概要 - Microsoft Entra ID オンデマンド評価
オンデマンド評価 - Microsoft Entra ID は、Microsoft Entra ID および関連コンポーネントの ID とアクセス管理 (IAM) ガイダンスを分析して提供するクラウド サービスです。 分析では、Azure リソースの正常性とセキュリティを向上させるために、修復ガイダンスとベスト プラクティスを使用し、対処する問題の一覧が生成されます。 さらに、評価では、Microsoft Entra ID 機能を拡張するために有効にできる機能を特定します。 評価はサービス ハブを通じて利用できます。これにより、Microsoft テクノロジーの可用性、セキュリティ、パフォーマンスを最適化できます。 これらの評価には、Microsoft Azure Log Analytics が使用されます。Azure Log Analytics は、ご使用の環境全体における IT とセキュリティの管理を簡素化するよう設計されています。
この評価は、Microsoft Entra ID および組織のリスクを軽減するために、重点分野の具体的で実践的なガイダンスをグループ化して提示するように設計されています。
Microsoft Entra ID 評価の主要な柱
- ID およびアクセス管理
- ガバナンス
- 運用
- 認証
- セキュリティ
Microsoft Entra ID 評価の実行
前提条件
サービス ハブを通じて使用できるオンデマンド評価のメリットを最大限に活かすには、次のことを行う必要があります。
アクティブな Azure サブスクリプションを Services Hub にリンクさせて、Microsoft Entra ID 評価が追加されている状態にします。 詳細については、「オンデマンド評価の概要」を参照するか、「動画をリンクする方法」をご覧ください。
次の権限を持つ評価スケジュール タスク アカウント (ドメインまたはローカル ユーザー):
- データ収集マシンへの管理アクセス
- データ収集マシンにバッチ ジョブ特権としてログオンする
- 次のプロパティが指定された、Microsoft Entra ID 登録アプリケーションの設定用の Microsoft Entra ID アカウント。
- グローバル管理者
- 非フェデレーション
注:
ご使用の環境の初期構成を行い、オンデマンド評価を実行するには、平均して 2 時間かかります。 評価を実行した後、Azure Log Analytics でデータを確認できます。 これにより、推奨事項の優先順位付けられたリストが提供されます。これは 6 つの重点分野にまたがって分類されます。 これにより、ユーザーとユーザーのチームが、リスク レベル、ご使用の環境の正常性、リスクを軽減する行為をすばやく理解し、IT 全体の正常性を向上できます。
データ収集マシンでの Microsoft Entra ID 評価のセットアップ
注:
Azure サブスクリプションを Services Hub にリンクさせ、Services Hub で [IT 正常性]、[オンデマンド評価] の順に Microsoft Entra ID 評価を追加した場合のみ、評価を正常に設定することができます。
スコープ内の Microsoft Entra ID テナントに Microsoft 評価アプリケーションを登録します。
- データ収集マシンで、C:\OMS\AzureAD (または必要に従って他のフォルダー) のフォルダーを作成し
- (ISE ではなく) 通常の PowerShell を管理者モードで開き、以下のコマンドレットを実行して、評価対象の Microsoft Entra ID テナントに登録アプリを作成します。
New-MicrosoftAssessmentsApplication
注:
コマンドの New-MicrosoftAssessmentsApplication を使用できない場合、モジュールはまだ検出されていません。 エージェントをインストールしてから表示されるまでに時間がかかることがあります。
- この記事の前半で説明されている要件を満たす、必要な Microsoft Entra ID アカウントの資格情報を指定します。 このアプリケーションで評価に必要な読み取り許可について、管理者の同意プロンプトで "同意" をクリックします。
注:
同意の詳細については、「Microsoft Entra ID 評価アプリケーションのアクセス許可」を参照してください。
評価がスケジュールされたタスクを作成する
- 管理者モードで通常の Powershell (ISE ではない) を開き、以下のパラメーターを使用して以下のコマンドレットを実行し、<Directory> と <AccountName> を評価作業ディレクトリと評価スケジュールされたタスク アカウント名に置き換えます。
[!重要]「C:\ODA」はシステムによって予約されているため、作業ディレクトリのパスとして使用しないでください。
Add-AzureAssessmentTask -WorkingDirectory <Directory> -ScheduledTaskUsername <accountname>
WorkingDirectory is a path to an existing directory used to store the files created while collecting and analyzing the data from the environment
Workspace Id – provide id for the Log Analytics workspace that will be used to store the uploaded data
注:
コマンド Add-AzureAssessmentTask を使用できない場合、モジュールはまだ検出されていません。 エージェントをインストールしてから表示されるまでに時間がかかることがあります。
スクリプトによって必要な設定が続行され、データ収集をトリガーするスケジュール タスクが作成されます。
データ収集は、前回のスクリプトの実行から 1 時間以内に、さらにその後は 7 日ごとに、AzureAssessment という名前のスケジュール タスクによってトリガーされます。 [タスク スケジューラ ライブラリ]、[Microsoft]、[Operations Management Suite]、[AOI***]、[評価]、[AzureAssessment] の順に選択して、タスクを変更して別の日付/時刻に実行することや、即時実行を強制することができます。
評価の実行
収集および分析している間に、セットアップ時に構成された作業ディレクトリ フォルダー下にデータが一時的に保存されます。
数時間後、評価結果がLog Analytics と Services Hub ダッシュボードで利用可能です。 [Services Hub]、[正常性]、[評価] の順に移動し、アクティブな評価で [すべての推奨事項を表示] をクリックすると結果を確認できます。
Microsoft 認定エンジニアに Microsoft Entra ID 評価に関する問題を一緒に確認してもらいたい場合は、Microsoft 担当者に連絡して、リモートまたはオンサイトの CSA による配信について尋ねることができます。
| 契約 | リモート エンジニア | オンサイト エンジニア |
|---|---|---|
| Premier | Microsoft Entra ID リモート データシート | Microsoft Entra ID オンサイト データシート |
| ユニファイド | Microsoft Entra ID リモート データシート | Microsoft Entra ID オンサイト データシート |