解説・参考:
https://docs.microsoft.com/en-us/azure/active-directory/develop/quickstart-register-app ID ガバナンス戦略の計画と実装 テストレット 1 ケース スタディの概要 Contoso, Ltd. はコンサルティング会社です。モントリオールに本社、ロンドンとシアトルに支社があります。
Contoso は、Fabrikam, Inc. という会社とパートナーシップを結んでいます。Fabrikam には、fabrikam.com という名前の Azure Active Directory (Azure AD) テナントがあります。
既存の環境。既存の環境
Contoso のオンプレミス ネットワークには、contoso.com という名前の Active Directory ドメインが含まれています。ドメインには、Contoso_Resources という名前の組織単位 (OU) が含まれています。Contoso_Resources OU には、すべてのユーザーとコンピューターが含まれます。
contoso.com Active Directory ドメインには、次の表に示すユーザーが含まれています。

既存の環境。Microsoft 365/Azure 環境
Contoso には、次の関連付けられたライセンスを持つ contoso.com という名前の Azure AD テナントがあります。
* マイクロソフト オフィス 365 エンタープライズ E5
* エンタープライズ モビリティ + セキュリティ
* Windows 10 エンタープライズ E3
* プロジェクト計画 3
Azure AD Connect は、Azure AD と Active Directory ドメイン サービス (AD DS) の間で構成されます。Contoso_Resources OU のみが同期されます。
ヘルプデスク管理者は、日常的に Microsoft 365 管理センターを使用してユーザー設定を管理しています。
ユーザー管理者は現在、Microsoft 365 管理センターを使用して手動でライセンスを割り当てています。次の例外を除いて、すべてのユーザーにすべてのライセンスが割り当てられています。
* ロンドン オフィスのユーザーには、Microsoft 365 電話システム ライセンスが割り当てられていません。
* シアトル オフィスのユーザーには、Yammer Enterprise ライセンスが割り当てられていません。
contoso.com のセキュリティの既定値は無効になっています。
Contoso は、Azure AD Privileged Identity Management (PIM) を使用して管理者の役割を保護しています。
既存の環境。問題の説明
Contoso は、次の問題を特定しています。
* 現在、すべてのヘルプデスク管理者は、Microsoft 365 テナント全体でユーザー ライセンスを管理できます。
* ユーザー管理者は、Contoso のオフィスごとに異なるライセンス要件を手動で構成するのは面倒だと報告しています。
* ヘルプデスク管理者は、必要な Microsoft 365 サービスおよびアプリへの内部およびゲスト アクセスのプロビジョニングに多くの時間を費やしています。
* 現在、ヘルプデスク管理者は、正当な理由や承認なしに、ユーザー管理者ロールを使用してタスクを実行できます。
* Azure AD でログ ノードを選択すると、Log Analytics 統合が有効になっていないことを示すエラー メッセージが表示されます。
要件。変更予定
Contoso は、次の変更を実装する予定です。
* セルフサービス パスワード リセット (SSPR) を実装します。
* Azure Monitor を使用して Azure 監査アクティビティ ログを分析します。
* テナントに追加された新しいユーザーのライセンス割り当てを簡素化します。
* ジョイント マーケティング キャンペーンで Fabrikam のユーザーと協力する。
* ユーザー管理者の役割を構成して、アクティブ化する正当な理由と承認を要求します。
* App1 という名前のカスタム基幹業務 Azure Web アプリを実装します。App1 はインターネットからアクセスでき、Azure AD アカウントを使用して認証されます。
* マーケティング部門の新しいユーザーには、自動化された承認ワークフローを実装して、Microsoft SharePoint Online サイト、グループ、およびアプリへのアクセスを提供します。
Contoso は、Adatum Corporation という会社を買収する予定です。100 人の新しい ADatum ユーザーが、Adatum という名前の Active Directory OU に作成されます。ユーザーはロンドンとシアトルに配置されます。
要件。技術要件
Contoso は、次の技術要件を特定しています。
* すべてのユーザーを AD DS から contoso.com Azure AD テナントに同期する必要があります。
* App1 には、https://contoso.com/auth-response を指すリダイレクト URI が必要です。
* 新しいユーザーのライセンス割り当ては、ユーザーの場所に基づいて自動的に割り当てられる必要があります。
* Fabrikam ユーザーは、最大 90 日間、マーケティング部門の SharePoint サイトにアクセスできる必要があります。
* Azure AD で実行される管理アクションは監査する必要があります。監査ログは 1 年間保持する必要があります。
* ヘルプデスク管理者は、それぞれのオフィスのユーザーのみのライセンスを管理できる必要があります。
* ユーザーの ID が侵害された可能性がある場合は、ユーザーにパスワードの変更を強制する必要があります。