Insight into Azure Active Directory - Azure AD Custom Role & Scope

Insight into Azure Active Directory
Azure AD Custom Role & Scope
SCUGJ (wSCUGJ) 勉強会 #28 / 2022-02-19
Kazuki Takai - Windows Server & Cloud User Group Japan

本日お話しすること
• Azure AD のカスタムロールとスコープについて
• カスタムロールに関する、Azure AD Premium
P1 と P2 の微妙な差異

自己紹介
• たかい（Kazuki Takai）
• 会社員（某ISP勤務）
• サービス基盤開発、技術開発
• ライセンス関連
• wSCUGJ
• 興味分野：統合管理、ID、自動化、セキュリティ、監視・運用
• 趣味：カメラ（風景写真）、ビデオゲーム、旅行（温泉）
• Microsoft MVP for Cloud and Datacenter Management

始める前に
• Azure AD 使っている人
• Azure AD Premium P1/P2 使っている人
• Azure AD Premium P2 使っている人
• Azure AD カスタムロールを使っている人
• Azure AD で「アプリの登録」を使っている人

Notice
• 本セッションの内容は
2022-02-18 時点のものです
• Azure は日々アップデートされて
います
• 今日できないことが明日できるよ
うになっている場合もあります
• 本セッションの内容は、個人の
見解です

事の発端
開発者に担当アプリのシークレットだけ管理させたい
• シークレットは定期的に更新が必要
• 管理者が都度更新して通知するのは手間
• 担当アプリ以外は触らせたくない
• アプリのその他の設定は変更できないようにしたい
• 外部に業務を委託する場合があるので、可能な限り権限
を絞りたい

それ
カスタムロールでできるよ
（多分）
できるんだが、色々とあったお話

結論
•できます
• 条件によって設定インタフェースが異なるので、注意

Azure Active Directory
• Microsoft が提供する ID およびアクセス管理サービス
• クラウドベース
• Microsoft Azure と他の Microsoft SaaS に対する認証認可基盤
• Active Directory Domain Services のクラウド版ではない
• cf. Azure Active Directory Domain Services
• ユーザーを ADDS から同期したり、AADDS へ同期することが可能
• テナント単位
• プライマリドメインとカスタムドメイン

Azure Active Directory
• Azure の名前が付いたサービスだが、Azure サブスクリ
プションの中のサービス・リソースではない
• Azure サブスクリプションがなくても存在可能
• 管理インタフェース
• Azure portal / Azure Active Directory 管理センター
• PowerShell / az コマンド
• Microsoft Graph

Azure Active Directory 管理センター

Azure Active Directory ライセンス
Free
• 無料で利用可能
なエディション
• Azure や Dynamics
365 などを契約す
ると自動で生成
される
Office 365
• ユーザーオブ
ジェクト数の上
限なし
ユーザー単位で
の MFA の強制が
可能（細かい制
御は不可）
Premium P1
• 条件付きアクセ
スの利用が可能
• セルフサービス
パスワードリ
セットやカスタ
ムロールの使用
が可能
Premium P2
• 高度な ID 保護機
能を利用可能
• カバナンスのた
めの特権管理、
ID ライフサイク
ル管理機能を利
用可能

Azure AD ロール
• Azure Active Directory やテナントに対する役割
• ロールによって付与される権限は、Azure AD をスコープとする
• 原則として、ディレクトリ全体に対する権限となる
• cf. Azure ロール（Azure リソースロール）
• Azure リソース（サブスクリプション、
リソースグループ、リソース）に対する
権限を付与する

• PowerShell の場合は、Get-AzureADMSRoleDefinition

Azure AD カスタムロール
• Azure AD Premium P1 以上のライセンスがあれば、
自分でカスタムロールを作成可能
• 必要な権限のみをアサイン可能

カスタムロールの作成

アプリの登録
• 開発したアプリを登録することで、アプリ用のアクセスアカ
ウント（サービスプリンシパル）を設定したり、ユーザーが
アプリに委任する権限を制御可能
• テナントのデータに対して（Microsoft Graph）を使用してアクセス
する
• テナント配下のサブスクリプションに対して、ユーザー又はアプリ
ケーション自身の権限で操作する

参考：テナントのユーザー設定
• 一般ユーザーが
アプリ登録を実
施できるかを設
定可能
• デフォルトは
「登録可」

参考：外部コラボレーションの設定
• 外部ユーザー（ゲスト）が AAD
のオブジェクトを読み取りアク
セスできるかの設定が可能
• デフォルトは、「一部制限」
• 外部ユーザーを誰が招待可能か
設定可能
• デフォルトは、「誰でも可能」
• ゲストユーザーも、さらにゲス
トを招待可能

アプリケーションのシークレット更新
• アプリの登録からアプリケーションを選択し、
「管理」ブレードの「証明書とシークレット」で
追加、更新が可能
• アプリ毎に、異なるユーザーに「証明書とシーク
レット」だけ変更可能な権限を付与できればよい

アプリの登録：所有者
• アプリの所有者としてアサイン
することで、対象アプリの管理
権限を有することが可能
• 基本的に、対象アプリについて
すべての操作が可能となる

参考：管理単位
• ユーザーやグループを複数の管理単位に分割可能
• 管理単位ごとにロールアサインが可能

シークレットの更新のみ可能なロール
• カスタムロールで作成可能
• シークレットの更新に必要な権限
• microsoft.directory/applications/credentials/update

カスタムロールを特定の範囲に適用
• 実はできる（以下の何れか）
① 適用先リソース（スコープ）の「管理」セクション内にある
「ロールと管理者 | プレビュー」を使用
② PowerShell を使用して、Object ID で対象スコープを指定
③ PIM が統合されたロールの割り当て画面で、スコープを指定
※Azure AD Premium P2 が有効な場合のみ

ロールと管理者 | プレビュー

PowerShell を使用
# Basic role information
$displayName = "Application Credential Administrator"
$description = "Can manage application credentials."
$templateId = (New-Guid).Guid
# Set of permissions to grant
$allowedResourceAction =
@(
"microsoft.directory/applications/credentials/update"
)
$rolePermissions = @{'allowedResourceActions'= $allowedResourceAction}
# Create new custom admin role
$customAdmin = New-AzureADMSRoleDefinition -RolePermissions $rolePermissions -
DisplayName $displayName -Description $description -TemplateId $templateId -
IsEnabled $true

PowerShell を使用
# Get the user and role definition you want to link
$user = Get-AzureADUser -Filter "userPrincipalName eq
'takai@example.onmicrosoft.com'"
$roleDefinition = Get-AzureADMSRoleDefinition -Filter "DisplayName eq 'Application
Credential Administrator'"
# Get app registration and construct resource scope for assignment.
$appRegistration = Get-AzureADApplication -Filter "DisplayName eq 'Test
Application'"
$resourceScope = '/' + $appRegistration.objectId
# Create a scoped role assignment
$roleAssignment = New-AzureADMSRoleAssignment -DirectoryScopeId $resourceScope -
RoleDefinitionId $roleDefinition.Id -PrincipalId $user.objectId

PIM が統合されたロールの割り当てからスコープ指定
• 以下の条件を満たすと、ロール一覧のユーザー割り
当て画面が変更される
• Azure AD Premium P2 が有効
• Azure AD Privileged Identity Management にアクセス
したことがある
• 直接スコープを指定できるようになる

Azure AD Premium P1
• スコープの指定不可

注意点（カスタムロール共通）
• カスタムロールを作成した後、直ぐにロールをユーザーに
アサインしようとすると失敗する場合があります
• 一呼吸おきましょう（リトライで成功することが多いです）
• PowerShell を使用する場合は PowerShell 5.1 を使いま
しょう
• AzureAD モジュールは PowerShell 6 以降に対応していません
• Windows PowerShell のみの対応です
• PowerShell 7 対応の AzureAD.Standard.Preview モジュール
（プレリリース版）には、ロールを定義したりアサインするため
のコマンドレットが未実装です

Azure AD P2 で永続割り当てできない場合
• ロールを作成・更新した直後で、ロールの情報取得に
失敗したり、時間がかかっています
✓一呼吸おいてからリトライしてください
• ロールの設定が正しくロードできていません
✓ロールの設定画面を一度開くと、改善することがあります
• ロールの設定が PIM 側で正しく認識できていません
✓ロールの設定画面を一度開くと、改善することがあります

うまくいかない場合の例

まとめ
Azure AD カスタムロールを作成可能であれば、特定のアプ
リのみを対象として、限定された権限をユーザーに付与可能
• Azure AD Premium P1 以上のライセンスがあれば、
Azure AD カスタムロールを作成可能
• Azure AD Premium P1 でもスコープの制限は可能
• Azure AD Premium P1 の場合は、対象リソース側で設定するか、
PowerShell から設定
• Azure AD Premium P2 の場合は、ロール一覧からロールを選択
してユーザーに割り当てる画面でもスコープ指定が可能

参考資料
• Azure Active Directory のドキュメント
• Azure AD ロールのドキュメント
• Azure Active Directory のロールについて
• Azure Active Directory でカスタムロールを作成して
割り当てる
• Azure Active Directory で PowerShell を使用してリ
ソーススコープのカスタムロールを割り当てる

参考資料
• Azure AD の組み込みロール
• Azure Active Directory のタスク別の最小特権ロール
• Azure Active Directory の既定のユーザーアクセス許可
とは
• Azure Active Directory のカスタムロールに対するアプ
リケーションの登録のアクセス許可

Insight into Azure Active Directory - Azure AD Custom Role & Scope

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Insight into Azure Active Directory - Azure AD Custom Role & Scope

Similar to Insight into Azure Active Directory - Azure AD Custom Role & Scope (20)

More from Kazuki Takai

More from Kazuki Takai (20)

Insight into Azure Active Directory - Azure AD Custom Role & Scope