Azure ADとCloud Identityの基礎を比較（With Cloud）

Transcript

1. Azure ADとCloud Identityの基礎を比較
 
 2023年7月15日
 
 アライアンス事業部　エンジニアグループ
 
 室井　靖成
 1

2. 自己紹介
 • アライアンス事業部 エンジニアグループ • Google Cloudのリセール周りを担当
 • Microsoft Sentinelを少し触っていた過去


   • 趣味：筋トレ、野良猫探索、格闘技
 • クラウド資格
 ◦ Google Cloud9個、Azure8,9個、AWS1 個
 • トレーナー歴4年
 ◦ マジ筋トレ歴6年以上
 ◦ NSCA CSCS


3. 東京のDev.IOでも登壇しました ❏ 「ITエンジニアこそ筋トレをやるべき理由を徹底解説 With Google Cloud」 • 弊社の名だたる優秀なエンジニアを差し置いて筋肉がITメディア さまに紹介頂きました 「ITエンジニアこそ筋トレをやるべき理由」SIerのクラスメソッドが

   無料公開
 
 • 「クラメソ　筋肉　GCP」　で検索してください！！


4. 今回の概要 ❏ 内容として • 機能の優劣を比較するものではありません • Microsoft Azure、Google Cloudを使用する上で必要なID管理基 盤の概念と仕組みの違いを解説します

   以下、Azure と GCPとします

5. こんな感じで見てください ❏ 資格試験の参考に ❏ こういう権限管理の違いがあるんだな〜 ❏ Azureの資格更新は年1、GCPは2年1回

6. 目次 1. クラウドを使用するには何が必要？ 2. Cloud Identity 3. Azure AD 4.

   まとめ

7. その前に Azure Active Directory Microsoft Entra ID 名称が変更されましたが 今回はAzure ADで話します

8. 1.クラウドを使用するには何が必要? ❏ Google Cloud（旧GCP） • Google アカウント + プロジェクト +

   （請求先アカウント） ❏ Microsoft Azure • Azure AD + サブスクリプション + （リソースグループ） ※ Microsoftアカウントは一旦無視します ※Azureにも 請求プロフィール、請求アカウントもある

9. Google Cloudの場合 ❏ Google アカウント • [email protected]のような単体のユーザーを作成 ❏ プロジェクト •

   Google Cloudに固有のリソースを作成する箱 ❏ 請求先アカウント • クレカを登録して、使用できるリソースを増やす （必須だがなくてもGCPの登録はできる） Identity & Access Management

10. Azureの場合 ❏ Azure AD • IDP、ユーザーをこの中に作成 ❏ サブスクリプション • Azure

    ADに紐づく（ぶら下がる形で使用する） subscription ❏ Azure AD と Azureサブスクリプションの課金は別 • Azure ADはIDP単体としての機能を提供 • 請求プロフィールと請求アカウント

11. クラウドを触るときの IDP の役割 ❏ Google Cloud Cloud Identity • Google

    Cloudを使用する際にはオプションとして提供 ◦ Free or Premium ❏ Azure Active Directory • Azureを使用する際には必ず必要 ◦ Freeプラン P1プラン P2プラン Microsoft Entra ID Governance Cloud Identity Azure AD

12. Cloud Identity

13. 2.Cloud Identity（Google Workspace） ❏ GCPで組織を作成する際に必須なリソース ❏ 所持しているドメインと紐づけを行う（@classmethod.jp..etc） ❏ セキュリティ機能の有効化に必須 セキュリティ要

    素

14. Cloud Identity 階層化

15. 組織階層を理解する ❏ 組織の全体像 【ドメイン-組織→フォルダ→プロジェクト→リソース】 • ドメインと組織は１：１ • フォルダは組織配下に作成し、主に部門ごとに分ける用途などに使用する（フォルダを 入れ子にすることは可能で ある）

    • フォルダ配下にプロジェクトを作成する、プロジェクトは 各環境ごとに作成するのがよい（開発プロジェクト、運用プ ロジェクト、検証プロジェクト…etc） ※Google Cloudドキュメントから抜粋 [email protected] 1：1

16. ❏ ポリシーとはなんぞや？？ エンティティ＋ロール（権限の集合体）＝ポリシー(ロールバインディング) エンティティ→ユーザー、グループ、サービスアカウント、ドメイン ❏ ポリシーの割り当て ポリシーを組織/フォルダ/プロジェクト/リソース（一部のみ） NWの編集者ロール（権限）を例にして説明する roles/compute.networkAdmin ポリシーは上から下へ継承される

    組織階層を理解する

17. 組織 セキュリティ機能の有効化 ❏ VPCサービスコントロール • 境界線を作成し、IAMで制御できない範囲をカバーする ❏ Security Command Center

    (SCC) • さまざまなセキュリティスキャンを実行する機能 ❏ 組織ポリシー • 組織、フォルダ、プロジェクトごとにポリシーを定義する ❏ 階層型ファイアウォールポリシー • 組織、フォルダ、プロジェクトごとにFWルールを定義する ❏ ログの集約 • 組織のログを一箇所に集約する機能

18. VPCサービスコントロール ❏ 概要 • Google CloudのAPIを介したデータの流れを制御する機能 • 適切なポリシーを持つユーザーも制限される ❏ 対象となるサービス

    • BigQueryやGoogle Cloud Storage（GCS）などのAPIを介すサービスのデータを 保護 • サポートされているプロダクトに限る→App Engine、Bare Metal Solutionは❌ ❏ 機能 • 外部リソースが Google Cloud サービスにアクセスできるかどうかを制御する • 外部リソースが特定のGoogle Cloud サービスにのみアクセスできるようにする • VPC-SC内のリソースが外部にアクセスできないようにすることができる ◦ VPC ネットワークもAPIサービスも含む

19. VPCサービスコントロール

20. VPCサービスコントロール

21. VPCサービスコントロール 権限を持った人でもその全ての権 限を行使できる訳ではない

22. 組織ポリシー ❏ 概要 • 組織単位でリソースを制御する機能 ❏ 対象となるサービス • 組織、フォルダ、プロジェクト ❏

    特徴 • 上位 → 下位へと継承されていく • 特定のリージョンでしかリソースを作成できなくする ◦ 「constraints/gcp.resourceLocations」リソースの場所を制限 • 特定のリソースタイプの作成を禁止するなど ◦ 「constraints/compute.trustedImageProjects」信頼するプロジェクトからしか Compute Engineインスタンス のイメージを使用できないようにする

23. Cloud Identity 階層化

24. 階層型ファイアウォールポリシー ❏ 概要 • 組織単位でファイアウォールルールを制御する機能 ❏ 対象となるサービス • 組織全体、フォルダ、またはVPCネットワークに対してファイアウォールのルールを 一貫して適用するための機能

    ❏ 機能 • 上から下へ継承される • 下位のリソースでオーバーライド可能 ◦ 個々のVPCやサブネットでも可能

25. 階層型ファイアウォールポリシー

26. Google Workspace（GWS） ❏ SaaS製品 • ドキュメント、スライド、AppScript、Gmail、Meet…etc ❏ 月額 or 年単位

    • プランは4つ ❏ Google Cloudとの関係 • Cloud Identityと同じ役割を持つ（ドメインを登録する） • 管理コンソールのUIが同じ（ admin.google.com ） • ドメインの所有権の証明が必要 ◦ GWS、GCP（Cloud Identity）両方で必要＝ドメインが必須

27. Cloud Identity まとめ ❏ Google Cloud内のリソースである組織の作成で必要 • Google Cloudを企業として運用していくための権限管理 •

    豊富なセキュリティ機能を使用するため ❏ 個別の管理コンソール • 個別でログインが必要な、Google Cloudコンソールとは別のUI画面がある ❏ 個別の契約となる • Free or Premiumを選択する ❏ GWSと同じ管理コンソールにアクセスする • 内部の機能は一部異なる

28. Azure AD

29. 3.Azure AD ❏ Azure AD テナント • Azureを使用する上では必ず必要（GCPと異なる） • Azure

    ADの中にユーザーを作成する（GCPと異なる） • サブスクリプションは1つのAzure ADに所属する subscription subscription subscription テナント subscription ⭕ ❌ テナント

30. Azure ADの役割 ❏ ユーザーとグループの管理 • Azure サブスクションとAzure ADの権限管理は別物 ◦ グローバル管理者

    → Azure AD（テナントへの権限） ◦ オーナーロール → サブスクリプション（RBAC） ❏ IDとアクセス管理 • ユーザーの認証/認可、SSO、アカウント保護（二段階認証や暗号化など） • Azure B2B、Azure B2C • 監査、レポート機能 • 特権ID管理（Privileged Identity Management：PIM） • Identity Protection機能

31. Azure ADとサブスクリプションの権限管理 ❏ Azure ADの権限（Azure ADディレクトリロール） • Global Administrator •

    User Account Administrator • Guest Inviter • Privileged Role Administrator ❏ サブスクション権限（RBAC/リソース ロール/IAM制御） • Owner • User Access Administrator • Contributor • Reader

32. Azure ADの権限 ❏ Azure ADの権限（Azure ADディレクトリロール） • Global Administrator ◦

    Microsoft365の権限も合わせ持つ • User Account Administrator ◦ ユーザーに権限を付与する • Guest Inviter ◦ 他のAzure ADユーザーを招待する • Privileged Role Administrator ◦ 時限性/期限付きの権限割り当てを行う....etc

33. Azure ADのテナントと組織 ❏ Azure AD テナント • 1組織につき、1つのAzure ADテナントを使用（推奨） ◦

    他のテナントのリソースを触りたい ◦ Guest Inviter 機能が存在する • セキュリティのため（野ばなしのアカウントの制御） subscription テナントA subscription テナントB 招待可能

34. 管理グループ ❏ Azure サブスクリプションをまとめる • 部署ごと（人事部門、IT部門、財務部門...etc） • 管理グループの入れ子も可能 subscription テナント

    subscription テナント 招待可能

35. Azure ADのPrivileged Identity Management（PIM） ❏ 特権アクセス権限の管理（PIM） • Azure AD P2の機能

    • 権限を付与するためのロール ◦ オンデマンドで割り当てが可能（期限付き：60minだけ 付与/剥奪） ◦ Azure ADとAzureリソースに対するJust-In-Timeの特権アクセスの提供 • アクセスレビュー ◦ 特定のロール（権限）の棚卸しを行う

36. Azure ADのIdentity Protection機能 ❏ リスクベースの条件付きアクセスポリシー • サインイン時のリスクを評価 ◦ ユーザーがサインインを試みる際のリスクレベルを評価 ◦

    （例）不審なIPからの接続や異常なログイン試行といったパターンが検出された 場合、リスクが高まると判断し、評価されたリスクレベルに基づいて、条件付き アクセスポリシー（ユーザーに対する追加的な認証要求やブロック）が適用され る • ユーザーアカウントの危険度を評価 ◦ ユーザーアカウントが危険にさらされていることを示すシグナルを評価 ◦ ブラックマーケットを見張る ▪ 不正な取引所でユーザーの資格情報が売買されていることが確認された 場合、そのユーザーのリスクレベルが上昇する そうしたシグナルが検出された場合にも、特定のアクション（例えばパス ワードのリセット要求）がトリガーされる

37. Azure ADのIdentity Protection ❏ リスクベースの条件付きアクセスポリシー • サインイン時のリスク ◦ あり得ない移動 ◦

    悪意のある IP アドレス ◦ 異常なユーザー アクティビティ ◦ 匿名 IP アドレス

38. Azure ADの BtoB BtoC の機能 ❏ Azure AD BtoB •

    企業間での協業を支援する機能 ◦ 自社のAzure環境のインフラ構築のために、他の企業のAzure ADテナントに所 属するAzure ADユーザーを招待し協業する ❏ Azure AD BtoC • コンシューマー向けのID連携を提供する ◦ 自社開発の「一般ユーザー向けのショッピングアプリケーション」を使用させる 際に、Azure ADとFacebookやTwitterを連携させて、ユーザー認証は FacebookやTwitterに委任し、Azure ADで認可する

39. Azure リソースの権限管理

40. Azure リソースへの権限管理 ❏ Azure リソースへのアクセス権限（RBAC/リソース ロール/IAM制御） • Owner ◦ サブスクリプション全ての権限を持つ

    • User Access Administrator ◦ ユーザーへの権限の割り当てが可能 • Contributor ◦ 権限の割り当て以外が可能 • Reader ◦ 読み取りアクセスが可能

41. Azure リソースへの権限割り当て ❏ リソースへの権限制御 • ユーザーやグループに対してのもの • サブスクリプション単位で権限を付与 • リソースグループ単位で権限を付与（GCPでは無い概念）

    • リソース単位権限を付与（GCPでは基本やらない）

42. Azure リソースへのポリシー割り当て ❏ ポリシーの付与 • そのリソースに対して、付与できる値や配置できる場所を制御する ◦ 特定のリージョンでのVMの作成を禁止 ◦ 特定の仮想マシンサイズを許可

    ◦ 特定のSKUの利用を制限 ◦ 全てのポリシーは和集合 ◦ 管理グループ、サブスクリプション、リソース グループ、リソース

43. 既定のディレクトリ（試用版のAzure AD） ❏ Microsoftアカウントで作成したサブスクリプション • 仮のAzure ADテナントが作成される • 緊急事態用の設定ができない ◦

    Azure サブスクリプションへの全権限を取得できる機能がある ❏ Azure ADユーザーアカウント / マイクロソフトアカウント • 使用する目的が異なる • Azure ADユーザーアカウント ◦ 主に組織内での使用を目的としており、ユーザーの管理やアクセス制御を一元 化するためのもの（組織内のリソースへのアクセス制御） • マイクロソフトアカウント ◦ 個々のユーザーがMicrosoftのコンシューマ向けサービスにサインインするため のもの（Xbox、Skype、 OneDriveなど、あくまでも個人）

44. まとめ

45. まとめ ❏ 共通すること • ユーザーとグループ、アプリケーションの権限管理 • セキュリティ機能の提供 ◦ 階層型FWポリシー ◦

    VPCサービスコントロール ◦ PIM（特権ID管理） ◦ リスクに基づいたアクセス制御 ❏ プラン • プラン選定は基本有料プラン使用が前提となる • それぞれデバイス管理機能なども搭載 • 他サービスとの連携多数

46. 最後に

47. 47 Google Cloud リセールサービス（3%割引） • お客さまの利用費から3%割引でGoogle Cloudをご提供 • Google Cloudのリセールサービスご契約のお客さまには無償で

    サポートを提供します（β版 2024年 1月あたりまで）

48. 筋トレと健康のQAでもいいです

49. Google Cloudで言い換えると、、
 ❏ 筋トレをしていない身体の状態 • 筋トレをしていない状態はいわば、 組織なしの単一CGEで f1-micro の状態でアプリケーショ ンを動かしているのと同じ

    ◦ 組織が無い＝ポリシーなどがなく、セキュリティがまっさらな状態 ◦ GCPはカスタムマシンを定義できる • ロードバランサーがなく、何もカバーができないアプリケーション構成 ◦ グローバルロードバランサーを使用すると 1つのグローバルIPで複数リージョンでバック エンドを配置できる（Serverless NEG、MIG、Internet NEG、Cloud Storage）

50. 筋肉とセロトニン
 ❏ 筋トレによってセロトニンが分泌される • セロトニンの別名は幸福ホルモン ◦ 脳内で作用するホルモン ◦ 気分、行動、思考、食欲など、私たちの精神的な状態に大きな影響 ◦

    睡眠を深くする働き→不安やうつ病といったメンタルな問題を緩和 リズム運動 リズム運動×有酸素 筋トレ

51. 筋肉とβエンドルフィン
 ❏ 筋トレによってβエンドルフィンが分泌される • 強力な鎮痛作用の効果 • 筋トレや運動で心拍数向上 →ストレス状態と認識する、ストレスの対抗策としてエンドルフィン を放出する •

    エンドルフィンは体全体に影響を与え、痛みやストレスを軽減し、気分を高揚させる効果があ る • 筋トレ後の放出により、その後も 1日中あなたをハッピーな状態にしてくれる ◦ ストレスの緩和（打ち消し）、睡眠の質の向上 ...etc

52. 筋トレによる生涯に通じる健康効果
 ❏ さまざまな健康効果 • 心臓病リスクの低減 ◦ 心臓の強化（心肥大） ▪ 通常は心臓の機能を向上させるため、健康に問題はないが、過度な筋トレを行う と心臓に負担が大きくかかり心筋の肥大が過剰に進む

    ◦ 体脂肪減少による悪玉コレステロール値の改善、血流の改善による心疾患リスクの減 少 • 骨密度の改善 ◦ コラーゲンの線維芽細胞が骨を強化する（筋トレが低身長にするは嘘）

53. 筋トレによる生涯に通じる健康効果
 ❏ さまざまな健康効果 • 免疫力の向上 ◦ ナチュラルキラーセル（ NK細胞）というウィルスに対抗する細胞が活性化する ▪ 免疫応答の初期段階で活性化され、感染した細胞やがん細胞を攻撃する

    ▪ ストレスや生活習慣、高齢化などによって、 NK細胞の数や活動が低下する可能 性があり、すると身体はウィルスやがん細胞に対抗する力が減退し、感染症にか かりやすくなったり、がんのリスクが高まったりする ▪ 身体を動かすと血流が増え NK細胞が体中を流れる機会が増える これにより、ウィルスやがん細胞を発見しすばやく攻撃する可能性が高まる ▪ 適度な運動でNK細胞が増える

54. 筋トレによる生涯に通じる健康効果
 ❏ さまざまな健康効果 • ホルモン ◦ マイオカイン、BDNF、成長ホルモン（IGF-1）、セロトニン...etc • サルコペニアの予防 ◦

    加齢による筋肉量が著しく落ちる病気を予防 →転倒、骨折など物理的危険性減 • 認知症の予防 ◦ 脳の血流が改善され、脳細胞の活性化 ◦ BDNFの分泌 → 脳細胞の成長と修復

55. 完全な経験談
 ❏ 完全な体験談に基づく筋肉コミュニケーション利活用方法 • 初対面はとりあえずきんにくんしておけば何とかなる • 話に詰まった時は相手の健康の悩みを聞く • 業務に関係ない相談がおおい（＝部署外のコミュにケーション多数） •

    Googleさんにも筋トレのアドバイスで打ち解ける • 合コンで「あたしも筋トレ教えて〜」となることがある（冗談です ....半分） • クラメソの社員に覚えてもらえる ◦ 例：社長に「お！筋肉やってる？」「腕立てしよう」となった

56. 1. レッツ質問タイム
 56 • お酒って太るの？ • リバウンドしたくない ... • 筋トレを効率よく続けるには？

    • どのくらいの期間やれば結果が出るの？ • 筋トレの時間は？ • たくさん食べて痩せたいのですが ... • 女性へおすすめの筋トレは？ • 大きくなりたい人の筋トレメニューを教えて .....etc • 筋肉が多い人が太りにくい理由 なんでも聞いてください