参照:
https://docs.microsoft.com/en-us/azure/active-directory/conditional-access/location-condition
トピック1、Litware、Inc
アイデンティティ環境
ネットワークには、litware.comという名前のAzure Active Directory(Azure AD)テナントにリンクされているlitware.comという名前のActiveDirectoryフォレストが含まれています。Azure AD Connectはパススルー認証を使用し、パスワードハッシュ同期を無効にします。
Litware.comには、すべてのアプリケーション開発を監督するUser1という名前のユーザーが含まれています。Litwareは、AzureADアプリケーションプロキシを実装します。
Fabrikamには、fabrikam.comという名前のAzureADテナントがあります。Fabrikamのユーザーは、litware.comテナントのゲストアカウントを使用して、litware.comのリソースにアクセスします。
クラウド環境
Litwareのすべてのユーザーは、Microsoft 365EnterpriseE5ライセンスを持っています。Microsoft CloudAppSecurityに組み込まれているすべての異常検出ポリシーが有効になっています。
Litwareには、litware.comAzureADテナントに関連付けられたAzureサブスクリプションがあります。サブスクリプションには、AzureActiveDirectoryコネクタとOffice365コネクタを使用するAzureSentinelインスタンスが含まれています。Azure Sentinelは現在、AzureADサインインログと監査ログを収集しています。
オンプレミス環境
オンプレミスネットワークには、次の表に示すサーバーが含まれています。

両方のLitwareオフィスはインターネットに直接接続しています。両方のオフィスは、サイト間VPN接続を使用して、Azureサブスクリプションの仮想ネットワークに接続します。すべてのオンプレミスドメインコントローラーはインターネットにアクセスできません。
委任要件
Litwareは、次の委任要件を識別します。
* Azure AD特権ID管理(PIM)を使用して、特権ロールの管理を委任します。
*非特権ユーザーがlitware.comAzureADテナントにアプリケーションを登録できないようにする-
*IdentityGovernanceにはカスタムカタログとカスタムプログラムを使用します。
*User1がAzureADでエンタープライズアプリケーションを作成できることを確認します。最小特権の原則を使用します。
ライセンス要件
Litwareは最近、LWLicensesという名前のカスタムユーザー属性をlitware.comActiveDirectoryフォレストに追加しました。Litwareは、LWLicenses属性の値を変更することにより、AzureADライセンスの割り当てを管理したいと考えています。LWLicensesに適切な値を持つユーザーは、適切なライセンスが割り当てられたMicrosoft365グループに自動的に追加される必要があります。
管理要件
Litwareは、LWGroup1という名前のグループを作成したいと考えています。LitwareのすべてのAzure ADユーザーアカウントが含まれますが、すべてのAzureADゲストアカウントは除外されます。
認証要件
Litwareは、次の認証要件を識別します。
*すべてのLitwareユーザーに多要素認証(MFA)を実装します。
*ユーザーがMFAを使用してLitwareのボストンオフィスからAzureADへの認証を行うことを免除します。
*litware.comフォレストの禁止パスワードリストを実装します。
*オンプレミスアプリケーションにアクセスするときにMFAを適用します。
*外部から漏洩した資格情報を自動的に検出して修正します
アクセス要件
Litwareは、LitwareのすべてのAzure ADユーザーアカウントを含み、すべてのAzureADゲストアカウントを除外するLWGroup1という名前のグループを作成したいと考えています。
監視要件
Litwareは、Azure SentinelのFusionルールを使用して、疑わしいAzureADサインインとそれに続く異常なMicrosoftOffice365アクティビティの組み合わせを含むマルチステージを検出したいと考えています。