サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
インタビュー
azuread.net
Always on the clock これまでに、セミナーやカンファレンス、書籍を通じてお会いした方々、そしてこれから出会うであろう方々のために Microsoft テクノロジーを中心とした情報を株式会社エストディアンの国井 傑 (くにい すぐる) が提供するブログです。 皆さんこんにちは。国井です。 私はトレーニングでAzure ADやMicrosoft Intuneなどについてお話しさせていただくことが多いのですが、「お客さんからは機能があることはわかった。それでウチの会社ではどの設定をすればよいか?」というご質問をいただくことがあります。会社の状況によってベストプラクティスは異なるのですが、それでも一般的にやるべきことってある程度決まっていたりします。それを説明しようかなと思っていたら、マイクロソフトのWebサイトに「Windows 10 in cloud configuratio
パスワードレスでAzure ADの認証を行う場合、Microsoft Authenticatorを利用する場合でも、FIDO2.0を利用する場合でも、最初に登録をしなければなりません。じゃあ、最初の登録を行うときのサインインには何を使うのか?という問題があります。 ここでパスワードを使ったら、結局パスワードレスじゃないのかい!と突っ込みたくなるでしょう。 そこでAzure ADでは一定期間のみ利用可能なパスワードとして一時アクセスパスというものを提供しています。 一時アクセスパスの設定方法 設定はAzure AD管理センターの[Azure Active Directory]-[セキュリティ]-[認証方法]-[ポリシー]から[一時アクセスパス]を選択して行います。一時アクセスパスの設定画面ではあらかじめ ・利用するユーザー ・一時パスワードの利用可能な期間 ・一時パスワードの強度(文字数)
Always on the clock Microsoft Defender, Microsoft Sentinel, Microsoft Purview, Microsoft Intune, Microsoft Entra IDなどのMicrosoft テクノロジーを中心とした情報を株式会社エストディアンの国井 傑 (くにい すぐる) が提供するブログです。 皆さんこんにちは。国井です。 今日はAzure ADの条件付きアクセスの話です。 条件付きアクセスの存在を知り、ある程度条件付きアクセスのことについてわかってくると お客さんから必ず聞かれることがあります。 条件付きアクセスで証明書認証できないの? Microsoft Cloud App Security (MCAS) を使えば可能です。 (条件付きアクセスを利用した証明書認証って、表現として正しくない気がしますが、 細かいことは言
Always on the clock Microsoft Defender, Microsoft Sentinel, Microsoft Purview, Microsoft Intune, Microsoft Entra IDなどのMicrosoft テクノロジーを中心とした情報を株式会社エストディアンの国井 傑 (くにい すぐる) が提供するブログです。 皆さんこんにちは。国井です。 リモートワークが続き、お取引先のお客様とMicrosoft Teamsでやり取りすることが多くなりました。しかし、お取引先の会社にとっては私は社外の人間。 私がお取引先の会社のTeamsでやり取りしようとすると、社外の人間をお通しするための設定をしなければなりません。ところがこの設定、なかなか嫌われるんですよね。しかも「社外」の定義にも色々あってわけわからん、という声を聞くので私なりにまとめてみました。
Always on the clock Microsoft Defender, Microsoft Sentinel, Microsoft Purview, Microsoft Intune, Microsoft Entra IDなどのMicrosoft テクノロジーを中心とした情報を株式会社エストディアンの国井 傑 (くにい すぐる) が提供するブログです。 皆さんこんにちは。国井です。 外出先からVPNなしでオンプレミスのWebアプリケーションに接続できるようにするリバースプロキシ機能であるAzure ADアプリケーションプロキシ。コロナ禍で世界的に利用者数が増えたといわれており、私のところでもご質問をいただく機会が多くなりました。 以前からあるテクノロジーなので、ネットを見てください!という言おうと思ったら、 あまりAzure ADアプリケーションプロキシを使ったときの認証周りの話が
Always on the clock これまでに、セミナーやカンファレンス、書籍を通じてお会いした方々、そしてこれから出会うであろう方々のために Microsoft テクノロジーを中心とした情報を株式会社エストディアンの国井 傑 (くにい すぐる) が提供するブログです。 皆さんこんにちは。国井です。 Windows 10をはじめとする、様々なコンピューターの挙動を監視し、不正アクセスの防御・検知・対応ができるEDRサービスである、Microsoft Defender ATPの評価ガイドが完成しました! 以下のWebサイトからダウンロードできますので、マイクロソフト製EDRに興味のある方、 これから評価してみようと思っている方はご覧になってみてください。 ■Microsoft Threat Protection 評価ガイド Microsoft Defender ATP 攻撃検証編 htt
設定は Azure AD管理センター > Azure Active Directory > ロールと管理者から MFAの定義 多要素認証(MFA)は設定していない場合に比べて99%の不正アクセスの遭遇率低減というメリットがありますので、少なくとも管理者ロールが割り当てられたユーザーには設定しましょう。 設定はAzure AD管理センター > Azure Active Directory > ユーザー > Multi-Factor Authentication から対象となるユーザーを選択します。 緊急用グローバル管理者の定義 Break Glassアカウントとも呼ばれる緊急用グローバル管理者はグローバル管理者のロールが割り当てられたユーザーです。通常のグローバル管理者と異なるのは条件付きアクセスをひとつも割り当てない、MFAを設定しないことです。グローバル管理者なのにMFAを設定しなくて大
Always on the clock Microsoft Defender, Microsoft Sentinel, Microsoft Purview, Microsoft Intune, Microsoft Entra IDなどのMicrosoft テクノロジーを中心とした情報を株式会社エストディアンの国井 傑 (くにい すぐる) が提供するブログです。
皆さんこんにちは。国井です。 Azure ADのビジネスに携わって数年が経ちますが、あれこれ新しい機能ばかりがクローズアップされて、基本的な概念などをざっくり知る機会が失われつつあるように思います。ということで、改めてAzure ADとは?を知りたい人のために紹介してみたいと思います。 ■ ■ ■ 私がまだ大学生だったころ、友人のアンドリューとともによくスキーを楽しんでいました。 (ADFSとは?フェデレーションとは?を知る方法でも登場した、あの彼です) 今ほど外国籍の人(特にアングロサクソン系の人)を日本で見かけることが多くない時代ということもあって、アンドリューはひときわ目立つし、どこへ行っても一度で覚えられる存在でした。そのため、スキー場なら、どこに行っても「顔パス」でリフト乗り場のゲートを突破できたのでした。 (スキー場などのサービスにアクセスするための許可証のことをID管理の世界
Azure ADを利用する目的っていろいろあると思いますが、多くの方が様々なアプリへのシングルサインオンを実現したいという目的を持っているのではないかと思います。 ここでいう「アプリ」にはSaaS型のクラウドサービスの場合もあれば、PaaSで動作するWebアプリケーションだったり、IaaSの仮想マシンだったりする場合もあるでしょう。 SaaS型のクラウドサービスの場合はSAMLプロトコルを使ってシングルサインオンを実現する「エンタープライズアプリケーション」という設定があるので、これを使います。 これに対して主にWebアプリケーションで認証を行いたい場合や、Webアプリケーション経由でマイクロソフトのクラウドサービスへAPIアクセスしたい、などというときに利用するのが「アプリの登録」というメニューです。 WebアプリケーションからAzure ADで認証をさせてもらう場合、Azure ADか
Always on the clock Microsoft Defender, Microsoft Sentinel, Microsoft Purview, Microsoft Intune, Microsoft Entra IDなどのMicrosoft テクノロジーを中心とした情報を株式会社エストディアンの国井 傑 (くにい すぐる) が提供するブログです。 Microsoft Authenticatorアプリを複数デバイスで利用 する 皆さんこんにちは。国井です。 Azure ADで多要素認証を利用する場合、携帯電話による通話やSMSによるワンタイムパスワードなど、いくつかの認証方法が選択できますが、その中のひとつにMicrosoft Authenticatorを利用した方法があります。Microsoft AuthenticatorはiOS, Android用アプリで、初期設定でアカウ
皆さんこんにちは。国井です。 最近、Azure ADやIntuneのトレーニングの中でWindows 10のデバイス登録に関してご質問をいただくことがよくあります。「デバイス登録の意味が分からない」と。 Windows 10のデバイスをマイクロソフトのクラウドサービスに登録しようと思ったら、登録箇所には次の2つがあります。 ・Azure AD ・Microsoft Intune さらに、Azure ADへのデバイス登録には、次のような登録方法があるわけです。 ・ デバイス登録 ・ Azure AD参加 ・ ハイブリッドAzure AD参加 こんな感じで、デバイス登録と言っても色々な登録箇所、登録方法があるわけで、一体どのようなときに、どれを使えば良いのかよくわからないということが訳わからなくなってしまっている理由のようです。 Microsoft Intuneにデバイスを登録するのは、デバイ
Always on the clock Microsoft Defender, Microsoft Sentinel, Microsoft Purview, Microsoft Intune, Microsoft Entra IDなどのMicrosoft テクノロジーを中心とした情報を株式会社エストディアンの国井 傑 (くにい すぐる) が提供するブログです。 皆さんこんにちは。国井です。 以前、ADFSからAzure ADへの移行の話をしましたが、そのときに発行承認規則のクレームルールと条件付きアクセスはアーキテクチャが大きく異なるという話をしました。 そのため、ADFSのパラメーターシートを用意しても条件付きアクセスで何を設定すればよいのか?という課題があったかと思います。 そこで、今日は条件付きアクセスの設定例をいくつか紹介し、クレームルール時代にやっていたことをどうやって実現するか
皆さんこんにちは。国井です。 一時期、Office 365へのサインインの50%はADFS経由と言われるぐらい、Office 365のサインインにはシングルサインオン(SSO)環境を構築し、運用している会社がたくさんあるかと思います。しかし、最近ではADFSでできる大抵のことはAzure ADでもできるようになっており、Azure AD Connectを使えばシームレスSSOもサポートされるので、いよいよサーバーレスで移行しようという話がちらほら出てくるようになりました。 (クラウド!って言っている時代にADFS2台+WAP2台の構成は..) そこで今日はADFSからAzure ADへSSO環境を移行する方法を紹介しましょう、って書こうと思ったら既にAzure ADへの移行に関するドキュメントが色々と出ていました。 ■Resources for migrating applications
Always on the clock これまでに、セミナーやカンファレンス、書籍を通じてお会いした方々、そしてこれから出会うであろう方々のために Microsoft テクノロジーを中心とした情報を株式会社エストディアンの国井 傑 (くにい すぐる) が提供するブログです。 ADFSを扱うにあたり、理解を難しくしている用語に「要求プロバイダー信頼」と「証明書利用者信頼」があります。今日は、要求プロバイダー信頼とは何か?証明書利用者信頼とは何か?について解説してみたいと思います。 その前に.. 信頼関係とは? Active Directoryの信頼関係について、おさらいしておきましょう。 Active Directoryにおける信頼関係とは1度のサインインによってアクセスできる範囲を自分のドメインだけでなく、他のドメインにもアクセスできるようにする、いわゆるアクセス範囲拡張機能です。 この
Always on the clock これまでに、セミナーやカンファレンス、書籍を通じてお会いした方々、そしてこれから出会うであろう方々のために Microsoft テクノロジーを中心とした情報を株式会社エストディアンの国井 傑 (くにい すぐる) が提供するブログです。 皆さんこんにちは。国井です。 最近、自分の仕事の範囲がものすごく拡張していて、Microsoft 365という枠組みの中でTeamsのセミナー/トレーニングまで手掛けるようになっています。Teamsの話をするときは必ずBotを作る話になるのですが、その際、QnA Makerを使って簡単にBotを作る方法を紹介させていただいています。 ところが最近、QnA MakerがPreviewじゃなくなったのと同時にAzureのサービスに移管されています。(ちなみにPreview時代に作ったQAのデータベースは https://w
Always on the clock これまでに、セミナーやカンファレンス、書籍を通じてお会いした方々、そしてこれから出会うであろう方々のために Microsoft テクノロジーを中心とした情報を株式会社エストディアンの国井 傑 (くにい すぐる) が提供するブログです。 ※現況を踏まえて2024年2月12日に改訂しました 皆さんこんにちは。国井です。 Microsoft Intuneで管理するWindowsデバイスと言えば、ワークグループPCであることが多かったですが、現実にはオンプレミスのActive Directoryドメインに参加しているPCをMicrosoft Intuneに登録させて使いたい、というニーズもあるかと思います。 Microsoft Intuneにデバイスを登録するときは、Microsoft Entraへのデバイス登録も同時に行うことが事実上必須なので、 1.Mi
Always on the clock これまでに、セミナーやカンファレンス、書籍を通じてお会いした方々、そしてこれから出会うであろう方々のために Microsoft テクノロジーを中心とした情報を株式会社エストディアンの国井 傑 (くにい すぐる) が提供するブログです。 皆さんこんにちは。国井です。 最近はOffice 2016, 2013を利用する企業も増えてきており、Office 365へのアクセスにADFSを利用している場合であれば「先進認証」を活用される企業も増えてきていると思います。 先進認証はブラウザーからSSOするときと同じように、パッシブプロファイルっぽいSSOアクセスを実現するものですが、認証・認可によってクライアントが受け取るトークンはブラウザーとは異なるものになります。 ブラウザーのSSOの場合はブラウザーを再起動すれば、改めて認証・認可を行い、トークンを発行しま
Always on the clock これまでに、セミナーやカンファレンス、書籍を通じてお会いした方々、そしてこれから出会うであろう方々のために Microsoft テクノロジーを中心とした情報を株式会社エストディアンの国井 傑 (くにい すぐる) が提供するブログです。 皆さんこんにちは。国井です。 今日はご質問いただいた内容について。 最近(と言っても随分前ですが)、Azure ADのサインイン画面が変わりましたが、それに合わせてADFSサーバーのフォーム認証画面もAzure ADっぽくすることができるようになりました。 これについてはMVPふじえさんが紹介してくださっているので、そちらを参考にされるとよいと思います。 ■[AD FS]ログイン画面をAzure ADの新UIライクにカスタマイズする http://idmlab.eidentity.jp/2017/11/ad-fsazu
Always on the clock これまでに、セミナーやカンファレンス、書籍を通じてお会いした方々、そしてこれから出会うであろう方々のために Microsoft テクノロジーを中心とした情報を株式会社エストディアンの国井 傑 (くにい すぐる) が提供するブログです。 皆さんこんにちは。国井です。 だいぶ前の話になりますが、Azure ADの概念実証(PoC)に利用可能なプレイブックがマイクロソフトさんから公開されました。 ■Azure Active Directory の概念実証戦略: 概要 https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-playbook-building-blocks#generic-ldap-connector-configuration PoCの項目の中に「証明
Always on the clock Microsoft Defender, Microsoft Sentinel, Microsoft Purview, Microsoft Intune, Microsoft Entra IDなどのMicrosoft テクノロジーを中心とした情報を株式会社エストディアンの国井 傑 (くにい すぐる) が提供するブログです。 皆さんこんにちは。国井です。 このブログでは、ADFSサーバーを利用して様々なシングルサインオンのパターンや、 アクセス制御方法のパターンを紹介してきました。 しかし、最近ではAzure ADを使って、これらを実現する方法が急速に実装されてきており、 今日紹介するAzure ADのデバイス認証機能もそのひとつです。 Azure ADのデバイス認証機能とは、 Azure ADに登録されたアプリ(クラウドサービス)にアクセスする際、 あ
Always on the clock これまでに、セミナーやカンファレンス、書籍を通じてお会いした方々、そしてこれから出会うであろう方々のために Microsoft テクノロジーを中心とした情報を株式会社エストディアンの国井 傑 (くにい すぐる) が提供するブログです。 ITインフラに関わる、様々なサービスや機能に関する検証を行う場合、WindowsマシンやLinuxマシン、場合によってMacOSを使って動作に関わる検証を行えば十分でしたが、最近ではスマートフォンやタブレットを使って会社のITシステムに接続する場合も増えてきたので、スマートフォンやタブレットも検証の対象に加えなければなりません。 しかし、スマートフォンやタブレットはPCと違って、仮想マシンを立ち上げて、すぐに検証というわけにはいきません。私自身、機会があってMicrosoft IntuneやAzure Active D
Always on the clock これまでに、セミナーやカンファレンス、書籍を通じてお会いした方々、そしてこれから出会うであろう方々のために Microsoft テクノロジーを中心とした情報を株式会社エストディアンの国井 傑 (くにい すぐる) が提供するブログです。 皆さんこんにちは。国井です。 前回の投稿では、KerberosをAzure ADにまで拡張することで、ADFSの要らないシングルサインオンの方法を紹介しましたが、この仕組みにはもうひとつの実装方法があります。それは「パススルー認証」というサインイン方法です。 (ちなみに、前回紹介したパスワードハッシュ同期はPHS、パススルー認証はPTAと略すそうです。初めてみたときは、「私も昔はアステル使ってたよ」とか、わけのわからないことを思い出してしまいました) パススルー認証とは、ユーザー認証をActive Directoryに
Always on the clock これまでに、セミナーやカンファレンス、書籍を通じてお会いした方々、そしてこれから出会うであろう方々のために Microsoft テクノロジーを中心とした情報を株式会社エストディアンの国井 傑 (くにい すぐる) が提供するブログです。 皆さんこんにちは。国井です。 前回の投稿ではWindows Server 2016へのADFSサーバーのアップグレードの話をして、今回はADFSの要らないSSOの話をするという、なんかチグハグな感じの投稿ですが、これも多様性ってことでお付き合いください。 私はこれまで、ADFSの必要性について話をするときに、 「オンプレミスではActive Directoryを使ってシングルサインオンを実現していました。 しかし、Active Directoryが使っているのはKerberosという社内限定のプロトコルであり、 クラウ
皆さんこんにちは。国井です。 今日はAzure AD Connectに関する小ネタを。 Azure AD Connectをインストールし、オンプレミスActive DirectoryとAzure ADの間でディレクトリ同期を実行すると、Sync_…で始まるアカウントが作られ、このアカウントを使って同期を実行します。(つまり同期ツールのサービスアカウントってところです) 1度だけインストールして使っている分には、「へぇー、作られたのね」で終わるのですが、様々な事情により、インストール&アンインストールを繰り返したりすると、インストールを実行した分だけSync_…のアカウントは増えていきます。(そう、上の画面のように) そうすると、今使っているアカウントはどれ?不要なアカウントはどれ?ってことになります。 そんなときに覚えておきたいのが、Get-MsolCompanyInformationコマ
皆さんこんにちは。国井です。 先日、紹介した「ADFSとAzure ADの違いを比較してみよう」が思いのほか好評だったので、続編としてActive DirectoryとAzure ADの違いを比較してみることにしました。 Active DirectoryとAzure ADの違いは、 オンプレミスのサーバーに対するシングルサインオンを実現するのが Active Directory クラウドサービスに対するシングルサインオンを実現するのがAzure AD と覚えておくと、わかりやすいと思います。 実際、オンプレミスのActive Directoryでは、ドメイン参加という設定を行ったサーバーへのアクセスには、追加でユーザー名とパスワードを入力することはしないですよね?それと同じように、Azure ADでも関連付けられたクラウドサービスへのアクセスには追加でユーザー名とパスワードを入力することは
皆さんこんにちは。国井です。 シェイクスピアも「ADFSにするか、Azure ADにするか、それが問題だ」と言ったように(うそ)、Office365をはじめとするサービスへのシングルサインオン(SSO)を実装する場合、ADFSを利用するか、Azure ADを利用するか、という選択肢で悩むことと思います。 基本的な選択基準は、ID基盤をオンプレミスのActive Directoryを中心に据えて、様々なクラウドサービスへのSSOを実装したいということであればADFSを選択することになるでしょうし、ID基盤を含めてすべてクラウドに移行してしまって運用したいということであればAzure ADを選択することになると思います。 2019年6月18日追記 久しぶりに過去の記事を読み返してみたら、今と3年前では全然違う結論になるのですね。2019年時点では、Azure AD Connectのシングルサイ
Windows Server 2016 × Azure Active Directory Connect によるADFSのインストール 2016/10/7 Active Directory, ADFS, Microsoft Azure 皆さんこんにちは。国井です。 先週(2016年9月24日~)、米国アトランタで開催されていたMicrosoft Igniteに参加してきました。当ブログでもメインのパートとなっているAzure ADの話も多く、充実した日々を過ごしておりました。 今年は日本人の方で参加していた方や、オンラインでご覧になっていた方も多く、様々なブログ等でイベントの様子などは語られておりましたので、イベントの話は他の方にお任せして、私自身の所感などは様々なセミナーなどでご紹介させていただければと思います。 ■ ■ ■ 今日は、そのMicrosoft Igniteのイベントの中でG
Always on the clock これまでに、セミナーやカンファレンス、書籍を通じてお会いした方々、そしてこれから出会うであろう方々のために Microsoft テクノロジーを中心とした情報を株式会社エストディアンの国井 傑 (くにい すぐる) が提供するブログです。 Windows Server 2012 R2のADFSより多要素認証が新しくサポートされ、ユーザー名/パスワード以外の要素を提示するように構成することができるようになっています。多要素認証を利用すれば、よりセキュアな認証を実現できるというメリットがあります。 図にすると、こういうことになります。 今まで、ADFSを利用してクレームベース認証を行おうと思ったら、 ユーザー名/パスワードを入力していました。 ただし、ユーザー名/パスワードは盗まれやすく、悪用されやすいので、 追加の条件として、証明書を持っているか?というこ
次のページ
このページを最初にブックマークしてみませんか?
『Always on the clock』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く