Azure ADへのデバイス登録とその効用
皆さんこんにちは。国井です。 最近、Azure ADやIntuneのトレーニングの中でWindows 10のデバイス登録に関してご質問をいただくことがよくあります。「デバイス登録の意味が分からない」と。 Windows 10のデバイスをマイクロソフトのクラウドサービスに登録しようと思ったら、登録箇所には次の2つがあります。 ・Azure AD ・Microsoft Intune さらに、Azure ADへのデバイス登録には、次のような登録方法があるわけです。 ・ デバイス登録 ・ Azure AD参加 ・ ハイブリッドAzure AD参加 こんな感じで、デバイス登録と言っても色々な登録箇所、登録方法があるわけで、一体どのようなときに、どれを使えば良いのかよくわからないということが訳わからなくなってしまっている理由のようです。 Microsoft Intuneにデバイスを登録するのは、デバイ
Windowsサインイン時に登場するコマンド画面をMDATPで追跡
Always on the clock これまでに、セミナーやカンファレンス、書籍を通じてお会いした方々、そしてこれから出会うであろう方々のために Microsoft テクノロジーを中心とした情報を株式会社エストディアンの国井 傑 (くにい すぐる) が提供するブログです。 皆さんこんにちは。国井です。 Windowsコンピューターの電源を入れて、サインイン画面でユーザー名とパスワードを入れて、、サインインが完了するとコマンドプロンプトの画面が勝手に立ち上がること、ありませんか?これが1990年代だったら「ウイルスだ!」とか言って大騒ぎしたと思うのですが、今は2020年代。Windowsが内部的な処理で、ログオンスクリプト(?)でコマンドプロンプトを立ち上げることだってあるでしょう。 しかし、それが何かよくわからないから怖い。 そんなもんだから、あれは絶対ウイルスだ!とか言って根拠のない心
メールアドレスでのAzure ADサインイン
今までの代替ログインIDとの違いは 代替ログインIDはオンプレミスADユーザーのmail属性とAzure ADユーザーのUPNをマッピングするのに対して、 メールアドレスでのサインインは、サインイン時のユーザー名にAzure ADのメールアドレスを使うので、Azure ADのメールアドレスさえ、ちゃんとしたアドレスになっていれば、 Azure AD Connectで同期されてくるUPNはどんな構成になっていてもいいのです。 ■ ■ ■ 実現の仕組みですが、とても簡単でAzure ADディレクトリでHomeRealmDiscoveryの設定を変えてあげるだけです。 HomeRealmDiscoveryとは、ざっくり言うとサインインを行うときに、どこのIdPでサインインするかを定義したものです。例えば、Azure ADではサインイン画面をつかさどるサーバー(下図のcommon部分)でユーザー名
Microsoft Authenticatorアプリを複数デバイスで利用
Always on the clock これまでに、セミナーやカンファレンス、書籍を通じてお会いした方々、そしてこれから出会うであろう方々のために Microsoft テクノロジーを中心とした情報を株式会社エストディアンの国井 傑 (くにい すぐる) が提供するブログです。 皆さんこんにちは。国井です。 Azure ADで多要素認証を利用する場合、携帯電話による通話やSMSによるワンタイムパスワードなど、いくつかの認証方法が選択できますが、その中のひとつにMicrosoft Authenticatorを利用した方法があります。Microsoft AuthenticatorはiOS, Android用アプリで、初期設定でアカウントとアプリを紐付けておくと、多要素認証に利用することができます。 ところが、このAuthenticatorアプリ、今まで1アカウントにつき、1台のデバイスにインストー
Azure AD管理権限の委任
Always on the clock これまでに、セミナーやカンファレンス、書籍を通じてお会いした方々、そしてこれから出会うであろう方々のために Microsoft テクノロジーを中心とした情報を株式会社エストディアンの国井 傑 (くにい すぐる) が提供するブログです。 皆さんこんにちは。国井です。 Azure ADでもOUって作れますか? これまでに多くの人に質問を受け、その都度「できるけど面倒ですよ」とお答えしてきました。 つい先日、「じゃあどうやって設定するのですか?」と聞かれ、あっさりネットで調べたら出てくるだろうと思っていたら、意外にも無かったので、ここに書き留めておくことにしました。 Azure ADの管理者ロールには、いくつかのものがありますが、全体管理者のロールが割り当てられているユーザーがAzure AD全体に対する管理ができるユーザーであることはご存知かと思います。
ADFSなしでOfficce365へのシングルサインオンを実現する
Always on the clock これまでに、セミナーやカンファレンス、書籍を通じてお会いした方々、そしてこれから出会うであろう方々のために Microsoft テクノロジーを中心とした情報を株式会社エストディアンの国井 傑 (くにい すぐる) が提供するブログです。 皆さんこんにちは。国井です。 前回の投稿ではWindows Server 2016へのADFSサーバーのアップグレードの話をして、今回はADFSの要らないSSOの話をするという、なんかチグハグな感じの投稿ですが、これも多様性ってことでお付き合いください。 私はこれまで、ADFSの必要性について話をするときに、 「オンプレミスではActive Directoryを使ってシングルサインオンを実現していました。 しかし、Active Directoryが使っているのはKerberosという社内限定のプロトコルであり、 クラウ
ADFSクレームルールの学習リソース ~ サンプルアプリケーションの実装
Always on the clock これまでに、セミナーやカンファレンス、書籍を通じてお会いした方々、そしてこれから出会うであろう方々のために Microsoft テクノロジーを中心とした情報を株式会社エストディアンの国井 傑 (くにい すぐる) が提供するブログです。 皆さんこんにちは。国井です。 今日は2016年4月に開催されたOffice365認証ベストプラクティスコースのフォローアップの内容です。 コースの中で、ADFSで使われるクレームルールについて詳しく知りたいというご意見をいただきました。ADFSサーバーを利用して、Office365のシングルサインオン環境を構築しても、トークンの中に含まれるクレームの中身が見えるわけではありません。 そのため、もしクレームの中身を見たいということであれば、私がいつもお勧めしているのは Windows Identity Foundatio
Windows Server 2012 R2を使ってiOSだけがOffice365にアクセスできるようにする(3)
Windows Server 2012 R2を使ってiOSだけがOffice365にアクセスできるようにする(3) 2013/9/19 2015/3/8 Active Directory, ADFS, Office 365 前回までのところで次の設定を行いました。 ・Workplace Joinのための設定 ・iPhoneをデバイス登録する設定 ・Office365のシングルサインオンの設定 今回はこのシリーズの最後として、登録されたデバイスだけがOffice365にアクセスできるようにしたいと思います。 概説 クレームの確認 ADFSを利用して認証を行った場合、クレームと呼ばれるサインインしたユーザーやデバイスの属性情報が入ります。今までのADFSでは、サインインしたユーザーの情報だけがクレームとして登録されていたのですが、Windows Server 2012 R2のDRSを利用するこ
ADFSでデバイス認証を実装
Always on the clock これまでに、セミナーやカンファレンス、書籍を通じてお会いした方々、そしてこれから出会うであろう方々のために Microsoft テクノロジーを中心とした情報を株式会社エストディアンの国井 傑 (くにい すぐる) が提供するブログです。 Windows Server 2012 R2のADFSからトークンを発行するときに、デバイス認証を同時に行うことができるようになりました。これにより、Office 365にアクセスするときに、特定のデバイスからのみアクセスを許可する、などの実装が可能になっています。 ADFSサーバーによるデバイス認証の処理を分解すると、こんな感じの処理をしていたわけです。 このとき、ADFSサーバーが提供するデバイス認証機能をDevice Registration Services(DRS:デバイス認証サービス)、クライアント側からデ
続・ADFSでデバイス認証を実装
Always on the clock これまでに、セミナーやカンファレンス、書籍を通じてお会いした方々、そしてこれから出会うであろう方々のために Microsoft テクノロジーを中心とした情報を株式会社エストディアンの国井 傑 (くにい すぐる) が提供するブログです。 前回、Microsoft Azureで提供されているWorkplace Join機能(正確にはDevice Registration Servicesだと思うんだけど)を利用して、ADFSサーバーでデバイス認証ができる様子を紹介しました。 前回の手順では、デバイス認証のためのデバイス登録方法までを紹介しましたが、 反響が大きかったので、今回はデバイス認証そのものについてチャレンジしてみたいと思います。 証明書利用者信頼の設定 PowerShellから以下のコマンドレットを実行し、デバイス認証を行う証明書利用者信頼でWi
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://azuread.net/2018/01/09/powershell%25e3%2581%258b%25e3%2582%2589azure-ad%25e3%2583%25ac%25e3%2583%259d%25e3%2583%25bc%25e3%2583%2588%25e3%2581%25ae%25e3%2582%25a8%25e3%2582%25af%25e3%2582%25b9%25e3%2583%259d%25e3%2583%25bc%25e3%2583%2588/