はてなブックマーク

パスワードレスでAzure ADの認証を行う場合、Microsoft Authenticatorを利用する場合でも、FIDO2.0を利用する場合でも、最初に登録をしなければなりません。じゃあ、最初の登録を行うときのサインインには何を使うのか？という問題があります。 ここでパスワードを使ったら、結局パスワードレスじゃないのかい！と突っ込みたくなるでしょう。 そこでAzure ADでは一定期間のみ利用可能なパスワードとして一時アクセスパスというものを提供しています。 一時アクセスパスの設定方法 設定はAzure AD管理センターの[Azure Active Directory]-[セキュリティ]-[認証方法]-[ポリシー]から[一時アクセスパス]を選択して行います。一時アクセスパスの設定画面ではあらかじめ ・利用するユーザー ・一時パスワードの利用可能な期間 ・一時パスワードの強度(文字数)

Always on the clock Microsoft Defender, Microsoft Sentinel, Microsoft Purview, Microsoft Intune, Microsoft Entra IDなどのMicrosoft テクノロジーを中心とした情報を株式会社エストディアンの国井 傑 (くにい すぐる) が提供するブログです。 皆さんこんにちは。国井です。 外出先からVPNなしでオンプレミスのWebアプリケーションに接続できるようにするリバースプロキシ機能であるAzure ADアプリケーションプロキシ。コロナ禍で世界的に利用者数が増えたといわれており、私のところでもご質問をいただく機会が多くなりました。 以前からあるテクノロジーなので、ネットを見てください！という言おうと思ったら、 あまりAzure ADアプリケーションプロキシを使ったときの認証周りの話が

Always on the clock これまでに、セミナーやカンファレンス、書籍を通じてお会いした方々、そしてこれから出会うであろう方々のために Microsoft テクノロジーを中心とした情報を株式会社エストディアンの国井 傑 (くにい すぐる) が提供するブログです。 皆さんこんにちは。国井です。 Windows 10をはじめとする、様々なコンピューターの挙動を監視し、不正アクセスの防御・検知・対応ができるEDRサービスである、Microsoft Defender ATPの評価ガイドが完成しました！ 以下のWebサイトからダウンロードできますので、マイクロソフト製EDRに興味のある方、 これから評価してみようと思っている方はご覧になってみてください。 ■Microsoft Threat Protection 評価ガイド　Microsoft Defender ATP 攻撃検証編 htt

Microsoft Defender, Microsoft Sentinel, Microsoft Purview, Microsoft Intune, Microsoft Entra IDなどのMicrosoft テクノロジーを中心とした情報を株式会社エストディアンの国井 傑 (くにい すぐる) が提供するブログです。 設定は Azure AD管理センター > Azure Active Directory > ロールと管理者から MFAの定義 多要素認証(MFA)は設定していない場合に比べて99%の不正アクセスの遭遇率低減というメリットがありますので、少なくとも管理者ロールが割り当てられたユーザーには設定しましょう。 設定はAzure AD管理センター > Azure Active Directory > ユーザー > Multi-Factor Authentication から対象とな

Always on the clock Microsoft Defender, Microsoft Sentinel, Microsoft Purview, Microsoft Intune, Microsoft Entra IDなどのMicrosoft テクノロジーを中心とした情報を株式会社エストディアンの国井 傑 (くにい すぐる) が提供するブログです。

皆さんこんにちは。国井です。 Azure ADのビジネスに携わって数年が経ちますが、あれこれ新しい機能ばかりがクローズアップされて、基本的な概念などをざっくり知る機会が失われつつあるように思います。ということで、改めてAzure ADとは？を知りたい人のために紹介してみたいと思います。 ■ ■ ■ 私がまだ大学生だったころ、友人のアンドリューとともによくスキーを楽しんでいました。 (ADFSとは？フェデレーションとは？を知る方法でも登場した、あの彼です) 今ほど外国籍の人(特にアングロサクソン系の人)を日本で見かけることが多くない時代ということもあって、アンドリューはひときわ目立つし、どこへ行っても一度で覚えられる存在でした。そのため、スキー場なら、どこに行っても「顔パス」でリフト乗り場のゲートを突破できたのでした。 (スキー場などのサービスにアクセスするための許可証のことをID管理の世界

Azure ADを利用する目的っていろいろあると思いますが、多くの方が様々なアプリへのシングルサインオンを実現したいという目的を持っているのではないかと思います。 ここでいう「アプリ」にはSaaS型のクラウドサービスの場合もあれば、PaaSで動作するWebアプリケーションだったり、IaaSの仮想マシンだったりする場合もあるでしょう。 SaaS型のクラウドサービスの場合はSAMLプロトコルを使ってシングルサインオンを実現する「エンタープライズアプリケーション」という設定があるので、これを使います。 これに対して主にWebアプリケーションで認証を行いたい場合や、Webアプリケーション経由でマイクロソフトのクラウドサービスへAPIアクセスしたい、などというときに利用するのが「アプリの登録」というメニューです。 WebアプリケーションからAzure ADで認証をさせてもらう場合、Azure ADか

Always on the clock Microsoft Defender, Microsoft Sentinel, Microsoft Purview, Microsoft Intune, Microsoft Entra IDなどのMicrosoft テクノロジーを中心とした情報を株式会社エストディアンの国井 傑 (くにい すぐる) が提供するブログです。 Microsoft Authenticatorアプリを複数デバイスで利用 する 2025年3月8日追記 機種変更によるデバイス入れ替え方法とAzure AD → Microsoft Entra IDの書き換えをしました。 Microsoft Entra IDで多要素認証を利用する場合、携帯電話による通話やSMSによるワンタイムパスワードなど、いくつかの認証方法が選択できますが、その中のひとつにMicrosoft Authentica

皆さんこんにちは。国井です。 最近、Azure ADやIntuneのトレーニングの中でWindows 10のデバイス登録に関してご質問をいただくことがよくあります。「デバイス登録の意味が分からない」と。 Windows 10のデバイスをマイクロソフトのクラウドサービスに登録しようと思ったら、登録箇所には次の2つがあります。 ・Azure AD ・Microsoft Intune さらに、Azure ADへのデバイス登録には、次のような登録方法があるわけです。 ・ デバイス登録 ・ Azure AD参加 ・ ハイブリッドAzure AD参加 こんな感じで、デバイス登録と言っても色々な登録箇所、登録方法があるわけで、一体どのようなときに、どれを使えば良いのかよくわからないということが訳わからなくなってしまっている理由のようです。 Microsoft Intuneにデバイスを登録するのは、デバイ

Always on the clock Microsoft Defender, Microsoft Sentinel, Microsoft Purview, Microsoft Intune, Microsoft Entra IDなどのMicrosoft テクノロジーを中心とした情報を株式会社エストディアンの国井 傑 (くにい すぐる) が提供するブログです。 皆さんこんにちは。国井です。 以前、ADFSからAzure ADへの移行の話をしましたが、そのときに発行承認規則のクレームルールと条件付きアクセスはアーキテクチャが大きく異なるという話をしました。 そのため、ADFSのパラメーターシートを用意しても条件付きアクセスで何を設定すればよいのか？という課題があったかと思います。 そこで、今日は条件付きアクセスの設定例をいくつか紹介し、クレームルール時代にやっていたことをどうやって実現するか

皆さんこんにちは。国井です。 一時期、Office 365へのサインインの50%はADFS経由と言われるぐらい、Office 365のサインインにはシングルサインオン(SSO)環境を構築し、運用している会社がたくさんあるかと思います。しかし、最近ではADFSでできる大抵のことはAzure ADでもできるようになっており、Azure AD Connectを使えばシームレスSSOもサポートされるので、いよいよサーバーレスで移行しようという話がちらほら出てくるようになりました。 (クラウド！って言っている時代にADFS2台+WAP2台の構成は..) そこで今日はADFSからAzure ADへSSO環境を移行する方法を紹介しましょう、って書こうと思ったら既にAzure ADへの移行に関するドキュメントが色々と出ていました。 ■Resources for migrating applications

Always on the clock Microsoft Defender, Microsoft Sentinel, Microsoft Purview, Microsoft Intune, Microsoft Entra IDなどのMicrosoft テクノロジーを中心とした情報を株式会社エストディアンの国井 傑 (くにい すぐる) が提供するブログです。 ADFSを扱うにあたり、理解を難しくしている用語に「要求プロバイダー信頼」と「証明書利用者信頼」があります。今日は、要求プロバイダー信頼とは何か？証明書利用者信頼とは何か？について解説してみたいと思います。 その前に.. 信頼関係とは？ Active Directoryの信頼関係について、おさらいしておきましょう。 Active  Directoryにおける信頼関係とは1度のサインインによってアクセスできる範囲を自分のドメインだけで

Always on the clock Microsoft Defender, Microsoft Sentinel, Microsoft Purview, Microsoft Intune, Microsoft Entra IDなどのMicrosoft テクノロジーを中心とした情報を株式会社エストディアンの国井 傑 (くにい すぐる) が提供するブログです。 皆さんこんにちは。国井です。 最近、自分の仕事の範囲がものすごく拡張していて、Microsoft 365という枠組みの中でTeamsのセミナー/トレーニングまで手掛けるようになっています。Teamsの話をするときは必ずBotを作る話になるのですが、その際、QnA Makerを使って簡単にBotを作る方法を紹介させていただいています。 ところが最近、QnA MakerがPreviewじゃなくなったのと同時にAzureのサービスに移管さ

Always on the clock Microsoft Defender, Microsoft Sentinel, Microsoft Purview, Microsoft Intune, Microsoft Entra IDなどのMicrosoft テクノロジーを中心とした情報を株式会社エストディアンの国井 傑 (くにい すぐる) が提供するブログです。 ※現況を踏まえて2025年4月1日に改訂しました 皆さんこんにちは。国井です。 Microsoft Intuneで管理するWindowsデバイスと言えば、ワークグループPCであることが多かったですが、現実にはオンプレミスのActive Directoryドメインに参加しているPCをMicrosoft Intuneに登録させて使いたい、というニーズもあるかと思います。 Microsoft Intuneにデバイスを登録するときは、Mic

Always on the clock Microsoft Defender, Microsoft Sentinel, Microsoft Purview, Microsoft Intune, Microsoft Entra IDなどのMicrosoft テクノロジーを中心とした情報を株式会社エストディアンの国井 傑 (くにい すぐる) が提供するブログです。 皆さんこんにちは。国井です。 最近はOffice 2016, 2013を利用する企業も増えてきており、Office 365へのアクセスにADFSを利用している場合であれば「先進認証」を活用される企業も増えてきていると思います。 先進認証はブラウザーからSSOするときと同じように、パッシブプロファイルっぽいSSOアクセスを実現するものですが、認証・認可によってクライアントが受け取るトークンはブラウザーとは異なるものになります。 ブラウ

Always on the clock Microsoft Defender, Microsoft Sentinel, Microsoft Purview, Microsoft Intune, Microsoft Entra IDなどのMicrosoft テクノロジーを中心とした情報を株式会社エストディアンの国井 傑 (くにい すぐる) が提供するブログです。 皆さんこんにちは。国井です。 だいぶ前の話になりますが、Azure ADの概念実証(PoC)に利用可能なプレイブックがマイクロソフトさんから公開されました。 ■Azure Active Directory の概念実証戦略: 概要 https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-playbook-building-blocks#gener

Always on the clock Microsoft Defender, Microsoft Sentinel, Microsoft Purview, Microsoft Intune, Microsoft Entra IDなどのMicrosoft テクノロジーを中心とした情報を株式会社エストディアンの国井 傑 (くにい すぐる) が提供するブログです。 皆さんこんにちは。国井です。 このブログでは、ADFSサーバーを利用して様々なシングルサインオンのパターンや、 アクセス制御方法のパターンを紹介してきました。 しかし、最近ではAzure ADを使って、これらを実現する方法が急速に実装されてきており、 今日紹介するAzure ADのデバイス認証機能もそのひとつです。 Azure ADのデバイス認証機能とは、 Azure ADに登録されたアプリ(クラウドサービス)にアクセスする際、 あ

Always on the clock これまでに、セミナーやカンファレンス、書籍を通じてお会いした方々、そしてこれから出会うであろう方々のために Microsoft テクノロジーを中心とした情報を株式会社エストディアンの国井 傑 (くにい すぐる) が提供するブログです。 ITインフラに関わる、様々なサービスや機能に関する検証を行う場合、WindowsマシンやLinuxマシン、場合によってMacOSを使って動作に関わる検証を行えば十分でしたが、最近ではスマートフォンやタブレットを使って会社のITシステムに接続する場合も増えてきたので、スマートフォンやタブレットも検証の対象に加えなければなりません。 しかし、スマートフォンやタブレットはPCと違って、仮想マシンを立ち上げて、すぐに検証というわけにはいきません。私自身、機会があってMicrosoft IntuneやAzure Active D

Always on the clock これまでに、セミナーやカンファレンス、書籍を通じてお会いした方々、そしてこれから出会うであろう方々のために Microsoft テクノロジーを中心とした情報を株式会社エストディアンの国井 傑 (くにい すぐる) が提供するブログです。 皆さんこんにちは。国井です。 前回の投稿では、KerberosをAzure ADにまで拡張することで、ADFSの要らないシングルサインオンの方法を紹介しましたが、この仕組みにはもうひとつの実装方法があります。それは「パススルー認証」というサインイン方法です。 (ちなみに、前回紹介したパスワードハッシュ同期はPHS、パススルー認証はPTAと略すそうです。初めてみたときは、「私も昔はアステル使ってたよ」とか、わけのわからないことを思い出してしまいました) パススルー認証とは、ユーザー認証をActive Directoryに

皆さんこんにちは。国井です。 先日、紹介した「ADFSとAzure ADの違いを比較してみよう」が思いのほか好評だったので、続編としてActive DirectoryとAzure ADの違いを比較してみることにしました。 Active DirectoryとAzure ADの違いは、 オンプレミスのサーバーに対するシングルサインオンを実現するのが Active Directory クラウドサービスに対するシングルサインオンを実現するのがAzure AD と覚えておくと、わかりやすいと思います。 実際、オンプレミスのActive Directoryでは、ドメイン参加という設定を行ったサーバーへのアクセスには、追加でユーザー名とパスワードを入力することはしないですよね？それと同じように、Azure ADでも関連付けられたクラウドサービスへのアクセスには追加でユーザー名とパスワードを入力することは

皆さんこんにちは。国井です。 シェイクスピアも「ADFSにするか、Azure ADにするか、それが問題だ」と言ったように(うそ)、Office365をはじめとするサービスへのシングルサインオン(SSO)を実装する場合、ADFSを利用するか、Azure ADを利用するか、という選択肢で悩むことと思います。 基本的な選択基準は、ID基盤をオンプレミスのActive Directoryを中心に据えて、様々なクラウドサービスへのSSOを実装したいということであればADFSを選択することになるでしょうし、ID基盤を含めてすべてクラウドに移行してしまって運用したいということであればAzure ADを選択することになると思います。 2019年6月18日追記 久しぶりに過去の記事を読み返してみたら、今と3年前では全然違う結論になるのですね。2019年時点では、Azure AD Connectのシングルサイ

Windows Server 2016 × Azure Active Directory Connect によるADFSのインストール 2016/10/7 Active Directory, ADFS, Microsoft Azure 皆さんこんにちは。国井です。 先週(2016年9月24日～)、米国アトランタで開催されていたMicrosoft Igniteに参加してきました。当ブログでもメインのパートとなっているAzure ADの話も多く、充実した日々を過ごしておりました。 今年は日本人の方で参加していた方や、オンラインでご覧になっていた方も多く、様々なブログ等でイベントの様子などは語られておりましたので、イベントの話は他の方にお任せして、私自身の所感などは様々なセミナーなどでご紹介させていただければと思います。 ■　■　■ 今日は、そのMicrosoft Igniteのイベントの中でG

Always on the clock Microsoft Defender, Microsoft Sentinel, Microsoft Purview, Microsoft Intune, Microsoft Entra IDなどのMicrosoft テクノロジーを中心とした情報を株式会社エストディアンの国井 傑 (くにい すぐる) が提供するブログです。 Windows Server 2012 R2のADFSより多要素認証が新しくサポートされ、ユーザー名/パスワード以外の要素を提示するように構成することができるようになっています。多要素認証を利用すれば、よりセキュアな認証を実現できるというメリットがあります。 図にすると、こういうことになります。 今まで、ADFSを利用してクレームベース認証を行おうと思ったら、 ユーザー名/パスワードを入力していました。 ただし、ユーザー名/パスワー