IDおよびアクセス管理の設計領域

IDおよびアクセス管理の設計領域では、安全で完全に準拠したパブリッククラウドアーキテクチャの基盤を確立するために使用できるベストプラクティスを提供します。

企業は複雑で異種混在の技術ランドスケープを持つ可能性があるため、セキュリティが非常に重要です。 堅牢なIDおよびアクセス管理は、パブリッククラウドにセキュリティ境界を作成することで、最新の保護の基礎を形成します。 承認とアクセスの制御により、検証済みのデバイスを持つ認証されたユーザーのみがアプリケーションとリソースにアクセスして管理できるようになります。 これにより、適切なユーザーが適切なタイミングで適切な理由で適切なリソースにアクセスできるようになります。 また、信頼性の高い監査ログと、ユーザーまたはワークロードのIDアクションの否認防止も提供されます。 生産性を向上させ、権限のない特権昇格やデータ流出のリスクを軽減するために、ユーザーアクセス、コントロールと管理プレーン、外部アクセス、特権アクセスなど、一貫したエンタープライズアクセス制御を提供する必要があります。

Azureでは、組織が高度に安全で運用効率の高い環境を構築できるように、サービス、ツール、および参照アーキテクチャの包括的なセットが提供されています。 クラウド環境でIDを管理するには、いくつかのオプションがあります。 各オプションのコストと複雑さは異なります。 クラウドベースのIDサービスは、既存のオンプレミスIDインフラストラクチャと統合する必要がある量に基づいて決定します。 詳細については、「アイデンティティーの決定」を参照ください。

AzureランディングゾーンでのIDとアクセスの管理

IDとアクセスの管理は、プラットフォームとアプリケーションの両方のランディングゾーンで重要な考慮事項です。 サブスクリプションの民主化の設計原則の下で、アプリケーション所有者は、プラットフォームチームからの介入を最小限に抑えて、独自のアプリケーションとリソースを管理する自律性を持つ必要があります。 ランディングゾーンはセキュリティ境界であり、IDとアクセスの管理は、ネットワークやAzure Policyなどのコンポーネントと共に、ランディングゾーン間の分離を制御する方法を提供します。 堅牢なIDとアクセスの管理設計を適用して、アプリケーションのランディングゾーンの分離を実現します。

プラットフォームチームは、Microsoft Entra ID、Microsoft Entra Domain Services、Active Directory Domain Services (AD DS) などの一元化されたディレクトリサービスのデプロイと管理を含む、IDとアクセスの管理の基盤を担当します。 アプリケーションランディングゾーン管理者と、アプリケーションにアクセスするユーザーは、これらのサービスを使用します。

アプリケーションチームは、アプリケーションへのユーザーアクセスのセキュリティ保護や、Azure SQL Database、仮想マシン、Azure Storageなどのアプリケーションコンポーネント間でのユーザーアクセスの保護など、アプリケーションのIDとアクセスの管理を担当します。 適切に実装されたランディングゾーンアーキテクチャでは、アプリケーションチームは、プラットフォームチームが提供するサービスを簡単に使用できます。

IDとアクセス管理の基本的な概念の多くは、ロールベースのアクセス制御 (RBAC) や最小限の特権の原則など、プラットフォームとアプリケーションの両方のランディングゾーンで同じです。

デザイン領域のレビュー

機能：ID とアクセスの管理には、次の 1 つ以上の機能のサポートが必要です。 これらの機能を実行するロールは、意思決定と実装に役立ちます。

• クラウド プラットフォームの機能
• クラウドのセンター オブ エクセレンス機能
• クラウド セキュリティ チーム機能

範囲：この設計領域の目標は、ID とアクセス基盤のオプションを評価できるようにすることです。 ID戦略を設計するときは、次のタスクを実行する必要があります:

• ユーザーとワークロードIDを認証します。
• リソースへのアクセスを割り当てます。
• 職務の分離に関する主要な要件を決定します。
• ハイブリッドIDをMicrosoft Entra IDと同期します。

範囲外：ID とアクセス管理は適切なアクセス制御の基盤を形成しますが、次のようなより高度な側面はカバーされていません:

• ゼロトラストモデル。
• 昇格された特権の運用管理。
• IDとアクセスの一般的なミスを防ぐ自動ガードレール。

セキュリティとガバナンスのコンプライアンス設計領域では、範囲外の側面に対処します。 IDとアクセス管理に関する包括的な推奨事項については、 「Azure ID管理とアクセス制御のセキュリティのベストプラクティス」 を参照してください。

設計領域の概要

ID は、広範囲にわたるセキュリティ保証の基礎となります。 これにより、クラウド サービスの ID 認証と承認制御に基づくアクセスが付与されます。 アクセス制御は、データとリソースを保護し、許可する要求を決定するのに役立ちます。

IDとアクセスの管理は、パブリッククラウド環境の内部境界と外部境界をセキュリティで保護するのに役立ちます。 それは、セキュリティで保護され、完全に準拠しているパブリック クラウド アーキテクチャの基盤です。

次の記事では、クラウド環境でのIDとアクセスの管理に関する設計上の考慮事項と推奨事項について説明します:

• Active Directory と Microsoft Entra ID を使用したハイブリッド ID
• ランディングゾーンのIDとアクセスの管理
• アプリケーションIDとアクセス管理

確立されたパターンとプラクティスを使用してAzureでソリューションを設計する方法については、 「IDアーキテクチャの設計」 を参照してください。

ヒント

複数のMicrosoft Entra IDテナントがある場合は、 「Azureランディングゾーンと複数のMicrosoft Entraテナント」 を参照してください。

次のステップ

Active Directory と Microsoft Entra ID を使用したハイブリッド ID