Microsoft Azure az104 頻出要点 Azure Entra ID

xmtrading

Microsoft Azure

Azure Entra IDについて

Azure Entra ID

  • 用途: ドメイン名をIPv4アドレスにマッピングします。
  • 特徴: インターネット上で最も一般的に使用されるレコードの一つです。ウェブサイトのアドレスを指定するためによく使用されます。

Microsoft Azureでの”レコード”に関する説明をDNS管理の文脈で行います。Azure DNSは、ドメイン名をインターネットリソースにマッピングするためのシステムを提供します。DNSレコードは、このマッピングを定義するために使用されます。以下、Azure DNSで使用される主要なレコードタイプとその特徴を紹介します。

  1. 認証 (Authentication):
    • 定義: 認証は、ユーザーが自分の身元を証明するプロセスです。具体的には、ユーザー名とパスワード、あるいは他の認証手段を使用してユーザーが正規の利用者であることを確認します。
    • 多要素認証 (MFA): Azure Entra IDはMFAをサポートしており、パスワードに加えて追加の認証手段(例: SMSコード、認証アプリ、バイオメトリクス)を要求することで、セキュリティを強化します。
  2. 認可 (Authorization):
    • 定義: 認可は、認証されたユーザーがどのリソースにアクセスできるかを決定するプロセスです。認証が「誰であるか」を確認するのに対し、認可は「何をする権限があるか」を決定します。
    • アクセス制御: Azure Entra IDでは、ユーザーやグループに対してアクセス許可を設定し、特定のアプリケーションやリソースへのアクセスを制御します。これにより、機密情報への不正アクセスを防ぎます。

Azure Entra IDの主な機能と重要ポイント

  1. シングルサインオン (SSO):
    • 概要: 一度のログインで、複数のアプリケーションやサービスにアクセスできるようにする機能です。
    • 利点: パスワード疲れの軽減、利便性の向上、セキュリティ強化(パスワードの使い回しを減らす)。
  2. ユーザーおよびグループ管理:
    • ユーザー管理: 新しいユーザーの追加、削除、情報の更新を行います。
    • グループ管理: ユーザーをグループにまとめ、グループごとにアクセス権を設定できます。これにより、一貫したアクセス管理が可能です。
  3. 条件付きアクセス:
    • 概要: ユーザーのアクセス条件に基づいてアクセスを制御する機能です。条件には、ユーザーの役職、場所、デバイスの状態などが含まれます。
    • 利点: セキュリティの強化(例: 安全でないデバイスからのアクセスを制限)。
  4. アプリケーション統合:
    • 概要: Azure Entra IDは、Microsoft 365や他のSaaSアプリケーションと統合し、SSOやアクセス制御を提供します。
    • 利点: 統一されたアクセス管理、管理の簡素化。
  5. セキュリティレポート:
    • 概要: サインインアクティビティ、セキュリティリスク、異常なアクティビティのレポートを提供します。
    • 利点: 潜在的なセキュリティ脅威の早期検知と対応。

Active Directory Domain Services (ADDS) におけるケルベロス認証は、Windows環境でのセキュアな認証プロトコルのひとつです。これにより、ユーザーやサービスがネットワーク上で認証され、安全な通信が可能となります。以下は、ケルベロス認証の基本的な概要とその役割について説明します。

ケルベロス認証とは?

ケルベロス認証は、1980年代にMITによって開発されたセキュリティプロトコルであり、ネットワーク上での認証を安全に行うことを目的としています。Windows環境では、Active Directoryがケルベロス認証を採用しています。

ケルベロス認証の基本的な仕組み

ケルベロス認証は、以下の3つの主要コンポーネントで構成されています:

  1. クライアント(ユーザーやサービス)
  2. キーディストリビューションセンター(KDC):このKDCは、Active Directoryのドメインコントローラー上に存在し、2つの主要サービスを提供します。
    • 認証サービス(AS)
    • チケット授与サービス(TGS)
  3. サービスサーバー(リソースにアクセスするためのサーバー)

認証の流れ

  1. 認証要求(AS_REQ):
    • ユーザーがドメインにログインするとき、クライアントはKDCに対して認証要求を送信します。
    • この要求には、ユーザーのIDとタイムスタンプが含まれています。
  2. 認証応答(AS_REP):
    • KDCは、ユーザーの情報を確認し、ユーザーに「TGT(Ticket Granting Ticket)」とセッションキーを発行します。
    • このTGTは暗号化されており、クライアントはこのTGTを保存しておきます。
  3. サービス要求(TGS_REQ):
    • クライアントが特定のサービスにアクセスしたい場合、TGTを使ってKDCにサービスチケットを要求します。
    • この要求には、TGTとアクセスしたいサービスの情報が含まれます。
  4. サービス応答(TGS_REP):
    • KDCは、TGTを検証し、クライアントにサービスチケットを発行します。
    • クライアントはこのST(サービスチケット)を使ってサービスサーバーにアクセスします。
  5. サービスアクセス:
    • クライアントはST(サービスチケット)をサービスサーバーに送信し、認証を受けてリソースにアクセスします。
    • サービスサーバーは、ST(サービスチケット)を検証し、クライアントが許可されたユーザーであることを確認します。
         

ケルベロス認証の利点

  • セキュリティ: ケルベロス認証は対称鍵暗号方式を使用し、パスワードがネットワーク上を直接送信されないため、盗聴のリスクが低減されます。
  • パフォーマンス: TGTとサービスチケットを利用することで、再認証の必要がなく、ネットワーク上のパフォーマンスが向上します。
  • 一貫性: 一度認証されると、複数のサービスにシームレスにアクセスできます。

ケルベロス認証は、Active Directory Domain Services (ADDS) で重要な役割を果たし、ネットワーク上でのセキュアな認証を提供します。認証の流れを理解することで、ADDSのセキュリティメカニズムをより深く理解でき、システムの安全性を向上させることができます。ケルベロス認証は、セキュリティ、パフォーマンス、一貫性の面で優れた認証プロトコルとして、広く採用されています。

まとめ

Azure Entra IDは、クラウドベースのIDおよびアクセス管理サービスであり、以下の重要なポイントを提供します:

  • 認証(特に多要素認証)によるユーザー確認
  • 認可によるアクセス制御
  • シングルサインオンによる利便性の向上
  • ユーザーおよびグループ管理による効率的なアクセス管理
  • 条件付きアクセスによるセキュリティ強化
  • アプリケーション統合による管理の簡素化
  • セキュリティレポートによる監視と対応

コメント

タイトルとURLをコピーしました