Microsoft Azure を使い始める前に Azure Active Directory と Azure サブスクリプションの役割や関係性を正しく理解する

Transcript

1. Microsoft Azure を使い始める前に Azure Active Directory と Azure サブスクリプションの 役割や関係性を正しく理解する

   日本マイクロソフト株式会社 クラウドソリューションアーキテクト 大井 喜智

2. © 2022 Microsoft Corporation. All rights reserved 2 ◼ Azure

   Active Directory と Azure サブスクリプションの役割と関係性 ◼ Azure を使い始める前に見ておきたい Azure のフレームワーク 本資料のアウトライン

3. © 2022 Microsoft Corporation. All rights reserved 3 Azure Active

   Directory と Azure サブスクリプションの役割と関係性

4. © 2022 Microsoft Corporation. All rights reserved Microsoft Azure を始めるには？

   Azure はパブリック クラウド サービスだから、 サーバーの構築も、 Setup プログラムの実行も必要ないけど、 “Azure サブスクリプション” の購入が必要です。 Azure を使ってみようと思ったら、 何をすれば良いのですか？ ？ ？ ？ ？ 4

5. © 2022 Microsoft Corporation. All rights reserved ◼ Azure サブスクリプションは、Azure

   の課金単位であり、 リソース管理の単位でもある ◼ 一つの契約（EA契約・CSP契約など）から複数の Azure サブスクリプションを作成可能 ➢ システムや組織、プロジェクトや開発・本番など、権限や課金を分 けたい単位で任意の数作成（ひとつのサブスクリプションにすべて のリソースを入れ込むのは非推奨） ➢ 複数のサブスクリプションの権限管理やポリシー管理を一括で行 うには、後述する Azure 管理グループ（Management Group）を利用 Azure サブスクリプション Azure アカウント サブスクリプション 1 サブスクリプション 2 サブスクリプション 3 例） EA 契約で EA Portal に登録 されたアカウント 例）◦◦システム 例）××システム 例）△△システム アカウントとサブスクリプションの管理は、計画的に！ 5

6. © 2022 Microsoft Corporation. All rights reserved 6 Azure Active

   Directory とサブスクリプションの関係 各サブスクリプションはひとつの Azure AD を信頼し、アクセス管理などに利用 （容易に切り替えが可能） ※ Azure ADもAzureサブスクリプションも、Azureポータルから管理することが可能です。そのことから Azure サブスクリプションに Azure AD が含まれているというイメージ を持ちやすいため注意が必要です。 Azure AD (テナント) Azure サブスクリプションA Azure サブスクリプションB Microsoft Office 365 Microsoft 365 テナントと Azure AD テナントは基本的に同一 （テナント間のライセンスの移行などは容易ではない） 同一

7. © 2022 Microsoft Corporation. All rights reserved Azure ポータル 世界中のデータセンターの

   サービスの正常性を一目で確認できる 各種サービスの 管理メニュー （スタート ボタン のようなもの） 契約しているサポートへの問い合わせ （課金に関するサポートは無料） 追加サブスクリプション の購入、課金や支払の管理 などを行える https://portal.azure.com/ ◼ Azure サービスの管理、Azure Active Directory の設定、 Azure サブスクリプションの購入、課金と支払い方法の管理、 サポート問い合わせなどを、1 つのポータルから行える 実際のサービス利用は Azure ポータル から行う 7

8. © 2022 Microsoft Corporation. All rights reserved 8 ◼ Azure

   Portal には Azure AD 上のユーザーアカウントを利用してログイン ◼ ログインした先のディレクトリを信頼するサブスクリプションのうち、自分にアクセス権があるサブスクリプションやリソー スを操作 ◼ Azure Active Directory の管理権限があるアカウントでログインしている場合は、ディレクトリの操作も可能 Azure ポータルと Azure サブスクリプション・Azure AD 特定の Azure Active Directory 上の アカウントでログイン ◼ ディレクトリとサブスクリプションページで、 現在ログインしているアカウントのディレク トリを表示 ◼ このディレクトリを信頼しているサブスクリ プションのリソースが表示される ◼ 別ディレクトリを信頼するサブスクリプショ ンを見たい場合はディレクトリを変更

9. © 2022 Microsoft Corporation. All rights reserved 9 ◼ Azure

   Portal の各サブスクリプションのページから、信頼先の Azure AD とその変更が可能 ＊Azure クラウド ソリューション プロバイダー (CSP) のサブスクリプションでは、サブスクリプションに対する Azure AD ディレクトリの変更は サポートされていません。 サブスクリプションの信頼先の Azure AD とその変更 この例では、このサブスクリプションは、 demo.yoo.tokyo というディレクトリを信頼 複数ディレクトリに登録されているユーザーアカウント でログインして切り替えを行う

10. © 2022 Microsoft Corporation. All rights reserved 10 組織の Azure

    AD をシングルテナント運用にするには、Azure サブスクリプションも Microsoft 365 が利用するテナント に信頼先を切り替え 例：Microsoft 365 の Azure AD テナントにサブスクリプション管理も集約 Azure AD (Azure サブスクリプション作成時に自動作成) Azure サブスクリプション Microsoft Office 365 Microsoft 365 テナントと Azure AD テナントは基本的に同一 （テナント間のライセンスの移行などは容易ではない） 同一 Azure AD (Microsoft 365 テナント作成時に作成)

11. © 2022 Microsoft Corporation. All rights reserved 11 Azure AD

    の切り替えによって利用できなくなる機能やサービスもあるので事前にドキュメントの確認や SR (Service Request) による影響の特定が必要 Azure サブスクリプションを別の Azure AD ディレクトリに移転する | Microsoft Docs 信頼する Azure AD を切り替えるときの注意点 主な考慮点： ◼ IAM の設定が無効になるため、新規信頼先ディレクトリのユーザーに対して新たに権限付与が必要 ◼ サービスプリンシパルやマネージド ID の再作成が必要 ◼ Azure AD を利用する機能は、基本的には再作成が必要 (Azure AD Domain Service など) ◼ Microsoft 365 と連携するサービスは再作成が必要 (Azure Virtual Desktop, Microsoft Sentinel など) ◼ Defender for Cloud (Defender for Servers) の中で、Defender for Endpoint を利用している場合は、切り 替え後に SR でテナント切り替えの処理が必要（加えて、マシンのオフボード・再オンボードも必要）

12. © 2022 Microsoft Corporation. All rights reserved 12 ◼ Azure

    EA Portal では、Enrollment (登録) ごとにサブスクリプションを管理 ➢ Enrollment 全体を管理するエンタープライズ管理者を設定 ➢ アカウント（アカウント管理者）を Enrollment に追加して、アカウントがサブスクリプションを作成 ➢ Enrollment の配下に部署と部署管理者を作成し、複数のアカウントを部署に束ねて管理することも可能 (Optional) ◼ 各管理者アカウントはマイクロソフトアカウントか組織アカウント（Azure AD 上のアカウント）を利用可能 ➢ 通常は Azure AD 上のアカウントを利用することが推奨（＝マイクロソフトアカウントを利用しない） ➢ 複数のディレクトリ上のアカウントを追加することも可能（後述） Azure EA 契約とアカウント EA契約 (Enrollment) 部署管理者 部署 アカウント管理者 Azure サブスクリプション Azure AD テナント Azure AD テナント 組織アカウント (Azure ADアカウント) エンタープライズ管理者

13. © 2022 Microsoft Corporation. All rights reserved 13 ◼ マイクロソフトアカウントの場合は、そのマイクロソフトアカウント用の

    Azure AD がひとつ自動的に作成され、そのテ ナントを信頼するようにサブスクリプションが作られる ◼ Azure AD アカウント（組織アカウント）の場合は、自身のログイン先のテナントを信頼するように Azure サブス クリプションが作られる ➢ EA の Enrollment （登録）は最初にアクセスされた組織アカウントの属するディレクトリに対して既定のテナントとして関連付けされてい て、そのディレクトリのアカウントのみアカウント作成ができる。ただし、動作を変更して複数の他の Azure AD アカウントをアカウントとして 登録することもできる。 Azure EA Portal のアクセスのトラブルシューティング | Microsoft Docs EA Portal から Azure サブスクリプションを作成した時の既定の信頼先テナントについて Auth Level を Work or School Account Cross Tenant にすることで、別テナントの Azure AD ユーザーをアカウントとして追加可能に https://docs.microsoft.com/ja-jp/azure/cost-management-billing/manage/ea- portal-troubleshoot#authentication-level-types

14. © 2022 Microsoft Corporation. All rights reserved EA Portal から

    Azure サブスクリプションを作成した時の既定の信頼先テナントについて（図解） Azure AD アカウント (組織アカウント) の場合 マイクロソフトアカウントの場合 アカウント管理者 Azure AD テナント Azure サブスクリプション 既定の信頼先となる アカウント管理者 Azure AD テナント (名前.onmicrosoft.com の初期ドメイン を持つマイクロソフトアカウントごとにひとつ 自動的に作られるテナント） Azure サブスクリプション 既定の信頼先となる マイクロソフトアカウント マイクロソフトアカウントが ゲストユーザーとして 追加される Azure AD アカウントの場合は、アカウント管理者（サブスクリプション作 成者）の所属するテナントが既定の信頼先となる マイクロソフトアカウントの場合は、アカウント管理者（サブスクリプション作 成者）専用の Azure AD テナントがひとつ作成され、そのテナントを既定 で信頼する（すでにある場合はそれが再利用される）

15. © 2022 Microsoft Corporation. All rights reserved 15 Azure の利用時に3者は緊密に連携するが、それぞれ独立した存在であり一体ではない

    （補足）Azure AD と EA Enrollment と サブスクリプションの関係性図解 Azure AD テナント Azure サブスクリプション EA契約(Enrollment) 必ず一つのテナントを信頼 （既定の信頼先はアカウント管理者のテナントになるが、切り替えが可能） AAD 上のユーザーに対して IAM が設定され、 リソースの操作を行う

16. © 2022 Microsoft Corporation. All rights reserved 16 ◼ Azure

    AD はテナントを分ける境界になるため、可能な限り最小数のテナントで運用することが推奨 ◼ むやみやたらに Azure AD を分けず、組織で管理しているテナントで管理することが推奨 ◼ ただし、セキュリティ的な分離が必要などの要件がある場合は複数のテナントを立てることもある（例：マイクロソフトでは、社員の検証用環境は別 Azure AD で運用） ◼ 一部の Azure サービスは Microsoft 365 のサービスに依存するため、M365 が利用する Azure AD テナントを信頼する Azure サブスクリプション上に構築する必要あり ◼ Azure Virtual Desktop, Microsoft Sentinel, Microsoft Defender for Cloud など Azure AD と Azure サブスクリプションの設計について Microsoft 365 で利用する 組織のドメインの Azure AD Office 365 Microsoft 365 Azure サブスクリプション 検証用の Azure AD (optional) SaaS 用のAzure AD (optional) 隔離された検証用 サブスクリプション SaaSサービス提供用 サブスクリプション 複数 Azure AD テナントで運用する例

17. © 2022 Microsoft Corporation. All rights reserved 17 Azure Virtual

    Desktop や Defender for Cloud, Sentinel, Purview などのセキュリティ系サービスは Microsoft 365 と緊密に連携するため、本番環境とは別テナントに検証環境を作成しておくケースもあり 例：Microsoft 365 連携機能の検証用環境を別テナントで作成 Microsoft 365 で利用する 組織のドメインの Azure AD Office 365 Microsoft 365 （本番環境） Azure サブスクリプション 検証用の Azure AD 隔離された検証用 サブスクリプション Office 365 Microsoft 365 （検証環境、 ライセンスは別途購入） DaaS (本番) セキュリティ (本番) DaaS (検証) セキュリティ (検証)

18. © 2022 Microsoft Corporation. All rights reserved ID 管理 認証

    Active Directory ドメイン ID 同期 SSO 業界標準の認証方式に対応し、 2,700 以上の 認証 アクセス制御 特権 ID 管理 RBAC 認証連携 多要素認証必須 アクセス OK アクセス不可 セキュリティポリシー アプリ利用制限 暗号化、追跡 モバイル デバイス データ保護 Rights Management 不正アクセス 検出、防止 攻撃情報 Intune Azure 環境の ID 管理・認証、アクセス制御 多要素認証 Business Partner B2B, B2C Intelligent Security Graph Azure Information Protection デバイス管理 MDM / MAM オンプレミス環境 プロビジョニング

19. © 2022 Microsoft Corporation. All rights reserved 19 ◼ マイクロソフトの

    ID as a Service (IDaaS) ◼ 多要素認証や条件付きアクセスを含む、認証・認可機能を提供 ◼ オンプレミス AD と同期も可能（Azure AD Connect） ◼ Microsoft 365 の各サービスのベースになるディレクトリを提供 ◼ Microsoft 365 のライセンス適用 ◼ ユーザーの属性情報の管理やグループ機能（セキュリティグループ・Microsoft 365 グループ） ◼ デバイス登録・管理の機能（Azure AD 登録, Azure AD 参加, Hybrid Azure AD 参加） ◼ Azure の IAM のベースになるディレクトリを提供 ◼ Azure サブスクリプションから信頼されると、そのテナント内のユーザーやグループをサブスクリプションに対する IAM 設定に利用できる ◼ サードパーティーアプリケーションの認証基盤 ◼ 数千もの外部のアプリケーションとシングルサインオン (SSO) やユーザープロビジョニングを簡単に構成 Azure Active Directory – ID as a Service

20. © 2022 Microsoft Corporation. All rights reserved 20 ◼ 組織を作成すると、"contoso.onmicrosoft.com"

    などの初期ドメイン名がプライマリ ドメイン名に設定 ◼ 複数のカスタムドメインを Azure AD のドメイン名として追加可能 ◼ オンプレミス Active Directory で利用しているドメイン名をカスタムドメインとして追加し、Azure AD Connect を 使ってユーザーやグループ、デバイス (Hybrid Azure AD Join 時) 情報を同期することもできる Azure Active Directory – ドメイン名の管理 Active Directory Azure AD Connect Azure AD contoso.com (もしくは contoso.local) contoso.onmicrosoft.com (初期ドメイン） contoso.com (カスタムドメイン) ユーザー グループ デバイス ユーザー グループ デバイス 同期 Azure AD 管理者 カスタムドメイン の追加 Azure AD 側で Azure や M365 の利用のため にユーザーやグループを追加

21. © 2022 Microsoft Corporation. All rights reserved ◼ ユーザーには、自社テナントの直接ユーザーである「ユーザー」（オンプレミス AD

    から同期されたユーザーも含む）と 他テナントから招待したアカウントである「ゲストユーザー」が存在 Azure Active Directory – ユーザーとゲストユーザー 別の Azure AD テナント 自社 Azure AD テナント ②ゲストユーザーとして追加されると、別テナントのリソースへの アクセス権付与を受けることが可能になる ユーザー ユーザー ゲストユーザー ◼ ゲストユーザーの認証は、もともとユーザーが存在するテナントの側で行われる（＝ゲストユーザーのパスワードなどの情報は自社 Azure AD 持たない ◼ ゲストユーザーには、ディレクトリ内のユーザー情報の参照権などに制限を付けることができる ◼ Azure サブスクリプションのディレクトリの信頼先の切り替えには、片方のテナントにおいてユーザー、もう片方のテナントにおいてゲストユーザーであることが必要

22. © 2022 Microsoft Corporation. All rights reserved 22 Azure Active

    Directory – ユーザーとゲストユーザー ◼ 「ゲストユーザー」もユーザー一覧（すべてのユーザー）から確認でき、ユーザータイプが Guest になっている

23. © 2022 Microsoft Corporation. All rights reserved 23 Azure Active

    Directory – ユーザーとゲストユーザー ◼ ゲストユーザーに対しても Azure IAM でロールベースの権限付与が可能

24. © 2022 Microsoft Corporation. All rights reserved 24 ◼ 多要素認証により、IDに対する攻撃の

    99.9% を防御 ◼ Azure AD ではユーザーごとに一括で MFA を設定できるほか、条件付きアクセス機能 (要 Azure AD Premium) を使うことで、アクセス元の条件やアクセス先のアプリケーションによって MFA 適用の制御が可能 ◼ Azure サブスクリプションの管理者等、特権ロール所持者に対しては Must で設定 Azure AD で必ず設定してほしいこと – 多要素認証 (MFA) SMS OATH Token Push notification Voice call OATH codes

25. © 2022 Microsoft Corporation. All rights reserved Azure AD -

    条件付きアクセスによる Azure リソースの保護 (Azure AD P1) 承認されたデバイス 承認された OS 承認された場所 Intune Microsoft Intelligent Security Graph 多要素認証 ブロック 許可 危険なデバイス 危険な ID 様々な条件でアプリケーションへのアクセスを制御 Microsoft 365 Defender パスワードリセット Azure Virtual Desktop Azure Portal / PowerShell / CLI Azure VPN Azure App Service Azure SQL Database Azure Bastion

26. © 2022 Microsoft Corporation. All rights reserved Azure AD -

    特権 ID 管理（PIM）を使った特権アクセス管理 (Azure AD P2) ◼ 高い権限は最小限に(必要な時に必要な人だけ) 特権を持つユーザーの可視化 永続化 延長 棚卸（レビュー） 有効時間 設定 削除 特権保有者を健全な状態に維持 ◼ Azure AD のロールや Azure リソースロール を、Just in Time でユーザーに割り当てる ◼ 割り当て時の承認プロセスや多要素認証の強制、レビュー・監査機能を提供

27. © 2022 Microsoft Corporation. All rights reserved Azure 管理の基本 -

    アカウントとサブスクリプション アカウント サブスクリプション リソースグループ リソース ※サブスクリプション = 課金用のコンテナー＆セキュリティ境界 28 Azure Active Directory 信頼 サブスクリプションの作成時に 自動割り当て ➢ Azure サブスクリプションのサービス管理者 は自動的にアカウント管理者に付与される が、後述する IAM の設定を明示的に行い、 別途サブスクリプションの所有者や各種ロー ルの権限付与を行うことが推奨

28. © 2022 Microsoft Corporation. All rights reserved Azure 管理の基本 –

    リソースグループとリソース サブスクリプション リソースグループ A リソースグループ B リソースグループ C リソースグループ ◼ サブスクリプションの中で複数のリソースを束ねて管理する ためのモノ ◼ アクセス権限、ポリシー、ロック、削除など ◼ 同一システムなどライフサイクルが同じものをまとめることが多い ◼ 複数のリージョンのリソースをグルーピングすることが可能 リソース ◼ Microsoft Azure が提供するデータベース、ストレージ、 ネットワーク、仮想マシン、といったサービス ◼ アクセス権設定の最小単位でもある 29 東日本 リージョン 米国東部 リージョン

29. © 2022 Microsoft Corporation. All rights reserved 30 ◼ サブスクリプションの数が多くなった時は、管理グループ（Management

    Group） でサブスクリプションをグルーピング Azure 管理の基本 – 管理グループとサブスクリプション ルート管理グループ（既定で存在） Azure AD 管理グループ 管理グループ 管理グループ サブスクリプション サブスクリプション サブスクリプション リソースグループ リソースグループ リソースグループ 管理グループ 管理グループ ◼ 各 Azure AD の配下には必ずひとつルート管理グ ループという名前の管理グループがデフォルトで存在 ◼ ルート管理グループ配下に複数の管理グループを作 成可能 ◼ 管理グループは複数層で構成できる（最大6層） ◼ 上位から下位に IAM 設定やポリシーを継承

30. © 2022 Microsoft Corporation. All rights reserved 31 ◼ サブスクリプションは、それなりの単位（システム・アプリケーション単位、プロジェクト単位、開

    発・検証・本番単位など）で分けることをおすすめ ◼ 適切な権限分掌を行う ◼ サブスクリプション単位で設定されているリソース数上限を避ける ◼ Defender for Cloud など重要なセキュリティ機能の ON/OFF がサブスクリプション単位になっている ◼ 課金の明確な単位（共有ネットワーク（ExpressRoute, Firewall など）はコアネットワーク用サブスクリプ ションに入れるなど） ◼ 管理グループは、複数サブスクリプションを束ねてアクセス管理やポリシー適用を最適化 ◼ 事業部門、子会社、海外拠点、などの組織の単位でグループを作ることが一般的（マイクロソフト社も自社 運用環境はこのような利用をしている） ◼ あまり階層を深くしすぎない (2-3層程度に留める) ほうが管理は容易 ◼ ルート管理グループはすべてのサブスクリプションに影響するので、全社共通ルールのみを慎重に運用 管理グループとサブスクリプションの分け方

31. © 2022 Microsoft Corporation. All rights reserved 企業管理AAD your.domain.com ルート管理グループ

    IT部門 マーケ部門 生産部門 開発部門 全体共通1 全体共通2 生産管理 生産管理 サービス インフラ マーケ用 Dev/Test 国内 北米 従業員 グループ エンジニア グループ IT管理者 開発管理者 マーケ管理者 国内管理者 北米管理者 全体 管理者 生産部門管理者 全体管理者 管理グループで 発行権限を委譲 シングルテナント 構成の最終形

32. © 2022 Microsoft Corporation. All rights reserved 33 ◼ Azure

    ではロールベースアクセス制御（RBAC）が採用されている ◼ 信頼する Azure AD 上のユーザーやグループに対して、管理グループ・サブスクリプション・リソースグループ・各リソー スをスコープとして各種ロールを付与 Azure IAM/RBAC の概要 各スコープにアクセス制御（IAM）の画面がある そのスコープに対してロールと適用対象のメンバーを選択

33. © 2022 Microsoft Corporation. All rights reserved Azure リソースの組み込みロールとカスタムロール ◼

    ロールベースアクセス制御（RBAC）では、ユーザーのアクセス権はすべてロールとして定義されている ◼ デフォルトで すぐに使える Azure リソースへの組み込みロールを多数提供 https://docs.microsoft.com/ja-jp/azure/role-based-access-control/built-in-roles ◼ 各ユーザーが必要とする権限を組み込みロールで最小権限のものを 選んで割り当てていく ◼ 組み込みロールが組織の特定のニーズを満たさない場合は、独自に Azure リソースに対するカスタム ロールを作成することが可能 ◼ ただし、カスタムロールは管理が大変なため、乱用しないことを推奨

34. © 2022 Microsoft Corporation. All rights reserved 35 Azure ロールと

    Azure AD ロール ◼ Azure ロールと Azure AD ロールは完全に異なる ◼ Azure ロールは管理グループ・サブスクリプション・リソースグループ・各リ ソースにおいて Azure の IAM で設定 ◼ サブスクリプションの所有者、仮想マシンの共同作成者、セキュリ ティ閲覧者など ◼ Azure AD ロールは、Azure AD や Microsoft 365 を管理するための ロールで、Azure AD の画面で設定 ◼ Azure AD のグローバル管理者、セキュリティ管理者、アプリケー ション管理者など ◼ 特権ロールとして扱うべきロールは、Azure・Azure ADの両方にある ◼ Azure サブスクリプション所有者、Azure AD グローバル管理者など ◼ Azure AD PIM は Azure ロールと Azure AD ロールの両方に対して 特権管理機能を提供 前の数スライドで 会話しているのはこちら

35. © 2022 Microsoft Corporation. All rights reserved Azure Policyによるポリシーの管理と適用 Azure

    Policy により、Azure 環境の構成のポリシーを定義し、監査や特定の構成の禁止が可能 CRUD の命令 Azure Resource Manager (ARM) Azure Policy Engine CRUD の実行 定期的に構成を監査 定義したポリシーを 割り当て デプロイ命令が来たときに ポリシー違反が無いか評価 し、違反はブロック

36. © 2022 Microsoft Corporation. All rights reserved ◼ ポリシーかイニシアティブか ◼

    ポリシーは、ひとつの定義されたルール ◼ イニシアティブは、複数のポリシーをセットにした もの ◼ スコープ ◼ Management Group か、サブスクリプション、 リソースグループを選択 ◼ 除外設定も可能 ◼ 割り当てたいポリシーかイニシアティブの定義 ◼ 多数の組み込みポリシーのほか、JSONで記述 できるカスタムポリシーの作成も可能 ◼ 各種パラメータ ◼ 定義に応じて必要情報を入力 Azure Policy の定義方法

37. © 2022 Microsoft Corporation. All rights reserved 組み込みのポリシーの例 カテゴリ サブカテゴリ

    説明 効果 全般 許可される場所 このポリシーでは、リソースをデプロイするときに組織が指定できる場所を制限できます。 geo コンプライアンス要件を強制するために使用されます。 リソース グループ Microsoft.AzureActiveDirectory/b2cDirectories や、「グローバル」リージョンを使用するリソースを除外します。 deny リソース グループが許可される場所 このポリシーでは、組織がリソース グループを作成できる場所を制限できます。 geo コンプライアンス要件を強制するために使用されます。 deny 許可されるリソースの種類 このポリシーでは、組織でデプロイできるリソースの種類を指定できるようになります。 このポリシーの影響を受けるのは、'tags' と 'location' をサポー トするリソースの種類のみです。 すべてのリソースを制限するには、このポリシーを複製し、'mode' を 'All' に変更してください。 deny リソースの場所がリソース グループの場所 と一致することの監査 リソースの場所がそのリソース グループの場所と一致することを監査します 監査 コンピューティング 許可されている仮想マシン サイズ SKU このポリシーでは、組織でデプロイできる仮想マシン サイズ SKU のセットを指定できます。 拒否 ディザスター リカバリーを構成されていな い仮想マシンの監査 ディザスター リカバリーが構成されていない仮想マシンを監査します。 ディザスター リカバリーの詳細については、https://aka.ms/asr-doc にアクセ スしてください。 auditIfNotEx ネットワーク ネットワーク インターフェイスにはパブリック IP を設定できない このポリシーは、パブリック IP で構成されているネットワーク インターフェイスを拒否します。 パブリック IP アドレスを使用すると、インターネット リソース から Azure リソースへの受信通信を許可したり、Azure リソースからインターネットへの送信通信を許可したりすることができます。 これは、ネットワー ク セキュリティ チームが確認する必要があります。 deny すべてのネットワーク セキュリティ グループ に対してフロー ログを有効にする必要が ある フロー ログの状態が有効になっているかどうかを検証するためのフロー ログ リソースの監査です。 フロー ログを有効にすると、ネットワーク セキュリティ グループを通過する IP トラフィックに関する情報をログに記録できるようになります。 フロー ログは、ネットワーク フローの最適化、スループットの監視、 コンプライアンスの検証、侵入の検出などに使用できます。 Audit、 Disabled SQL SQL Server の監査を有効にする必要 があります サーバー上のすべてのデータベースについてデータベースのアクティビティを追跡して、監査ログに保存するには、お使いの SQL サーバーに対する監査を 有効にする必要があります。 AuditIfNotEx ists、 Disabled 保護されていない Azure SQL サーバー に対して Azure Defender for SQL を 有効にする必要がある Advanced Data Security を使用していない SQL サーバーの監査 AuditIfNotEx ists、 Disabled

38. © 2022 Microsoft Corporation. All rights reserved 39 ◼ 定期的に構成をスキャンし、違反をレポーティング

    Azure Policy による監査

39. © 2022 Microsoft Corporation. All rights reserved 40 ◼ Azure

    AD のログ（サインインログ・監査ログなど）は、自身を信頼するサブスクリプションの中にある Log Analytics Workspace やストレージアカウント (Blob Storage) に送信し保管が可能 ◼ Office 365 の監査ログ（SharePoint/OneDrive, Exchange, Teams) は、自身を信頼する Microsoft Sentinel Workspace に送信可能 Azure AD と Microsoft 365 の監査ログの保存 Azure AD Office 365 Log Analytics Workspace Sentinel Office 365 監査ログ Azure AD ログ ストレージアカウント (Blob Storage) Azure AD ログ Azure AD 診断設定でログの転送を設定

40. © 2022 Microsoft Corporation. All rights reserved 41 ◼ Azure

    Lighthouse でひとつのテナント内のユーザー・グループにより複数テナントの同時管理が可能 （補足, Advanced ）Azure Lighthouse によるマルチテナント管理 サブスクリプション リソースグループ リソース Azure AD サブスクリプション リソースグループ リソース Azure AD 別テナントのユーザー に管理を委任 サブスクリプション リソースグループ リソース 通常の IAM Azure Lighthouse 別テナントのユーザーに管理を委任

41. © 2022 Microsoft Corporation. All rights reserved 42 ◼ 別テナントにゲストユーザーとして参加して再ログインすることなく、自社テナントにサインインしながら複数テナントを

    信頼するサブスクリプション群を一元的に管理できる （補足, Advanced）Azure Lighthouse によるマルチテナント管理 自社テナント以外のサブスクリプションもフィルター 複数ディレクトリのリソースを同じ画面から管理

42. © 2022 Microsoft Corporation. All rights reserved 43 Azure を使い始める前に見ておきたい

    Azure のフレームワーク ベストプラクティスに基づいた設計のために

43. © 2022 Microsoft Corporation. All rights reserved Azure Cloud Adoption

    Framework 企業規模でクラウドネイティブ開発を実現する為に、必要な役割や責任、 行動に関する考え方が体系化されたナレッジフレームワーク 採用 戦略 • 動機の明確化 • 期待されるビジネス成果 • ビジネス適用の妥当性 • プロジェクトの優先順位付け 管理 • ビジネスコミットメントに基づく非機 能要件の定義と運用定義 • 運用の成熟 ガバナンス • 方法論策定 • ベンチマーク • 初期のベストプラクティス ガバナンスの成熟 移行 • 最初のシステム移行 • 移行シナリオの拡張 • ベストプラクティスの検証 • 運用プロセスの改善 イノベーション • イノベーションガイド • 開発シナリオの拡張 • ベストプラクティスの検証 • 開発プロセスの改善 企業でCCoEを構成 • 構成方法 • 企業としての承認 プラン • デジタル資産の把握 • 初期の組織配置 • スキル習得、計画 • クラウド導入計画の策定 Ready • 共有のAzure準備 • Landing Zone準備 • Blue Printの展開 • ベストプラクティスの検証 aka.ms/CAF

44. © 2022 Microsoft Corporation. All rights reserved 45 クラウド導入フレームワーク（CAF）ドキュメント Azure

    向けの Microsoft Cloud 導入フレームワーク - Cloud Adoption Framework | Microsoft Docs ◼ クラウド導入フレームワークの基本から詳細までを解説

45. © 2022 Microsoft Corporation. All rights reserved 46 Landing Zone

    の構築 ランディング ゾーンとは、ワークロードをオンプレミス環境から Azure へ移す際、 そのワークロードをホストするために用意するベースとなる基本的な環境のこと。 ◼ アクセス権限、ポリシー、監視、コスト管理、セキュリティ、ネットワークなど、標準構成をあらかじめ定義 ◼ マルチサブスクリプション構成が前提で、すべてのサブスクリプションで共通的に機能するようにする ◼ Azure Blueprints などを利用し、自動的にデプロイ・適用

46. © 2022 Microsoft Corporation. All rights reserved 47 Azure Well-architected

    Framework Microsoft Azure Well-Architected Framework とは優れた Azure アーキテクチャのための ベスト プラクティス・アセスメント・技術ガイダンスを提供する一連のリソース 4 ◼ 運用・開発の両面で コスト効率に優れたク ラウド環境を設計 ◼ 非効率的で無駄なク ラウド支出を可視化 ◼ DevOps や自動化に より開発と展開のサイ クルを高速化 ◼ 優れた監視アーキテク チャを整備し障害を 予兆検知 ◼ 変動する需要に応じ た柔軟なスケーリング に対応したアーキテク チャを設計 ◼ 性能とスケーラビリティ を念頭にコスト効率を 維持 ◼ 様々なレベルでの障 害から適切にリカバ リーするための設計 ◼ 利害関係者や顧客 が要求する時間内に、 障害から復旧できる 設計 ◼ 設計と実装から展開 と運用まで一貫した セキュリティを確保 ◼ アプリケーション、プロ セス、組織の文化に セキュリティを組み込 む コスト最適化 運用の卓越性 性能効率 信頼性 セキュリティ 優れたアーキテクチャの5本の柱

47. © 2022 Microsoft Corporation. All rights reserved 48 Azure Well-architected

    Framework ドキュメント ◼ Azure Well-architected Framework の基本から詳細までを解説 Microsoft Azure Well-Architected Framework - Azure Architecture Center | Microsoft Docs

48. © 2022 Microsoft Corporation. All rights reserved 49 ◼ 本資料には、マイクロソフトの秘密情報が含まれます。本資料は、合理的に知る必要のある貴社内の関係者のみ閲覧できるものとし、マイクロソフトの承諾がな

    い限り、それ以外の第三者に対して、開示、共有等してはならず、また複製も禁じられます。 ◼ 本資料は情報提供のみを目的としており、本資料に記載されている情報は、本資料作成時点でのマイクロソフトの見解を示したものです。状況等の変化により、 内容は変更される場合があります。 ◼ 本資料に表記されている内容（提示されている条件等を含みます）は、貴社との有効な契約を通じて決定されます。それまでは、正式に確定するものではあり ません。従って、本資料の記載内容とは異なる場合があります。また、本資料に記載されている価格はいずれも、別段の表記がない限り、参考価格となります。 貴社の最終的な購入価格は、貴社のリセラー様により決定されます。 ◼ マイクロソフトは、本資料の情報に対して明示的、黙示的または法的な、いかなる保証も行いません。 免責

49. © 2022 Microsoft Corporation. All rights reserved 50 © 2022

    Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.