Azure AD ロール
AzureADロールも組み込みロールとカスタムロールの2種類がある
Microsoft Entra ビルトイン ロール - Microsoft Entra ID
Microsoft Entra の組み込みロールとアクセス許可について説明します。
learn.microsoft.com
Microsoft Entra ID でカスタム ロールを作成する - Microsoft Entra ID
Microsoft Entra 管理センター、Microsoft Graph PowerShell、または Microsoft Graph API を使用して Microsoft Entra リソースへのアクセスを管理するカスタム ロールを作成する方法について説明します
learn.microsoft.com
AzureADロールをユーザかADグループに付与できるがグループに付与する場合は
AD PremiumP1とP2ライセンスが必要https://azure.microsoft.com/ja-jp/pricing/details/active-directory/
AD PremiumP1とP2ライセンスが必要https://azure.microsoft.com/ja-jp/pricing/details/active-directory/
またユーザにはメンバーとゲストの2種類が存在することを理解する
Azure AD のメンバー ユーザーとゲスト ユーザー
Note本記事は Technet Blog の更新停止に伴い の内容を移行したものです。元の記事の最新の更新情報については、本内容をご参照ください。 Note2017/12/12: 本記事の初版を投稿2018/02/26: Microsoft
jpazureid.github.io
自社ドメインのユーザか外部から招待するかの違い
メンバーとゲストの大きな違いは、ゲストの場合AzureADに対する既定のアクセス権が制限されている
ゲスト ユーザーのアクセス許可を制限する - Microsoft Entra ID
Microsoft Entra ID で Azure portal、PowerShell、または Microsoft Graph を使って、ゲスト ユーザーのアクセス許可を制限します
learn.microsoft.com
外部コラボレーションを構成する - Microsoft Entra External ID
Microsoft Entra 外部 ID で外部コラボレーション設定を構成する方法について学習します。 ゲスト ユーザー アクセスを制御し、ゲストを招待できるユーザーを指定し、B2B コラボレーションのドメイン制限を管理します。
learn.microsoft.com
メンバーに対しての制限
既定のユーザー アクセス許可 - Microsoft Entra
Microsoft Entra ID で使用できる既定のユーザーのアクセス許可を比較し、アクセスを制限する方法について学習します。
learn.microsoft.com
緊急用アクセス用アカウント
不測の事態に備えMFAや条件付きアクセスの対象としないユーザを作成
緊急アクセス用管理者アカウントを管理する - Microsoft Entra ID
この記事では、緊急アクセス用アカウントを使用して、Microsoft Entra 組織から誤ってロックアウトされないようにする方法について説明します。
learn.microsoft.com
不測の事態
緊急アクセス用管理者アカウントを管理する - Microsoft Entra ID
この記事では、緊急アクセス用アカウントを使用して、Microsoft Entra 組織から誤ってロックアウトされないようにする方法について説明します。
learn.microsoft.com
MFA
緊急アクセス用管理者アカウントを管理する - Microsoft Entra ID
この記事では、緊急アクセス用アカウントを使用して、Microsoft Entra 組織から誤ってロックアウトされないようにする方法について説明します。
learn.microsoft.com
条件付きアクセス
緊急アクセス用管理者アカウントを管理する - Microsoft Entra ID
この記事では、緊急アクセス用アカウントを使用して、Microsoft Entra 組織から誤ってロックアウトされないようにする方法について説明します。
learn.microsoft.com
ドメインは独立したドメインで作成
緊急アクセス用管理者アカウントを管理する - Microsoft Entra ID
この記事では、緊急アクセス用アカウントを使用して、Microsoft Entra 組織から誤ってロックアウトされないようにする方法について説明します。
learn.microsoft.com
セキュリティレベルを下げているのでサインインログと監査ログは監視するのが望ましい
緊急アクセス用管理者アカウントを管理する - Microsoft Entra ID
この記事では、緊急アクセス用アカウントを使用して、Microsoft Entra 組織から誤ってロックアウトされないようにする方法について説明します。
learn.microsoft.com
アカウントの情報の保管
緊急アクセス用管理者アカウントを管理する - Microsoft Entra ID
この記事では、緊急アクセス用アカウントを使用して、Microsoft Entra 組織から誤ってロックアウトされないようにする方法について説明します。
learn.microsoft.com
zure AD の FIDO2 セキュリティ キーを使用し、他のお客様はパスワードを使用します。 緊急アクセス用アカウントのパスワードは、通常、2 または 3 つの部分に分けて、異なる紙に書き記し、個別に安全な耐火性の場所に保管します。
※マイクロソフト公式DOCより引用
まじなのか???
ベストプラクティス
Azure ADでは、P1/P2を購入して、条件付きアクセスやIdentity Protectionを実施
E3やE5をもっているとP1/P2が利用可能だったりする
Your request has been blocked. This could be
due to several reasons.
www.microsoft.com
External ID の価格 - Microsoft Entra External ID
Microsoft Entra External ID の価格体系について説明します。 月間アクティブ ユーザー (MAU) 課金モデル、コア オファリング、プレミアム アドオンの詳細をご覧ください。 適切な課金と機能へのアクセスのために、テナントを Azure サブスクリプションにリンクします。
learn.microsoft.com
Premium P1 機能と Premium P2 機能の両方で、1 か月あたり最初の 50,000 人の MAU については無料となります。 MAU の総数を確認するために、Microsoft では同じサブスクリプションにリンクされているすべてのテナント (Azure AD と Azure AD B2C の両方) の MAU を結合します。
※MS公式DOCより引用
こんなお得な使い方らしいのもあるみたいが
グループ会社だとゲストにならないとか細かいライセンス規約はあるようで都度確認した方がよさそう
コメント