra ID には、Microsoft Entra ロールベースのアクセス制御 (Microsoft Entra RBAC) システムを備えた組み込みロールが用意されていますが、その制御の対象である ID システム、アプリ、リソースへの特権アクセスを委任するためのカスタム ロールの作成は制限されています。 Just-In-Time、時間制限付き、またはワークフローベースのアクセスを特権ロールに付与するために、Privileged Identity Management (PIM) を使用してロールの管理を拡張できます。 |
| 資格情報の管理 | Active Directory での資格情報は、パスワード、証明書の認証、およびスマートカード認証に基づいています。 パスワードは、パスワードの長さ、有効期限、および複雑さに基づくパスワード ポリシーを使用して、管理されます。 | Microsoft Entra ID では、クラウドとオンプレミスに対してインテリジェントなパスワード保護を使用します。 保護には、スマート ロックアウトに加えて、共通およびカスタムのパスワード フレーズと代替のブロック機能が含まれます。 Microsoft Entra ID には、多要素認証と FIDO2 のようなパスワードレス技術が使用されていて、セキュリティが大幅に向上します。 Microsoft Entra ID では、ユーザーにセルフサービス パスワード リセットのシステムを提供することで、サポートのコストが削減されます。 |
Azure の Active Directory ベースのサービス:AD DS、Microsoft Entra ID、Microsoft Entra Domain Services
アプリケーション、サービス、またはデバイスから、集中管理された ID にアクセスできるようにするには、Azure の Active Directory ベースのサービスを使用する一般的な方法が 3 つあります。 この中から ID ソリューションを選択すると、組織のニーズに最も適したディレクトリを柔軟に使用できます。 たとえば、モバイル デバイスを実行するクラウドのみを使用するユーザーを主に管理している場合、ご自分の Active Directory Domain Services (AD DS) の ID ソリューションを独自に構築して実行しても意味がない可能性があります。 代わりに、単に Microsoft Entra ID を使用できます。
Active Directory ベースのこの 3 つの ID ソリューションは、共通の名前とテクノロジを共有しますが、顧客の異なる要求に対応するサービスが提供されるように設計されています。 これらの ID ソリューションと機能セットの概要は、次のとおりです。
- Active Directory Domain Services (AD DS) - ID と認証、コンピューター オブジェクトの管理、グループ ポリシー、信頼などの主要な機能が提供されるエンタープライズ対応のライトウェイト ディレクトリ アクセス プロトコル (LDAP) サーバー。
- AD DS は、オンプレミスの IT 環境を使用する多くの組織で中心的なコンポーネントであり、主要なユーザー アカウント認証機能とコンピューター管理機能が提供されます。
- Microsoft Entra ID - Microsoft 365、Azure portal、SaaS アプリケーションなどのリソースに対してユーザー アカウントと認証のサービスを提供する、クラウドベースの ID およびモバイル デバイス管理。
- Microsoft Entra ID をオンプレミスの AD DS 環境と同期させて、クラウドでネイティブに機能する単一の ID をユーザーに提供できます。
- Microsoft Entra Domain Services (Microsoft Entra Domain Services) - ドメイン参加、グループ ポリシー、LDAP、Kerberos、NTLM 認証など、完全に互換性のある従来の AD DS 機能のサブセットをマネージド ドメイン サービスに提供します。
- Microsoft Entra Domain Services は Microsoft Entra ID と統合され、それ自体でオンプレミスの AD DS 環境と同期することができます。 この機能により、ID の一元管理のユース ケースを、リフト アンド シフト戦略の一部として Azure で実行される従来の Web アプリケーションに拡張することができます。
これらの 3 つのオプションを比較するより詳細な説明については、「セルフマネージド Active Directory Domain Services、Microsoft Entra ID、マネージド Microsoft Entra Domain Services を比較する」を参照してください。
クロスカット設計に関する推奨事項
- ランディング ゾーン内にデプロイされたリソースを管理するために、役割とセキュリティ要件に基づいて一元化され委任された責任を使用します。
- 次の特権操作には特別なアクセス許可が必要です。 そのような要求を処理するユーザーと、アカウントを適切にセキュリティで保護および監視する方法を検討してください。
- サービス プリンシパル オブジェクトの作成。
- Microsoft Entra ID でアプリケーションを登録する。
- 証明書またはワイルドカード証明書を取得および処理します。
- Microsoft Entra ID を介してリモートでオンプレミス認証を使用するアプリケーションにアクセスするには、Microsoft Entra アプリケーション プロキシを使用してください。
- Windows Server 上の Microsoft Entra Domain Services と AD DS のワークロードの互換性を評価してください。
- ローカル認証と管理のために Windows Server 上の AD DS を必要とするリソースがドメイン コントローラーにアクセスできるように、ネットワークを設計してください。 Windows Server 上の AD DS については、大規模な企業全体のネットワーク コンテキストでローカル認証とホスト管理を提供する共有サービス環境を検討してください。
- Microsoft Entra Domain Services をデプロイする場合、またはオンプレミス環境を Azure に統合する場合は、可用性を高めるために Availability Zones のある場所を使用してください。
- このサービスは 1 つのサブスクリプションにしか投影できないため、プライマリ リージョン内に Microsoft Entra Domain Services をデプロイしてください。 Microsoft Entra Domain Services を、レプリカ セットを持つさらに多くのリージョンに拡張できます。
- Azure サービスに対する認証には、サービス プリンシパルではなくマネージド ID を使用します。 この方法を使用すると、資格情報の盗難の危険性が軽減します。
Azure とオンプレミスのハイブリッド ID - 設計推奨事項
サービスとしてのインフラストラクチャ (IaaS) ハイブリッド ID ソリューションのホスティングについては、次の推奨事項を評価します。
- 一部がオンプレミスで一部が Azure でホストされているアプリケーションの場合、実際のシナリオに基づいてどの統合が適切かを確認します。 詳細については、「 Azure 仮想ネットワークに AD DS をデプロイする」を参照してください。
- AD FS がある場合は、クラウドに移行して ID を一元化し、運用作業を減らします。 AD FS がまだ ID ソリューションの一部である場合は、Microsoft Entra Connect をインストールして使用してください。
Azure プラットフォーム リソースの ID - 設計に関する推奨事項
"一元化された ID" は、クラウド内の 1 つの場所と Active Directory サービスの統合、アクセス制御、認証、アプリケーションを使用します。 このアプローチを使用すると、IT チームの管理が向上します。 一元化されたディレクトリ サービスの場合、ベスト プラクティスは、Microsoft Entra テナントを 1 つだけ使用することです。
リソースへのアクセスを許可する場合は、Azure コントロール プレーン リソースと Microsoft Entra Privileged Identity Management に Microsoft Entra 専用グループを使用します。 グループ管理システムが既に配置されている場合は、オンプレミス グループを Microsoft Entra のみのグループに追加します。 Microsoft Entra 専用は、クラウドのみとも呼ばれます。
Microsoft Entra 専用グループを使用すると、Microsoft Entra Connect を使用して、オンプレミスから同期されたユーザーとグループの両方を追加できます。 また、Microsoft Entra 専用のユーザーとグループを、ゲスト ユーザーを含む 1 つの Microsoft Entra 専用グループに追加することもできます。
オンプレミスから同期されたグループは、正しい ID ソース (オンプレミスの Active Directory) からのみ管理および更新できます。 これらのグループには、同じ ID ソースからのメンバーのみを含めることができます。これは、Microsoft Entra 専用グループのように柔軟性を提供しません。
Microsoft Entra ログをプラットフォーム中心の Log Analytics ワークスペースに統合します。 この方法を使用すると、Azure のログと監視データに関する信頼できる唯一の情報源が可能になります。 このソースは、ログの収集と保持の要件を満たすためのクラウドネイティブ オプションを組織に提供します。
カスタム ユーザー ポリシーを使用すると、組織のデータ主権要件を適用できます。
ID 保護が ID ソリューションの一部として使用されている場合は、"緊急用" 管理者アカウントを除外してください。
設計推奨事項 - ランディング ゾーンの Azure ID およびアクセス
Azure 環境への権限を持つユーザーに対して Microsoft Entra 条件付きアクセス ポリシーをデプロイします。 条件付きアクセスにより、管理対象の Azure 環境を不正アクセスから保護するためのもう 1 つのメカニズムが実現します。
Azure 環境への権限を持つユーザーに対して多要素認証 (MFA) を適用します。 多くのコンプライアンス フレームワークでは、多要素認証の適用が必要です。 多要素認証により、資格情報の盗難や未承認のアクセスのリスクが大幅に低減されます。
非対話型のリソース サインインにサービス プリンシパルを使用することを検討してください。したがって、多要素認証とトークンの更新は操作に影響しません。
Azure リソースの Microsoft Entra マネージド ID を使用して、資格情報ベースの認証を回避します。 パブリック クラウド リソースのセキュリティ侵害の多くは、コードやその他のテキストに埋め込まれた資格情報の盗難に起因します。 プログラムによるアクセスにマネージド ID を適用すると、資格情報の盗難のリスクが大幅に軽減されます。
Microsoft Defender for Cloud を使用して、すべてのサービスとしてのインフラストラクチャ (IaaS) リソースに対して、ジャストインタイム アクセスを行います。 Defender for Cloud により、IaaS 仮想マシンへの一時的なユーザー アクセスに対してネットワーク レベルの保護を有効にすることができます。
Privileged Identity Management (PIM)
Microsoft Entra Privileged Identity Management (PIM) を使用して、ゼロトラストと最小特権のアクセスを確立します。 組織のロールを、必要な最低限のアクセス レベルにマップします。 Microsoft Entra PIM では、Azure ネイティブ ツールを使用したり、現在のツールとプロセスを拡張したり、必要に応じて現在およびネイティブの両方のツールを使用したりすることができます。
Microsoft Entra PIM アクセス レビューを使用して、リソースのエンタイトルメントを定期的に検証します。 アクセス レビューは、多くのコンプライアンス フレームワークの一部であるため、多くの組織では、アクセス レビュー プロセスが既に配置されています。
管理者特権でのアクセス許可を必要とする Automation Runbook に特権 ID を使用します。 重要なセキュリティ境界にアクセスする自動ワークフローを管理するには、同等の特権を持つユーザーの管理に使用するのと同じツールとポリシーを使用します。
RBAC の推奨事項
可能な限り、Azure RBAC を使用してリソースへのデータ プレーン アクセスを管理します。 データ プレーン エンドポイントの例として、Azure Key Vault、ストレージ アカウント、SQL Database などがあります。
ユーザーを Azure リソース スコープに直接追加しないでください。 直接ユーザー割り当てでは一元管理を避けるため、制限されたデータに対する未承認のアクセスを防ぐのが難しくなります。 代わりに、定義済みのロールにユーザーを追加し、それらのロールをリソース スコープに割り当てます。
Microsoft Entra の組み込みロールを使用して、以下の ID 設定を管理します。
| Role | 使用 | 注意 |
|---|---|---|
| 全体管理者 | このロールには 5 人を超えるユーザーを割り当てないでください。 | |
| ハイブリッド環境 | ハイブリッド ID の管理者 | |
| 認証 | セキュリティ管理者 | |
| エンタープライズ アプリケーションまたはアプリケーション プロキシ | アプリケーション管理者 | 同意なし全体管理者。 |
Azure の組み込みロールが組織の特定のニーズを満たさない場合は、独自のカスタム ロールを作成することができます。