Azure AD ロール
AzureADロールも組み込みロールとカスタムロールの2種類がある
Microsoft Entra ビルトイン ロール - Microsoft Entra ID
Microsoft Entra の組み込みロールとアクセス許可について説明します。
learn.microsoft.com
Microsoft Entra ロールベースのアクセス制御でカスタム ロールを作成する - Microsoft Entra ID
Microsoft Entra リソースのリソース スコープを持つカスタム Microsoft Entra ロールを作成して割り当てます。
learn.microsoft.com
AzureADロールをユーザかADグループに付与できるがグループに付与する場合は
AD PremiumP1とP2ライセンスが必要https://azure.microsoft.com/ja-jp/pricing/details/active-directory/
AD PremiumP1とP2ライセンスが必要https://azure.microsoft.com/ja-jp/pricing/details/active-directory/
またユーザにはメンバーとゲストの2種類が存在することを理解する
Azure AD のメンバー ユーザーとゲスト ユーザー
Note本記事は Technet Blog の更新停止に伴い の内容を移行したものです。元の記事の最新の更新情報については、本内容をご参照ください。 Note2017/12/12: 本記事の初版を投稿2018/02/26: Microsoft
jpazureid.github.io
自社ドメインのユーザか外部から招待するかの違い
メンバーとゲストの大きな違いは、ゲストの場合AzureADに対する既定のアクセス権が制限されている
ゲスト ユーザーのアクセス許可を制限する - Microsoft Entra ID
Microsoft Entra ID で Azure portal、PowerShell、または Microsoft Graph を使って、ゲスト ユーザーのアクセス許可を制限します
learn.microsoft.com
B2B 外部コラボレーションの設定を有効にする - Microsoft Entra External ID
Active Directory の B2B 外部コラボレーションを有効にして、ゲスト ユーザーを招待できるユーザーを管理する方法について説明します。 ゲスト招待元ロールを使用して、招待を委任します。
learn.microsoft.com
メンバーに対しての制限
既定のユーザー アクセス許可 - Microsoft Entra
Microsoft Entra ID で使用できる既定のユーザーのアクセス許可を比較し、アクセスを制限する方法について学習します。
learn.microsoft.com
緊急用アクセス用アカウント
不測の事態に備えMFAや条件付きアクセスの対象としないユーザを作成
緊急アクセス用管理者アカウントを管理する - Microsoft Entra ID
この記事では、緊急アクセス用アカウントを使用して、Microsoft Entra 組織から誤ってロックアウトされないようにする方法について説明します。
learn.microsoft.com
不測の事態
緊急アクセス用管理者アカウントを管理する - Microsoft Entra ID
この記事では、緊急アクセス用アカウントを使用して、Microsoft Entra 組織から誤ってロックアウトされないようにする方法について説明します。
learn.microsoft.com
MFA
緊急アクセス用管理者アカウントを管理する - Microsoft Entra ID
この記事では、緊急アクセス用アカウントを使用して、Microsoft Entra 組織から誤ってロックアウトされないようにする方法について説明します。
learn.microsoft.com
条件付きアクセス
緊急アクセス用管理者アカウントを管理する - Microsoft Entra ID
この記事では、緊急アクセス用アカウントを使用して、Microsoft Entra 組織から誤ってロックアウトされないようにする方法について説明します。
learn.microsoft.com
ドメインは独立したドメインで作成
緊急アクセス用管理者アカウントを管理する - Microsoft Entra ID
この記事では、緊急アクセス用アカウントを使用して、Microsoft Entra 組織から誤ってロックアウトされないようにする方法について説明します。
learn.microsoft.com
セキュリティレベルを下げているのでサインインログと監査ログは監視するのが望ましい
緊急アクセス用管理者アカウントを管理する - Microsoft Entra ID
この記事では、緊急アクセス用アカウントを使用して、Microsoft Entra 組織から誤ってロックアウトされないようにする方法について説明します。
learn.microsoft.com
アカウントの情報の保管
緊急アクセス用管理者アカウントを管理する - Microsoft Entra ID
この記事では、緊急アクセス用アカウントを使用して、Microsoft Entra 組織から誤ってロックアウトされないようにする方法について説明します。
learn.microsoft.com
zure AD の FIDO2 セキュリティ キーを使用し、他のお客様はパスワードを使用します。 緊急アクセス用アカウントのパスワードは、通常、2 または 3 つの部分に分けて、異なる紙に書き記し、個別に安全な耐火性の場所に保管します。
※マイクロソフト公式DOCより引用
まじなのか???
ベストプラクティス
Azure ADでは、P1/P2を購入して、条件付きアクセスやIdentity Protectionを実施
E3やE5をもっているとP1/P2が利用可能だったりする
Your request has been blocked. This could be
due to several reasons.
www.microsoft.com
Microsoft Entra 外部 IDの MAU 課金モデル - Microsoft Entra External ID
Microsoft Entra 外部 ID で ゲスト ユーザー コラボレーション (B2B) の Microsoft Entra 外部 ID 月間アクティブ ユーザー (MAU) 課金モデルについて説明します。 Microsoft Entra テナントを Azure サブスクリプションにリンクする方法について説明しま...
learn.microsoft.com
Premium P1 機能と Premium P2 機能の両方で、1 か月あたり最初の 50,000 人の MAU については無料となります。 MAU の総数を確認するために、Microsoft では同じサブスクリプションにリンクされているすべてのテナント (Azure AD と Azure AD B2C の両方) の MAU を結合します。
※MS公式DOCより引用
こんなお得な使い方らしいのもあるみたいが
グループ会社だとゲストにならないとか細かいライセンス規約はあるようで都度確認した方がよさそう
コメント