Azure AD ロール
AzureADロールも組み込みロールとカスタムロールの2種類がある
Azure AD の組み込みロール - Microsoft Entra
Azure Active Directory の組み込みロールとアクセス許可について説明します。
learn.microsoft.com
Azure AD ロールベースのアクセス制御でカスタム ロールを作成する - Microsoft Entra
Azure Active Directory リソースにリソース スコープを使用してカスタム Azure AD ロールを作成し、割り当てます。
learn.microsoft.com
AzureADロールをユーザかADグループに付与できるがグループに付与する場合は
AD PremiumP1とP2ライセンスが必要https://azure.microsoft.com/ja-jp/pricing/details/active-directory/
AD PremiumP1とP2ライセンスが必要https://azure.microsoft.com/ja-jp/pricing/details/active-directory/
またユーザにはメンバーとゲストの2種類が存在することを理解する
Azure AD のメンバー ユーザーとゲスト ユーザー
Note本記事は Technet Blog の更新停止に伴い の内容を移行したものです。元の記事の最新の更新情報については、本内容をご参照ください。 Note2017/12/12: 本記事の初版を投稿2018/02/26: Microsoft
jpazureid.github.io
自社ドメインのユーザか外部から招待するかの違い
メンバーとゲストの大きな違いは、ゲストの場合AzureADに対する既定のアクセス権が制限されている
ゲスト ユーザーのアクセス許可を制限する - Microsoft Entra
Azure Active Directory で Azure portal、PowerShell、または Microsoft Graph を使用して、ゲスト ユーザーのアクセス許可を制限します
learn.microsoft.com
B2B 外部コラボレーションの設定を有効にする - Microsoft Entra
Active Directory の B2B 外部コラボレーションを有効にして、ゲスト ユーザーを招待できるユーザーを管理する方法について説明します。 ゲスト招待元ロールを使用して、招待を委任します。
learn.microsoft.com
メンバーに対しての制限
既定のユーザー アクセス許可 - Microsoft Entra
Azure Active Directory で利用できるユーザー アクセス許可について説明します。
learn.microsoft.com
緊急用アクセス用アカウント
不測の事態に備えMFAや条件付きアクセスの対象としないユーザを作成
緊急アクセス用管理者アカウントを管理する - Microsoft Entra
この記事では、緊急アクセス用アカウントを使用して、Azure Active Directory (Azure AD) 組織から誤ってロックアウトされないようにする方法について説明します。
learn.microsoft.com
不測の事態
緊急アクセス用管理者アカウントを管理する - Microsoft Entra
この記事では、緊急アクセス用アカウントを使用して、Azure Active Directory (Azure AD) 組織から誤ってロックアウトされないようにする方法について説明します。
learn.microsoft.com
MFA
緊急アクセス用管理者アカウントを管理する - Microsoft Entra
この記事では、緊急アクセス用アカウントを使用して、Azure Active Directory (Azure AD) 組織から誤ってロックアウトされないようにする方法について説明します。
learn.microsoft.com
条件付きアクセス
緊急アクセス用管理者アカウントを管理する - Microsoft Entra
この記事では、緊急アクセス用アカウントを使用して、Azure Active Directory (Azure AD) 組織から誤ってロックアウトされないようにする方法について説明します。
learn.microsoft.com
ドメインは独立したドメインで作成
緊急アクセス用管理者アカウントを管理する - Microsoft Entra
この記事では、緊急アクセス用アカウントを使用して、Azure Active Directory (Azure AD) 組織から誤ってロックアウトされないようにする方法について説明します。
learn.microsoft.com
セキュリティレベルを下げているのでサインインログと監査ログは監視するのが望ましい
緊急アクセス用管理者アカウントを管理する - Microsoft Entra
この記事では、緊急アクセス用アカウントを使用して、Azure Active Directory (Azure AD) 組織から誤ってロックアウトされないようにする方法について説明します。
learn.microsoft.com
アカウントの情報の保管
緊急アクセス用管理者アカウントを管理する - Microsoft Entra
この記事では、緊急アクセス用アカウントを使用して、Azure Active Directory (Azure AD) 組織から誤ってロックアウトされないようにする方法について説明します。
learn.microsoft.com
zure AD の FIDO2 セキュリティ キーを使用し、他のお客様はパスワードを使用します。 緊急アクセス用アカウントのパスワードは、通常、2 または 3 つの部分に分けて、異なる紙に書き記し、個別に安全な耐火性の場所に保管します。
※マイクロソフト公式DOCより引用
まじなのか???
ベストプラクティス
Azure ADでは、P1/P2を購入して、条件付きアクセスやIdentity Protectionを実施
E3やE5をもっているとP1/P2が利用可能だったりする
Microsoft Corporation
Get product information, support, and news from Microsoft.
www.microsoft.com
Azure AD External Identities の MAU 課金モデル - Microsoft Entra
Azure AD でのゲスト ユーザー コラボレーション (B2B) 向けの Azure AD External Identities の月間アクティブ ユーザー (MAU) 課金モデルについて説明します。 Azure AD テナントを Azure サブスクリプションにリンクする方法について説明します。
learn.microsoft.com
Premium P1 機能と Premium P2 機能の両方で、1 か月あたり最初の 50,000 人の MAU については無料となります。 MAU の総数を確認するために、Microsoft では同じサブスクリプションにリンクされているすべてのテナント (Azure AD と Azure AD B2C の両方) の MAU を結合します。
※MS公式DOCより引用
こんなお得な使い方らしいのもあるみたいが
グループ会社だとゲストにならないとか細かいライセンス規約はあるようで都度確認した方がよさそう
コメント