説明/参照:
https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-password-ban-bad-on-precision-deployアプリのアクセス管理を実装するテストレット1ケーススタディの概要Contoso、Ltd。はモントリオールに本社を置き、ロンドンとシアトルに支社を持つコンサルティング会社。
Contosoは、Fabrikam、Incという名前の会社とパートナーシップを結んでいます。Fabrikamには、fabrikam.comという名前のAzure Active Directory(Azure AD)テナントがあります。
既存の環境。既存の環境
Contosoのオンプレミスネットワークには、contoso.comという名前のActiveDirectoryドメインが含まれています。ドメインには、Contoso_Resourcesという名前の組織単位(OU)が含まれています。Contoso_Resources OUには、すべてのユーザーとコンピューターが含まれます。
contoso.com Active Directoryドメインには、次の表に示すユーザーが含まれています。

既存の環境。Microsoft 365 / Azure環境
Contosoには、次の関連ライセンスを持つcontoso.comという名前のAzureADテナントがあります。
* Microsoft Office 365 Enterprise E5
*エンタープライズモビリティ+セキュリティ
* Windows 10 Enterprise E3
*プロジェクト計画3
Azure AD Connectは、AzureADとActiveDirectoryドメインサービス(AD DS)の間で構成されます。Contoso_ResourcesOUのみが同期されます。
ヘルプデスク管理者は、Microsoft365管理センターを日常的に使用してユーザー設定を管理します。
ユーザー管理者は現在、Microsoft365管理センターを使用して手動でライセンスを割り当てています。次の例外を除いて、すべてのユーザーにすべてのライセンスが割り当てられています。
*ロンドンオフィスのユーザーは、Microsoft 365 PhoneSystemライセンスが割り当てられていません。
*シアトルオフィスのユーザーには、YammerEnterpriseライセンスが割り当てられていません。
contoso.comのセキュリティのデフォルトは無効になっています。
Contosoは、Azure AD Privileged Identity Management(PIM)を使用して管理者の役割を保護します。
既存の環境。問題の説明
Contosoは、次の問題を識別します。
*現在、すべてのヘルプデスク管理者は、Microsoft365テナント全体でユーザーライセンスを管理できます。
*ユーザー管理者は、Contosoオフィスごとに異なるライセンス要件を手動で構成するのは面倒だと報告しています。
*ヘルプデスク管理者は、必要なMicrosoft365サービスおよびアプリへの内部アクセスとゲストアクセスのプロビジョニングに多くの時間を費やしています。
*現在、ヘルプデスク管理者は、正当化または承認なしに、ユーザー管理者の役割を使用してタスクを実行できます。
* Azure ADで[ログ]ノードを選択すると、LogAnalytics統合が有効になっていないことを示すエラーメッセージが表示されます。
要件。計画された変更
Contosoは、次の変更を実装する予定です。
*セルフサービスパスワードリセット(SSPR)を実装します。
* AzureMonitorを使用してAzure監査アクティビティログを分析します。
*テナントに追加された新規ユーザーのライセンス割り当てを簡素化します。
*共同マーケティングキャンペーンでFabrikamのユーザーと協力します。
*アクティブ化するために正当化と承認を要求するようにユーザー管理者の役割を構成します。
* App1という名前のカスタム基幹業務AzureWebアプリを実装します。App1はインターネットからアクセス可能であり、AzureADアカウントを使用して認証されます。
*マーケティング部門の新規ユーザーの場合、自動承認ワークフローを実装して、Microsoft SharePoint Onlineサイト、グループ、およびアプリへのアクセスを提供します。
Contosoは、AdatumCorporationという名前の会社を買収する予定です。100人の新しいADatumユーザーがAdatumという名前のActiveDirectoryOUに作成されます。ユーザーはロンドンとシアトルに配置されます。
要件。技術要件
Contosoは、次の技術要件を識別します。
*すべてのユーザーをADDSからcontoso.comAzureADテナントに同期する必要があります。
* App1には、https://contoso.com/auth-responseを指すリダイレクトURIが必要です。
*新規ユーザーのライセンス割り当ては、ユーザーの場所に基づいて自動的に割り当てる必要があります。
* Fabrikamユーザーは、マーケティング部門のSharePointサイトに最大90日間アクセスできる必要があります。
* AzureADで実行される管理アクションを監査する必要があります。監査ログは1年間保持する必要があります。
*ヘルプデスク管理者は、それぞれのオフィスのユーザーのみのライセンスを管理できる必要があります。
*ユーザーの身元が危険にさらされる可能性がある場合、ユーザーはパスワードの変更を強制される必要があります。