ラック・セキュリティごった煮ブログ

セキュリティエンジニアがエンジニアの方に向けて、 セキュリティやIT技術に関する情報を発信していくアカウントです。

【お知らせ】2021年5月10日~リニューアルオープン!今後はこちらで新しい記事を公開します。

株式会社ラックのセキュリティエンジニアが、 エンジニアの方向けにセキュリティやIT技術に関する情報を発信するブログです。(編集:株式会社ラック・デジタルペンテスト部)
/ セキュリティブログ / セキュリティエンジニア /
当ウェブサイトをご利用の際には、こちらの「サイトのご利用条件」をご確認ください。

デジタルペンテスト部提供サービス:ペネトレーションテスト

Microsoft Entra ID の検証環境を作ろう

井上(WHI)

ペネトレーションテストを担当してますWHIです。

皆さんペネトレーションテストしてますか?
オンプレのActive Directoryだけで満足してませんか?

昨今のOA環境のインフラ情勢として、従業員向け端末の管理はADに代わってEntra IDやその両方を同期するハイブリッド型に移り変わりつつあります。

ペンテスターもそのような変化に追従して日々新しく採用される技術スタックへのペネトレーションテスト能力の研鑽が望まれる時代です。
OSCPなどを受講した方はわかってくれるかと思いますが、いち早くペンテストの腕を身に着けるには実際の環境をいじくり倒す他ないでしょう。

そのような時必要になるのが検証環境です。

この記事ではEntra IDの検証環境を無料で作成する方法をご紹介します。

Microsoft Entra IDのプラン

Entra IDのプランとして明示的に販売されているのはP1やP2という有料プランだけですが、以下のリンクの通り実はMicrosoft Entra ID Free と呼ばれる無料プランが存在します。

https://www.microsoft.com/ja-jp/security/business/microsoft-entra-pricing

無料プランでも、テナントに複数のユーザーを作成したりSAML連携したりテナントにデバイスをEntra ID Joinさせたりと、基本的な機能は利用できます。

無料テナントの作成

上記で掲載したプラン説明のリンクにて、無料プランについては以下のように記載されています。

Microsoft Entra ID Free は、Microsoft Azure や Microsoft 365 などの Microsoft クラウド サブスクリプションに含まれています。

この説明のとおり、Microsoft Azureなどの利用を開始すれば自動的に無料プランがついてくるという感じです。そもそも、Microsoft AzureやMicrsoft 365のユーザー管理はEntra IDで行われるのでそれらのサービスを使用していればEntra IDを使用していることになります。またそれに加えて他にも作成する方法もあるのですが、考えられる作成方法を整理すると以下の3パターンになります。

  • 方法①:新規にMSアカウントを作成して、Microsoft Azureの無料試用版にサインアップする
  • 方法②:組織版Microsoft 365の無料試用版にサインアップする
  • 方法③:Microsoft 365 E5などを契約している会社のアカウントなどで新しいテナントを新規作成する(※)

Microsoft 365 E3やE5などにはEntra IDの有料プラン(Entra ID P1やP2)がバンドルされているので、会社ですでにMicrsoft 365を使用していればそのEntra IDアカウントで会社のテナントに依存しない新しいEntra IDテナントを無料で作成することができます。以前は、無料のAzureアカウントでEntra IDのテナントが作成し放題でしたが、2023年10月の変更で有料プランからしか追加作成できなくなりました。(以下リンク参照)

https://learn.microsoft.com/ja-jp/entra/fundamentals/create-new-tenant

この記事では、方法③について具体的な作成方法を紹介します。

具体的な作成方法

基本的には、上記リンクの手順どおりAzure Portalにアクセスして作成可能ですが、組織によってはAzure PortalからのEntra IDの閲覧を制限しており以下のよう表示される場合があります。

その場合でも以下の手順を踏むことで、閲覧制限の有無によらずテナントを作成できます。

まず、Azure Portalにアクセスしたら、リソースの作成を選択します。

検索欄に「Entra ID」と入力しMarketplace内を検索し、Microsoft Entra IDについて「作成」を選択します。

作成するテナントの種類を選択する画面になるので、「Microsoft Entra ID」を選択します。
ちなみに、ほかの選択肢はB2C Webアプリなど向けの種類のIDaaSテナントです。

作成ウィザードが表示されるので、任意のテナント名と初期ドメイン(<この部分>.onmicrosoft.com)を入力し、リージョンを選択して次に進みます。
ここで、入力する初期ドメインは後から変更できないので、恥ずかしい文字列は入力しないことを推奨します。持っている独自ドメインは後から追加できます。

確認画面が表示されるので、問題なければ作成を選択しましょう。その際、CAPTCHAの入力を求められるので送信するとテナントが作成されます。

作成したテナントに切り替えてみます。右上のアイコンをクリックして「ディレクトリの切り替え」を選択します。

テナントを作成したEntra IDアカウントが所属しているテナントの一覧が表示されます。うまくテナントが作成されていれば先ほど作成したテナントが表示されているはずです。「切り替え」を選択するとテナントが切り替わります。

作成後の処理

この記事の手順で作成したテナントの作成直後のEntra IDのユーザーの状態を確認すると、作成元テナントのユーザーが外部ユーザーとして唯一存在し、この外部ユーザーアカウントに新規作成したテナントのグローバル管理者ロールが付与されている状態になります。

元のテナントから完全に独立したテナントとするために以下の手順を踏みます。

  1. 新規作成したテナントに、新しくテナント固有のグローバル管理者ロールを付与したアカウントを作成
  2. 新しく作成したアカウントでAzure Portalに再ログイン(ブラウザのプライベートモードなどを使うとよい)
  3. 新規作成したテナントに外部ユーザーとして存在する元のテナントのアカウントを削除

Entra IDのユーザー設定から「新しいユーザー」を選択しアカウントを作成します。作成過程で「グローバル管理者」ロールを割り当てます

プライベートモードでブラウザを立ち上げ、Azure Portalに新しく作成したアカウントでログインします。
新しいパスワードを設定する必要があるかと思いますので設定し、また2024年10月以降Entra IDの2FAが段階的に強制されていますので2FAを設定する必要もあるかと思います。

https://learn.microsoft.com/ja-jp/entra/identity/authentication/concept-mandatory-multifactor-authentication

新規作成したアカウントでログインしたら、Entra IDの設定を開き元テナントの外部ユーザーを削除します。

これで、元テナントから完全に独立した新しいEntra IDテナントのできあがりです。

以降、新しい一般ユーザーを作成したりEntra ID Connectの検証をしたりと煮るなり焼くなりな検証環境として利用できるようになりました。

ちなみに

ちなみに、いつぞやからEntra IDテナント(おそらくFreeだけ?)は、アクティビティがない状態が続くとテナントが無効(非アクティブ)化されるようになったようです。一度非アクティブになるとMSのサポートに電話する必要があるなど復旧が非常にめんどくさいので、非アクティブにならないように定期的にログインなどをするか、非アクティブになってしまったらあきらめて再度新しいテナントを作成するなどするのがよいかと思います。

https://learn.microsoft.com/ja-jp/entra/fundamentals/inaccessible-tenant