参照：
https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/add-application-portal-assign-users
https://docs.microsoft.com/en-us/azure/active-directory/develop/active-directory-how-applications-are-added

参照：
https://docs.microsoft.com/en-us/azure/active-directory/external-identities/tutorial-bulk-invite

トピック 1、Contoso, Ltd
既存の環境
Contoso のオンプレミス ネットワークには、contos.com という名前の Active Directory ドメインが含まれています。このドメインには、Contoso_Resources という名前の組織単位 (OU) が含まれています。Contoso_Resoureces OU には、すべてのユーザーとコンピューターが含まれています。
Contoso.com Active Directory ドメインには、次の表に示すユーザーが含まれています。

Microsoft 365/Azure 環境
Contoso には、次のライセンスが関連付けられている Contoso.com という名前の Azure AD テナントがあります。
マイクロソフト Office 365 エンタープライズ E5
エンタープライズモビリティ + セキュリティ
Windows 10 エンタープライズ E5
プロジェクト計画3
Azure AD Connect は、Azure AD と Active Directory Domain Serverless (AD DS) の間で構成されます。Contoso Resources OU のみが同期されます。
ヘルプデスク管理者は、ユーザー設定を管理するために Microsoft 365 管理センターを定期的に使用します。
ユーザー管理者は現在、Microsoft 365 管理センターを使用してライセンスを手動で割り当てています。すべてのユーザーには、次の例外を除き、すべてのライセンスが割り当てられています。
ロンドン オフィスのユーザーには、Microsoft 365 管理センターを使用して手動でライセンスを割り当てることができます。次の例外を除き、すべてのユーザーにライセンスが割り当てられています。
ロンドン オフィスのユーザーには、Microsoft 365 電話システム ライセンスが割り当てられていません。
シアトル オフィスのユーザーには、Yammer Enterprise ライセンスが割り当てられていません。
Contoso.com ではセキュリティの既定値が無効になっています。
Contoso は、プロジェクト管理者ロールに Azure AD Privileged Identity Management (PIM) を使用します。
問題ステートメント
Contoso は次の問題を特定しています。
* 現在、すべてのヘルプデスク管理者は、Microsoft 365 テナント全体のユーザー ライセンスを管理できます。
* ユーザー管理者は、Contoso オフィスごとに異なるライセンス要件を手動で構成するのは面倒であると報告しています。
* ヘルプデスク管理者は、必要な Microsoft 365 サービスとアプリへの内部アクセスとゲスト アクセスのプロビジョニングに多くの時間を費やしています。
* 現在、ヘルプデスク管理者は、正当な理由や承認なしに、ユーザー管理者ロールを使用してタスクを実行できます。
* Azure AD でログ ノードを選択すると、Log Analytics 統合が有効になっていないことを示すエラー メッセージが表示されます。
計画された変更
Contoso は次の変更を実装する予定です。
セルフサービス パスワード リセット (SSPR) を実装します。Azure Monitor を使用して Azure 監査アクティビティ ログを分析し、テナントに追加された新しいユーザーのライセンス割り当てを簡素化します。Fabrikam のユーザーと共同マーケティング キャンペーンで協力します。アクティブ化するには正当性と承認が必要になるようにユーザー管理者ロールを構成します。
App1 という名前のカスタム基幹業務 Azure Web アプリを実装します。App1 はインターネットからアクセスでき、Azure AD アカウントを使用して認証されます。
マーケティング部門の新規ユーザーに対して、自動承認ワークフローを実装して、Microsoft SharePoint Online サイト、グループ、アプリへのアクセスを提供します。
Contoso は Corporation という会社を買収する予定です。Adatum という Active Directory OU に 100 人の新しい A Datum ユーザーが作成されます。ユーザーはロンドンとシアトルにいます。
技術要件
Contoso では、次の技術要件を特定しています。
* AH ユーザーは、AD DS から contoso.com Azure AD テナントに同期する必要があります。
* App1 には https://contoso.com/auth-response を指すリダイレクト URI が必要です。
* 新規ユーザーのライセンス割り当ては、ユーザーの所在地に基づいて自動的に割り当てられる必要があります。
* Fabrikam ユーザーは、マーケティング部門の SharePoint サイトに最大 90 日間アクセスできる必要があります。
* Azure AD で実行される管理アクションは監査される必要があります。監査ログは 1 年間保持する必要があります。
* ヘルプデスク管理者は、それぞれのオフィス内のユーザーのライセンスのみを管理できる必要があります。
* ユーザーの個人情報が漏洩した可能性がある場合、ユーザーにパスワードの変更を強制する必要があります。

参照：
D18912E1457D5D1DDCBD40AB3BF70D5D
https://docs.microsoft.com/en-us/azure/active-directory/governance/create-access-review