ケーススタディ3 - A. Datum Corp
概要
A Datum Corporationはモントリオールに拠点を置くコンサルティング会社です。A Datumは最近、バンクーバーに拠点を置くLitware, Inc.を買収しました。
既存の環境
データム環境
A Datum のオンプレミス ネットワークには、adatum.com という名前の Active Directory ドメイン サービス (AD DS) フォレストが含まれています。
Datum は Microsoft 365 E5 サブスクリプションを所有しています。このサブスクリプションには、Azure AD Connect を使用して adatum.com AD DS ドメインと同期する検証済みドメインが含まれています。Datum は adatum.com という Azure Active Directory (Azure AD) テナントを所有しています。このテナントでは、セキュリティの既定値が無効になっています。
テナントには次の表に示すユーザーが含まれます。

テナントには、次の表に示すグループが含まれます。

既存の環境
文学環境
Litware には litware.com という名前の AD DS フォレストがあります
既存の環境
問題ステートメント
Datum は次の問題を識別します。
- 営業部門の複数のユーザーが最大5台のデバイスを所有しています。営業部門のユーザーからは、デバイス数の上限に達したため、Azure ADテナントにデバイスを追加するためにサポート部門に連絡しなければならないことがあるという報告がありました。
- 最近のセキュリティ インシデントにより、複数のユーザーが認証情報を漏洩し、サインインに疑わしいブラウザが使用され、匿名の IP アドレスからリソースにアクセスされたことが明らかになりました。
- デバイス管理者ロールを IT_Group1 に割り当てようとすると、選択リストにグループが表示されません。
- 組織内の誰でも、他のゲストや管理者以外のユーザーを含め、ゲスト ユーザーを招待できます。
- ヘルプデスクはユーザーのパスワードのリセットに時間がかかりすぎます。
- ユーザーは現在、認証にパスワードのみを使用しています。
要件
計画された変更
A Datum は以下の変更を実施する予定です。
- セルフサービス パスワード リセット {SSPR} を構成します。
- すべてのユーザーに対して多要素認証 (MFA) を構成します。
- Package1 という名前のアクセス パッケージのアクセス レビューを構成します。
- 組織データへのアプリケーション アクセスには管理者の承認が必要です。
- AD DS ユーザーと groupsoflitware.com を Azure AD テナントと同期します。
- 特定の管理者ロールが割り当てられているユーザーのみがゲスト ユーザーを招待できるようにします。
- Azure AD に参加または登録できるデバイスの最大数を 10 に増やします。
要件
技術要件
Datum は次の技術要件を識別します。
- ユーザー管理者ロールを割り当てられたユーザーは、最大 1 年間、必要に応じてロールを使用する権限をリクエストできる必要があります。
- ユーザーには MFA に登録するよう促し、猶予期間中に登録をバイパスするオプションを提供する必要があります。
- ユーザーは、SSPR を使用してパスワードをリセットするために、1 つの認証方法を提供する必要があります。
利用可能な方法には以下が含まれます。
- メール
- 電話
- セキュリティに関する質問
- Microsoft Authenticator アプリ
- adatum.com と litware.com AD DS ドメイン間に信頼関係を確立してはなりません。
- 最小権限の原則を使用する必要があります。
ホットスポットに関する質問
SSPR の計画された変更を実装します。
User3 が SSPR を使用しようとすると何が起こりますか? 回答するには、回答領域で適切なオプションを選択してください。
注意: 正しい選択ごとに 1 ポイントが付与されます。