ケーススタディ 1 - Contoso 社
概要
Contoso 社は、モントリオールに本社を置き、ロンドンとシアトルに支社を持つコンサルティング会社です。
Contoso は、Fabrikam, Inc. という会社と提携しています。Fabrikam には、fabrikam.com という Azure Active Directory (Azure AD) テナントがあります。
既存の環境。既存の環境
Contoso のオンプレミス ネットワークには、contoso.com という名前の Active Directory ドメインが含まれています。
ドメインにはContoso_Resourcesという組織単位(OU)が含まれています。Contoso_Resources OUにはすべてのユーザーとコンピューターが含まれています。
contoso.com Active Directory ドメインには、次の表に示すユーザーが含まれています。
既存の環境。Microsoft 365/Azure 環境
Contoso には、次の関連ライセンスを持つ contoso.com という名前の Azure AD テナントがあります。
* マイクロソフト Office 365 エンタープライズ E5
* エンタープライズモビリティ + セキュリティ
* Windows 10 エンタープライズ E3
* プロジェクト計画3
Azure AD Connect は、Azure AD と Active Directory ドメイン サービス (AD DS) の間で構成されています。Contoso_Resources OU のみが同期されます。
ヘルプデスク管理者は、通常、Microsoft 365 管理センターを使用してユーザー設定を管理します。
ユーザー管理者は現在、Microsoft 365 管理センターを使用して手動でライセンスを割り当てています。以下の例外を除き、すべてのユーザーにすべてのライセンスが割り当てられています。
* ロンドン オフィスのユーザーには、Microsoft 365 電話システムのライセンスが割り当てられていません。
* シアトル オフィスのユーザーには、Yammer Enterprise ライセンスが割り当てられていません。
contoso.com のセキュリティの既定値は無効になっています。
Contoso では、Azure AD Privileged Identity Management (PIM) を使用して管理ロールを保護します。
既存の環境。問題の説明
Contoso は次の問題を特定しています。
* 現在、すべてのヘルプデスク管理者は、Microsoft 365 テナント全体のユーザー ライセンスを管理できます。
* ユーザー管理者は、Contoso オフィスごとに異なるライセンス要件を手動で構成するのは面倒だと報告しています。
* ヘルプデスク管理者は、必要な Microsoft 365 サービスとアプリへの内部アクセスとゲスト アクセスのプロビジョニングに多くの時間を費やしています。
* 現在、ヘルプデスク管理者は、正当な理由や承認なしに、ユーザー管理者ロールを使用してタスクを実行できます。
* Azure AD でログ ノードを選択すると、Log Analytics 統合が有効になっていないことを示すエラー メッセージが表示されます。
要件。計画された変更
Contoso は次の変更を実装する予定です。
* セルフサービス パスワード リセット (SSPR) を実装します。
* Azure Monitor を使用して Azure 監査アクティビティ ログを分析します。
* テナントに追加された新しいユーザーに対するライセンスの割り当てを簡素化します。
* Fabrikam のユーザーと協力して共同マーケティング キャンペーンを実施します。
* アクティブ化するには正当性と承認が必要となるようにユーザー管理者ロールを構成します。
* App1 という名前のカスタム基幹業務 Azure Web アプリを実装します。App1 はインターネットからアクセスでき、Azure AD アカウントを使用して認証されます。
* マーケティング部門の新規ユーザーに対して、Microsoft SharePoint Online サイト、グループ、アプリへのアクセスを提供するための自動承認ワークフローを実装します。
Contoso社はAdatum Corporationという会社を買収する予定です。AdatumというActive Directory組織単位(OU)に、100人の新規ADatumユーザーが作成されます。ユーザーはロンドンとシアトルに拠点を置く予定です。
要件。技術要件
Contoso では、次の技術要件を特定しています。
* すべてのユーザーは、AD DS から contoso.com Azure AD テナントに同期される必要があります。
* App1 には https://contoso.com/auth-response を指すリダイレクト URI が必要です。
* 新規ユーザーのライセンス割り当ては、ユーザーの所在地に基づいて自動的に割り当てられる必要があります。
* Fabrikam ユーザーは、マーケティング部門の SharePoint サイトに最大 90 日間アクセスできる必要があります。
* Azure AD で実行される管理アクションは監査される必要があります。監査ログは 1 年間保持する必要があります。
* ヘルプデスク管理者は、それぞれのオフィス内のユーザーのライセンスのみを管理できる必要があります。
* ユーザーの個人情報が漏洩した可能性がある場合、ユーザーにパスワードの変更を強制する必要があります。
質問
ゲスト ユーザーの招待の問題を解決する必要があります。
Azure AD テナントに対して何をすべきでしょうか?
概要
Contoso 社は、モントリオールに本社を置き、ロンドンとシアトルに支社を持つコンサルティング会社です。
Contoso は、Fabrikam, Inc. という会社と提携しています。Fabrikam には、fabrikam.com という Azure Active Directory (Azure AD) テナントがあります。
既存の環境。既存の環境
Contoso のオンプレミス ネットワークには、contoso.com という名前の Active Directory ドメインが含まれています。
ドメインにはContoso_Resourcesという組織単位(OU)が含まれています。Contoso_Resources OUにはすべてのユーザーとコンピューターが含まれています。
contoso.com Active Directory ドメインには、次の表に示すユーザーが含まれています。
既存の環境。Microsoft 365/Azure 環境
Contoso には、次の関連ライセンスを持つ contoso.com という名前の Azure AD テナントがあります。
* マイクロソフト Office 365 エンタープライズ E5
* エンタープライズモビリティ + セキュリティ
* Windows 10 エンタープライズ E3
* プロジェクト計画3
Azure AD Connect は、Azure AD と Active Directory ドメイン サービス (AD DS) の間で構成されています。Contoso_Resources OU のみが同期されます。
ヘルプデスク管理者は、通常、Microsoft 365 管理センターを使用してユーザー設定を管理します。
ユーザー管理者は現在、Microsoft 365 管理センターを使用して手動でライセンスを割り当てています。以下の例外を除き、すべてのユーザーにすべてのライセンスが割り当てられています。
* ロンドン オフィスのユーザーには、Microsoft 365 電話システムのライセンスが割り当てられていません。
* シアトル オフィスのユーザーには、Yammer Enterprise ライセンスが割り当てられていません。
contoso.com のセキュリティの既定値は無効になっています。
Contoso では、Azure AD Privileged Identity Management (PIM) を使用して管理ロールを保護します。
既存の環境。問題の説明
Contoso は次の問題を特定しています。
* 現在、すべてのヘルプデスク管理者は、Microsoft 365 テナント全体のユーザー ライセンスを管理できます。
* ユーザー管理者は、Contoso オフィスごとに異なるライセンス要件を手動で構成するのは面倒だと報告しています。
* ヘルプデスク管理者は、必要な Microsoft 365 サービスとアプリへの内部アクセスとゲスト アクセスのプロビジョニングに多くの時間を費やしています。
* 現在、ヘルプデスク管理者は、正当な理由や承認なしに、ユーザー管理者ロールを使用してタスクを実行できます。
* Azure AD でログ ノードを選択すると、Log Analytics 統合が有効になっていないことを示すエラー メッセージが表示されます。
要件。計画された変更
Contoso は次の変更を実装する予定です。
* セルフサービス パスワード リセット (SSPR) を実装します。
* Azure Monitor を使用して Azure 監査アクティビティ ログを分析します。
* テナントに追加された新しいユーザーに対するライセンスの割り当てを簡素化します。
* Fabrikam のユーザーと協力して共同マーケティング キャンペーンを実施します。
* アクティブ化するには正当性と承認が必要となるようにユーザー管理者ロールを構成します。
* App1 という名前のカスタム基幹業務 Azure Web アプリを実装します。App1 はインターネットからアクセスでき、Azure AD アカウントを使用して認証されます。
* マーケティング部門の新規ユーザーに対して、Microsoft SharePoint Online サイト、グループ、アプリへのアクセスを提供するための自動承認ワークフローを実装します。
Contoso社はAdatum Corporationという会社を買収する予定です。AdatumというActive Directory組織単位(OU)に、100人の新規ADatumユーザーが作成されます。ユーザーはロンドンとシアトルに拠点を置く予定です。
要件。技術要件
Contoso では、次の技術要件を特定しています。
* すべてのユーザーは、AD DS から contoso.com Azure AD テナントに同期される必要があります。
* App1 には https://contoso.com/auth-response を指すリダイレクト URI が必要です。
* 新規ユーザーのライセンス割り当ては、ユーザーの所在地に基づいて自動的に割り当てられる必要があります。
* Fabrikam ユーザーは、マーケティング部門の SharePoint サイトに最大 90 日間アクセスできる必要があります。
* Azure AD で実行される管理アクションは監査される必要があります。監査ログは 1 年間保持する必要があります。
* ヘルプデスク管理者は、それぞれのオフィス内のユーザーのライセンスのみを管理できる必要があります。
* ユーザーの個人情報が漏洩した可能性がある場合、ユーザーにパスワードの変更を強制する必要があります。
質問
ゲスト ユーザーの招待の問題を解決する必要があります。
Azure AD テナントに対して何をすべきでしょうか?
