ID 管理を定義する
ID 管理は、ID の存在の有効期間中に ID オブジェクトを管理する方法です。 この管理は手動で行うことも自動化することもできます。 ただし、実行する必要があります。 ここでは、ID のガバナンスおよび管理を行わない場合に何が起こるかを示した物です。
ストーリー - ID の有効期間
Juan という名前のユーザーがいます。 Juan には、あなたの会社のアカウントが与えられていて、勤務年数は数年になります。 その間、そのユーザーにはアプリケーションをデプロイするための管理者アクセス権が付与されています。 その後、Juan は会社を円満退社しています。しかし、アカウントがシステムから削除されることはありません。 管理者が、アカウントを閉じる書類の提出を忘れていました。 そのアカウントが使用されていないこと、および Juan が人事システムに表示されなくなったことに気付くガバナンス システムがありません。 1 年後、Juan はフィッシング詐欺メールの被害を受け、個人的なユーザー名とパスワードを盗まれました。 多くの人々と同様に、Juan は自分の私生活用のアカウントと職場アカウントに対して同様のパスワードを使用しました。 これで、システムが侵入される可能性のあるシナリオができました。 そして、攻撃は有効なアカウントと思われるものからしかけられます。
ID 管理には、次の機能が用意されています。
- ビジネス プロセスに関して高度に構成可能なシステム
- 需要に応じてリソースをスケーリングする機敏性
- 管理の分散と自動化によるコスト削減
- 同期、拡散、変更制御に関する柔軟性
一般的な ID 管理タスク
ID 管理中に実行される一般的なタスクは多数あります。
ID 拡散 - 環境内の ID オブジェクトのストレージを処理します。 多くの場合、組織は Active Directory、他のディレクトリ サービス、アプリケーション固有の ID ストアなどの場所に ID を持っています。
プロビジョニングとプロビジョニング解除 - 実際には 2 つの異なる機能です。 プロビジョニングでは、システム内で ID オブジェクトがどのように作成されるかについて説明します。 プロビジョニング解除では、アクセス権を持つ ID の削除 (削除、セキュリティ原則の無効化、またはアクセスの削除) に重点を置いています。
ID の更新 - 環境全体で ID 情報がどのように更新されるかを囲みます。 この考え方は、手動の作業から、より自動化され合理化されたアプローチに移行することです。
同期 - 環境内の ID システムを最新の ID 情報で確実に更新する方法です。 多くの場合、この情報はアクセスを決定するために重要です。 この機能に影響を与える重要なこととは、手動、時間ベース、イベント ドリブンのいずれであろうとも、同期がどのように実行されるかです。
パスワード管理 - ID インフラストラクチャ全体でパスワードを設定する場所と方法に焦点を当てます。 ほとんどの組織では、サービス デスクがパスワードを忘れた場合の中心となっています。
グループ管理 - 組織が環境内でグループ (Active Directory や LDAP など) を管理する方法に重点を置いています。 グループは、リソースへのアクセス許可を決定するための最も一般的な形式の 1 つであり、この管理と運用にはコストがかかります。
アプリケーション エンタイトルメント管理 - アプリケーションへのアクセスを ID に付与する方法を定義します。 これは、承認の柱に含まれる機能として適用される、きめの細かいアプリケーション資格を提供する方法に焦点を当てています。 一方、きめ細かい権利は、ID に関連する属性として管理されます。
ユーザー インターフェイス - エンド ユーザーが ID 情報に対する更新を要求または作成する方法です。 多くの環境では、ユーザーは引き続き Service Desk に連絡して、ID 情報の更新を確認します。
変更制御 - 機能では、サービス デスクのプロフェッショナルが手動で完了したかどうかに関係なく、環境を通じて変更がどのように流れるかに焦点を当てています。 ワークフローの有無にかかわらず自動化が可能であり、変更プロセスを推進します。 要求を完了するのにまだ電子メールを送信している組織もありますが、変更を実行するのに豊富で成熟したプロセスを用意している組織もあります。
ID 管理の自動化
| PowerShell | CLI (コマンド ライン インターフェイス) |
|---|---|
| クロスプラットフォーム PowerShell は Windows、macOS、Linux 上で実行されます | クロスプラットフォーム コマンドライン インターフェイスであり、Windows、macOS、Linux にインストールできます |
| Windows PowerShell または PowerShell が必要です | Windows PowerShell、コマンド プロンプト、Bash などの Unix シェルで実行されます。 |
| スクリプト言語 | アクション | コマンド |
|---|---|---|
| Azure CLI | ユーザーの作成 | az ad user create --display-name "New User" --password "Password" --user-principal-name NewUser@contoso.com |
| Microsoft Graph | ユーザーの作成 | New-MgUser -DisplayName "New User" -PasswordProfile Password -UserPrincipalName "NewUser@contoso.com" -AccountEnabled $true -MailNickName "Newuser“ |
適切なツールを選定する場合は、過去の経験と現在の作業環境を考慮してください。 Azure CLI の構文は、Bash スクリプトのものに似ています。 主に Linux システムを使用している場合、Azure CLI の方が自然に感じられるでしょう。 PowerShell は Microsoft スクリプト エンジンです。 主に Windows システムを使用している場合は、PowerShell が馴染むでしょう。 コマンドは動詞-名詞の名前付けスキームに従っていて、データはオブジェクトとして返されます。
Microsoft Graph
Microsoft Graph では、REST API とクライアント ライブラリを公開することで、Microsoft Entra ID、Microsoft 365、デバイスなどの次の Microsoft クラウド サービス上のデータにアクセスします。
Microsoft Graph API では、Microsoft 365、Windows 10、Enterprise Mobility + Security など、Microsoft クラウドの豊富なユーザー中心のデータと分析情報へのアクセスを提供する単一のエンドポイント (
https://graph.microsoft.com) を使用できます。 REST API または SDK を使用してそのエンドポイントにアクセスし、Microsoft 365 のシナリオをサポートするアプリをビルドできます。 アクセスは、生産性からコラボレーション、そして教育まで多岐にわたる可能性があります。 Microsoft Graph には、ユーザーとデバイスの ID を管理する強力なサービスのセットも含まれています。 アクセス、コンプライアンス、セキュリティを決定して構成し、データの漏洩または損失から組織を容易に保護することができます。Microsoft Graph コネクタは受信方向で機能します。Microsoft クラウドの外部にあるデータを Microsoft Graph のサービスとアプリケーションに送信し、Microsoft Search などの Microsoft 365 エクスペリエンスを強化します。 Box、Google ドライブ、Jira、Salesforce など、よく使われる多くのデータ ソース用のコネクタが存在します。
Microsoft Graph データ接続には、安全でスケーラブルな一般的な Azure データ ストアへの Microsoft Graph データの送信を合理化するためのツールセットが用意されています。 キャッシュ データは、インテリジェントなアプリケーションの構築に使える Azure 開発ツールのデータ ソースとして機能します。
Microsoft Graph API、コネクタ、およびデータ接続を組み合わせることで、Microsoft クラウド サービス プラットフォームを強化することができます。 Microsoft Graph データやその他のデータセットにアクセスする機能を使用すると、独自のインテリジェントなアプリケーションを構築することで、洞察と分析を導き出し、Azure と Microsoft 365 を拡張できます。