しみゆーメモ

C#,JavaScript,Azureなど

Microsoft Learnの「Azure Active Directory に Azure のユーザーとグループを作成する」をやってみる

Microsoft Learnに 「Azure Active Directory に Azure のユーザーとグループを作成する」というチュートリアルでやったこと、途中で調べたことなどを書いておく。

docs.microsoft.com

このチュートリアルでできるようになること

  • Azure ADにユーザを追加する
  • Azure ADグループを使用して、アプリとリソースへのアクセスを管理する

Azure AD B2Bでゲストユーザーアクセスを許可するという章もあったが、別記事とする。

Azure ADのユーザーアカウント

  • すべてのユーザーアカウントに既定のアクセス許可セットが付与されている
  • ユーザーアカウントにはアクセス権限の異なる様々な種類がある。たとえば、以下は上から順番にアクセス権限が強い。
    • 管理者
    • AzureAD組織のメンバー
    • ゲストユーザー(外部組織の人が想定される)

アクセス許可とAzureADロール

Azure ADには、異なるアクセス許可を持つ多数のロールが存在する。

グローバル管理者

  • フルアクセス権を持ち、すべての操作ができる
  • Azure ADテナントを作成したユーザーは、自動的にグローバル管理者となる

ユーザー管理者

Azure ADテナントのユーザーとグループを管理できる

メンバーユーザー(組織内のユーザー)

新しいユーザーがAzure ADで管理している組織に参加したとき、デフォルトではこのメンバーユーザーになる。

  • 自分のプロフィール情報を管理できる
  • ゲストユーザーを招待できる(設定で許可されている場合)
  • ユーザー名に初期ドメインかカスタムドメイン名を含む
  • 組織の内の他のユーザーを管理することはできない

ゲストユーザー

  • 組織外のパートナーなどが想定される
    • 登録すれば、メンバーユーザーと同様に管理できるので、外部の人と共同で作業するのに適している
  • 任意のメールアドレス(初期ドメインやカスタムドメインを含まない)で、招待&登録できる

外部コラボレーションの設定

プロジェクトによっていは、外部のゲストユーザーを招待したくない場合もある。そういう場合は、Azure ADテナント単位で、ゲストユーザー招待を禁止することができる。

[Azure Active Directory] → [ユーザー設定] → [外部コラボレーションの設定を管理します]

の順に進むと、ゲスト招待に関する設定を変更できる。

f:id:navyferret:20220122214501p:plain

Azure AD テナントを作成する

Azure ADを使うには、まずテナントが必要。

テナントとは?

そもそも、テナントとは何か?公式によると、下記のとおり。

Azure Active Directory (Azure AD) では、ユーザーやアプリなどのオブジェクトを "テナント" と呼ばれるグループにまとめます。 テナントを使用することで、管理者は組織内のユーザーと、組織が所有するアプリに対してポリシーを設定して、セキュリティおよび運用ポリシーを満たすことができます。

docs.microsoft.com

テナント作成の手順

  • リソースの作成
  • Marketplaceで「DNS ゾーン」と検索して、選択する
  • すべてを表示をクリック
  • 「Azure Active Directory」で検索して、選択する f:id:navyferret:20220122214343p:plain
  • 作成する

初期ドメイン

Azure ADテナントを作成する時にデフォルトで付いてくるドメインで、フォーマットは、 任意の文字列.onmicrosoft.comとなる。 なお、Azure ADで作成するユーザーのユーザー名は、ユーザー名@ドメイン名となる。

カスタムドメイン

docs.microsoft.com

新しいユーザーを追加とユーザーの削除

ここは、ドキュメントに従って、ポチポチ作成&削除をするだけ。 なお、過去30日以内に削除したユーザは復元可能。

アクセス権を付与する方法

  • メンバーに直接付与する
  • アクセス権を付与したグループにメンバーを割り当てる
    • 直接割り当て
    • 動的割り当て

Azure ADグループとは?

Azure ADのユーザーを束ねる概念。 グループにアクセス権を付与すると、そのグループに属するユーザー全員に一括でアクセス権を与えることができる。

Azure ADグループにメンバーを割り当てる

グループにメンバーを割り当てる方法は、

  • 直接割り当てる方法
  • 動的メンバーシップルールを作成する方法

の2種類ある。

直接割り当て

その名の通り、あるグループにメンバーを手動で追加する。

f:id:navyferret:20220122214533p:plain

動的割り当て

グループに対して、あるルールを設定しておく。 このルールに合致する場合、メンバーがグループに追加される。

https://docs.microsoft.com/ja-jp/azure/active-directory/enterprise-users/groups-dynamic-membership

  • グループの[プロパティ]の[メンバーシップの種類]を動的ユーザーに変更
  • [動的なユーザーメンバー]の下にある[動的クエリの追加]を選択

ここで、このグループに所属させるユーザーの条件を追加していく。

f:id:navyferret:20220122214213p:plain
上記の例だと、国籍が日本で部署が開発部のユーザーは、Developer groupのメンバーとなる。