演習 - Microsoft Entra ID を設定する
この演習では、Microsoft Entra テナント、ユーザー、グループなど、Microsoft Entra ID 関連のエンティティを作成および管理するプロセスを体験します。 まず、お使いのサブスクリプションに関連付けられている Microsoft Entra テナントに、1 つのユーザー アカウントと 2 つのグループを作成し、そのユーザーを最初のグループに追加します。 次に、Microsoft Entra テナントをもう 1 つ作成し、そのテナントにユーザー アカウントを 1 つ作成します。 この演習の最後には、2 つ目のテナントのユーザー アカウントを、ゲスト アカウントとして 1 つ目のテナントに追加することになります。 このモジュールの以降の演習では、Azure Database for PostgreSQL 単一サーバー インスタンスと最初の Microsoft Entra テナントとの統合を実装し、そのコンテンツへのアクセス権を、先ほど作成した 2 つのグループに付与します。
この演習では、以下のことを行います。
- Azure サブスクリプションに関連付けられている Microsoft Entra テナントに Microsoft Entra のユーザー オブジェクトとグループ オブジェクトを作成する。
- 追加の Microsoft Entra テナントとユーザー オブジェクトを作成する。
- Azure サブスクリプションに関連付けられている Microsoft Entra テナントに Microsoft Entra ゲスト ユーザーを作成して構成する。
前提条件
この演習を実行するための要件は次のとおりです。
- アクティブなサブスクリプションが含まれる Azure アカウント。 Azure アカウントをお持ちでない場合は、開始する前に無料アカウントを作成してください。 このモジュールでは、無料アカウントのようなテスト環境を使うことをお勧めします。
- この Azure アカウントには、アプリケーションを管理するためのアクセス許可が必要です。 Entra ロールと最小特権の原則の使用について詳しくは、「Microsoft Entra ロールのベスト プラクティス」と「Microsoft Entra ビルトイン ロール」をご覧ください。
- Azure サブスクリプションに関連付けられている Microsoft Entra テナントの全体管理者ロールと、Azure サブスクリプションの所有者または共同作成者ロールを持つ Microsoft アカウントまたは Microsoft Entra アカウント。
警告
このモジュールの演習では、昇格された管理特権を必要とする機密性の高い操作が実行されるため、テスト環境を使用してください。
Azure サブスクリプションに関連付けられている Microsoft Entra テナントに Microsoft Entra のユーザー オブジェクトとグループ オブジェクトを作成する
まず、Microsoft Entra のユーザー オブジェクトとグループ オブジェクトを作成します。 オブジェクトの作成後、それぞれのグループ メンバーシップを構成します。 構成タスクを効率よく行うために、ここでは Azure CLI を使用します。 このモジュールの次の演習では、これらの Microsoft Entra オブジェクトを利用して、Azure Database for PostgreSQL 単一サーバー インスタンスに対する認証を行います。
Web ブラウザーを起動し、Azure portal に移動してサインインし、このモジュールで使用する Azure サブスクリプションにアクセスします。
Azure portal で、検索テキスト ボックスの横にあるツール バーのアイコンを選択して、Cloud Shell を開きます。
必要に応じて、Bash を選択します。
Note
Azure Cloud Shell を起動するのが初めてで、"ストレージがマウントされません" というメッセージが表示される場合は、この演習で使用するサブスクリプションを選んでから、[ストレージの作成] を選択します。
Azure Cloud Shell ペインの Bash セッション内で次のコマンドを実行し、Azure サブスクリプションに関連付けられている Microsoft Entra テナントの既定の DNS ドメイン名を特定します。
DOMAIN_NAME=$(az rest --method GET --url 'https://management.azure.com/tenants?api-version=2020-01-01' --query "value[0].defaultDomain" -o tsv)次のコマンドを実行して、Azure サブスクリプションに関連付けられている Microsoft Entra テナントに Microsoft Entra ユーザーを作成します。
ADMIN_NAME=adatumadmin1 ADMIN=$(az ad user create --display-name $ADMIN_NAME \ --password <enter your password> \ --user-principal-name $ADMIN_NAME@$DOMAIN_NAME \ --force-change-password-next-sign-in false)Note
次の演習では、このユーザー アカウントを、Azure Database for PostgreSQL シングル サーバー インスタンスの Microsoft Entra 管理者として構成します。
次のコマンドを実行して、前の手順で作成した Microsoft Entra ユーザーの userPrincipalName 属性の値を特定します。
echo $ADMIN | jq -r '.userPrincipalName'Note
この値は記録しておいてください。 このモジュールの次の演習で必要になります。
次のコマンドを実行して、このモジュールの演習で使用している Azure サブスクリプションの共同作成者ロールを、新しく作成したユーザーに割り当てます。
ADMIN_OBJECT_ID=$(echo $ADMIN | jq -r '.id') SUBSCRIPTION_ID=$(az account show --query id --output tsv) az role assignment create --assignee "$ADMIN_OBJECT_ID" \ --role "Contributor" \ --scope "/subscriptions/$SUBSCRIPTION_ID"Note
2 つ目のコマンドからは、既定のサブスクリプションの ID が返されます。 別のサブスクリプションを使用する場合は、適宜 $SUBSCRIPTION_ID 変数の値を設定する必要があります。
次のコマンドを実行して、Azure サブスクリプションに関連付けられている Microsoft Entra テナントに Microsoft Entra ユーザーを作成します。
USER_NAME=adatumuser1 USER=$(az ad user create --display-name $USER_NAME \ --password <enter your password> \ --user-principal-name $USER_NAME@$DOMAIN_NAME \ --force-change-password-next-sign-in false)Note
次の演習では、このユーザー アカウントを、Azure Database for PostgreSQL シングル サーバー インスタンス上のデータベースへのアクセス権を持つ非特権 Microsoft Entra ユーザーとして構成します。
次のコマンドを実行して、Azure サブスクリプションに関連付けられている Microsoft Entra テナントに Microsoft Entra グループを作成します。
GROUP_NAME=adatumgroup1 GROUP=$(az ad group create --display-name $GROUP_NAME \ --mail-nickname $GROUP_NAME \ --description $GROUP_NAME)Note
次の演習では、このグループを使用して、Azure Database for PostgreSQL シングル サーバー インスタンス上にあるデータベースへのアクセス許可を割り当てます。
次のコマンドを実行して、グループにユーザーを追加します。
USER_OBJECT_ID=$(echo $USER | jq -r '.id') az ad group member add --group $GROUP_NAME --member-id $USER_OBJECT_ID次のコマンドを実行して、このモジュールの演習で使用している Azure サブスクリプションの共同作成者ロールを、新しく作成したユーザーに割り当てます。
SUBSCRIPTION_ID=$(az account show --query id --output tsv) az role assignment create --assignee "$USER_OBJECT_ID" \ --role "Contributor" \ --scope "/subscriptions/$SUBSCRIPTION_ID"Note
このロールの割り当ては、このモジュールの次の演習で利用します。
[Cloud Shell] ペインを閉じます。
この演習の結果を確認するために、Azure portal で、Azure portal ページの上部にある [リソース、サービス、ドキュメントの検索] ボックスを使用して Microsoft Entra ID を検索します。
結果の一覧で、[Microsoft Entra ID] を選択します。
Microsoft Entra テナントのプロパティが表示されているウィンドウの縦長のメニューで、[管理] セクションにある [ユーザー] を選択します。
[ユーザー | すべてのユーザー] ウィンドウのユーザー一覧に、このタスクで先ほど作成したユーザー アカウントが含まれていることを確認します。
Microsoft Entra テナントのプロパティが表示されているウィンドウに戻り、縦長のメニューで、[管理] セクションにある [グループ] を選択します。
[グループ | すべてのグループ] ブレードのグループ一覧に、先ほどこのタスクで作成したグループ アカウントが含まれていることを確認します。
追加の Microsoft Entra テナントとユーザー オブジェクトを作成する
このタスクでは、Azure portal を使用して、新しいテナントに Microsoft Entra テナントとユーザー アカウントを作成します。 次のタスクでは、このユーザー アカウントを 1 つ目のテナントのゲスト ユーザー アカウントとして構成します。
Web ブラウザーで、Microsoft Entra テナントのプロパティが表示されている Azure portal ウィンドウで [テナント管理]、[+ 作成] の順に選択します。
[テナントの作成] ウィンドウの [基本] タブで、[Microsoft Entra ID] オプションが選択されていることを確認し、[次へ: 構成 >] を選択します。
[Create a tenant](テナントの作成) ブレードの [構成] タブで、次の設定を指定します。
設定 値 組織名 Contoso 初期ドメイン名 小文字と数字で構成され、文字で始まる任意の有効な DNS 名 国/リージョン 国またはリージョンの名前 [確認と作成] を選択し、[Create a tenant](テナントの作成) ブレードの [確認と作成] タブで [作成] を選択します。
メッセージが表示されたら、[Help us prove you're not a robot]\(あなたがロボットではないことを確認させてください\) で、指定されたコードを入力し、[Submit]\(送信\) を選択します。
プロビジョニングの完了を待って [Contoso] リンクを選択し、Contoso の Microsoft Entra テナントのプロパティが表示されているウィンドウに移動します。
Web ブラウザーで、Contoso Microsoft Entra テナントの [Contoso | 概要] ウィンドウが表示されている Azure portal ウィンドウにアクセスし、縦長のメニューの [管理] セクションで [ユーザー] を選択します。
[Contoso - Microsoft Entra ID] テナントの [ユーザー | すべてのユーザー] ウィンドウで、[+ 新しいユーザー]、[新しいユーザーの作成] の順に選択します。
[新しいユーザーの作成] ウィンドウで、次の設定を指定し、その他の設定は既定値のままにします。
設定 値 ユーザー名 contosouser1 名前 contosouser1 自分でパスワードを作成する Enabled 初期パスワード <password>を入力する[ユーザー名] ドロップダウン リストの横にある [クリップボードにコピー] アイコンを使用して、contosouser1 のユーザー プリンシパル名属性の値を記録します。 後でこの演習および後続の演習で必要になります。
[新しいユーザー] ブレードで [作成] を選択します。
[Contoso - Microsoft Entra ID] テナントの [ユーザー | すべてのユーザー] ウィンドウで、ユーザー アカウントの一覧を確認し、新しいユーザー アカウントが正常に作成されたことを確認します。
Note
次の演習では、このユーザー アカウントを、Azure Database for PostgreSQL シングル サーバー インスタンス上のデータベースへのアクセス権を持つ非特権 Microsoft Entra ユーザーとして構成します。
Azure サブスクリプションに関連付けられている Microsoft Entra テナントに Microsoft Entra ゲスト ユーザーを作成して構成する
この演習を終了するには、Azure portal を使用して、Contoso Microsoft Entra テナントのユーザー アカウントを Adatum Microsoft Entra テナントのゲスト ユーザーとして構成します。さらに、Adatum テナントに新しいグループを作成し、そのグループにゲスト ユーザーを追加します。
Web ブラウザーで、Contoso Microsoft Entra テナントの [Contoso | 概要] ウィンドウが表示されている Azure portal ウィンドウにアクセスし、右上隅にあるツール バーで、[Cloud Shell] アイコンの横にある [サブスクリプション] アイコンを選択し、[ディレクトリの切り替え] リンクを選択します。
[ディレクトリとサブスクリプション] ウィンドウで、このモジュールの演習で使用している Azure サブスクリプションに関連付けられている Microsoft Entra テナントを表すエントリを選択し、[切り替え] を選択します。
Note
セッションが、このモジュールの演習で使用している Azure サブスクリプションに関連付けられている Microsoft Entra テナントに自動的に切り替わります。
Azure portal で、[リソース、サービス、ドキュメントの検索] テキスト ボックスを使用して Microsoft Entra ID を検索し、結果の一覧で [Microsoft Entra ID] を選択します。
Microsoft Entra テナントのプロパティが表示されているウィンドウの縦長のメニューで、[管理] セクションにある [ユーザー] を選択します。
[ユーザー | すべてのユーザー] ウィンドウで、[+ 新しいユーザー]、[外部ユーザーの招待] の順に選択します。
[外部ユーザーの招待] ウィンドウで、[ユーザーの招待] オプションが選択されていることを確認し、次の設定を指定し、他の設定は既定値のままにして、[確認と招待]、[招待] の順に選択します。
設定 値 電子メール アドレス このタスクで先ほど記録した contosouser1 のユーザー プリンシパル名属性の値 [表示名] contosouser1 招待メッセージ Welcome to Adatum Microsoft Entra テナントのプロパティが表示されているウィンドウに戻り、縦長のメニューで、[管理] セクションにある [グループ] を選択します。
[グループ | すべてのグループ] ブレードで adatumgroup1 を選択します。
[adatumgroup1] ブレードで [メンバー] を選択します。
[adatumgroup1 | メンバー] ブレードで [+ メンバーの追加] を選択します。
[メンバーの追加] ブレードの [検索] ボックスに「contosouser1」と入力します。
結果の一覧から [contosouser1] エントリを選択し、[選択] を選択します。
結果
おめでとうございます。 このモジュールの最初の演習を完了しました。 この演習では、まず、お使いの Azure サブスクリプションに関連付けられている Microsoft Entra テナントにユーザーとグループを作成し、そのユーザーをそのグループに追加しました。 次に、別の Microsoft Entra テナントを作成し、その Microsoft Entra テナントにユーザーを作成しました。 最後に、そのユーザーを、お使いの Azure サブスクリプションに関連付けられている Microsoft Entra テナントのゲスト ユーザーとして構成し、そのテナントにもう 1 つグループを作成し、そのグループにゲスト ユーザーを追加しました。