ID とアクセス管理の設計領域
ID とアクセス管理の設計領域には、セキュリティで保護された完全に準拠したパブリック クラウド アーキテクチャの基盤を確立するために使用できるベスト プラクティスが用意されています。
企業は複雑で異種の技術環境を持つ可能性があるため、セキュリティは重要です。 堅牢な ID とアクセス管理は、パブリック クラウドにセキュリティ境界を作成することで、最新の保護の基礎を形成します。 承認とアクセス制御により、認証されたデバイスを持つ認証されたユーザーのみが、アプリケーションとリソースにアクセスして管理できるようになります。 これにより、適切な個人が適切なタイミングで、適切な理由で適切なリソースにアクセスできるようになります。 また、信頼性の高い監査ログと、ユーザーまたはワークロードの ID アクションの否認を示します。 生産性を向上させ、権限のない特権エスカレーションやデータ流出のリスクを軽減するために、ユーザー アクセス、制御および管理プレーン、外部アクセス、特権アクセスなど、エンタープライズ アクセス制御に一貫した
Azure には、組織が高度にセキュリティで保護された運用効率の高い環境を作成するのに役立つ、包括的なサービス、ツール、および参照アーキテクチャのセットが用意されています。 クラウド環境で ID を管理するには、いくつかのオプションがあります。 各オプションは、コストと複雑さが異なります。 既存のオンプレミス ID インフラストラクチャと統合する必要がある量に基づいて、クラウドベースの ID サービスを決定します。 詳細については、ID 決定ガイドのを参照してください。
Azure ランディング ゾーンでの ID とアクセスの管理
ID とアクセスの管理は、プラットフォームとアプリケーションのランディング ゾーンの両方で重要な考慮事項です。 サブスクリプションの民主化
プラットフォーム チームは、Microsoft Entra ID、Microsoft Entra Domain Services、Active Directory Domain Services (AD DS) などの一元化されたディレクトリ サービスの展開と管理など、ID とアクセス管理の基盤を担当します。 アプリケーション ランディング ゾーンの管理者とアプリケーションにアクセスするユーザーは、これらのサービスを使用します。
アプリケーション チームは、アプリケーションへのユーザー アクセスのセキュリティ保護や、Azure SQL Database、仮想マシン、Azure Storage などのアプリケーション コンポーネント間のユーザー アクセスのセキュリティ保護など、アプリケーションの ID とアクセス管理を担当します。 適切に実装されたランディング ゾーン アーキテクチャでは、アプリケーション チームはプラットフォーム チームが提供するサービスを簡単に使用できます。
ID とアクセス管理の基本的な概念の多くは、ロールベースのアクセス制御 (RBAC) や最小特権の原則など、プラットフォームとアプリケーションのランディング ゾーンの両方で同じです。
デザイン領域のレビュー
関数: ID とアクセス管理には、次の 1 つ以上の機能がサポートされている必要があります。 これらの関数を実行するロールは、意思決定を行い、実装するのに役立ちます。
スコープ: この設計領域の目的は、ID とアクセス基盤のオプションを評価することです。 ID 戦略を設計するときは、次のタスクを実行する必要があります。
- ユーザーとワークロードの ID を認証します。
- リソースへのアクセスを割り当てます。
- 職務の分離に関する主要な要件を決定します。
- ハイブリッド ID を Microsoft Entra ID と同期します。
スコープ外: ID とアクセス管理は、適切なアクセス制御の基盤を形成しますが、次のようなより高度な側面については説明しません。
- ゼロ トラスト モデル。
- 昇格された特権の運用管理。
- 一般的な ID とアクセスの間違いを防ぐための自動ガードレール。
セキュリティ と ガバナンスのコンプライアンス設計領域、スコープ外の側面に対処します。 ID とアクセス管理に関する包括的な推奨事項については、Azure ID 管理とアクセス制御のセキュリティのベスト プラクティス
デザイン領域の概要
ID は、さまざまなセキュリティ保証の基礎を提供します。 クラウド サービスの ID 認証と承認制御に基づいてアクセスを許可します。 アクセス制御は、データとリソースを保護し、許可する必要がある要求を決定するのに役立ちます。
ID とアクセス管理は、パブリック クラウド環境の内部境界と外部境界をセキュリティで保護するのに役立ちます。 これは、セキュリティで保護され、完全に準拠しているパブリック クラウド アーキテクチャの基盤です。
次の記事では、クラウド環境での ID とアクセスの管理に関する設計上の考慮事項と推奨事項について説明します。
- Active Directory と Microsoft Entra ID を使用したハイブリッド ID の
- ランディング ゾーン ID とアクセス管理
- アプリケーションのIDおよびアクセス管理
確立されたパターンとプラクティスを使用した Azure でのソリューションの設計に関するガイダンスについては、「ID アーキテクチャの設計」を参照してください。
ヒント
複数の Microsoft Entra ID テナントがある場合は、Azure ランディング ゾーンと複数の Microsoft Entra テナントに関するページを参照してください。
次の手順
Active Directory と Microsoft Entra ID を使用したハイブリッド ID の