Entra ID 勉強会(SC-300)EntraIDにデバイスを登録できる上限

Entra ID

問題

ケース スタディ –

〇概要 –
ADatum Corporation は、モントリオールのコンサルティング会社です。ADatumは最近、バンクーバーに拠点を置く Litware, Inc. という会社を買収しました。

〇既存の環境。ADatum 環境
ADatum のオンプレミス ネットワークには、adatum.com という名前の Active Directory Domain Services (AD DS) フォレストが含まれています。
ADatum には、Microsoft 365 E5 サブスクリプションがあります。
サブスクリプションには、Entra Connect を使用して adatum.com AD DS ドメインと同期する検証済みドメインが含まれています。
ADatum には、adatum.com という名前の EntraIDテナントがあります。
テナントでは、セキュリティの既定値が無効になっています。
テナントには、次の表に示すユーザーが含まれています。

テナントには、次の表に示すグループが含まれています。

〇既存の環境。Litware 環境
Litware には、litware.com という名前の AD DS フォレストがあります
〇問題の説明
ADatum では、次の問題が特定されています。
営業部門のユーザーから、デバイスの制限に達したため、デバイスを EntraID テナントに参加させるためにサポート部門に問い合わせる必要がある場合があると報告されています。

  • 最近のセキュリティ インシデントにより、複数のユーザーが資格情報を漏洩し、サインインに疑わしいブラウザーが使用され、匿名の IP アドレスからリソースにアクセスされたことが明らかになりました。
  • デバイス管理者ロールを IT_Group1 に割り当てようとしたときに、グループが選択リストに表示されません。
  • ゲスト ユーザー (他のゲストや管理者以外も含む) を組織内のすべてのユーザーが招待できます。
  • ヘルプデスクは、ユーザーのパスワードのリセットに時間がかかりすぎています。
  • ユーザーは、現在、認証にパスワードのみを使用しています。

〇要件。 計画されている変更 –
ADatum では、次の変更を実装する予定です。

  • セルフサービス パスワード リセット (SSPR) を構成します。
  • すべてのユーザーに対して多要素認証 (MFA) を構成します。
  • Package1 という名前のアクセス パッケージのアクセス レビューを構成します。
  • 組織データへのアプリケーション アクセスには管理者の承認が必要です。
  • litware.com の AD DS ユーザーとグループを EntraID テナントと同期します。
  • 特定の管理者ロールが割り当てられているユーザーのみがゲスト ユーザーを招待できるようにします。
  • EntraID に参加または登録できるデバイスの最大数を 10 に増やします。

〇要件。技術要件
ADatum では、次の技術要件が特定されています。

  • ユーザー管理者ロールを割り当てられたユーザーは、最大 1 年間、必要に応じてロールを使用するためのアクセス許可を要求できる必要があります。
  • ユーザーには、MFA への登録を求めるプロンプトが表示され、猶予期間中は登録をバイパスするオプションが提供される必要がある。
  • ユーザーは、SSPR を使用してパスワードをリセットするための認証方法を 1 つ提供する必要がある。

使用可能な方法には、次のものが含まれる必要がある:

  • 電子メール
  • 電話
  • セキュリティの質問
  • Microsoft Authenticator アプリ
    • adatum.com と litware.com の AD DS ドメイン間で信頼関係を確立してはなりません。
    • 最小権限の原則を使用する必要があります。

〇問題文

営業部門のユーザーの問題を解決する必要があります。EntraID テナントには何を構成する必要がありますか?

A. デバイス設定
B. ユーザー設定
C. アクセスレビュー設定
D. セキュリティデフォルト

回答

A. デバイス設定

解説

• 問題文より、「デバイスの制限に達したため、デバイスを EntraID テナントに参加させるために~」と記載があり、
EntraID内で、デバイスの登録台数に関する設定/変更が可能な場所を回答する

• Entra管理センターのメニューより、「デバイス」>「デバイスの設定」より、ユーザー毎のデバイスの最大数(※)を選択可能
※1 人のユーザーが Microsoft Entra で持つことができるデバイスの最大数を指定します。この上限に達すると、既存のデバイスを 1 つ以上削除しない限り、デバイスを追加できなくなります。

※カスタムの場合は1-100の間で指定可能

補足・周辺情報

• 下記の場合はユーザーごとのデバイスの最大数は未適用

○ Microsoft Entra Hybrid参加(MEHJ)端末(例:MEHJ端末の所有者がUserAの時、UserAの登録台数にカウントされない)

○ Windows自動登録 + 一括デバイス登録(プロビジョニングパッケージを利用したデバイスの登録)

○ Windows自動登録 + GPO(ドメイン参加してMEHJ構成+Intune登録)

Intune とMicrosoft Entraデバイスの制限の制限について理解する - Microsoft Intune
Intune デバイス制限の制限とデバイス制限のMicrosoft Entraの違いについて説明します。
learn.microsoft.com

• Intune側の「登録デバイスの上限数制限」との関係

○ EntraIDに登録されたデバイスをIntuneに自動登録可能

○ Intuneに登録できるデバイス数の制限が可能(多くて15台まで)

○ EntraID側の登録上限と、Intune側の登録上限が異なるとき、どうなるのか?

・Entra側5台まで:Intune側10台までのとき

⇒ 6台目のデバイスをEntraIDに登録しようとすると、EntraIDへのデバイス登録が失敗&結果としてIntuneへのデバイス登録も失敗

・Entra側10台まで:Intune側5台までのとき

⇒ 6台目のデバイスをEntraIDに登録しようとすると、EntraIDへのデバイス登録は成功&Intuneへのデバイス登録は失敗

○ デバイス登録マネージャー(Device Enrollment Manager:DEM)アカウントについて

 ・Intuneにデバイスを1000台まで登録できるアカウントとしてDEMアカウントを作成可能

 ・ BYOD端末の登録をブロックしている時、DEMアカウントを使用すれば登録が可能

登録制限の概要 - Microsoft Intune
Microsoft Intune で使用できる登録制限について説明します。
learn.microsoft.com

・DEMアカウントでも、EntraID側の登録上限台数の影響を受ける
 例えば、DEMアカウントで1000台近くのデバイスを登録する場合でも、「EntraID側のユーザーごとのデバイスの最大数」は「無制限」としておく必要あり

デバイス登録マネージャー アカウントを使用してデバイスを登録する - Microsoft Intune
デバイス登録マネージャー アカウントを使用してデバイスを Intune に登録します。
learn.microsoft.com

コメント