Entra ID(SC-300)勉強会

2024年5月31日

2024/6/24(月)開催

問題

Entra IDテナントとオンプレのActive Directory ドメインがあります。
Entraコネクト によって、Active Directoryドメインのユーザ情報(パスワード情報含む)は、Entra IDテナントに同期されています。

パスワードがリセットされた場所に関係なく、テナントとドメイン間でパスワードが同期される必要があります。Entra コネクトにて何を設定すべきでしょうか。

A..AD FS

B.パススルー認証

C.パスワードハッシュ同期

D.パスワードライトバック












解答

D.パスワードライトバック

解説

問題内容について

  • 既にオンプレADがあり、新たにEntra IDを導入する場合、オンプレADとEntra IDとでユーザ情報を同期するのが一般的(ユーザ情報の管理を一元化できるなどメリットが多い)
  • 基本は、「オンプレAD → Entra ID」の方向でユーザ情報が同期される
  • オンプレADでパスワードが変更された場合、Entra ID上のパスワードも変更される
  • 問題文の「パスワードがリセットされた場所に関係なく、テナントとドメイン間でパスワードが同期される必要があります。」は「パスワードがEntra IDでリセットされた場合でも、テナントとドメイン間でパスワードが同期される必要があります。」と言い換えることができます。
  • 「D.パスワードライトバック」により、Entra ID上でパスワードを変更された場合に、その変更をオンプレAD側に上書きできる。

そのほかの選択肢

  • AD FS ・・・オンプレADを使い、組織外のアプリへのシングルサインオンを実現するために使われていた技術(少し古い技術)。
  • 「パススルー認証」「パスワードハッシュ同期」は、どちらも「オンプレAD → Entra ID」のユーザ情報同期の方式
  • 「パススルー認証」は、パスワード情報を「オンプレAD → Entra ID」へ同期しない
  • 「パスワードハッシュ同期」は、パスワード情報を「オンプレAD → Entra ID」へ同期する
  • 今回の問題では、パスワード情報も同期しているため、「パスワードハッシュ同期」が使われていると推測できる
  • MSが推奨しているのは、「パスワードハッシュ同期」
  • オンプレADのパスワード情報をクラウド(Entra ID)に同期したくない、など特殊な要件がある場合のみ「パススルー認証」を使うようにしましょう。
  • 「パススルー認証」は、Entra ID上にパスワード情報が存在しないため、Entra コネクトに障害が発生した場合、Entra IDを使って認証をしているアプリ(M365など)への認証ができなくなります。

2024/6/17(月)開催

問題

クラウドベースのエンタープライズ アプリを含む Entra ID テナントがあります。
マイ アプリ ポータルで、関連するアプリをカテゴリにグループ化する必要があります。
何を作成する必要がありますか?

  • A. タグ
  • B. コレクション
  • C. 名前付けポリシー
  • D. 動的グループ







解答

B.コレクション

解説

マイポータルアプリ

認証にEntra IDが使われていて、自分がアクセス可能なアプリケーションが一覧で表示されているポータル

マイアプリポータルログイン画面URL
https://myapps.microsoft.com/

コレクション

マイポータルアプリの画面が整理できる(少し見やすくなる)

■Azure Portal(管理者が設定する方法)
Entra ID → エンタープライズアプリケーション → アプリ起動ツール → コレクション

各ユーザもマイポータルアプリ上でコレクションを簡単に作成できる

その他の選択肢

  • タグ・・・リソースにつける任意の値。リソースをタグで識別できるようになる。主に管理用途で使う(例:どのリソースでどれだけコストがかかっているかAzure Portalで確認するような用途て使える)。
  • 名前付けポリシー・・・Entra グループ名の命名規則を作成できる(命名規則に則ったグループ名のグループしか作成できないように制御できる)
  • 動的グループ(よく試験に出る!)・・・ユーザの属性値(所属部署など)に応じて、特定のグループに自動的に所属させることができる。(補足:実践で使える豆知識)動的グループ機能の恩恵を受けるすべてのユーザにP1以上のライセンス(月額899円/ユーザ)が必要。動的グループを使うためだけに、P1ライセンスを購入するのは、コストに見合わないケースが大半。P1ライセンスには、条件付きアクセスなど認証強化の機能を目的に提案するケースが多いため、認証強化をP1ライセンス提案の軸に置きつつ、付加価値として「P1ライセンス購入すると、動的グループも使えるので、運用も便利になりますよ」というように訴求するのがよい(と思われます)

2024/6/10(月)開催

問題

次の表に示すホストを含​​むオンプレミス データセンターがあります。

名前説明
サーバ1Windows Server 2019、ドメインコントローラがデプロイされている
サーバ2Windows Server 2019、Entra Connectがデプロイされている
サーバ3Windows Server 2019、App1という名前のASP.NETアプリがデプロイされている
サーバ4Windows Server 2019、何もデプロイされていない
ファイアウォール1インターネットに接続されているハードウェアファイアウォール、明示的に許可しない限りすべてのトラヒックをブロックする

Active Directory フォレストは、Entra ID テナントと同期します。App1 を Entra ID ユーザーに公開できることを確認する必要があります。

問1 : サーバ4にデプロイすべきサービスは何か

■選択肢

A. Entra アプリケーションプロキシ

B. Entra パスワードプロテクションDCエージェント

C. Entra パスワードプロテクションプロキシサービス

D. Windows serverのWebアプリケーションプロキシ

問2:ファイルウォール1で構成すべきルールは何か

■選択肢

A. インバウンドのHTTPS通信を許可する設定

B. インバウンドのIPSEC通信を許可する設定

C. アウトバウンドのHTTPS通信を許可する設定

D. アウトバウンドのIPSEC通信を許可する設定









解答

問1:A. Entra アプリケーションプロキシ

問2:C. アウトバウンドのHTTPS通信を許可する設定

解説

問題内容について

・インターネット上の端末からFW内のイントラ上にあるWebアプリケーションサーバにアクセスさせる問題

サーバ4にインストールするべきサービス

A. Entra アプリケーションプロキシ

 ⇒ 正確には、「Entra アプリケーションプロキシのアプリケーションコネクタ」 が正解。
Entra アプリケーションプロキシは、「①アプリケーションサービス」と「②アプリケーションコネクタ」の二つが含まれる

(参考URL) 動作概要(シーケンス)

Microsoft Entra アプリケーション プロキシを使用してオンプレミス アプリを発行する – Microsoft Entra ID | Microsoft Learn

  • VPN(SSL-VPN、IPSec-VPNなど)接続をしなくても、インターネット経由で、社内イントラ内にあるWEBアプリケーションサーバにアクセスできる
  • ユーザは、Entra ID上のアプリケーションプロキシサービスで作成されるエンドポイント(URL)に接続するイメージ
  • 認証には、Entra ID上のユーザ名/パスワードが使用される
  • Entra Application Proxyは、Web系アプリケーションしか公開できない。
  • 最近、Entra Private Access(ゼロトラ用語でいうところの、「SDP/ZTNA」)というサービスが出ており(現時点ではプレビュー段階)、Web系以外のアプリケーションも公開できる(RDP、FTP、SMBなど、TCP/UDPを使用するあらゆるポートやプロトコルに対応)

その他の選択肢

  • Entra パスワードプロテクションは、Entra ID上の厳しいパスワードポリシーを、オンプレADにも適用する仕組み
  • Windows serverのWebアプリケーションプロキシは、少し古い技術でActive Direcotoryに外部からアクセスするための仕組み(参考:https://learn.microsoft.com/ja-jp/windows-server/identity/ad-fs/deployment/best-practices-securing-ad-fs#standard-deployment-topology) → インターネット側から見て、Webアプリケーションの手前に配置されているのがEntra アプリケーションプロキシ、Active Directoryの手前に配置されているのがWebアプリケーションプロキシ。

FW1に構成すべきルール

C. アウトバウンドのHTTPS通信を許可する設定

  • 「中→外」の通信のみを許可すればよいため、「外→中」のポートを空ける必要がなくよりセキュア
  • 「アプリケーションサービス(クラウド)⇔アプリケーションコネクタ(オンプレ)」間のやり取り(トークンの受け渡しなど)は、すべて「中→外」で確立されたHTTPSコネクションの中で行われる