Azure ADとCloud Identityの基礎を比較（With Cloud）

by yasu

Slide 1

Slide 1 text

Azure ADとCloud Identityの基礎を比較    2023年7月15日    アライアンス事業部　エンジニアグループ    室井　靖成  1

Slide 2

Slide 2 text

自己紹介  ● アライアンス事業部エンジニアグループ ● Google Cloudのリセール周りを担当  ● Microsoft Sentinelを少し触っていた過去  ● 趣味：筋トレ、野良猫探索、格闘技  ● クラウド資格  ○ Google Cloud9個、Azure8,9個、AWS1 個  ● トレーナー歴4年  ○ マジ筋トレ歴6年以上  ○ NSCA CSCS 

Slide 3

Slide 3 text

東京のDev.IOでも登壇しました ❏ 「ITエンジニアこそ筋トレをやるべき理由を徹底解説 With Google Cloud」 ● 弊社の名だたる優秀なエンジニアを差し置いて筋肉がITメディアさまに紹介頂きました「ITエンジニアこそ筋トレをやるべき理由」SIerのクラスメソッドが無料公開    ● 「クラメソ　筋肉　GCP」　で検索してください！！ 

Slide 4

Slide 4 text

今回の概要 ❏ 内容として • 機能の優劣を比較するものではありません • Microsoft Azure、Google Cloudを使用する上で必要なID管理基盤の概念と仕組みの違いを解説します以下、Azure と GCPとします

Slide 5

Slide 5 text

こんな感じで見てください ❏ 資格試験の参考に ❏ こういう権限管理の違いがあるんだな〜 ❏ Azureの資格更新は年1、GCPは2年1回

Slide 6

Slide 6 text

目次 1. クラウドを使用するには何が必要？ 2. Cloud Identity 3. Azure AD 4. まとめ

Slide 7

Slide 7 text

その前に Azure Active Directory Microsoft Entra ID 名称が変更されましたが今回はAzure ADで話します

Slide 8

Slide 8 text

1.クラウドを使用するには何が必要? ❏ Google Cloud（旧GCP） ● Google アカウント + プロジェクト + （請求先アカウント） ❏ Microsoft Azure ● Azure AD + サブスクリプション + （リソースグループ） ※ Microsoftアカウントは一旦無視します ※Azureにも請求プロフィール、請求アカウントもある

Slide 9

Slide 9 text

Google Cloudの場合 ❏ Google アカウント ● [email protected]のような単体のユーザーを作成 ❏ プロジェクト ● Google Cloudに固有のリソースを作成する箱 ❏ 請求先アカウント ● クレカを登録して、使用できるリソースを増やす（必須だがなくてもGCPの登録はできる） Identity & Access Management

Slide 10

Slide 10 text

Azureの場合 ❏ Azure AD ● IDP、ユーザーをこの中に作成 ❏ サブスクリプション ● Azure ADに紐づく（ぶら下がる形で使用する） subscription ❏ Azure AD と Azureサブスクリプションの課金は別 ● Azure ADはIDP単体としての機能を提供 ● 請求プロフィールと請求アカウント

Slide 11

Slide 11 text

クラウドを触るときの IDP の役割 ❏ Google Cloud Cloud Identity ● Google Cloudを使用する際にはオプションとして提供 ○ Free or Premium ❏ Azure Active Directory ● Azureを使用する際には必ず必要 ○ Freeプラン P1プラン P2プラン Microsoft Entra ID Governance Cloud Identity Azure AD

Slide 12

Slide 12 text

Cloud Identity

Slide 13

Slide 13 text

2.Cloud Identity（Google Workspace） ❏ GCPで組織を作成する際に必須なリソース ❏ 所持しているドメインと紐づけを行う（@classmethod.jp..etc） ❏ セキュリティ機能の有効化に必須セキュリティ要素

Slide 14

Slide 14 text

Cloud Identity 階層化

Slide 15

Slide 15 text

組織階層を理解する ❏ 組織の全体像【ドメイン-組織→フォルダ→プロジェクト→リソース】 ● ドメインと組織は１：１ ● フォルダは組織配下に作成し、主に部門ごとに分ける用途などに使用する（フォルダを入れ子にすることは可能である） ● フォルダ配下にプロジェクトを作成する、プロジェクトは各環境ごとに作成するのがよい（開発プロジェクト、運用プロジェクト、検証プロジェクト…etc） ※Google Cloudドキュメントから抜粋 [email protected] 1：1

Slide 16

Slide 16 text

❏ ポリシーとはなんぞや？？エンティティ＋ロール（権限の集合体）＝ポリシー(ロールバインディング) エンティティ→ユーザー、グループ、サービスアカウント、ドメイン ❏ ポリシーの割り当てポリシーを組織/フォルダ/プロジェクト/リソース（一部のみ） NWの編集者ロール（権限）を例にして説明する roles/compute.networkAdmin ポリシーは上から下へ継承される組織階層を理解する

Slide 17

Slide 17 text

組織セキュリティ機能の有効化 ❏ VPCサービスコントロール ● 境界線を作成し、IAMで制御できない範囲をカバーする ❏ Security Command Center (SCC) ● さまざまなセキュリティスキャンを実行する機能 ❏ 組織ポリシー ● 組織、フォルダ、プロジェクトごとにポリシーを定義する ❏ 階層型ファイアウォールポリシー ● 組織、フォルダ、プロジェクトごとにFWルールを定義する ❏ ログの集約 ● 組織のログを一箇所に集約する機能

Slide 18

Slide 18 text

VPCサービスコントロール ❏ 概要 ● Google CloudのAPIを介したデータの流れを制御する機能 ● 適切なポリシーを持つユーザーも制限される ❏ 対象となるサービス ● BigQueryやGoogle Cloud Storage（GCS）などのAPIを介すサービスのデータを保護 ● サポートされているプロダクトに限る→App Engine、Bare Metal Solutionは❌ ❏ 機能 ● 外部リソースが Google Cloud サービスにアクセスできるかどうかを制御する ● 外部リソースが特定のGoogle Cloud サービスにのみアクセスできるようにする ● VPC-SC内のリソースが外部にアクセスできないようにすることができる ○ VPC ネットワークもAPIサービスも含む

Slide 19

Slide 19 text

VPCサービスコントロール

Slide 20

Slide 20 text

VPCサービスコントロール

Slide 21

Slide 21 text

VPCサービスコントロール権限を持った人でもその全ての権限を行使できる訳ではない

Slide 22

Slide 22 text

組織ポリシー ❏ 概要 ● 組織単位でリソースを制御する機能 ❏ 対象となるサービス ● 組織、フォルダ、プロジェクト ❏ 特徴 ● 上位 → 下位へと継承されていく ● 特定のリージョンでしかリソースを作成できなくする ○ 「constraints/gcp.resourceLocations」リソースの場所を制限 ● 特定のリソースタイプの作成を禁止するなど ○ 「constraints/compute.trustedImageProjects」信頼するプロジェクトからしか Compute Engineインスタンスのイメージを使用できないようにする

Slide 23

Slide 23 text

Cloud Identity 階層化

Slide 24

Slide 24 text

階層型ファイアウォールポリシー ❏ 概要 ● 組織単位でファイアウォールルールを制御する機能 ❏ 対象となるサービス ● 組織全体、フォルダ、またはVPCネットワークに対してファイアウォールのルールを一貫して適用するための機能 ❏ 機能 ● 上から下へ継承される ● 下位のリソースでオーバーライド可能 ○ 個々のVPCやサブネットでも可能

Slide 25

Slide 25 text

階層型ファイアウォールポリシー

Slide 26

Slide 26 text

Google Workspace（GWS） ❏ SaaS製品 ● ドキュメント、スライド、AppScript、Gmail、Meet…etc ❏ 月額 or 年単位 ● プランは4つ ❏ Google Cloudとの関係 ● Cloud Identityと同じ役割を持つ（ドメインを登録する） ● 管理コンソールのUIが同じ（ admin.google.com ） ● ドメインの所有権の証明が必要 ○ GWS、GCP（Cloud Identity）両方で必要＝ドメインが必須

Slide 27

Slide 27 text

Cloud Identity まとめ ❏ Google Cloud内のリソースである組織の作成で必要 ● Google Cloudを企業として運用していくための権限管理 ● 豊富なセキュリティ機能を使用するため ❏ 個別の管理コンソール ● 個別でログインが必要な、Google Cloudコンソールとは別のUI画面がある ❏ 個別の契約となる ● Free or Premiumを選択する ❏ GWSと同じ管理コンソールにアクセスする ● 内部の機能は一部異なる

Slide 28

Slide 28 text

Azure AD

Slide 29

Slide 29 text

3.Azure AD ❏ Azure AD テナント ● Azureを使用する上では必ず必要（GCPと異なる） ● Azure ADの中にユーザーを作成する（GCPと異なる） ● サブスクリプションは1つのAzure ADに所属する subscription subscription subscription テナント subscription ⭕ ❌ テナント

Slide 30

Slide 30 text

Azure ADの役割 ❏ ユーザーとグループの管理 ● Azure サブスクションとAzure ADの権限管理は別物 ○ グローバル管理者 → Azure AD（テナントへの権限） ○ オーナーロール → サブスクリプション（RBAC） ❏ IDとアクセス管理 ● ユーザーの認証/認可、SSO、アカウント保護（二段階認証や暗号化など） ● Azure B2B、Azure B2C ● 監査、レポート機能 ● 特権ID管理（Privileged Identity Management：PIM） ● Identity Protection機能

Slide 31

Slide 31 text

Azure ADとサブスクリプションの権限管理 ❏ Azure ADの権限（Azure ADディレクトリロール） ● Global Administrator ● User Account Administrator ● Guest Inviter ● Privileged Role Administrator ❏ サブスクション権限（RBAC/リソースロール/IAM制御） ● Owner ● User Access Administrator ● Contributor ● Reader

Slide 32

Slide 32 text

Azure ADの権限 ❏ Azure ADの権限（Azure ADディレクトリロール） ● Global Administrator ○ Microsoft365の権限も合わせ持つ ● User Account Administrator ○ ユーザーに権限を付与する ● Guest Inviter ○ 他のAzure ADユーザーを招待する ● Privileged Role Administrator ○ 時限性/期限付きの権限割り当てを行う....etc

Slide 33

Slide 33 text

Azure ADのテナントと組織 ❏ Azure AD テナント ● 1組織につき、1つのAzure ADテナントを使用（推奨） ○ 他のテナントのリソースを触りたい ○ Guest Inviter 機能が存在する ● セキュリティのため（野ばなしのアカウントの制御） subscription テナントA subscription テナントB 招待可能

Slide 34

Slide 34 text

管理グループ ❏ Azure サブスクリプションをまとめる ● 部署ごと（人事部門、IT部門、財務部門...etc） ● 管理グループの入れ子も可能 subscription テナント subscription テナント招待可能

Slide 35

Slide 35 text

Azure ADのPrivileged Identity Management（PIM） ❏ 特権アクセス権限の管理（PIM） ● Azure AD P2の機能 ● 権限を付与するためのロール ○ オンデマンドで割り当てが可能（期限付き：60minだけ付与/剥奪） ○ Azure ADとAzureリソースに対するJust-In-Timeの特権アクセスの提供 ● アクセスレビュー ○ 特定のロール（権限）の棚卸しを行う

Slide 36

Slide 36 text

Azure ADのIdentity Protection機能 ❏ リスクベースの条件付きアクセスポリシー ● サインイン時のリスクを評価 ○ ユーザーがサインインを試みる際のリスクレベルを評価 ○ （例）不審なIPからの接続や異常なログイン試行といったパターンが検出された場合、リスクが高まると判断し、評価されたリスクレベルに基づいて、条件付きアクセスポリシー（ユーザーに対する追加的な認証要求やブロック）が適用される ● ユーザーアカウントの危険度を評価 ○ ユーザーアカウントが危険にさらされていることを示すシグナルを評価 ○ ブラックマーケットを見張る ■ 不正な取引所でユーザーの資格情報が売買されていることが確認された場合、そのユーザーのリスクレベルが上昇するそうしたシグナルが検出された場合にも、特定のアクション（例えばパスワードのリセット要求）がトリガーされる

Slide 37

Slide 37 text

Azure ADのIdentity Protection ❏ リスクベースの条件付きアクセスポリシー ● サインイン時のリスク ○ あり得ない移動 ○ 悪意のある IP アドレス ○ 異常なユーザーアクティビティ ○ 匿名 IP アドレス

Slide 38

Slide 38 text

Azure ADの BtoB BtoC の機能 ❏ Azure AD BtoB ● 企業間での協業を支援する機能 ○ 自社のAzure環境のインフラ構築のために、他の企業のAzure ADテナントに所属するAzure ADユーザーを招待し協業する ❏ Azure AD BtoC ● コンシューマー向けのID連携を提供する ○ 自社開発の「一般ユーザー向けのショッピングアプリケーション」を使用させる際に、Azure ADとFacebookやTwitterを連携させて、ユーザー認証は FacebookやTwitterに委任し、Azure ADで認可する

Slide 39

Slide 39 text

Azure リソースの権限管理

Slide 40

Slide 40 text

Azure リソースへの権限管理 ❏ Azure リソースへのアクセス権限（RBAC/リソースロール/IAM制御） ● Owner ○ サブスクリプション全ての権限を持つ ● User Access Administrator ○ ユーザーへの権限の割り当てが可能 ● Contributor ○ 権限の割り当て以外が可能 ● Reader ○ 読み取りアクセスが可能

Slide 41

Slide 41 text

Azure リソースへの権限割り当て ❏ リソースへの権限制御 ● ユーザーやグループに対してのもの ● サブスクリプション単位で権限を付与 ● リソースグループ単位で権限を付与（GCPでは無い概念） ● リソース単位権限を付与（GCPでは基本やらない）

Slide 42

Slide 42 text

Azure リソースへのポリシー割り当て ❏ ポリシーの付与 ● そのリソースに対して、付与できる値や配置できる場所を制御する ○ 特定のリージョンでのVMの作成を禁止 ○ 特定の仮想マシンサイズを許可 ○ 特定のSKUの利用を制限 ○ 全てのポリシーは和集合 ○ 管理グループ、サブスクリプション、リソースグループ、リソース

Slide 43

Slide 43 text

既定のディレクトリ（試用版のAzure AD） ❏ Microsoftアカウントで作成したサブスクリプション ● 仮のAzure ADテナントが作成される ● 緊急事態用の設定ができない ○ Azure サブスクリプションへの全権限を取得できる機能がある ❏ Azure ADユーザーアカウント / マイクロソフトアカウント ● 使用する目的が異なる ● Azure ADユーザーアカウント ○ 主に組織内での使用を目的としており、ユーザーの管理やアクセス制御を一元化するためのもの（組織内のリソースへのアクセス制御） ● マイクロソフトアカウント ○ 個々のユーザーがMicrosoftのコンシューマ向けサービスにサインインするためのもの（Xbox、Skype、 OneDriveなど、あくまでも個人）

Slide 44

Slide 44 text

まとめ

Slide 45

Slide 45 text

まとめ ❏ 共通すること ● ユーザーとグループ、アプリケーションの権限管理 ● セキュリティ機能の提供 ○ 階層型FWポリシー ○ VPCサービスコントロール ○ PIM（特権ID管理） ○ リスクに基づいたアクセス制御 ❏ プラン ● プラン選定は基本有料プラン使用が前提となる ● それぞれデバイス管理機能なども搭載 ● 他サービスとの連携多数

Slide 46

Slide 46 text

最後に

Slide 47

Slide 47 text

47 Google Cloud リセールサービス（3%割引） ● お客さまの利用費から3%割引でGoogle Cloudをご提供 ● Google Cloudのリセールサービスご契約のお客さまには無償でサポートを提供します（β版 2024年 1月あたりまで）

Slide 48

Slide 48 text

筋トレと健康のQAでもいいです

Slide 49

Slide 49 text

Google Cloudで言い換えると、、  ❏ 筋トレをしていない身体の状態 ● 筋トレをしていない状態はいわば、組織なしの単一CGEで f1-micro の状態でアプリケーションを動かしているのと同じ ○ 組織が無い＝ポリシーなどがなく、セキュリティがまっさらな状態 ○ GCPはカスタムマシンを定義できる ● ロードバランサーがなく、何もカバーができないアプリケーション構成 ○ グローバルロードバランサーを使用すると 1つのグローバルIPで複数リージョンでバックエンドを配置できる（Serverless NEG、MIG、Internet NEG、Cloud Storage）

Slide 50

Slide 50 text

筋肉とセロトニン  ❏ 筋トレによってセロトニンが分泌される ● セロトニンの別名は幸福ホルモン ○ 脳内で作用するホルモン ○ 気分、行動、思考、食欲など、私たちの精神的な状態に大きな影響 ○ 睡眠を深くする働き→不安やうつ病といったメンタルな問題を緩和リズム運動リズム運動×有酸素筋トレ

Slide 51

Slide 51 text

筋肉とβエンドルフィン  ❏ 筋トレによってβエンドルフィンが分泌される ● 強力な鎮痛作用の効果 ● 筋トレや運動で心拍数向上 →ストレス状態と認識する、ストレスの対抗策としてエンドルフィンを放出する ● エンドルフィンは体全体に影響を与え、痛みやストレスを軽減し、気分を高揚させる効果がある ● 筋トレ後の放出により、その後も 1日中あなたをハッピーな状態にしてくれる ○ ストレスの緩和（打ち消し）、睡眠の質の向上 ...etc

Slide 52

Slide 52 text

筋トレによる生涯に通じる健康効果  ❏ さまざまな健康効果 ● 心臓病リスクの低減 ○ 心臓の強化（心肥大） ■ 通常は心臓の機能を向上させるため、健康に問題はないが、過度な筋トレを行うと心臓に負担が大きくかかり心筋の肥大が過剰に進む ○ 体脂肪減少による悪玉コレステロール値の改善、血流の改善による心疾患リスクの減少 ● 骨密度の改善 ○ コラーゲンの線維芽細胞が骨を強化する（筋トレが低身長にするは嘘）

Slide 53

Slide 53 text

筋トレによる生涯に通じる健康効果  ❏ さまざまな健康効果 ● 免疫力の向上 ○ ナチュラルキラーセル（ NK細胞）というウィルスに対抗する細胞が活性化する ■ 免疫応答の初期段階で活性化され、感染した細胞やがん細胞を攻撃する ■ ストレスや生活習慣、高齢化などによって、 NK細胞の数や活動が低下する可能性があり、すると身体はウィルスやがん細胞に対抗する力が減退し、感染症にかかりやすくなったり、がんのリスクが高まったりする ■ 身体を動かすと血流が増え NK細胞が体中を流れる機会が増えるこれにより、ウィルスやがん細胞を発見しすばやく攻撃する可能性が高まる ■ 適度な運動でNK細胞が増える

Slide 54

Slide 54 text

筋トレによる生涯に通じる健康効果  ❏ さまざまな健康効果 ● ホルモン ○ マイオカイン、BDNF、成長ホルモン（IGF-1）、セロトニン...etc ● サルコペニアの予防 ○ 加齢による筋肉量が著しく落ちる病気を予防 →転倒、骨折など物理的危険性減 ● 認知症の予防 ○ 脳の血流が改善され、脳細胞の活性化 ○ BDNFの分泌 → 脳細胞の成長と修復

Slide 55

Slide 55 text

完全な経験談  ❏ 完全な体験談に基づく筋肉コミュニケーション利活用方法 ● 初対面はとりあえずきんにくんしておけば何とかなる ● 話に詰まった時は相手の健康の悩みを聞く ● 業務に関係ない相談がおおい（＝部署外のコミュにケーション多数） ● Googleさんにも筋トレのアドバイスで打ち解ける ● 合コンで「あたしも筋トレ教えて〜」となることがある（冗談です ....半分） ● クラメソの社員に覚えてもらえる ○ 例：社長に「お！筋肉やってる？」「腕立てしよう」となった

Slide 56

Slide 56 text

1. レッツ質問タイム  56 ● お酒って太るの？ ● リバウンドしたくない ... ● 筋トレを効率よく続けるには？ ● どのくらいの期間やれば結果が出るの？ ● 筋トレの時間は？ ● たくさん食べて痩せたいのですが ... ● 女性へおすすめの筋トレは？ ● 大きくなりたい人の筋トレメニューを教えて .....etc ● 筋肉が多い人が太りにくい理由なんでも聞いてください