Microsoft Learnの「Azure Active Directory に Azure のユーザーとグループを作成する」をやってみる
Microsoft Learnに 「Azure Active Directory に Azure のユーザーとグループを作成する」というチュートリアルでやったこと、途中で調べたことなどを書いておく。
このチュートリアルでできるようになること
- Azure ADにユーザを追加する
- Azure ADグループを使用して、アプリとリソースへのアクセスを管理する
Azure AD B2Bでゲストユーザーアクセスを許可するという章もあったが、別記事とする。
Azure ADのユーザーアカウント
- すべてのユーザーアカウントに既定のアクセス許可セットが付与されている
- ユーザーアカウントにはアクセス権限の異なる様々な種類がある。たとえば、以下は上から順番にアクセス権限が強い。
- 管理者
- AzureAD組織のメンバー
- ゲストユーザー(外部組織の人が想定される)
アクセス許可とAzureADロール
Azure ADには、異なるアクセス許可を持つ多数のロールが存在する。
グローバル管理者
- フルアクセス権を持ち、すべての操作ができる
- Azure ADテナントを作成したユーザーは、自動的にグローバル管理者となる
ユーザー管理者
Azure ADテナントのユーザーとグループを管理できる
メンバーユーザー(組織内のユーザー)
新しいユーザーがAzure ADで管理している組織に参加したとき、デフォルトではこのメンバーユーザーになる。
ゲストユーザー
- 組織外のパートナーなどが想定される
- 登録すれば、メンバーユーザーと同様に管理できるので、外部の人と共同で作業するのに適している
- 任意のメールアドレス(初期ドメインやカスタムドメインを含まない)で、招待&登録できる
外部コラボレーションの設定
プロジェクトによっていは、外部のゲストユーザーを招待したくない場合もある。そういう場合は、Azure ADテナント単位で、ゲストユーザー招待を禁止することができる。
[Azure Active Directory] → [ユーザー設定] → [外部コラボレーションの設定を管理します]
の順に進むと、ゲスト招待に関する設定を変更できる。
Azure AD テナントを作成する
Azure ADを使うには、まずテナントが必要。
テナントとは?
そもそも、テナントとは何か?公式によると、下記のとおり。
Azure Active Directory (Azure AD) では、ユーザーやアプリなどのオブジェクトを "テナント" と呼ばれるグループにまとめます。 テナントを使用することで、管理者は組織内のユーザーと、組織が所有するアプリに対してポリシーを設定して、セキュリティおよび運用ポリシーを満たすことができます。
テナント作成の手順
- リソースの作成
- Marketplaceで「DNS ゾーン」と検索して、選択する
- すべてを表示をクリック
- 「Azure Active Directory」で検索して、選択する
- 作成する
- テナントの種類: Azure Active Directory
- 組織名と初期ドメイン名
初期ドメイン名
Azure ADテナントを作成する時にデフォルトで付いてくるドメインで、フォーマットは、 任意の文字列.onmicrosoft.com
となる。
なお、Azure ADで作成するユーザーのユーザー名は、ユーザー名@ドメイン名
となる。
カスタムドメイン
新しいユーザーを追加とユーザーの削除
ここは、ドキュメントに従って、ポチポチ作成&削除をするだけ。 なお、過去30日以内に削除したユーザは復元可能。
アクセス権を付与する方法
- メンバーに直接付与する
- アクセス権を付与したグループにメンバーを割り当てる
- 直接割り当て
- 動的割り当て
Azure ADグループとは?
Azure ADのユーザーを束ねる概念。 グループにアクセス権を付与すると、そのグループに属するユーザー全員に一括でアクセス権を与えることができる。
Azure ADグループにメンバーを割り当てる
グループにメンバーを割り当てる方法は、
- 直接割り当てる方法
- 動的メンバーシップルールを作成する方法
の2種類ある。
直接割り当て
その名の通り、あるグループにメンバーを手動で追加する。
動的割り当て
グループに対して、あるルールを設定しておく。 このルールに合致する場合、メンバーがグループに追加される。
https://docs.microsoft.com/ja-jp/azure/active-directory/enterprise-users/groups-dynamic-membership
- グループの[プロパティ]の[メンバーシップの種類]を動的ユーザーに変更
- [動的なユーザーメンバー]の下にある[動的クエリの追加]を選択
ここで、このグループに所属させるユーザーの条件を追加していく。 上記の例だと、国籍が日本で部署が開発部のユーザーは、Developer groupのメンバーとなる。