Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

20200822 azuread gav

298 views

Published on

2020/08/22 .NET Lab 勉強会

Published in: Technology
  • Be the first to comment

  • Be the first to like this

20200822 azuread gav

  1. 1. Page 1 Azure AD のガバナンス
  2. 2. 自己紹介 日本マイクロソフト株式会社 Cloud Solution Architect 元 Microsoft MVP (2015年7月~2020年5月) マイクロソフト認定トレーナー(2013年~2018年:2020年~) 宮川麻里 Mari Miyakawa SCUGJ 所属
  3. 3. ご紹介 https://docs.microsoft.com/ja-jp/azure/architecture/ Azure Architect Center Microsoft Azure Well-Architected Framework https://docs.microsoft.com/ja-jp/azure/architecture/framework/
  4. 4. さらにご紹介 Microsoft Azure Well-Architected Framework の「セキュリティ」部分が非常に わかりやすく解説 https://www.youtube.com/watch?v=w7-LVAWaGZU ご本人のご快諾の上掲載しております!
  5. 5. なかみ
  6. 6. 本日のテーマ “ Azure AD の管理者がガバナンスを 遵守するための考慮すべきポイントを理解する”
  7. 7. IT におけるガバナンスとは… “コンプライアンスを維持した状態でありながら 生産性向上を目指す管理体制“
  8. 8. Azure AD ガバナンス 実施のために Identity lifecycle Access lifecycle Privileged access lifecycle まずはここから・・・
  9. 9. ① ID のライフサイクル プロビジョニング Azure AD Active Directory クラウド 人事システム 外部ユーザー オンプレミスアプリケーション セキュアハイブリッド アクセス オンプレミス Web アプリケーション 3rd Party NW SolutionAzure AD Application Proxy
  10. 10. ① ID のライフサイクル 外部ユーザー管理 (B2B) Azure AD ********
  11. 11. ① ID のライフサイクル 外部ユーザー管理 (B2C) Azure AD B2C ソーシャル ID contoso
  12. 12. ① ID のライフサイクル エンタイトルメント管理 アプリ利用権限付与から権限削除までの自動化 Access Package Resource Marketing group Sales team group グループ Marketing app Sales app アプリ Marketing site Sales site SPO サイト ・誰が User 1 User 2 User 3 Policy ・誰に ・期限 Catalog
  13. 13. ① ID のライフサイクル Azure AD – Identity Governance – エンタイトルメント管理
  14. 14. ① ID のライフサイクル 新しいアクセスパッケージ – 基本
  15. 15. ① ID のライフサイクル 新しいアクセスパッケージ –リソース ロール
  16. 16. ① ID のライフサイクル 新しいアクセスパッケージ – 要求
  17. 17. ① ID のライフサイクル 新しいアクセスパッケージ – ライフサイクル
  18. 18. ① ID のライフサイクル 新しいアクセスパッケージ – 確認および作成
  19. 19. ① ID のライフサイクル Azure AD – Identity Governance – アクセスパッケージ – 概要
  20. 20. ① ID のライフサイクル マイアクセス ポータル
  21. 21. ① ID のライフサイクル マイアクセス ポータル – 割り当て
  22. 22. ① ID のライフサイクル エンタイトルメントマネージメント – 外部ユーザーの管理 Access Package contoso.com adatum.com My Portal a@contoso.com z@adatum.com w@adatum.com z@adatum.com b@contoso.com
  23. 23. ② アクセスのライフサイクル アクセスレビュー 現在のメンバーの 見直し どのメンバーを保持するかを確認する 不要なメンバー削除 ユーザとリソースの所有者に リクエストを送信管理者への ステータス報告 Access Reviews アプリ利用権限の棚卸をより利便性高く 事前に有効化が必要
  24. 24. ② アクセス のライフサイクル Identity Governance – アクセスレビュー
  25. 25. ② アクセス のライフサイクル レビュー担当者へのメール通知・リマインダ
  26. 26. ② アクセス のライフサイクル 対象者への処理
  27. 27. ② アクセスのライフサイクル 管理者側からの確認画面
  28. 28. 【参考】 ライセンス費用 【アクセスレビュー】 https://docs.microsoft.com/ja-jp/azure/active-directory/governance/access-reviews-overview#license-requirements Azure AD P2必要なライセンス: 必要な数: レビューを実施する人
  29. 29. 【参考】 ライセンス費用 【エンタイトルメントマネージメント】 https://docs.microsoft.com/ja-jp/azure/active-directory/governance/entitlement-management-overview#license-requirements Azure AD P2必要なライセンス: 必要な数: アクセスパッケージを 要求する人・承認する人
  30. 30. ③ 特権によるライフサイクル “Just-In-Time” アクセスによる特権付与 ・ユーザーが作業のため一定期間の管理権限を要求 ・承認後MFA対応の認証完了後に特権付与 ・申請期間の終了後特権の自動タイムアウト
  31. 31. “Just-In-Time” アクセスによる特権付与 ③ 特権によるライフサイクル
  32. 32. Azure AD への特権付与 ③ 特権によるライフサイクル
  33. 33. Azure リソースへの特権付与 ③ 特権によるライフサイクル
  34. 34. Azure Monitor Azure AD 監査ログ長期保存と可視化 監査ログ保管におけるStorage 料金イメージ(Azure Monitor の Azure AD アクティビティ ログ) https://docs.microsoft.com/ja-jp/azure/active-directory/reports-monitoring/concept-activity-logs-azure-monitor ③ 特権によるライフサイクル
  35. 35. まとめ 生産性向上を踏まえつつ Azure AD のガバナンス遵守 を目指しましょう。

×