SC300勉強会

2024年5月15日

2024/5/28開催

問題

あなたの会社には Microsoft 365 テナントがあります。
すべてのユーザーは、Windows 10 を実行し、Entra IDテナントに参加しているコンピューターを持っています。
会社は Service1 という名前のサードパーティ クラウド サービスを利用しています。 Service1 は、OAuth に基づく Entra ID 認証と認可をサポートします。 Service1 は Entra アプリケーション ギャラリーに公開されています。


ユーザーが認証を求められずに Service1 に接続できるようにするソリューションを推奨する必要があります。このソリューションでは、ユーザーが Entra ID に参加しているコンピューターからのみ Service1 にアクセスできるようにする必要があります。ソリューションでは、管理労力を最小限に抑える必要があります。







回答

解説

問題内容について

OAuth・・・SSOで使われるプロトコルであることくらいを覚えておこう(詳細は私もよくわからない、調べ出すとハマる領域)。OpenID connectというプロトコルとも密接に関連している。

Entra アプリケーション ギャラリー・・・シングル サインオン (SSO) の構成を簡単にするアプリが何千個も登録されているカタログ(Azure Portal 「Entra ID」→ 「エンタープライズアプリケーション」→「+新しいアプリケーション」と進む)

以下のように、対応しているSSOプロトコルなど情報が登録されている。

SSOの設定画面も表示が変わってくる。

認証のためのプロンプトが表示されることなく、ユーザがサービス1に接続できるようにするには、何を設定する?

答え

エンタープライズアプリケーション(Entra ID)

その他の選択肢

  • アプリ登録(Entra ID)・・・アプリに権限を付与して、Azure上のサービスにアクセスさせたいときに使う(たとえば、アプリからストレージアカウントを操作せたいときなど)
  • Azure AD アプリケーションプロキシ・・・オンプレのWebシステムに、インターネット上からアクセスさせたい(認証は、Entra IDを使う)場合に使う
  • マネージドID・・・Azureリソース(Azure VM)などに付与する。マネージドIDに権限を付与することで、Azureリソースから、別のAzureリソースへのアクセス権を付与できる。
  • (参考)マネージド ID を使用して他のサービスにアクセスできる Azure サービス

Entra ID参加している端末からのみ、ユーザがサービス1に接続できるようにするには、何を設定する?

答え

条件付きアクセスポリシー

その他の選択肢

  • コンプライアンスポリシー・・・intune(MDM)で管理する端末が、組織のコンプライアンス要件を満たしているか確認する際に使う規則。intune管理ポータル上で設定する。コンプライアンス要件を満たしている端末は「準拠済み」となり、条件付きアクセスの条件で使うことができる。

(74x)

2024/5/21開催

問題

次の表に示すホストを含​​むオンプレミス データセンターがあります。

Active Directory フォレストは、Entra ID テナントと同期します。 Entra ID には多要素認証 (MFA) が適用されます。
App1 を Entra ID ユーザーに公開できることを確認する必要があります。
Server4 と Firewall1 では何を設定する必要がありますか?

選択肢









解答

解説

問題内容について

・インターネット上の端末からFW内のイントラ上にあるWebアプリケーションサーバにアクセスさせる問題

サーバ4にインストールするべきサービス

Azure AD Application Proxy( Entra Applicatino Proxy)

 ⇒ 正確には、「Azure AD Application Proxy( Entra Applicatino Proxy)のApplication Proxy コネクタ」 が正解。
Azure AD Application Proxy( Entra Applicatino Proxy)は、「①Application Proxy サービス」と「②Application Proxyコネクタ」の二つが含まれる

(参考URL) 動作概要(シーケンス)

Microsoft Entra アプリケーション プロキシを使用してオンプレミス アプリを発行する – Microsoft Entra ID | Microsoft Learn

  • VPN(SSL-VPN、IPSec-VPNなど)接続をしなくても、インターネット経由で、社内イントラ内にあるWEBアプリケーションサーバにアクセスできる
  • ユーザは、Entra ID上のApplication Proxyサービスで作成されるエンドポイント(URL)に接続するイメージ
  • 認証には、Entra ID上のユーザ名/パスワードが使用される
  • Azure AD Application Proxyは、Web系アプリケーションしか公開できない。
  • 最近、Entra Private Access(ゼロトラ用語でいうところの、「SDP/ZTNA」)というサービスが出ており(現時点ではプレビュー段階)、Web系以外のアプリケーションも公開できる(RDP、FTP、SMBなど、TCP/UDPを使用するあらゆるポートやプロトコルに対応)

その他の選択肢

FW1に構成すべきルール

  • 「中→外」の通信のみを許可すればよいため、「外→中」のポートを空ける必要がなくよりセキュア
  • 「Application Proxy サービス(クラウド)⇔Application Proxy コネクタ(オンプレ)」間のやり取り(トークンの受け渡しなど)は、すべて「中→外」で確立されたHTTPSコネクションの中で行われる