オンデマンド評価 - Azure Active Directory(AD) は、Azure ADおよび関連コンポーネントのIDおよびアクセス管理 (IAM) ガイダンスを分析して提供するクラウドサービスです。 分析では、Azure リソースの正常性とセキュリティを向上させるために、修復ガイダンスとベスト プラクティスを使用し、対処する問題の一覧が生成されます。 また、評価では、Azure AD 機能を拡張するためにオンにできる機能を特定します。 評価は Services Hub を通じて利用できます。これにより、Microsoft テクノロジーへの投資の可用性、セキュリティ、パフォーマンスを最適化できます。 これらの評価には、Microsoft Azure Log Analytics が使用されます。Azure Log Analytics は、ご使用の環境全体における IT とセキュリティの管理を簡素化するよう設計されています。
この評価は、Azure Active Directory および組織のリスクを軽減するために、重点分野の具体的で実践的なガイダンスをグループ化して提示するように設計されています。
Azure AD 評価の主要な柱
- ID およびアクセス管理
- ガバナンス
- 運用
- 認証
- セキュリティ
Azure AD Assessment の実行
前提条件
サービス ハブを通じて使用できるオンデマンド評価のメリットを最大限に活かすには、次のことを行う必要があります。
アクティブな Azure サブスクリプションを Services Hub にリンクさせて、Azure AD 評価を追加する。 詳細については、「オンデマンド評価の概要」を参照するか、「動画をリンクする方法」をご覧ください。
次の権限を持つ評価スケジュール タスク アカウント (ドメインまたはローカル ユーザー):
- データ収集マシンへの管理アクセス
- データ収集マシンにバッチ ジョブ特権としてログオンする
- 次のプロパティが指定された、Azure AD 登録アプリケーションの設定用の Azure AD アカウント。
- グローバル管理者
- 非フェデレーション
- Azure AD Assessment の前提条件を確認してください。 このドキュメントでは、Azure AD Assessment の詳細な技術文書と、評価の実行に必要なサーバーの準備が説明されています。 また、評価によって収集されるさまざまな種類のデータについても説明しています。
注:
ご使用の環境の初期構成を行い、オンデマンド評価を実行するには、平均して 2 時間かかります。 評価を実行した後、Azure Log Analytics でデータを確認できます。 これにより、推奨事項の優先順位付けられたリストが提供されます。これは 6 つの重点分野にまたがって分類されます。 これにより、ユーザーとユーザーのチームが、リスク レベル、ご使用の環境の正常性、リスクを軽減する行為をすばやく理解し、IT 全体の正常性を向上できます。
データ収集マシンで Microsoft Azure AD 評価をセットアップする
注:
Azure サブスクリプションを Services Hub にリンクさせ、Services Hub で [IT 正常性]、[評価] の順に Azure AD Assessment を追加した場合のみ、評価を正常にセットアップすることができます。
スコープ内の Azure AD テナントに Microsoft 評価アプリケーションを登録します。
- データ収集マシンで、C:\OMS\AzureAD (または必要に従って他のフォルダー) のフォルダーを作成し
- (ISE ではなく) 通常の PowerShell を管理者モードで開き、以下のコマンドレットを実行して、評価対象の Azure AD テナントに登録アプリを作成します。
New-MicrosoftAssessmentsApplication
注:
コマンドの New-MicrosoftAssessmentsApplication を使用できない場合、モジュールはまだ検出されていません。 エージェントをインストールしてから表示されるまでに時間がかかることがあります。
- この記事の前半で説明されている要件を満たす、必要な Azure AD アカウントの資格情報を指定します。 このアプリケーションで評価に必要な読み取りアクセス許可について、管理者の同意プロンプトで [同意] を選択します。
注:
同意の詳細については、 Microsoft Azure AD 評価アプリケーションのアクセス許可を参照してください。
評価がスケジュールされたタスクを作成する
- 管理者モードで通常の PowerShell (ISE ではない) を開き、以下のパラメーターを使用して以下のコマンドレットを実行し、<Directory> と <AccountName> を評価作業ディレクトリと評価スケジュールされたタスク アカウント名に置き換えます。
[!重要]「C:\ODA」はシステムによって予約されているため、作業ディレクトリのパスとして使用しないでください。
Add-AzureAssessmentTask -WorkingDirectory <Directory> -ScheduledTaskUsername <accountname>
WorkingDirectory is a path to an existing directory used to store the files created while collecting and analyzing the data from the environment
Workspace Id – provide id for the Log Analytics workspace that will be used to store the uploaded data
注:
コマンド Add-AzureAssessmentTask を使用できない場合、モジュールはまだ検出されていません。 エージェントをインストールしてから表示されるまでに時間がかかることがあります。
スクリプトによって必要な設定が続行され、データ収集をトリガーするスケジュール タスクが作成されます。
データ収集は、前回のスクリプトの実行から 1 時間以内に、さらにその後は 7 日ごとに、AzureAssessment という名前のスケジュール タスクによってトリガーされます。 [タスク スケジューラ ライブラリ]、[Microsoft]、[Operations Management Suite]、[AOI***]、[評価]、[AzureAssessment] の順に選択して、タスクを変更して別の日付/時刻に実行することや、即時実行を強制することができます。
評価の実行
収集および分析している間に、セットアップ時に構成された作業ディレクトリ フォルダー下にデータが一時的に保存されます。
数時間後、評価結果がLog Analytics と Services Hub ダッシュボードで利用可能です。 [Services Hub]、> [正常性]、> [評価] の順に移動し、アクティブな評価で [すべての推奨事項を表示] を選択すると結果を確認できます。
Microsoft 認定エンジニアに Azure AD 評価に関する問題を一緒に確認してもらいたい場合は、Microsoft 担当者に連絡して、リモートまたはオンサイトの CSA による配信について尋ねることができます。
| 契約 | リモート エンジニア | オンサイト エンジニア |
|---|---|---|
| Premier | Azure AD リモート データシート | Azure AD オンサイト データシート |
| ユニファイド | Azure AD リモート データシート | Azure AD オンサイト データシート |