【一緒に学ぼう】Azure資格取得への道 - AZ-104試験対策 第1回
この記事の内容
- AZ-104試験の学習方法と試験バージョン更新のタイミングに関する注意点
- Azure Active Directory(Azure AD)の基本概念とオンプレミスADとの違い
- ユーザー・グループ・デバイスの管理方法と種類の違い
- Azure ADライセンス(Free / P1 / P2)によって使える機能の差異
- セルフサービスパスワードリセット(SSPR)と管理単位(Administrative Unit)の概要
AZ-104試験の学習方法
AZ-104試験の対策としては、Microsoft Learnのラーニングパスを活用するのが王道です。マイペースで進めることも、講師による指導を受けることも可能です。
一点注意が必要なのが、試験バージョンの更新タイミングです。Azureの試験は定期的に内容が更新されます。英語版が更新された後、日本語(ローカライズ)版はおよそ8週間後に反映されます。受験前に現在の試験範囲がどのバージョンに対応しているかを確認しておきましょう。
この動画シリーズでは、Microsoft Learnの学習ガイドに記載されている最新の試験範囲の項目をホワイトボード形式で解説しながら、必要に応じて実際の画面も見せていく形式で進めます。
また、日頃からAzureを実際に触っておくことが最も効果的な対策です。試験範囲を確認し、まだ触ったことがない領域があれば、そこを重点的に学習・実践することが合格への近道です。
Azure Active Directory(Azure AD)とは
Azure ADはアイデンティティプロバイダーです。ユーザー・グループ・デバイスなどのオブジェクトを作成・管理し、AzureやMicrosoft 365、その他のSaaSサービスに対してIDを提供する役割を担います。
Azure ADはAPIを備えており、Azureポータル・Microsoft 365管理センター・PowerShell・REST APIなど、さまざまな経路から同じAzure ADを操作できます。どの管理画面から操作しても裏では同じAPIを経由しているため、どこから操作しても結果は同じです。
オンプレミスADとの違い
Azure ADとオンプレミスのActive Directory(AD DS)は完全に別物です。この点は試験でも重要な概念です。
| オンプレミスAD | Azure AD | |
|---|---|---|
| 構造 | OU(組織単位)ベース | フラット構造(管理単位で委任可) |
| 接続プロトコル | Kerberos / LDAP | HTTPS / OAuth / OIDC |
| 同期 | — | Azure AD Connectで連携可能 |
両者の間はAzure AD Connectやクラウド同期を使って同期させることができますが、それぞれ独立したシステムです。
テナントとサブスクリプションの関係
Azure ADを新規に作成すると、それぞれテナントIDが割り振られます。すべてのAzure ADには初期状態で xxx.onmicrosoft.com のドメイン名が付与され、後からカスタムドメインを追加することもできます。
AzureサブスクリプションはAzureの課金管理単位であり、どのAzure ADテナントを信頼するかという形で紐付けられています。Azure ADのライセンス(P1/P2)とAzureサブスクリプションは完全に別の概念です。
ユーザーの管理
ユーザーの種類
Azure ADのユーザーにはメンバーとゲストの2種類があります。
- メンバー: 組織内のユーザー。アクセスできるリソースの範囲が広い
- ゲスト: 外部から招待されたユーザー。主にMicrosoft 365のサービスに影響する
ユーザーの種類は後から変更することも可能です。
ユーザーの作成方法
ユーザーの作成方法は大きく3つあります。
Azure AD上で直接作成する(クラウドユーザー)
- Azure AD管理ポータルから作成
- プロパティの編集が自由にできる
オンプレミスADから同期する
- Azure AD Connectを使用
- 本体はオンプレミスAD側のため、Azure AD上ではほとんどのプロパティが編集不可
外部ユーザーを招待する(ゲストとして追加)
- Azure ADの管理画面、またはMicrosoft Teamsなどのサービスから招待できる
- 招待されたユーザーのUPNは
user_domain.com#EXT#@yourtenant.onmicrosoft.comの形式になる - Teamsで招待操作をした場合も、裏ではAzure ADへの招待が行われる
招待できる外部アカウントの種類は、他のAzure ADテナントのアカウント、Microsoftアカウント、Gmailなど幅広く対応しています。
ユーザーの一括操作
大量のユーザーを一度に作成・招待・削除する場合は、一括操作が利用できます。
- テンプレートCSVファイルをダウンロード
- 必須項目(UPN、表示名、パスワードなど)を入力
- CSVファイルをアップロードして送信
PowerShellやプログラム(REST API、Power Automateなど)からの操作も可能です。
グループの管理
グループの種類
| 種類 | 主な用途 |
|---|---|
| セキュリティグループ | Azureリソースへのアクセス権管理など |
| Microsoft 365グループ | Teams・Exchange・SharePointのリソースが自動作成される |
Azureのアクセス権管理だけを目的とする場合は、余計なM365リソースが作成されないセキュリティグループを選ぶのが一般的です。
メンバーシップの種類
| 種類 | 説明 |
|---|---|
| 割り当て済み(静的) | 管理者が手動でメンバーを追加・削除する |
| 動的ユーザー | ユーザーの属性に基づくクエリで自動的にメンバーが決まる |
| 動的デバイス | デバイスの属性に基づくクエリで自動的にメンバーが決まる |
動的グループでは、たとえば「部署名がIT」のユーザーを自動的にグループに追加するといったルールを設定できます。なお、動的グループの利用には有償ライセンス(P1以上)が必要です。
デバイスの管理
Azure ADにはデバイスオブジェクトも存在します。デバイスの登録方法は主に2つです。
| 方法 | 対象OS | 概要 |
|---|---|---|
| Azure AD登録(Registered) | Windows / iOS / Android など | デバイスをAzure ADに登録する |
| Azure AD参加(Joined) | Windows 10 / 11 のみ | オンプレミスのドメイン参加に相当。Azure ADアカウントでサインインできるようになる |
デバイスをAzure ADに登録・参加させた上でIntuneなどのMDMと組み合わせることで、デバイスが組織のポリシーに準拠しているかを判定し、条件付きアクセスによって準拠デバイスからのみリソースアクセスを許可する、といった構成が可能です。
Azure ADのライセンス
Azure ADには4段階のライセンスがあります。
| ライセンス | 主な特徴 |
|---|---|
| Free | 基本的なユーザー管理・SSO |
| Office 365 アプリ | M365サブスクリプション利用者向けの追加機能 |
| Premium P1 | 条件付きアクセス・動的グループ・セルフサービスパスワードリセットなど |
| Premium P2 | P1の全機能 + Identity Protection(危険なサインイン検知)・Privileged Identity Managementなど |
ライセンスはユーザー単位で購入しますが、条件付きアクセスのようにテナント全体に影響する機能もあります。たとえば1ユーザーにのみP1ライセンスを割り当てても、条件付きアクセスポリシー自体は全ユーザーに適用されてしまうため、対象となるすべてのユーザー分のライセンスを購入する必要があります。
セルフサービスパスワードリセット(SSPR)
SSPRは、ユーザーが管理者を介さずに自分のパスワードをリセットできる機能です。利用するにはP1以上のライセンスが必要です。
設定できる認証方法(例)
- モバイルアプリ通知 / コード
- メールアドレス
- 携帯電話(SMS / 音声)
- 秘密の質問
SSPRを有効化する際は、対象を「なし」「選択したグループ」「全員」から選択できます。また、ユーザーが初回サインイン時に認証方法を自己登録する設定や、猶予期間の設定も可能です。
パスワードライトバック
オンプレミスADと同期している環境では、パスワードライトバックを設定することで、Azure AD側でリセットしたパスワードをオンプレミスADにも反映できます。
これにより、クラウドと社内環境でパスワードが乖離してしまう問題を防ぐことができます。
管理単位(Administrative Unit)
管理単位は、Azure ADの管理権限を一部のユーザーやグループに限定して委任するための機能です。オンプレミスADにおけるOU(組織単位)に近い概念です。
たとえば、会社AのユーザーはAのユーザー管理者だけが管理できる、という権限の委任が実現できます。
設定手順
- 管理単位を作成する
- 管理単位にユーザー・グループ・デバイスを追加する
- 管理単位に対してロール(例:ユーザー管理者)を割り当てる
注意点
管理単位にグループを追加した場合でも、そのグループのメンバーユーザーは管理単位の配下にはなりません。グループ自体のプロパティは管理できますが、メンバーユーザーを個別に管理したい場合は、そのユーザーを直接管理単位に追加する必要があります。
まとめ
今回は、AZ-104試験対策シリーズの第1回として、Azure IDとガバナンス管理の範囲からAzure ADオブジェクトの管理について解説しました。
- Azure ADはアイデンティティプロバイダーであり、Azure・M365・各種SaaSのIDを一元管理する
- テナントは独立したAzure ADの単位。サブスクリプションとライセンスはそれぞれ別の概念
- ユーザーはクラウド直接作成・オンプレミス同期・外部招待の3通りで作成できる
- グループはセキュリティグループとM365グループの2種類があり、メンバーシップは静的・動的で管理できる
- デバイスはAzure ADに登録(Register)または参加(Join)でき、MDMと連携してポリシー管理が可能
- ライセンスはFree / P1 / P2の段階があり、SSPRや動的グループなどの機能は有償ライセンスが必要
- 管理単位を使うことで管理権限を部分的に委任できる
次回以降も、試験範囲の各項目を順に解説していきます。Microsoft Learnのハンズオンと組み合わせながら学習を進めていただければ幸いです。