かりかわ「Azureへユーザ追加する方法が知りたいな..」
「Azure上でユーザ管理する方法が思いつかない..」
かりかわこのような悩みをお持ちではないでしょうか?
今回はAzureへユーザ追加する方法、ユーザ管理する上でのポイントを解説していきます。
解説の前に…そもそもどのようなケースでAzureユーザが必要になるのでしょうか。いくつか例を挙げてみたいと思います。
- Azure上のサービス(仮想マシンやストレージサービス)を利用するため:当たり前のことですが、Azure上のサービスを利用する際にはユーザアカウントが必要です。
- ユーザアカウントにOffice365のライセンスを付与しOffice製品を利用するため:Azureに追加したユーザはMicrosoft製品のライセンスを付与することができます。Azureを利用してTeamやOutlookなどのサービスを利用する場合に必要となります。
どのようなケースでAzureユーザが必要になってくるか、理解いただけたかと思います。ユーザ追加する際は利用ケースを思い描くと、より良いサービス利用ができると思います。
この記事では次のようなトピックをお伝えします。
- Azureユーザ追加方法3選を解説
- Azureユーザ管理Tipsを解説
- まとめ
かりかわユーザ追加・管理を併せて学んでいただくことで、Azure・Officeなどサービス利用時の設計・運用策定に役立つと思います。ぜひご一読いただければと思います。
- 25歳社会人2年目、新卒で日系大手企業のシステム部門に入社
- 入社後クラウドエンジニアとして主にMicrosoft Azure・Office365を用いた業務に従事
インフラエンジニアを目指す方にオススメです
【解説】Azureへユーザ追加する方法3選
それでは、Azureへユーザ追加する方法を解説していきます。Azureでは次のような追加方法があります。
- 組織(テナント)内のユーザとして追加する方法
- 組織外のゲストユーザとして追加する方法
- オンプレミスのActive Directory(以下、ADとする)ユーザを追加する方法
今回はAzure Portalからユーザ追加する方法を解説します。CUIを用いてユーザ追加する方法もありますが、それは別の機会に紹介します。
Azureテナント内のユーザとして追加する方法
Azure Portalより、Azure Active Directory>「ユーザ」タブを選択しましょう。画面上部に「新しいユーザー」項目があるので、選択すると新規ユーザ追加ができます。※「グローバル管理者」または「ユーザ管理者」権限を持つアカウントのみユーザ追加できます。
画像のような設定画面が表示されるとOKです。設定で考慮すべきポイントに次の5項目です。
- ユーザ名:Azureへログインする際のIDとなる部分です。テナント内で一意にする必要があり、ユーザ名からどのアカウントか識別することができます。
- 名前:Azure上やMicrosoft製品を利用する際の表示名となる部分です。
- パスワード:Azure側で初期パスワードを生成してくれます。ユーザ追加後、パスワードは変更するようにしましょう。
- グループ:Azure上のどのグループに所属させるか設定する部分です。事前にグループは作成する必要があります。
- 役割:ユーザにAzure上での権限を与える部分です。主に、サービス毎の管理者権限を与えることができます。
設定が終われば、「作成」ボタンを選択しましょう。Azureにユーザ追加されたことが確認できます。
ここまでは、ユーザを1人ずつ追加する方法を解説しました。個人で利用する分には問題ないですが、企業等で利用する場合1人ずつ追加すると非常に手間がかかります。そんな時は、ユーザを一括で追加しましょう。
ユーザ追加する設定画面に戻り、「ユーザーを一括で作成する」を選択すると一括作成設定が表示されます。
利用する際は、事前にテンプレートを編集してAzure側へアップロードすると、ユーザの一括インポートができます。
Azureテナント外のゲストユーザを追加する方法
続いてゲストユーザを追加する方法ですが、その前にテナント内のユーザと何が違うか、利用シーンについて解説します。
テナント内のユーザとの違いとしては、基本的にゲストユーザは招待先のテナントにあるリソースを参照・操作することができません。権限の違いについては以下の記事を参考にしてみてください。
またゲストユーザは、自テナントのユーザと同等のアクセス権を与えることもできます。
Azure Active Directory>「ユーザ設定」タブ内の「外部コラボレーションの設定を管理します」を選択すると、設定変更できます。
ゲストユーザの利用シーンですが、他企業の社員に自テナントで作業してもらいたい時など有用です。ゲストユーザとして招待することで必要最小限のリソースのみを操作させることができます。
前置きは以上として、ゲストユーザ追加設定を解説します。
前節と同様に、「新しいユーザー」設定からゲストユーザは追加できます。電子メールアドレスの欄にはメールアドレスまたはAzureのID(aaaa@bbbb.com)を入力しましょう。
招待を選択すると、ゲストユーザ宛に招待メールが届きます。承諾すると、自テナントのゲストユーザとして追加ができます。またゲストユーザも一括追加方法があるので、ぜひ活用してみてください。
オンプレADユーザをAzureテナント内にユーザ追加する方法
最後にオンプレミスのADユーザをAzureテナント内に追加する方法を解説します。
Azure AD Connectと呼ばれるユーザ同期機能を利用することで、AD→Azureへユーザ追加ができます。※この機能を利用した場合、AD上からユーザが消えることはないため安心してください。
こちらについては、ADで作成したユーザの設定値をそのままAzureテナントに反映させることができます。
Azure AD Connectを利用する場合、いくつか前提条件があります。以下の記事を参考にしてみてください。
インフラエンジニアを目指す方にオススメです
ユーザ管理のTips
これまでユーザ追加方法について解説しました。続いてはユーザ管理方法について解説します。特にセキュリティを意識させる方はぜひご一読ください。
グループ機能を利用する
ユーザが増えるに連れ、その管理は複雑なものとなります。また、個人単位で設定を入れるとなると工数もかかり大変です。そんな時はAzureのグループ機能を利用しましょう。
Azureではグループ単位で権限やライセンスを割り当てることができます。またそのグループに所属するユーザは権限やライセンスが継承されます。グループ機能を利用することで、ユーザ管理を効率的に進めることができます。
個人に権限を持たせない
個人単位で権限を持たせることは非常に危険です。強力な権限を持つユーザの資格情報が流出した場合、テナント内のリソースが勝手に使用・削除されるなどセキュリティリスクがあります。
Azure内で権限を利用する場合、次のような管理方法がオススメです。
- システムアカウントとして権限を集約しておく・・情報流出を防ぐには最小限のアカウントで作業することを念頭に入れましょう。もちろんですが、権限をつけたアカウントには多要素認証機能などをつけてリスクを減らしましょう。
- JIT(Just In Time)機能を利用する・・一定期間のみ特定の権限を与える機能です。AzureではPIM(Privileged Identity Management)があり、承認の元ではじめて権限が与えられます。
※PIMの利用にはAzure AD P2ライセンス(有償版)の利用が前提となります。
Azureへの認証を強化する
従来のID・パスワード認証だけでは、セキュリティを高めることは不可能です。クラウド内に重要なデータを置くならば、必ず個人ごとに多要素認証設定を入れましょう。多要素認証以外にAzureでは条件付きアクセス設定があります。
条件付きアクセスとは簡単に説明すると、次のようなアクセス元を制限する機能です。また特定のユーザからのアクセスや特定のアプリケーションへアクセスした際に条件付きアクセスを発動させるような設定ができます。
- 利用デバイス
- アクセス元のIPアドレス
まとめ
今回は次のようなトピックを紹介しました。
・Azureへユーザ追加する方法
・Azureユーザの管理Tips
今後もクラウドに関わる記事は取り上げていきますので、是非参考にして頂ければ幸いです。
インフラエンジニアを目指す方にオススメです
コメント