【2024/8/6】Microsoft Entra 基礎15分勉強会(12時45分~13時)
問題
オンプレのActive Directory ドメイン(AD DS)があります。新たにMicrosort 365の利用を開始しようとしており、Entra テナントを作成する予定です。
オンプレActive Directoryドメイン と Entra テナントでID管理を一元化したいです。何を新たに構成すればよいでしょうか。
A. Entra アプリケーションプロキシ
B. Entra コネクト
C. Entra とID同期するための追加のAD DS
正解
B. Entra コネクト
解説
- 既にオンプレADがあり、新たにEntra を導入する場合、Entra コネクトを使ってオンプレADとEntra IDとでユーザ情報を同期するのが一般的(ユーザ情報の管理を一元化できるなどメリットが多い)
- 基本は、「オンプレAD → Entra 」の方向でユーザ情報が同期される
- オンプレADでパスワードが変更された場合、Entra 上のパスワードも変更される
ユーザ情報の同期方法(2種類)
①「パススルー認証」は、パスワード情報を「オンプレAD → Entra ID」へ同期しない
②「パスワードハッシュ同期」は、パスワード情報を「オンプレAD → Entra ID」へ同期する (MS 推奨)
パススルー認証を使う場合の注意点
「パススルー認証」は、Entra 上にパスワード情報が存在しないため、Entra コネクトに障害が発生した場合、Entra を使って認証をしているアプリ(M365など)への認証ができなくなります(⇒ Entra コネクトの冗長化必須)
トラブル事例
事象
Azure Portal にログインできなくなり、リソースの管理作業などができなくなってしまった
構成
・IDを一元管理するためのよくある構成
・すべてのEntra アカウントは、AD DSからの同期により作成されている状況
・Entra のグローバル管理者権限も、AD DSからの同期により作成されたアカウントに付与
事象詳細
教訓
・ID同期するとEntra 側は、オンプレAD DSの状態の影響を受ける
・グローバル管理者権限を付与するユーザは、Entra で作成するのがよい