Azure AD 設定することリスト

皆さんこんにちは。国井です。
今日はAzure ADを使い始めようと思った時に設定しておきたい項目をリスト化しておきます。一部、関連するリンクも貼り付けておきますので参考にしてください。
前提条件は既にOffice 365を契約していることです。

カスタムドメイン名

Office 365を既に使っているなら設定済みとは思いますが念のため。
カスタムドメイン名とはユーザー名の @ 以降の名前のこと。
既定ではxxxx.onmicrosoft.comだと思いますが、これを別の名前にできます。
メールアドレスとしても使う可能性があるから、普通は sophianetwork.co.jp のような会社のドメイン名にしてください。
Azure AD管理センター > Azure Active Directory > カスタムドメイン名から登録します。
登録するときに、画面で指示されたレコードをDNSサーバーに登録する必要があるので、
DNSサーバーにレコードが登録できる環境を用意してから行ってください。

ユーザーの作成

ユーザーは色々な作り方がありますが、ここではやり方は問いません。
先日、Microsoft 365 Educationがらみのお仕事で、CSVファイルからまとめてユーザーを作るというスクリプトに出会ったのですが、
これはなかなか良いと思います。

https://github.com/taando-msft/GIGA-Rapid-Deploy

上記サイトからファイルをダウンロードしたら C:\xxxxx フォルダー(フォルダー名はなんでもよい)にファイルを保存し、Windows PowerShellで次のコマンドレットを実行します。

Set-Location -Path C:\xxxxx
.\CreateCSV.ps1

C:\xxxxx\output フォルダーに CSV ファイルが出来上がるので、このファイルに従業員の情報を埋めましょう。

image

ファイルができたらc:\xxxxx フォルダーに CSV ファイルを保存しましょう。
次にCreateSchoolAccounts.ps1 ファイルを右クリックから編集で開いて、
以下の編集を行いましょう

image

設定が完了したら、BatchCreateSchoolAccounts.ps1 ファイルを右クリックし、管理者として実行します。このとき、InputSchoolDataCsv:と表示されるので、前の手順で作成したCSVファイルの名前を入力してください。

image

すると、CSVファイルに作ったユーザーがまとめて作成されます。
Microsoft 365 Education用に作られたスクリプトですが、一般企業でも使えるかなと思います。と、ここまでユーザー作成の話をしましたが、オンプレミス Active Directoryを保有している会社ではAzure AD Connectを利用してユーザーを作成てもよいでしょう。

グループの作成

ユーザーを作成したら、グループも作成しましょう。グループはアクセス許可を割り当てる単位になるので、例えば、部署単位、役職単位などでグループを作りましょう。
グループにはセキュリティグループとMicrosoft 365グループ (旧Office 365 グループ)がありますが、Microsoft 365グループを作ると、それに対応するMicrosoft Teamsのチームが作られ、グループのメンバーはチームへのアクセス許可が割り当てられます。
ですので、Microsoft Teamsの利用を考えている会社であれば、Microsoft 365グループでグループを作ると、Teamsのアクセス許可管理も簡単になります。
設定は Azure AD管理センター > Azure Active Directory > グループから

ライセンス割り当て

ユーザーが使用するOffice 365やMicrosoft 365などのライセンスを割り当てましょう。通常、ライセンス割り当てはAzure AD管理センター > Azure Active Directory > ユーザー > ライセンスにアクセスして行うので、ユーザー単位での設定になります。
ライセンス割り当てするときは[利用場所]というユーザー属性が設定されていることが必須になるので、その点も注意してください。
また、管理者がAzure AD Premium P1相当のライセンスを保有している場合、グループにライセンス割り当てができるので、ライセンス割り当てしたいユーザーをひとつのグループにまとめてしまって、グループに対してライセンス割り当てするのが最も簡単な方法です。
設定は Azure AD管理センター > Azure Active Directory > グループ > ライセンスから

グローバル管理者の定義

グローバル管理者はふたり以上にロール割り当てしておくことがベストプラクティスです。
(ひとりだけだと、そのひとりがアクセスできなくなったときに誰もグローバル管理者の権限を使えなくなってしまうので)グローバル管理者の名前には、管理者とわかる名前を使うのはやめましょう。

設定は Azure AD管理センター > Azure Active Directory > ロールと管理者から

MFAの定義

多要素認証(MFA)は設定していない場合に比べて99%の不正アクセスの遭遇率低減というメリットがありますので、少なくとも管理者ロールが割り当てられたユーザーには設定しましょう。
設定はAzure AD管理センター > Azure Active Directory > ユーザー > Multi-Factor Authentication から対象となるユーザーを選択します。

緊急用グローバル管理者の定義

Break Glassアカウントとも呼ばれる緊急用グローバル管理者はグローバル管理者のロールが割り当てられたユーザーです。通常のグローバル管理者と異なるのは条件付きアクセスをひとつも割り当てない、MFAを設定しないことです。グローバル管理者なのにMFAを設定しなくて大丈夫?という意見がありますが、「緊急用」なので、普段使いはしないでください。そうすれば、サインインログから緊急用グローバル管理者による不正アクセスがあれば発見できるはずです。

会社のブランド設定

サインイン画面で会社のロゴを表示したり、背景に会社のブランドイメージになるような画像を配置することができます。(サンプルは↓こちら↓)

image
Azure AD管理センター > Azure Active Directory > 会社のブランドから設定します。
ロゴは280×60ピクセルの10KB以内、背景画像は1920×1080の300KB以内であることが必要です。1920×1080で300KB以内の画像を用意するのって結構大変なんですよね。
その場合は1920×1080よりも小さなサイズで画像を作っておいて登録するとよいですよ。
16:9の比率さえ守っていればOKです。

条件付きアクセスの設定

条件付きアクセスとはクラウドサービスに対するアクセス制御機能で、会社にとって好ましくないアクセスをブロックしてくれます。多要素認証を必須にするなどの設定を行えますが、ここで紹介したいのはレガシー認証のブロックです。
※レガシー認証についてはこちらで紹介しています。
レガシー認証を有効にしていると、多要素認証が使えない、パスワードスプレー攻撃と呼ばれる攻撃を受ける可能性がある、などのセキュリティ上の問題があるので、無効にすべきとされています。設定は Azure AD管理センター > Azure Active Directory > セキュリティ> 条件付きアクセス よりポリシーを作成します。ルールはこんな感じで。

ユーザー:管理者を除く、すべてのユーザー
アプリ:Office 365
条件:クライアントアプリ > モバイルアプリとデスクトップクライアント > 他のクライアント
許可:ブロック

セキュリティの既定値群設定

Azure ADに関わるセキュリティ設定をまとめて実装してくれる設定です。
多要素認証を自動的に有効化してくれるなど、色々便利なんですけど、
この設定が有効になっていると条件付きアクセスの設定ができなくなるんですよね..
なので、私は無効にしています。(既定で有効な場合があるので注意!)
設定はAzure AD管理センター > Azure Active Directory > プロパティ > セキュリティの既定値群の管理よりどうぞ。
2020年7月25日追記
セキュリティの既定値群の設定は無償のAzure ADを利用している会社のために用意された設定だそうです。そのため、Premiumの契約をしているテナントの場合には条件付きアクセスを使えるので、無効にすべきようです。

ユーザーによるポータルアクセスの禁止

管理者でないユーザーがAzure AD管理センターにアクセスできないようにしておきましょう。設定はAzure AD管理センター > Azure Active Directory > ユーザー設定 > Azure AD 管理ポータルへのアクセスを制限する を[はい]にしておきます。

ゲストの招待設定

社外のユーザーが私たちの作ったAzure ADに関連付けられたクラウドサービスにアクセスするときに使う設定です。(例えば、私たちの会社のTeamsに社外のユーザーを参加させるときとか、OneDrive for Business で作ったファイルを社外のユーザーと共有するようなケースです)
社外のユーザーを私たちの作ったAzure ADに入ってきてもらうときは「ゲストユーザー」というユーザーを作っておくのですが、これを作りたくないって場合があるんですよね。
そのときは Azure AD管理センター > Azure Active Directory > ユーザー設定 > 外部コラボレーションの設定を管理します
からゲストユーザーを利用できないようにしておきましょう。

パスワード期限切れポリシー

パスワードの定期的な変更については推奨しないのが今のご時世ですが、Azure ADでは既定で90日に一度パスワードの変更を要求します。設定を変更したい場合は https://admin.microsoft.com/AdminPortal/Home#/Settings/SecurityPrivacy よりパスワードの有効期限ポリシーを設定しましょう。

セルフサービスパスワードリセットの設定

ユーザーがパスワードを忘れた場合、あらかじめ登録しておいた携帯電話に電話をかけてきてもらうなどして本人確認を行い、その上で新しいパスワードを自分で再設定できるようにする機能があります。この機能を使えば、パスワードを忘れたって言ってアドミンに泣きつくっていう面倒くさいことを避けられます。
設定は Azure AD管理センター > Azure Active Directory > パスワード リセット から有効化します。
設定すると、ユーザーは次回サインインした時に携帯電話番号の登録を求められます。

デバイスの設定

コンピューターをAzure AD参加する場合、Azure AD参加の可否だったり、Azure AD参加時の管理者設定、移動ユーザープロファイル (Enterprise State Roaming) の設定などを行います。ざっくりな説明でごめんなさい!
設定は Azure AD管理センター > Azure Active Directory > デバイス > デバイスの設定 から行います。

■ ■ ■

【番外編】Microsoft 365 E5を契約

E5のライセンス高いよ!って声が聞こえるかもしれないけど、クラウドありきの社内インフラにするなら、E5もしくは別の会社の相応のサービスを契約するのが必要だと思います。(なんで必要か?という話は他で色々あるでしょうから、そちらに譲ります)
1ライセンスでいいから、とりあえず買いましょう。検証環境を作ったり、学習用環境を作ったりすることもあると思いますが、そのときによく聞くのが「無料試用版は30日で終わっちゃうから」。
Microsoft 365は範囲が広いので、本当にやることが決まっていなければ30日ですべての確認を済ませるのはそもそも無理だと思います。だからこそ1ライセンスでもいいので買って永続的に利用できる環境を用意しましょう。
会社が買ってくれないって?その場合は転職しましょう。

気が付いたことがあったら、追記していきますし、
これは必須じゃない?というのがあれば、いつでもご連絡ください。