Azure AD テナントへのアクセスの設定

Azure Active Directory (AAD) 情報は、各 User Workspace 管理コンソール内の次のリボン バー グループで構成できます。

  • Environment Manager – [管理]

  • Application Control – [グローバル設定]

  • Performance Manager – [リソースの設定]

テナント

テナント情報は構成ごとに保存され、次の情報が含まれます。

テナント ID: テナント ID は、必ず GUID か、またはテナントのプライマリ ドメイン名 (例: mydomain.onmicrosoft.com) であり、AAD ポータル内で見つかります。

アプリケーション (クライアント) ID: ポータル内のアプリケーション登録上で見つかるアプリケーション ID (GUID)。

証明書の拇印: ポータルにアップロードされた証明書の拇印。コンソールでは、.cer ファイルまたは .pfx ファイルを参照することによっても拇印を取得できます。

テナント情報が既に入力されている場合を除き、コンソールで AAD の条件/ルール/リソース管理グループを作成することはできません。AAD ユーザ/グループの条件やルールを追加する際、ピッカーが表示されたときに、Azure AD ユーザの ID を求めるプロンプトがコンソールから出されます。このユーザは、テナント内のすべてのユーザおよびグループを読み取る権限を持っている必要があり、持っていない場合、ピッカーは機能しません。既定の AAD ユーザ許可ではこれが許可されます。

別々のアプリケーション登録を使用することには明らかな利点はなく、むしろメンテナンス コストがかかります。

条件、ルール、制限

Environment Manager では、AAD ドメインに参加しているエンドポイントについて4つの条件を使用できます。参加は、完全参加でも、ハイブリッド参加 (エンドポイントは、AAD Connect によって AAD ドメインに同期されるオンプレミス AD ドメインのメンバー) でもかまいません。4つの条件とは次のとおりです。

  • AAD コンピュータ グループ メンバーシップ

  • AAD ユーザ グループ メンバーシップ

  • AAD ユーザ名

  • AAD クライアント コンピュータ グループ メンバーシップ

Application Control では AAD ユーザと AAD グループの作成が可能であり、Performance Manager では特定の AAD ユーザまたは AAD グループに基づいたリソース管理が可能です。AAD の条件とルールには、暗号化に使用される証明書が必要であり、この証明書は、エンドポイント上にある証明書用の秘密鍵とともに、ローカル コンピュータまたは個人用の証明書ストアにインストールされます。コンソールからエンドポイントに証明書を配布する機能はありません。証明書が存在しない場合、エラーがログに記録され、AAD の条件もルールも成功しません。

AAD の条件とルールは、エンドポイントが Azure AD ドメインに直接参加しているか、または (オンプレミス AD ドメイン上の Azure AD Connect を使用して) ハイブリッド参加として参加している場合にのみ、そのエンドポイント上で評価されます。これに当てはまらない場合、エラーが発生して、条件もルールも失敗します。

AD 条件とは異なり、Azure AD 条件は、次のタイミングでのみ評価されます。

  • 起動時、コンピュータ グループ メンバーシップが評価されます。これらの条件は、ネットワークが利用可能になった時点で評価されます。コンピュータの起動トリガに AAD コンピュータ グループ条件を追加すると、グループ情報が古くなっている、または欠落している場合があるため、予期したとおりに機能しないことがあります。

  • ユーザ ログイン時、ユーザ グループ条件とクライアント コンピュータ グループ条件が評価され、コンピュータ グループ メンバーシップが再評価されます。

グループ メンバーシップに変更があった場合、変更内容は次回ログイン時に明らかになります。

ハイブリッド参加の場合、AAD ユーザ名条件/ルールは、ユーザのオンプレミス ユーザ プリンシパル名 (UPN) が Azure AD 名と一致していると想定します。そのため、オンプレミスの UPN サフィックスが Azure テナントにカスタム ドメイン名として登録され、検証されていることが必要です。

データの収集とロギング

Azure AD データは、適切なパラメータ付きで起動時とログオン時に実行される実行可能ファイル AADDataCollector.exe によって収集されます。この実行可能ファイルは、これらのタイミングで一度実行されて終了します。収集されるデータと、ディスク上でのデータの場所は、次のとおりです。

  • コンピュータが属している AAD グループのリスト (ネストされたグループを含む)。AAD コンピュータ グループ条件によって使用されます。

    %PROGRAMDATA%\AppSense\{Product}\AADComputerGroups.store

  • Ÿ(SID {sid} を持つ) 現行ユーザが属しているグループのリスト (ネストされたグループを含む)。AD ユーザ グループ ルールおよび条件で使用されます。

    %LOCALAPPDATA%\AppSense\{Product}\AADUserGroups_{sid}.store

  • 接続されているデバイス (つまり、リモート接続のソース コンピュータ) が属しているグループ。AAD クライアント コンピュータ グループ条件で使用されます。この条件は、接続されているコンピュータがエンドポイントと同じ Azure ドメイン内にあり、かつその NETBIOS 名が AAD 内でのデバイス名と一致する場合にのみ、機能します。(SID {sid} を持つ) 現行ユーザが属しているグループのリスト (ネストされたグループを含む)。AD ユーザ グループ ルールおよび条件で使用されます。

    %LOCALAPPDATA%\Local\AppSense\{Product}\AADDevice_{devicename}_{sid}.store

ファイルは、セッション変数ファイルと同様に構造化され、名前/値のペアで構成されます。この場合、名前はグループ オブジェクト ID であり、値はグループ名です。グループ名を保存することで、ワイルドカード クエリと正規表現クエリが Environment Manager の条件によって評価されるようになります。

実行可能ファイル AADDataCollector がログ記録を発行し、これが呼び出し元によって読み取られ、順次記録されます。ログ記録がたとえば Environment Manager で有効になっていると、コレクタのログは、「EmSystem」ロギングおよび「EmUser」ロギングが有効になっている場合に表示されます。