参照：
https://docs.microsoft.com/en-us/azure/active-directory/governance/entitlement-management-overview概要Contoso、Ltdは、ロンドンとシアトルのモントリオールオフィスに本社を置くコンサルティング会社です。
Contosoは、Fabrikam、Incという名前の会社とパートナーシップを結んでいます。Fabcricamには、fabrikam.comという名前のAzure Active Diretory（Azure AD）テナントがあります。

参照：
https://docs.microsoft.com/en-us/azure/active-directory/identity-protection/concept-identity-protection-risks

参照：
https://docs.microsoft.com/en-us/azure/active-directory/roles/delegate-app-roles概要Contoso、Ltdは、ロンドンとシアトルのモントリオールオフィスに本社を置くコンサルティング会社です。
Contosoは、Fabrikam、Incという名前の会社とパートナーシップを結んでいます。Fabcricamには、fabrikam.comという名前のAzure Active Diretory（Azure AD）テナントがあります。
トピック2、Contoso、Ltd
既存の環境
Contosoのオンプレミスネットワークには、contos.comという名前のActiveDirectoryドメインが含まれています。ドメインには、Contoso_Resourcesという名前の組織単位（OU）が含まれています。Contoso_Resoureces OUには、すべてのユーザーとコンピューターが含まれます。
Contoso.com Active Directoryドメインには、次の表に示すユーザーが含まれています。

Microsoft 365/Azure環境
Contosoには、次の関連ライセンスを持つContoso.comという名前のAzureADテナントがあります。
Microsoft Office 365 Enterprise E5
エンタープライズモビリティ+セキュリティ
Windows 10 Enterprise E5
プロジェクト計画3
Azure AD Connectは、azureADとActiveDirectoryドメインサーバーレス（AD DS）の間で構成されます。ContosoResourcesOUのみが同期されます。
ヘルプデスク管理者は、Microsoft365管理センターを日常的に使用してユーザー設定を管理します。
ユーザー管理者は現在、Microsoft 365管理センターを使用して手動でライセンスを割り当てています。すべてのユーザーには、次の例外を除いてすべてのライセンスが割り当てられています。
ロンドンオフィスのユーザーは、手動でライセンスを割り当てるためのMicrosoft365管理センターを持っています。すべてのユーザーには、次の例外以外にライセンスが割り当てられています。
ロンドンオフィスのユーザーには、Microsoft365電話システムライセンスが割り当てられていません。
シアトルオフィスのユーザーには、YammerEnterpriseLicenseが割り当てられていません。
Contoso.comのセキュリティのデフォルトは無効になっています。
Contosoは、Azure AD特権ID管理（PIM）を使用して管理者の役割をプロジェクトします。
問題の説明
Contosoは、次の問題を識別します。
*現在、すべてのヘルプデスク管理者は、Microsoft365テナント全体でユーザーライセンスを管理できます。
*ユーザー管理者は、Contosoオフィスごとに異なるライセンス要件を手動で構成するのは面倒だと報告しています。
*ヘルプデスク管理者は、必要なMicrosoft365サービスおよびアプリへの内部アクセスとゲストアクセスのプロビジョニングに多くの時間を費やしています。
*現在、ヘルプデスク管理者は、次のものを使用してタスクを実行できます。正当化または承認なしのユーザー管理者ロール。
* Azure ADで[ログ]ノードを選択すると、LogAnalytics統合が有効になっていないことを示すエラーメッセージが表示されます。
計画された変更
Contosoは、次の変更を実装する予定です。
セルフサービスパスワードリセット（SSPR）を実装します。AzureMonitorを使用してAzure監査アクティビティログを分析する-テナントに追加された新しいユーザーのライセンス割り当てを簡素化します。共同マーケティングキャンペーンでFabrikamのユーザーと協力します。有効化するために正当化と承認を要求するようにユーザー管理者の役割を構成します。
App1という名前のカスタム基幹業務AzureWebアプリを実装します。App1はインターネットからアクセス可能であり、AzureADアカウントを使用して認証されます。
マーケティング部門の新規ユーザーの場合は、自動承認ワークフローを実装して、Microsoft SharePoint Onlineサイト、グループ、およびアプリへのアクセスを提供します。
ContosoはCorporationという名前の会社を買収する予定です。100人の新しいADatumユーザーがAdatumという名前のActiveDirectoryOUに作成されます。ユーザーはロンドンとシアトルに配置されます。
技術要件
Contosoは、次の技術要件を識別します。
* AHユーザーは、ADDSからcontoso.comAzureADテナントに同期する必要があります。
* App1には、https：//contoso.com/auth-responseを指すリダイレクトURIが必要です。
*新規ユーザーのライセンス割り当ては、ユーザーの場所に基づいて自動的に割り当てる必要があります。
* Fabrikamユーザーは、マーケティング部門のSharePointサイトに最大90日間アクセスできる必要があります。
*AzureADで実行される管理アクションを監査する必要があります。監査ログは1年間保持する必要があります。
*ヘルプデスク管理者は、それぞれのオフィスのユーザーのみのライセンスを管理できる必要があります。
*ユーザーの身元が危険にさらされる可能性がある場合、ユーザーはパスワードの変更を強制される必要があります。

参照：
https://docs.microsoft.com/en-us/cloud-app-security/app-permission-policy