Azure Automationを使ってオンプレミスActive Directoryユーザを無効化・MLから離脱させる

Azure Automationを使ってオンプレミスActive Directoryユーザを無効化・MLから離脱させる

前回の記事で、Office365(AzureAD)ユーザの無効化は行えましたが、オンプレミス側のADユーザが無効化できていないためセキュリティリスクとなります。
今回はAzure Automationを利用してオンプレミス側のADユーザの無効化し、登録されているMLから脱退させるを実施したいと思います。

Azure Automationとは

オンプレサーバ設定

Windows PowerShell 用 Active Directory モジュールインストール

Azure Automationを利用して操作したいサーバにPowerShellからADを操作するためのモジュールをインストールします。
PowerShellを起動し下記コマンドを実行します。

Azure Automationを設定

https://portal.azure.com/ へアクセスし、ログインします。

リソースグループの作成

今回利用するリソースをわかりやすくするために、リソースグループを作成しておきます。

1. 左ペインからリソースグループをクリックします
2. 各項目を入力し、【確認および作成】をクリックしリソースグループを作成します。
   今回は、Automationというリソースグループを作成しました
   

automationアカウントの作成

automationアカウント作成する必要があるので、automationアカウントを作成します。
どのジョブで利用されるアカウントなのかがわかりやすいようにしておくのがいいのかもしれませんが、ベストプラクティスってどんな形なのでしょう？

1. automationアカウントサービスを検索し、クリックします
   
2. 【追加】をクリックします
   
3. 必要情報を入力し、【作成】をクリックします
   リソースグループには先ほど作成したリソースグループを指定します
   

Windows Hybrid Runbook Worker のインストール

オンプレミスのWindows Serverへ指示がだせるように操作対象のオンプレミスマシンにWindows Hybrid Runbook Workerをインストールします。

1. PowerShellを管理者権限で起動します
2. 下記コマンドを実行します
   
   Install-Script -Name New-OnPremiseHybridWorker

   1	Install-Script -Name New-OnPremiseHybridWorker

3. 基本的にY（はい）と入力し、進めていきます
   
   PATH 環境変数の変更 システムに既定のスクリプトのインストール パスがまだ構成されていません。つまり、スクリプトを実行するには、必ずスクリプト ファイルの完全パスを指定する必要があります。この操作を実行すると、スクリプトをフォルダー 'C:\Program Files\WindowsPowerShell\Scripts' に配置し、そのフォルダーを PATH 環境変数に追加します。スクリプトのインストール パスを 'C:\Program Files\WindowsPowerShell\Scripts' PATH 環境変数に追加しますか? [Y] はい(Y) [N] いいえ(N) [S] 中断(S) [?] ヘルプ (既定値は "Y"): y 信頼されていないリポジトリ 信頼されていないリポジトリからスクリプトをインストールしようとしています。このリポジトリを信頼する場合は、Set-PSReposit ory コマンドレットを実行して、リポジトリの InstallationPolicy の値を変更してください。'PSGallery' からスクリプトをインストールしますか? [Y] はい(Y) [A] すべて続行(A) [N] いいえ(N) [L] すべて無視(L) [S] 中断(S) [?] ヘルプ (既定値は "N"): y

   1 2 3 4 5 6 7 8 9 10 11 12

   PATH 環境変数の変更 システムに既定のスクリプトのインストール パスがまだ構成されていません。つまり、スクリプトを実行するには、必ずスクリプト ファイルの完全パスを指定する必要があります。この操作を実行すると、スクリプトをフォルダー 'C:\Program Files\WindowsPowerShell\Scripts' に配置し、そのフォルダーを PATH 環境変数に追加します。スクリプトのインストール パスを 'C:\Program Files\WindowsPowerShell\Scripts' PATH 環境変数に追加しますか? [Y] はい(Y)  [N] いいえ(N)  [S] 中断(S)  [?] ヘルプ (既定値は "Y"): y   信頼されていないリポジトリ 信頼されていないリポジトリからスクリプトをインストールしようとしています。このリポジトリを信頼する場合は、Set-PSReposit ory コマンドレットを実行して、リポジトリの InstallationPolicy の値を変更してください。'PSGallery' からスクリプトをインストールしますか? [Y] はい(Y)  [A] すべて続行(A)  [N] いいえ(N)  [L] すべて無視(L)  [S] 中断(S)  [?] ヘルプ (既定値は "N"): y

4. 下記コマンドを実行します
   
   New-OnPremiseHybridWorker.ps1

   1	New-OnPremiseHybridWorker.ps1

5. 対話式で色々と聞かれるので先ほど作成したリソースグループ名等を入力していきます。
   
   マンド パイプライン位置 1 のコマンドレット New-OnPremiseHybridWorker.ps1 次のパラメーターに値を指定してください: AAResourceGroupName: ←先ほど作成したリソースグループを入力します SubscriptionID: ←AzureのサブスクリプションIDを入力します AutomationAccountName: automation-adUser HybridGroupName: ←オンプレミスサーバ用のグループ名を入力します。WinSVとかわかりやすい名前 Importing necessary modules... Successfully installed version 6.13.1 of AzureRM... Pulling Azure account credentials... Accessing Azure Automation Account named automation-adUser in region japaneast... Creating new OMS Workspace named hybridWorkspace48321 in region japaneast... Downloading and installing the Microsoft Monitoring Agent... Waiting for agent registration to complete... Registering the hybrid runbook worker... PS C:\Program Files\Microsoft Monitoring Agent\Agent\AzureAutomation\7.3.396.0\HybridRegistration>

   1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

   マンド パイプライン位置 1 のコマンドレット New-OnPremiseHybridWorker.ps1 次のパラメーターに値を指定してください: AAResourceGroupName: ←先ほど作成したリソースグループを入力します SubscriptionID: ←AzureのサブスクリプションIDを入力します AutomationAccountName: automation-adUser HybridGroupName: ←オンプレミスサーバ用のグループ名を入力します。WinSVとかわかりやすい名前 Importing necessary modules...      Successfully installed version 6.13.1 of AzureRM... Pulling Azure account credentials... Accessing Azure Automation Account named automation-adUser in region japaneast... Creating new OMS Workspace named hybridWorkspace48321 in region japaneast... Downloading and installing the Microsoft Monitoring Agent... Waiting for agent registration to complete... Registering the hybrid runbook worker... PS C:\Program Files\Microsoft Monitoring Agent\Agent\AzureAutomation\7.3.396.0\HybridRegistration>

6. Automationアカウントの【ハイブリッドWorkerグループ】をクリックします
7. 入力したHybridGroupNameが表示されていることを確認します
   
8. グループ名をクリックすると、登録台数（？）が表示されます
   
9. ハイブリッドWorkerをクリックすると、先ほどPowerShellを実行したマシン名が表示されるので確認しておきます
   

資格情報の作成

PowerShellからo365やオンプレミスのADを触るので資格情報が必要になります。
IDやパスワードはハードコーディングはしたくないですよね
Azure Automationには資格情報をまとめる機能があるのでそちらに利用する資格情報を登録します。

1. Automationアカウントを開き、【資格情報】をクリックします
   
2. 【資格情報の追加】をクリックします
   
3. Office365にログインするための情報を入力します。
   今回はPowerShellのGet-DistributionGroupコマンド等を利用したいので、Exchange管理者をもったユーザを指定してください。（全体管理者でもOK）
4. 今回は名前にo365adminとつけました。

Runbookの作成

事前時準備が終わったのでここからはハイブリッド環境で実行させるPowerShellを作成していきます。

1. RunBook → 【Runbookの作成】をクリックします
   
2. 必要情報を入力し、【作成】をクリックします。
   今回は、下記のようにしました。

   名前	userAccountDisable
   Runbookの種類	PowerShell

   

3. あとはPowerShellを書いていけばOKです。
   つたないPowerShellで下記のようにしてみました。
   param ( [Parameter(Mandatory=$false)] [String] $parm_email ) $Cred = Get-AutomationPSCredential -Name 'o365admin' Connect-MSolService -Credential $Cred import-module ActiveDirectory import-module azuread $Session = New-PSSession –ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid -Credential $Cred -Authentication Basic -AllowRedirection Import-PSSession -Session $Session -DisableNameChecking:$true -AllowClobber:$true | Out-Null Start-Sleep -s 2 connect-azuread -Credential $Cred "$parm_email" $adusername = Get-AdUser -Filter {mail -eq $parm_email} Get-AdUser -Filter {mail -eq $parm_email} | Set-ADUser -Enabled $false "$?" if($?) { "オンプレADアカウント($adusername.Name)を無効化しました。" } else { "オンプレADアカウント($adusername.Name)の無効化に失敗しました" } $aaduser = get-azureaduser -objectid $parm_email #配列に値があるか確認 if($null -eq $aaduser) { "ユーザが見つかりませんでした" } else { $aadUserObjId = $aaduser[0].ObjectId.ToString() $aadUserDisp = $aaduser[0].DisplayName.ToString() "$aadUserDisp" "$aadUserObjId" } $DistributionGroups = Get-DistributionGroup | where { (Get-DistributionGroupMember $_.Name | foreach {$_.PrimarySmtpAddress}) -contains "$parm_email"} foreach($val in $DistributionGroups){ $mladdress = $val.PrimarySmtpAddress $mllist = get-azureadgroup -filter "proxyAddresses/any(c:c eq 'smtp:$($mladdress)')" $mlObjId = $mllist[0].ObjectId.ToString() $mlName = $mllist[0].DisplayName Write-Output $mlObjId Write-Output $aadUserObjId Start-Sleep -s 2 #Remove-AzureADGroupMember -ObjectId "$($mlObjId)" -MemberId "$($aadUserObjId)" Remove-DistributionGroupMember -Identity $mlName -Member $aadUserDisp -Confirm:$false $? if($?) { "$mlNameから離脱しました" } else{ "$mlNameの離脱から失敗しました" } } Remove-PSSession $Session "処理完了"

   1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70

   param (     [Parameter(Mandatory=$false)]     [String] $parm_email )       $Cred = Get-AutomationPSCredential -Name 'o365admin'     Connect-MSolService -Credential $Cred       import-module ActiveDirectory     import-module azuread     $Session = New-PSSession –ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid -Credential $Cred -Authentication Basic -AllowRedirection     Import-PSSession -Session $Session -DisableNameChecking:$true -AllowClobber:$true | Out-Null     Start-Sleep -s 2     connect-azuread -Credential $Cred       "$parm_email"     $adusername = Get-AdUser -Filter {mail -eq $parm_email}     Get-AdUser -Filter {mail -eq $parm_email} | Set-ADUser -Enabled $false     "$?"     if($?)     {         "オンプレADアカウント($adusername.Name)を無効化しました。"     }     else     {         "オンプレADアカウント($adusername.Name)の無効化に失敗しました"     }          $aaduser = get-azureaduser -objectid $parm_email          #配列に値があるか確認     if($null -eq $aaduser)     {         "ユーザが見つかりませんでした"     }     else     {         $aadUserObjId = $aaduser[0].ObjectId.ToString()         $aadUserDisp = $aaduser[0].DisplayName.ToString()         "$aadUserDisp"         "$aadUserObjId"     }       $DistributionGroups = Get-DistributionGroup | where { (Get-DistributionGroupMember $_.Name | foreach {$_.PrimarySmtpAddress}) -contains "$parm_email"}     foreach($val in $DistributionGroups){         $mladdress = $val.PrimarySmtpAddress           $mllist = get-azureadgroup -filter "proxyAddresses/any(c:c eq 'smtp:$($mladdress)')"         $mlObjId = $mllist[0].ObjectId.ToString()         $mlName = $mllist[0].DisplayName                  Write-Output $mlObjId         Write-Output $aadUserObjId           Start-Sleep -s 2         #Remove-AzureADGroupMember -ObjectId "$($mlObjId)" -MemberId "$($aadUserObjId)"         Remove-DistributionGroupMember -Identity $mlName -Member $aadUserDisp -Confirm:$false         $?         if($?)         {             "$mlNameから離脱しました"         }         else{             "$mlNameの離脱から失敗しました"         }     }       Remove-PSSession $Session       "処理完了"

   エラー処理があまかったり、確認用コードが入っていますが環境に合わせて変更してください。

横にあるアセット等を展開し、必要な項目を「キャンパスに追加」とするとコードが自動的に入るので便利ですね

Runbookのテスト

PowerShellの作成が完了したら正常に動作するかの確認をします。

1. 【テストウィンドウ】をクリックします
   
2. PARM_EMAIL欄にアカウントを無効化するユーザのメールアドレスを入力します（変数が変という指摘は受け付けませんｗ）
   実行対象は必ず「ハイブリットWorker」を選択してください。
   ハイブリットWorkerグループの選択では、オンプレ側のサーバを登録したグループを選択してください。
   
3. 設定が完了したら、【▶開始】をクリックします。実行中と表示されます
   
4. 最初は特に何も表示されないですが処理が進んでいくと、ストリームが更新されログっぽいのが表示されます
5. 処理が完了すると「完了」と表示されます
   Power Shellでのエラーも表示されるので、エラー内容を確認しPower Shellを修正します。
   
6. 処理が完了した後に対象アカウントを確認すると以下のようになっています。
   ・オンプレミスActive Directory上のユーザアカウントが無効化
   ・配布リストからの脱退

Runbookの公開

テストで問題ないことが確認できたら、次はRunbookを公開します。

1. Runbookの編集画面に戻り（横スクロールバーを戻すと編集画面にいけます）、【公開】をクリックします
   
2. 確認ダイアログが表示されるので【はい】をクリックします
   
3. 状態が「発行済み」となったことを確認します
   

これでFlowから呼び出せる状態になったので、Flowに組み込んでいきます

Microsoft Flowから実行するには

Flowの作成

前回と同じようにジョブ実行でFlowを作成します。
parm_emailに対してメールアドレスを渡す必要があるので、前回作成したSPOリストからメールアドレスを取得します

1. 下記URLの内容を同じように設定します。
   スケジュール設定（https://blog.intracker.net/archives/1681#outline__4_1）
   SPOリストから項目の取得（https://blog.intracker.net/archives/1681#outline__4_2）
2. 下記URLの４番まで設定します
   https://blog.intracker.net/archives/1681#outline__4_3
3. 検索ボックスに「automation」と入力し、【Azure Automation】をクリックします
   
4. 【ジョブの作成】をクリックします
   
5. 【詳細オプションを表示する】をクリックします
6. Azure契約のアカウントとFlowを作成しているアカウントが同じであればサブスクリプション候補が自動的に表示されます。
7. 必要な値を入力します
   

   サブスクリプション	Azureのサブスクリプション識別子を選択
   リソースグループ	作成したリソースグループ名を選択
   Automationアカウント	作成したAzure Automationアカウントを選択
   Automationのハイブリットworkerグループ	作成したハイブリットworkerグループ名を入力
   Runbook名	作成したRunbookを選択
   ジョブの待機	はい
   Runbook Parameter parm_email	氏名.Email

   こんな感じになると思います（画像はジョブ待機がいいえになっていますが、はいに設定してください）
   

8. 【アクションの追加】をクリックします
9. 「Azure Automation」 → 【ジョブの状態を取得します】をクリックします
   
10. 必要情報を選択し、ジョブID欄に、ジョブの作成のジョブIDを選択します
    
11. 「制御」 →　【条件】をクリックします
    
12. 条件の値の選択に、【状態】を指定します
    
13. 値の選択欄に「Completed」と入力します
    最初日本語で完了といれてて失敗しました。
    RunbookのライフサイクルはこちらのURLが参考になります。
    
14. 「はいの場合」「いいえの場合」の処理を追加します
    成功したらメールで送信するように今回は設定します(Teamsへの投稿とかのほうが共有は簡単かもしれません）
    下記画像のように設定しました。ジョブが何分で終了したかを見るために開始時刻と終了時刻も飛ばすように設定しています
    
15. Flowのテストを実行し、正常に処理が完了するか確認します
16. 正常に処理が完了すると下記のようなメールが届きます
    

Azure Automationジョブの確認

flowをテストするとAzure Automation側にジョブが作成されるので、ジョブの状態を確認してみます。

1. 対象Runbookの概要を開きます
2. 「最近のジョブ」欄にジョブの状態が表示されます
   ここに実行中のものがあれば現在処理中です。
   
3. 実行中等のステータスをクリックし、【すべてのログ】をクリックすると該当ジョブのログを確認することができます
   
4. Failしてしまった場合等にはこちらのログを確認していきます

オンプレミスADユーザの状態確認

オンプレミス側のADユーザを確認すると、「アカウントは無効」にチェックが入った状態になっており該当ユーザではADにログインできない状態となっています。

以前の記事のflowと組み合わせることで、Office365とオンプレ側両方のアカウントを無効化することができます。
人事がFormsやPowerAppsを利用して人事データを登録
↓
情シスが内容を確認し、承認
↓
Azure Automationで自動処理

とすることができるので、ほぼ自動で処理をすることができるようになりますね！

参考URL

Office365で(ほぼ)全自動ユーザー登録システムを作ってみた～実装編
Azure Automation での Runbook の実行