トピック 3、A Datum Corp概要
Datum Corporation はモントリオールのコンサルティング会社です。
A Datum は最近、バンクーバーに拠点を置く Litware, Inc. という会社を買収しました。
データ環境
A Datum のオンプレミス ネットワークには、adatum.com という名前の Active Directory ドメイン サービス (AD DS) フォレストが含まれています。
Datum には、Microsoft 365 E5 サブスクリプションがあります。サブスクリプションには、Azure AD Connect を使用して adatum.com AD DS ドメインと同期する検証済みドメインが含まれています。Datum には、adatum.com という名前の Azure Active Directory (Azure AD) テナントがあります。テナントでは、セキュリティの既定値が無効になっています。
テナントには、次の表に示すユーザーが含まれます。
問題ステートメント
データムは次の問題を識別します。
* 営業部門の複数のユーザーは、最大 5 台のデバイスを所有しています。営業部門のユーザーからは、デバイス制限に達したため、サポート部門に連絡してデバイスを Azure AD テナントに参加させる必要がある場合があると報告されています。
* 最近のセキュリティインシデントでは、複数のユーザーが認証情報を漏洩し、サインインに疑わしいブラウザが使用され、匿名のIPアドレスからリソースにアクセスされたことが明らかになりました。
* デバイス管理者ロールを IT_Group1 に割り当てようとすると、選択リストにグループが表示されません。
* 組織内の誰でも、他のゲストや管理者以外のユーザーを含め、ゲスト ユーザーを招待できます。
* ヘルプデスクはユーザーのパスワードのリセットに時間がかかりすぎます。
* 現在、ユーザーは認証にパスワードのみを使用しています。
要件
A、Datum は以下の変更を実施する予定です。
* セルフサービス パスワード リセット {SSPR} を構成します。
* すべてのユーザーに対して多要素認証 (MFA) を構成します。
* Package1 という名前のアクセス パッケージのアクセス レビューを構成します。
* 組織データへのアプリケーション アクセスには管理者の承認が必要です。
* AD DS ユーザーと groupsoflitware.com を Azure AD テナントと同期します。
* 特定の管理者ロールが割り当てられているユーザーのみがゲスト ユーザーを招待できるようにします。
* Azure AD に参加または登録できるデバイスの最大数を 10 に増やします。
技術要件
Datum は次の技術要件を識別します。
* ユーザー管理者ロールを割り当てられたユーザーは、最大 1 年間、必要に応じてロールを使用する権限を要求できる必要があります。
* ユーザーに対して MFA の登録を促すプロンプトを表示し、猶予期間中に登録をバイパスするオプションを提供する必要があります。
* ユーザーは、SSPR を使用してパスワードをリセットするために、1 つの認証方法を提供する必要があります。使用可能な方法には次のものが含まれます。
* メールアドレス
* 電話
* セキュリティに関する質問
* Microsoft Authenticator アプリ
* adatum.com と litware.com AD DS ドメイン間に信頼関係を確立してはなりません。
* 最小権限の原則を使用する必要があります。

Adatum 組織単位 (OU) を同期するように Azure AD Connect を構成するには、同期オプションのカスタマイズを選択する必要があります。
トピック 2、Litware, Inc
概要
Litware, Inc. は、Fabrikam, Inc. という子会社を持つ製薬会社です。Litware はボストンとシアトルにオフィスを構えていますが、従業員は米国全土にいます。従業員は、VPN 接続を使用してどちらかのオフィスにリモートで接続します。
アイデンティティ環境
ネットワークには、litware.com という名前の Azure Active Directory (Azure AD) テナントにリンクされた litware.com という名前の Active Directory フォレストが含まれています。Azure AD Connect はパススルー認証を使用し、パスワード ハッシュ同期は無効になっています。
Litware.com には、すべてのアプリケーション開発を監督する User1 というユーザーがいます。Litware は Azure AD アプリケーション プロキシを実装します。
Fabrikam には、fabrikam.com という名前の Azure AD テナントがあります。Fabrikam のユーザーは、litware.com テナントのゲスト アカウントを使用して litware.com のリソースにアクセスします。
クラウド環境
Litware のすべてのユーザーは、Microsoft 365 Enterprise E5 ライセンスを所有しています。Microsoft Cloud App Security に組み込まれているすべての異常検出ポリシーが有効になっています。
Litware には、litware.com Azure AD テナントに関連付けられた Azure サブスクリプションがあります。サブスクリプションには、Azure Active Directory コネクタと Office 365 コネクタを使用する Azure Sentinel インスタンスが含まれています。Azure Sentinel は現在、Azure AD サインイン ログと監査ログを収集しています。
オンプレミス環境
オンプレミス ネットワークには、次の表に示すサーバーが含まれています。

両方の Litware オフィスはインターネットに直接接続しています。両方のオフィスは、サイト間 VPN 接続を使用して Azure サブスクリプション内の仮想ネットワークに接続しています。すべてのオンプレミス ドメイン コントローラーはインターネットにアクセスできません。
委任要件
Litware では、次の委任要件が特定されています。
* Azure AD Privileged Identity Management (PIM) を使用して、特権ロールの管理を委任します。
* 権限のないユーザーがlitware.com Azure ADテナントにアプリケーションを登録できないようにします。
* アイデンティティ ガバナンスにはカスタム カタログとカスタム プログラムを使用します。
* User1 が Azure AD でエンタープライズ アプリケーションを作成できることを確認します。最小権限の原則を使用します。
ライセンス要件
Litware は最近、litware.com Active Directory フォレストに LWLicenses というカスタム ユーザー属性を追加しました。Litware は、LWLicenses 属性の値を変更して、Azure AD ライセンスの割り当てを管理したいと考えています。LWLicenses に適切な値を持つユーザーは、適切なライセンスが割り当てられた Microsoft 365 グループに自動的に追加される必要があります。
管理要件
Litware は、Litware のすべての Azure AD ユーザー アカウントを含み、すべての Azure AD ゲスト アカウントを除外する LWGroup1 という名前のグループを作成したいと考えています。
認証要件
Litware では、次の認証要件が識別されます。
* すべての Litware ユーザーに対して多要素認証 (MFA) を実装します。
* Litware のボストン オフィスから Azure AD への認証に MFA を使用するユーザーを除外します。
* litware.com フォレストの禁止パスワード リストを実装します。
* オンプレミスのアプリケーションにアクセスするときに MFA を適用します。
* 外部に漏洩した認証情報を自動的に検出し、修復します
アクセス要件
Litware は、Litware のすべての Azure AD ユーザー アカウントを含み、すべての Azure AD ゲスト アカウントを除外する LWGroup1 という名前のグループを作成したいと考えています。
監視要件
Litware は、Azure Sentinel の Fusion ルールを使用して、疑わしい Azure AD サインインとそれに続く異常な Microsoft Office 365 アクティビティの組み合わせを含むマルチステージを検出したいと考えています。

Explanation:
コンピュータ画面のスクリーンショット 説明は自動的に生成されました