皆さまこんにちは。SB C&S 井上です。
今回は、新たにプレビューで利用可能になった、「Azure AD 認証を利用して Azure 内の Windows 仮想マシンにサインインする機能」 について検証と、この機能のメリットなどを調査しました。
本記事では 「検証環境準備編」 として、検証方針とこの機能を利用するために必要な設定などについてご紹介します。
また、次回記事では、「検証編」 として検証結果とメリットなどについてご紹介します。
概要
Windows 10 端末を Azure AD Join することで、その端末に Azure AD ユーザーでサインインでき、Azure Portal 上での端末管理、ユーザー管理が可能になります。
BYOD の場合も Azure AD Join することで個人所有のデバイスを組織の Azure AD の管理下に置くことができます。
Windows 10 では端末の設定画面から Azure AD Join を行うことができますが、 Windows Server OS では Azure AD Join 自体行うことができませんでした。
しかし最近パブリックプレビューされた機能を使うと、Windows Server 2019 Datacenter か Windows 10 1809 以降の仮想マシンを Azure IaaS 上にデプロイする際に端末を Azure AD Join させることができます。
今回の [検証環境準備編] では、 Azure IaaS 仮想マシンを Azure AD Join させる方法についてご紹介いたします。
検証内容
今回の検証では、以下の点に注目して環境構築と検証を行いました。
- 検証1. RDP 接続するユーザーを、Azure AD の管理ポータルで管理
- 検証2. Azure IaaS 仮想マシンへの RDP 接続の際の多要素認証設定
- 検証3. Azure AD ユーザーに対して、ファイルサーバーの共有フォルダのアクセスコントロール設定
前提条件
OS (プレビュー期間中)
- Windows Server 2019 Datacenter
- Windows 10 1809 以降
リージョン
- すべての Azure グローバルリージョン
ネットワーク要件
VM のネットワーク構成で、TCP ポート 443 を経由した以下のエンドポイントへの発信アクセス許可
- https://enterpriseregistration.windows.net
- https://login.microsoftonline.com
- https://device.login.microsoftonline.com
- https://pas.windows.net
検証環境構築手順
手順の概要
1. Azure AD のサインインユーザー作成
2. Azure ポータルサインイン
3. Azure 仮想マシンデプロイ
4. RDP 接続をするユーザーへのロール割当
5. RDP 接続元端末(Windows 10)を Azure AD Join
詳細手順
1. Azure Portal 上で Azure AD ユーザーを作成し、[サブスクリプション所有者ロール] を割り当てる
※Azure AD ユーザーで仮想マシンをデプロイした際にのみ、[AAD 資格情報を使用してログインする (プレビュー)] の選択肢が設定できるため、Azure AD ユーザー作成は必須となります。
2. 1. で作成した Azure AD ユーザーで Azure Portal にサインイン
3. Azure Portal 上の IaaS 仮想マシン(Windows Server 2019 Datacenter) 作成画面で、[管理] タブの [AAD 資格情報を使用してログインする (プレビュー)] を [オン] に設定して仮想マシンをデプロイする
※Azure AD ユーザーで仮想マシンをデプロイした際にのみ、[AAD 資格情報を使用してログインする (プレビュー)] の選択肢が設定できます。
4. Azure Portal 上で、デプロイした仮想マシンの IAM から [仮想マシンの管理者ログイン] ロールを Azure AD ユーザーに割り当てる
5. Azure AD Join した Windows 10 端末(今回は Hyper-V 仮想マシン) を用意
検証環境の確認
Azure AD ユーザーで Azure AD Join 済みの Azure 仮想マシンに RDP 接続するためには、以下の条件を満たす必要があります。
- Azure AD ユーザー: RBAC でロールを付与 (仮想マシンの管理者ログイン or 仮想マシンのユーザーログイン)
- RDP 接続元のWindows 10 端末: Azure AD ユーザーと同じディレクトリに Azure AD Join or Hybrid Azure AD Join
- ダイレクト RDP で接続 (Azure Bastionは利用不可)
この条件により、許可されたユーザーと端末以外からの RDP 接続をブロックすることができます。
今回構築した検証環境でもこの制限が正常に機能しているかを確認してみます。
Azure AD Join していない Windows 10 端末からの RDP 接続は失敗
Hyper-V 上の 「Azure AD Join 済み Windows 10 仮想マシン」 からの RDP 接続は成功
上記のように、Azure AD ユーザーで Azure 仮想マシンに RDP接続 できること、RDP 接続が許可された Azure AD ユーザーでも、RDP 接続に使用する Windows 10 端末が Azure AD Join していなければRDP 接続できないことが確認できました。
まとめ
今回は、新たにプレビューで利用可能になった、「Azure AD 認証を利用して Azure 内の Windows 仮想マシンにサインインする機能」 を利用するための環境準備と、検証方針についてご紹介しました。
今回用意した検証環境は、以下3つです。
- Azure AD ユーザー1: Azure 仮想マシンを Azure AD Join させるためのユーザー
- Azure AD ユーザー2: Azure AD Join した Azure 仮想マシンに RDP 接続するためのユーザー
- Azure AD Join した Windows 10 端末: Azure AD Join した Azure 仮想マシンに RDP 接続するための接続元端末
次回記事では、実際に検証した結果やメリットなどについてご紹介いたします。
次回記事 「検証編」 もぜひご一読ください。
著者紹介
SB C&S株式会社
ICT事業本部 技術本部 第1技術部 4課
井上 雄貴
新卒でSB C&S株式会社に入社後、Azureのプリセールスエンジニアとして案件支援、新規サービスの技術検証などに従事。
JDLA Deep Learning for ENGINEER 2019 #1を保有。
クラウド、AIのエキスパートエンジニアを目指し、日々邁進中。