Entra ID(SC-300)勉強会

2024年5月31日

2024/7/22(月)開催

問題

会社では最近、Microsoft Entra Privileged Identity Management (PIM) を実装しました。ロールの割り当て状況を確認したところ、会社の IT 部門の 15 人のユーザー全員が永続的なセキュリティ管理者ロールを持っていることがわかりました。
IT部門のユーザーには、セキュリティ管理者ロールが必要な場合のみ付与される必要があります。ソリューションでは、管理作業を最小限に抑える必要があります。
セキュリティ管理者ロールの割り当てには何を構成する必要がありますか?

  • A. ロール設定の詳細から、「対象」割り当てを期限切れにする
  • B. ロール設定の詳細から、「アクティブ」割り当てを期限切れにする
  • C. 割り当ての種類を「アクティブ」にする
  • D. 割り当ての種類を「対象」とする












正解

D. 割り当ての種類を「対象」とする

解説

問題の趣旨

  • セキュリティ的には、ロールが常に付与されている状態は望ましくない(24時間365日そのロールを使っている訳ではない)
  • 必要な時だけ、ロールを付与するべきだというセキュリティの考え方がある
  • ↑ はPIMで実現できる

2つ割り当ての種類「アクティブ」「対象」の違い

Aさんにロールを割り当てる想定で説明します。

■アクティブ(通常のロール割り当て)

「アクティブ」でAさんにロールを割り当てると、Aさんには、すぐにそのロールが付与される(ロールがアクティブになる)

■対象

「対象」でAさんにロールを割り当てると、Aさんには、ロールをアクティブ化する権限が付与される

デモ

・testuserAに、「対象」でセキュリティ管理者ロールを割り当てる

・testuserAの「割り当てられたロール」を確認

・testuserAが、セキュリティ管理者ロールをアクティブにする

デモ補足

  • アクティブ化は管理者の承認制にすることも可能
  • 「対象」でロールを割り当てると、testuserAの「割り当てられたロール画面」において、割り当てられたロールは「資格のある割り当て」タブに表示される
  • 管理者は、Aさんから即時、ロールをはく奪することも可能
  • PIMの利用には、Entra ID P2 ライセンスが必要

2024/7/8(月)開催

問題

Sub1 という Azure サブスクリプションがあり、そこには RG1 というリソース グループが含まれています。RG1 には、DB1 という Azure Cosmos DB データベースと、AKS1 という Azure Kubernetes Service (AKS) クラスターが含まれています。

AKS1からDB1 内のデータを読み込みできるようにする必要があります。ソリューションは、次の要件を満たしている必要があります。

• マネージド ID を使用して、AKS1 がDB1 にアクセスできるようにします。
• 最小権限の原則に従います。

以下のどの設定が適切でしょうか。

  • A.  Sub1 の所有者ロールをマネージドIDに割り当てます。
  • B.  RG1 の閲覧者ロールをマネージドIDに割り当てます。
  • C.  DB1 の閲覧者ロールをマネージドIDに割り当てます。












解答

C.  DB1 の閲覧者ロールをマネージドIDに割り当てます。

解説

マネージドID

・App service、Azure VMなど主要なAzureリソースでサポートされているIDの種別

・アクセス元のAzureリソース(AKS1)にマネージドIDを紐づけて使う

・マネージドIDにロールを付与することで、アクセス元はAzureリソース(AKS1)は、別のAzureリソース(DB1)へのアクセス権限を得ることができる。

最小権限の原則

アクセス元には必要最低限のロールのみを付与すべき、というセキュリティの考え方

サブスクリプション、リソースグループ、リソースの関係

上位層で付与したロールは、下位にも継承される

たとえば、サブスクリプションの閲覧者ロールを付与した場合、そのサブスクリプション配下に存在する、リソースグループ・リソースへの閲覧者ロールも付与される。

最小権限の原則を考慮すると、より下位層のロールを付与するのが望ましい。

その他の選択肢

  • A.  Sub1 の所有者ロールをマネージドIDに割り当てます。 → ロール付与の対象が広すぎる、権限(所有者)が過剰
  • B.  RG1 の閲覧者ロールをマネージドIDに割り当てます。 → ロール付与の対象が広すぎる

(おまけ)2種類のロール

【割り当てられたロール】

管理ポータル(Share Point 管理者ポータル、Intune管理者ポータルなど)が操作できるようになる

【Azureロールの割り当て】※本日の問題はこちら

Azure リソースを操作できるようになる

2024/7/1(月)開催

問題

Azure上でシステム作る上で理解必須の問題です

複数のストレージ アカウントを含む Entra テナントがあります。

ストレージ アカウントへのアクセスを必要とする複数の Azure App Service アプリを展開する予定です。

アプリにストレージ アカウントへのアクセスを提供する ID ソリューションを推奨する必要があります。ソリューションは管理の手間を最小限に抑える必要があります。

ストレージアカウントへのアクセスを制御するため、どのタイプの ID を使用すべきですか

■問題文補足

・ストレージアカウント・・・Azure上のストーレージサービス

・Azure App Service・・・WebアプリをデプロイするためのPaaSサービス

■選択肢

A. Entra ユーザ

B. サービスプリンシパル

C. システム割り当てマネージドID

D. ユーザー割り当てマネージドID











解答

D. ユーザー割り当てマネージドID

解説

前提

【人間がAzureリソースにアクセスする場合】

・アクセス元の識別として「Entra ユーザ」が使われる(人間は、特定のEntraユーザでEntra にログインをしてから、ストレージアカウントにアクセスする)

・Entraユーザに適切なロールを割り当てることで、人間は対象のAzureリソースにアクセスできる

【アプリがAzureリソースにアクセスする場合(Azureリソースが別のAzureリソースへアクセスする場合)】

・アクセス元を識別する方法として2パターン(①マネージドID、②サービスプリンシパル)ある。

・①マネージドID、②サービスプリンシパルを作成し、アプリに紐づけることでアクセス元が識別できるようになる

・①マネージドID、②サービスプリンシパルに適切なロールを割り当てることで、アプリは対象のAzureリソースにアクセスできる

「①マネージドID」と「②サービスプリンシパル」の違い

①マネージドID

App service、Azure VMなど主要なAzureリソースでサポートされている。シークレット(人間でいうところの「パスワード」)の管理をする必要がない(マネージド)ため、運用負荷が低い

②サービスプリンシパル

マネージドIDを使えない場合に利用する。シークレットの管理が必要。

「①-1.システム割り当てマネージドID」と「①-2ユーザー割り当てマネージドID」の違い

①-1.システム割り当てマネージドID・・・一つのAzureリソースのみに割り当て可能(1対1)

①-2.ユーザ割り当てマネージドID・・・複数のAzureリソースに割り当て可能(1対多)

(以下、MSサイトより)

(引用元)https://learn.microsoft.com/ja-jp/entra/identity/managed-identities-azure-resources/managed-identity-best-practice-recommendations

上記より、正解は管理負荷の少ない「ユーザー割り当てマネージドID」となります。

デモ

・ユーザ割り当てマネージドID作成

・ユーザ割り当てマネージドIDへのロール付与

・Web app serviceへの紐づけ

2024/6/24(月)開催

問題

Entra テナントとオンプレのActive Directory ドメインがあります。
Entraコネクト によって、Active Directoryドメインのユーザ情報(パスワード情報含む)は、Entra テナントに同期されています。

パスワードがリセットされた場所に関係なく、Entra テナントとActive Directory ドメイン間でパスワードが同期される必要があります。Entra コネクトにて何を設定すべきでしょうか。

A..AD FS

B.パススルー認証

C.パスワードハッシュ同期

D.パスワードライトバック












解答

D.パスワードライトバック

解説

問題内容について

  • 既にオンプレADがあり、新たにEntra IDを導入する場合、オンプレADとEntra IDとでユーザ情報を同期するのが一般的(ユーザ情報の管理を一元化できるなどメリットが多い)
  • 基本は、「オンプレAD → Entra ID」の方向でユーザ情報が同期される
  • オンプレADでパスワードが変更された場合、Entra ID上のパスワードも変更される
  • 問題文の「パスワードがリセットされた場所に関係なく、Entra テナントとActive Directory ドメイン間でパスワードが同期される必要があります。」は「パスワードがEntra IDでリセットされた場合でも、Entra テナントとActive Directory ドメイン間でパスワードが同期される必要があります。」と言い換えることができます。
  • 「D.パスワードライトバック」により、Entra ID上でパスワードを変更された場合に、その変更をオンプレAD側に上書きできる。

そのほかの選択肢

  • AD FS ・・・オンプレADを使い、組織外のアプリへのシングルサインオンを実現するために使われていた技術(少し古い技術)。
  • 「パススルー認証」「パスワードハッシュ同期」は、どちらも「オンプレAD → Entra ID」のユーザ情報同期の方式
  • 「パススルー認証」は、パスワード情報を「オンプレAD → Entra ID」へ同期しない
  • 「パスワードハッシュ同期」は、パスワード情報を「オンプレAD → Entra ID」へ同期する
  • 今回の問題では、パスワード情報も同期しているため、「パスワードハッシュ同期」が使われていると推測できる
  • MSが推奨しているのは、「パスワードハッシュ同期」
  • オンプレADのパスワード情報をクラウド(Entra ID)に同期したくない、など特殊な要件がある場合のみ「パススルー認証」を使うようにしましょう。
  • 「パススルー認証」は、Entra ID上にパスワード情報が存在しないため、Entra コネクトに障害が発生した場合、Entra IDを使って認証をしているアプリ(M365など)への認証ができなくなります。

2024/6/17(月)開催

問題

クラウドベースのエンタープライズ アプリを含む Entra テナントがあります。
マイ アプリ ポータルで、関連するアプリをカテゴリにグループ化する必要があります。
何を作成する必要がありますか?

  • A. タグ
  • B. コレクション
  • C. 名前付けポリシー
  • D. 動的グループ







解答

B.コレクション

解説

マイポータルアプリ

認証にEntra IDが使われていて、自分がアクセス可能なアプリケーションが一覧で表示されているポータル

マイアプリポータルログイン画面URL
https://myapps.microsoft.com/

コレクション

マイポータルアプリの画面が整理できる(少し見やすくなる)

■Azure Portal(管理者が設定する方法)
Entra ID → エンタープライズアプリケーション → アプリ起動ツール → コレクション

各ユーザもマイポータルアプリ上でコレクションを簡単に作成できる

その他の選択肢

  • タグ・・・リソースにつける任意の値。リソースをタグで識別できるようになる。主に管理用途で使う(例:どのリソースでどれだけコストがかかっているかAzure Portalで確認するような用途て使える)。
  • 名前付けポリシー・・・Entra グループ名の命名規則を作成できる(命名規則に則ったグループ名のグループしか作成できないように制御できる)
  • 動的グループ(よく試験に出る!)・・・ユーザの属性値(所属部署など)に応じて、特定のグループに自動的に所属させることができる。(補足:実践で使える豆知識)動的グループ機能の恩恵を受けるすべてのユーザにP1以上のライセンス(月額899円/ユーザ)が必要。動的グループを使うためだけに、P1ライセンスを購入するのは、コストに見合わないケースが大半。P1ライセンスには、条件付きアクセスなど認証強化の機能を目的に提案するケースが多いため、認証強化をP1ライセンス提案の軸に置きつつ、付加価値として「P1ライセンス購入すると、動的グループも使えるので、運用も便利になりますよ」というように訴求するのがよい(と思われます)

2024/6/10(月)開催

問題

次の表に示すホストを含​​むオンプレミス データセンターがあります。

名前説明
サーバ1Windows Server 2019、ドメインコントローラがデプロイされている
サーバ2Windows Server 2019、Entra Connectがデプロイされている
サーバ3Windows Server 2019、App1という名前のASP.NETアプリがデプロイされている
サーバ4Windows Server 2019、何もデプロイされていない
ファイアウォール1インターネットに接続されているハードウェアファイアウォール、明示的に許可しない限りすべてのトラヒックをブロックする

Active Directory フォレストは、Entra テナントと同期します。App1 を Entra ID ユーザーに公開できることを確認する必要があります。

問1 : サーバ4にデプロイすべきサービスは何か

■選択肢

A. Entra アプリケーションプロキシ

B. Entra パスワードプロテクションDCエージェント

C. Entra パスワードプロテクションプロキシサービス

D. Windows serverのWebアプリケーションプロキシ

問2:ファイルウォール1で構成すべきルールは何か

■選択肢

A. インバウンドのHTTPS通信を許可する設定

B. インバウンドのIPSEC通信を許可する設定

C. アウトバウンドのHTTPS通信を許可する設定

D. アウトバウンドのIPSEC通信を許可する設定









解答

問1:A. Entra アプリケーションプロキシ

問2:C. アウトバウンドのHTTPS通信を許可する設定

解説

問題内容について

・インターネット上の端末からFW内のイントラ上にあるWebアプリケーションサーバにアクセスさせる問題

サーバ4にインストールするべきサービス

A. Entra アプリケーションプロキシ

 ⇒ 正確には、「Entra アプリケーションプロキシのアプリケーションコネクタ」 が正解。
Entra アプリケーションプロキシは、「①アプリケーションサービス」と「②アプリケーションコネクタ」の二つが含まれる

(参考URL) 動作概要(シーケンス)

Microsoft Entra アプリケーション プロキシを使用してオンプレミス アプリを発行する – Microsoft Entra ID | Microsoft Learn

  • VPN(SSL-VPN、IPSec-VPNなど)接続をしなくても、インターネット経由で、社内イントラ内にあるWEBアプリケーションサーバにアクセスできる
  • ユーザは、Entra ID上のアプリケーションプロキシサービスで作成されるエンドポイント(URL)に接続するイメージ
  • 認証には、Entra ID上のユーザ名/パスワードが使用される
  • Entra Application Proxyは、Web系アプリケーションしか公開できない。
  • 最近、Entra Private Access(ゼロトラ用語でいうところの、「SDP/ZTNA」)というサービスが出ており(現時点ではプレビュー段階)、Web系以外のアプリケーションも公開できる(RDP、FTP、SMBなど、TCP/UDPを使用するあらゆるポートやプロトコルに対応)

その他の選択肢

  • Entra パスワードプロテクションは、Entra ID上の厳しいパスワードポリシーを、オンプレADにも適用する仕組み
  • Windows serverのWebアプリケーションプロキシは、少し古い技術でActive Direcotoryに外部からアクセスするための仕組み(参考:https://learn.microsoft.com/ja-jp/windows-server/identity/ad-fs/deployment/best-practices-securing-ad-fs#standard-deployment-topology) → インターネット側から見て、Webアプリケーションの手前に配置されているのがEntra アプリケーションプロキシ、Active Directoryの手前に配置されているのがWebアプリケーションプロキシ。

FW1に構成すべきルール

C. アウトバウンドのHTTPS通信を許可する設定

  • 「中→外」の通信のみを許可すればよいため、「外→中」のポートを空ける必要がなくよりセキュア
  • 「アプリケーションサービス(クラウド)⇔アプリケーションコネクタ(オンプレ)」間のやり取り(トークンの受け渡しなど)は、すべて「中→外」で確立されたHTTPSコネクションの中で行われる

Azure,SC300勉強会,コミュニティ活動

Posted by mitsuru