1.
Azure ADのテナント設計
Office 365管理者向け
第23回 Office 365勉強会
渡辺 元気

2.
自己紹介
名前： 渡辺 元気（わたなべ げんき）
職業： 通信事業者でクラウドサービスの開発
blog： 日々徒然 https://blog.o365mvp.com/
（Office 365、Exchangeの技術ネタを中心に公開）
Office 365 Community / Twitter / Facebook：genkiw

3.
注意事項
本資料については、個人で準備した環境において、個人的に実施した検証結果を基に記載しております。
あくまで個人の意見・見解であり、所属する会社・組織及びマイクロソフト社とは一切関係はございま
せん。
また、本資料の内容ならびに閲覧により生じた一切の問題及び不利益について、発表者は一切の責任を
負う事はできませんのでご了承ください。

4.
書籍を出版しました
Office 365管理者のための
逆引きPowerShellハンドブック
日経BP社 2018年11月19日発行
単行本：376ページ
¥3,240
• バッチファイルで利用する際の資格情報は？
• エラー処理はどうするの？
• 全ての実行コマンドを自動的にログに残すには？
シナリオベースのヒントと実環境で活用するためのTIPS

5.
1.Azure AD概要

6.
なりたち（2010年）
MS Online Directory Service(MSODS)
ID: Microsoft Online Service ID(MSOLID)
• Office 365に接続するためのID基盤として開発
• クローズドβに合わせ展開
• xxx.onmicrosoft.com の形でxxxは自由に取得可
• オンプレミスのActive Directoryと連携
Single-sign-on between on-premise apps, Windows Azure apps and Office 365 services.
https://blogs.msdn.microsoft.com/plankytronixx/2010/11/27/single-sign-on-between-on-premise-apps-windows-azure-apps-and-office-365-services/
PowerShellのコマンドレットの接頭辞 MSOL
例: Connect-MsolService

7.
企業向けサービス基盤
2011年6月 Office365 GA
2011年10月 Intune 10月Update
• AD FSを利用したシングルサインオンに対応
2011年12月 Dynamics CRM 2011 Online
• Windows Live IDのプラットフォームの他、Office 365
プラットフォーム上での稼働が開始
• Office365と同一のプラットフォームになることによ
りユーザーの利便性や管理性が向上
• CRMとメール(Exchange)やIM/プレゼンス(Lync)連携
• AD FSによるシングルサインオンが利用可能
企業向けサービスの共通基盤化

8.
開発者向け連携
2012年6月 Windows Azure AD 開発者プレビュー開始
2013年2月 Windows Azure AD GA
2014年3月 Microsoft Azureにブランド変更
Azure ADを独立したサービスとして切り出し、
開発者向けに Azure AD を中心とした認証モデルを提唱

9.
サードパーティSaaSベンダとの連携
2013.7時点：40 の SaaSアプリケーション 2018.11現在：2700超 の SaaSアプリケーション
サードパーティの SaaS ベンダとの連携

10.
Partner
Center
Azure AD全体像
セルフサービス SSO
•••••••••••
Username
簡単接続
クラウド
SaaS
Azure
Office 365Public
cloud
その他社員DB
Active Directory
オンプレミス Microsoft Azure Active Directory
ビジネス
パートナー
Azure AD B2B
内定者
休職者
顧客
Azure AD B2C
MVLC
Visual Studio
ポータル
Microsoftアカウントからの移行

11.
2.Azure ADの運用管理

12.
ビジネス上、非常に重要なAzure AD
管理者アカウントが漏洩したら？
きちんと運用管理することが重要！

13.
MicrosoftのSaaS（O365/D365/Intune）を利用していた場合
Exchange Online • 役員を含めた全社員のメールを覗き見、転送
• 誰にでもなりすまして取引先にメール送信
• カスタム管理権限を作成し発見を遅らせる
SharePoint Online • チームサイト/OneDriveの全ての情報を閲覧
Dynamics 365 • 全ての顧客情報や案件情報を見れる
Intune • 管理デバイスに悪意のあるプログラムを配信

14.
関連付けられているAzureが有った場合
アクセス権の昇格を利用して全てのAzureサブスクリプションの管理権限を奪取

15.
EA/アカウントポータル、CSPパートナーセンターが有った場合
EA/アカウント • 管理権限を持つ新たなサブスクリプションを追加
CSP • 顧客を自由に作成
• 無数のAzureサブスクリプションを作成
• 代理管理権限を持つ顧客に管理者権限でアクセス
事業の屋台骨が揺らぐ程の非常に大きな影響を与える可能性

16.
CSPから払い出されたサブスクリプションでいくら使える？
A8仮想マシン（8vCPU / 56GBメモリ） 43台 x 27リージョン = 約380万/日
リージョン毎のコア数上限：既定で350に設定
さらに、サブスクリプションや顧客自体は複数作れる場合は？？？

17.
その作成したVMで何をされるの？
• 仮想通貨のマイニングで利用されたことが検知された場合、CSP管理者に警告は行くが
自動的に利用停止はされない
• 与信を超えた場合、自動的に新規作成は止まるが、既存は止まらない

18.
管理者権限怖い、特にAzure…
担当の間で押し付け合いをしているだけ
組織としてみたらリスクは二重管理の方が高い
双方ともに重要なデータを守っているので
きちんと組織として管理
contoso-o365.onmicrosoft.com contoso-azure.com
ユーザーOffice365管理者 Azure管理者
やっぱりOffice 365とは別のテナント
Azure利用者

19.
でもやっぱり怖い
正しく怖がりましょう
思考停止をせず、きちんとリスクを見極めて判断する
・新規サービスを構築するベンダが構築に全体管理者が必要と言っている
・何か有ったときに即応するために管理者権限が必要と運用担当者が言っている
・導入マニュアルに管理者権限を付与してパスワード無期限にしろと書いている
・追加でAzure AD Premiumなんて買う予算はない
・ユーザーの利便性を損なうことはできない

20.
今すぐできること
多要素認証の有効化
管理者アカウントの棚卸
アカウントの整理

21.
管理者アカウントの棚卸
グローバル管理者、特権ロール管理者、Exchange Online 管理者、SharePoint Online 管理者
① 個人に割り当てられたアカウントで個人アカウント（メール等）と共用
② 個人に割り当てられたアカウントで管理専用
③ 複数のユーザーで共有されるアカウント
④ 緊急用アカウント
⑤ システム用、スクリプト用アカウント
⑥ 外部ユーザーアカウント
※ 不要なアカウントは削除（無効化）
特権を付与されているアカウントの識別
特権アカウントの分類

22.
アカウントの整理
少なくとも2つの緊急用アカウントを作成する
既定の admin@xxxx.onmicrosoft.comを流用する場合は、adminのアカウント名を変更する
緊急用アカウントの整備
個人を識別できるよう分離
共有アカウントの廃止
フィッシングで利用されないよう管理アカウントを分離
個人アカウントと併用しているアカウントの分離
管理用 個人用
（転送）
Microsoftアカウントは多要素認証を要求できないので
Microsoftアカウントの廃止（移行）
※管理上問題ないならアドレス帳非表示

23.
多要素認証の有効化
①ユーザー単位で有効化する
②ベースラインポリシーで有効化する
※既定で将来的に有効化
システムアカウントなど有効化できないアカウントを
「ユーザーを除外する」で選択

24.
次のSTEP
Azure AD Premium P1
Azure AD Premium P2
管理者アカウント
• システムアカウントへの多要素認証の有効化（条件付きアクセス）
• 健全性の証明（セキュリティ／サインインレポート）
全アカウント
• 生産性を落とさずに多要素認証を有効化（条件付きアクセス）
• AD FSサーバ群を廃止可能
管理者アカウント
• より安全な特権ID運用（Azure AD Privileged Identity Management）
• 不審なアクティビティへの自動対応（Azure AD Identity Protection）
有償ライセンスなので当然費用対効果は考えないといけないが、侵害された際のリスクとの比較や
ユーザービリティの低下防止などの観点で検討。EMS / Microsoft 365などのバンドル商品もあり。
650円/ユーザー・月
980円/ユーザー・月

25.
推奨ドキュメント
Azure AD でのハイブリッドおよびクラウド デプロイ用の特権アクセスをセキュリティで保護する
https://docs.microsoft.com/ja-jp/azure/active-directory/users-groups-roles/directory-admin-roles-secure
攻撃者は絶えず進化しているので、防御側のベストプラクティスも常に変化

26.
3.Azure ADテナントの設計

27.
基本的な考え方
Azure管理者
（Microsoftアカウント） Azure開発用AAD
Azure管理者
Office365管理者
Office365用AAD
Office365ユーザー
ゲスト
Azureサブスクリプション
（開発用）
Azureサブスクリプション
（本番用）
Office 365
Azure開発環境
Office 365
Azure本番用AAD
Azure本番環境

28.
Azureのサービス管理の階層
【管理グループ】
主に大規模組織で複数サブスクリプションを束ねて管理する為の物。
【サブスクリプション】
通常の最上位の構成。Azureの契約／課金単位となる。
【リソースグループ】
一般的に同一ライフサイクルのシステムリソースを束ねた物で、リソース
を作成する為には必ず必要になる。権限付与の単位となるケースが多い。
【リソース】
Azureに展開されたサービスの最小単位。仮想マシンのように複数で
1つの機能を構成する物もあればPaaSサービスのように1つで完結する
物もある。
継承
継承
権限

29.
Azure Active Directoryと役割ベースアクセス制御
Azure Active Directory
ユーザー グループ
サブスクリプション
関連付けRBAC
別Azure AD
Apps
役割名 権限
所有者 全てのリソースへのフルアクセス権
共同作成者 全てのリソースを作成及び管理できるが、
他のユーザーにアクセス権を付与できない
閲覧者 既存のリソースの表示
基本の役割
その他、サービス毎に組み込みのロールが存在する。カスタムで作成することも可能。
同一社内だが
別IDでの管理

30.
Microsoftアカウントで作成したAzureサブスクリプション
・Azure ADのドメイン名はMicrosoftアカウント名を元に生成
・組織名は「既定のディレクトリ」
・ゲストユーザーがAzure ADのグローバル管理者
user01outlookcom.onmicrosoft.com
Microsoftアカウント
user01@outlook.com
ゲストユーザー
招待
ユーザーのいないAzureADが
作られ、自動的にMicrosoft
アカウントが追加
トライアルから従量制に移行など

31.
MicrosoftアカウントでTeamsをセットアップ（参考）
teamsxxxx.onmicrosoft.com
リンクされたユーザー（全体管理者）
admin@teamsxxxx.onmicrosoft.com
リンク
adminだけ存在するAzureADが
作られ、自動的にMicrosoft
アカウントにリンク
Microsoftアカウント
xxxxx@outlook.com
• Azure ADテナント名はMS側で自動的に付与されて作成
• Azure AD for Office 365のライセンスが300ユーザー付与
• 全体管理者なのでユーザー追加可能
• ログインはMicrosoftアカウントで実施する
• ゲストユーザーではなくユーザーなので、多要素認証の
強制が可能

32.
制約事項（Azure AD Connectの構成）
単一フォレスト
単一AzureAD
マルチフォレスト
単一AzureAD
単一フォレスト
（重複無し）
×複数AzureAD ×複数AzureAD Connect ×複数AzureADのオブジェクト重複

33.
制約事項（Azure ADの「国または地域」)
テナント作成時に国または地域の選択
を求められるが、変更不可
• Microsoftと契約する国が決定
• 準拠法や管轄裁判所が決定
• 取引通貨が決定する
• Office 365のデプロイ場所が決定
• 契約可能なCSPパートナーが決定

34.
制約事項（ドメイン名）
xxxxx.onmicrosoft.com yyyyy.onmicrosoft.com
contoso.com
独自ドメイン追加 追加不可
複数のAzure ADテナントに同じドメイン名登録不可
※メールドメインやUPNサフィックスの重複に注意

35.
制約事項（役割ベースアクセス制御）
xxxxx.onmicrosoft.com yyyyy.onmicrosoft.com
リソースやライセンスは物理的には移動できるが、
権限設定やライセンス割り当ては全て解除される
Azure Office 365
管理者 ユーザー
Azure
権限 権限
（権限は移行されない）

36.
基本的な考え方
Azure管理者
（Microsoftアカウント）
Azure管理者
Office365管理者
Office365ユーザー
Azureサブスクリプション
（開発用）
Azureサブスクリプション
（本番用）
Office 365
共通AAD
Azure管理者(移行)
②極力まとめる
①組織アカウントに移行

37.
例外を考慮した全体像
Office365管理者
ユーザー
Azureサブスクリプション
（本番用）
Office 365
Azure管理者
Active Directory/AAD Connect
メインAzure AD Azure開発環境
ゲスト
管理者
Azure
（開発用）
海外環境
ハイセキュア環境
Azure AD Premium P2
ヨーロッパ：Office 365
ヨーロッパ：Azure
海外
ユーザー
海外
管理者
招待
Partner Portal
EA Portal
特定業務
管理者
Azure AD Premium P1
（最低限管理者）
Azure AD Premium P1
（1アカウント）
Azure AD Premium P1
（最低限管理者）

38.
【参考】ゲストユーザーへのAzure AD Premiumライセンス
• 所有しているライセンスの5倍までゲストユーザーに利用させることが可能
• 相手先が関連会社の場合は適用不可でライセンス購入が必要
• ライセンス割り当ては不要だが、 5倍以内という管理責任はホスト側
• 相手先が既にライセンスを所有している場合は重複購入不要
• 1ライセンスでも持ってないとメニュー自体が出ない

39.
4.まとめ

40.
本日のまとめ
• Azure ADのシステム上の重要性は拡大
• きちんと管理しないと非常に危ない
• 放っておくとAzure ADテナントが乱立するので、Azure AD
B2B、B2Cの招待などを活用してなるべく集中管理
• 管理者だけならおそらくAzure AD Premiumの費用対効果は有。
自分を守る為にも予算取り頑張って