多要素認証 (MFA) のリセット手順 2022 年版
こんにちは、Azure & Identity サポート チームの栗井です。 今回は、Azure AD におけるユーザーの多要素認証 (MFA:Multi-Factor Authentication) のリセット手順についてご紹介します。 Azure AD では、ログイン時の追加認証方式として電話・アプリ (Microsoft Authenticator) などを使った多要素認証 (MFA) を利用することができ、パスワードのセルフサービス リセット時にも同認証方式を利用させることが可能です。MFA の設定を有効にしている場合、Azure AD にログインをするためには認証方法に指定したスマートフォンなどを利用できる必要がありますが、スマートフォンを紛失してしまった場合や電話番号が無効になった場合などには、MFA で設定していた認証を利用できない状況となり、ユーザー認証を完了することができず
Microsoft Entra ID のライセンス管理にグループを使用する際のシナリオ、制限、既知の問題 - Microsoft Entra ID
複数のグループと複数のライセンス ユーザーは、ライセンスを持つ複数のグループのメンバーになることができます。 考慮事項をいくつか以下に示します。 同じ製品の複数のライセンスが重複することがあり、その結果、有効になっているすべてのサービスがユーザーに適用されることがあります。 たとえば、M365-P1 には、すべてのユーザーにデプロイする基本サービスを含め、M365-P2 には、一部のユーザーにのみデプロイする P2 サービスを含めることができます。 あるユーザーをこれらのグループのうちの 1 つまたは両方に追加し、製品の 1 つのライセンスだけを使用できます。 ライセンスを選択すると、グループ ライセンス割り当てによりユーザーに対してどのサービスが有効になっているかに関する情報を含む詳細が表示されます。 グループ ライセンスと共存する直接ライセンス ユーザーがグループからライセンスを継承す
フェデレーション環境 (Windows 統合認証) で [サインインの状態を維持しますか?] の画面が表示されない
こんにちは、Azure ID サポートチームの高田です。 本日は、Azure AD のサインイン画面の変更とそれに伴うフェデレーション環境への影響についておまとめしました。 Azure AD にサインインする際の「サインイン状態を維持しますか?」の画面Azure AD へのサインイン時に以下のような「サインイン状態を維持しますか?」の画面が表示される場合がございます。 この [サインインの状態を維持しますか?] の画面は、基本的に Azure AD の [会社のブランド] から構成できる [サインインしたままにするオプションを表示する] の設定が [はい] の場合に表示されます。既定ではこのオプションは [はい] の状態で、明示的に [いいえ] にしていない限り、基本的に上記の [サインインの状態を維持しますか?] の画面が表示されることとなります (オプションを [いいえ] にした場合、
![フェデレーション環境 (Windows 統合認証) で [サインインの状態を維持しますか?] の画面が表示されない](https://cdn-ak-scissors.b.st-hatena.com/image/square/2394266021b06af1b25a22c6bbd4579d18a8941b/height=288;version=1;width=512/https%3A%2F%2Fjpazureid.github.io%2Fblog%2Factive-directory-federation-service%2Fkmsi-not-shown-wia%2Fnew-signin-page-kmsi.png)
条件付きアクセスポリシーのインポート/エクスポート
Always on the clock これまでに、セミナーやカンファレンス、書籍を通じてお会いした方々、そしてこれから出会うであろう方々のために Microsoft テクノロジーを中心とした情報を株式会社エストディアンの国井 傑 (くにい すぐる) が提供するブログです。 皆さんこんにちは。国井です。 以前、TwitterですかんくさんがIntuneの各種設定をJSONファイルでインポート/エクスポートできるツールを紹介してくださってました。 これ、Intune設定のバックアップに使うことができますし、またITベンダーさんだったら標準化した設定をあらかじめ作っておいて案件ごとにエクスポートして設定を簡略化するみたいな使い方もできたりすると思うのです。 そこで今回は条件付きアクセスのベストプラクティスポリシーを作って、設定が必要なテナントにインポートする、ということを行ってみたいと思います
【Intuneカスタムコンプライアンス】特定の更新プログラムを基準に条件付きアクセスでアクセス制御
【Intuneカスタムコンプライアンス】特定の更新プログラムを基準に条件付きアクセスでアクセス制御 2021/12/9 2023/6/11 Active Directory, Microsoft Azure, Microsoft Intune 皆さんこんにちは。国井です。 このブログはEnterprise Mobility + Security(EMS) Advent Calendar 2021の9日目に参加しています。 今日のお題はこちら 特定の更新プログラムがインストールされていれば条件付きアクセスでアクセスを許可する です。 では早速見ていきましょう。 前提条件 条件付きアクセスを利用するのでAzure AD Premium P1が必要です。 それと更新プログラムがインストールされているかのチェックにはMicrosoft Intuneを使います。 おおまかな作業ステップ 更新プログラ
条件付きアクセスで[デバイスのフィルター]を使う (2)
皆さんこんにちは。国井です。Azure ADの条件付きアクセスでというメニューが登場してから(プレビュー)という文字も消えたみたいなので、そろそろ使ってみたいと思います。デバイスのフィルターとは?Azure ADのアクセス制御機能である条件付きアクセスでデバイスに割り当てられた属性情報に基づいてアクセス制御設定ができる機能です。例えば、デバイスの名前、Azure ADへのデバイス登録種別(Azure AD登録、Azure AD参加など)、デバイスのモデルなどを条件にできる特徴があります。設定画面には、Azure AD管理センター > Azure Act... 前回、条件付きアクセスでデバイスのフィルターを使うとAzure ADへのデバイス登録だったり、OSバージョンだったり、様々なデバイス属性をもとにアクセス制御ができるという話をしました。そのときにデバイスのextensionAttrib
![条件付きアクセスで[デバイスのフィルター]を使う (2)](https://cdn-ak-scissors.b.st-hatena.com/image/square/ef5fd4b8c78b9fbc64df5c3fcc95daa142c7dcb9/height=288;version=1;width=512/https%3A%2F%2Fazuread.net%2Fwp%2Fwp-content%2Fuploads%2F2021%2F10%2Ffilter_1634625265.jpg)
Azure AD の SAML 構成に必要な設定項目とその意味、動作の説明について - Qiita
はじめに Azure AD は SAML 2.0 を話せるので、アプリケーション側が SAML 2.0 を話せるのであれば SAML 連携してシングル サインオン構成をとることができます。 実際に構成したことがある方もそうでない方も、各アプリケーション毎のチュートリアルとおりに設定すれば、構成自体は行えます。 しかし、実際にこの設定値は何の意味があるのだろう、この設定をすることでどういう動きになるんだろう、と考えたことはありますでしょうか。 今回は、Azure AD 上の 「SAML によるシングル サインオンのセットアップ」の画面で設定する主な設定項目の意味と、その動作について触れたいと思います。 本題 まず、Microsoft の公開情報に、以下のように SAML 連携する際に Azure AD 側で設定が必要な項目の説明が記載されています。 SAML ベースのシングル サインオンにつ
MFA 認証方法を 変更 / 再登録 / 追加 したい!
Note 本記事は 2020 年に公開したものですが、サポートへのお問い合わせ状況などをふまえ、2023 年 6 月時点での最新の情報にアップデートいたしました。 こんにちは。Azure Identity サポート チームの栗井です。 弊社サポートチームでは、 Azure Active Directory に関して、以下のようなご要望に関するお問い合わせをよくいただきます。 スマートフォンを買い替えたので、MFA 認証方法を変更したい。 スマートフォンを紛失したので、MFA 認証方法を再登録したい。 社用のスマートフォンに加えて、私用スマートフォンを、MFA 認証方法として追加したい。 このブログでは、こういったご要望に答えるために、MFA の方法を 変更 / 再登録 / 追加 するための方法と手順をご紹介いたします。 読者のターゲット: テナントの管理者。組織内のユーザーが MFA 認証
Microsoft Entra のパスワードレス サインイン - Microsoft Entra ID
多要素認証 (MFA) のような機能は、組織をセキュリティで保護する優れた方法ですが、多くの場合、ユーザーはパスワードを覚えておく必要があるのに加え、セキュリティ層が増えることに不満を感じます。 パスワードが削除され、ユーザーが持っているものとユーザー自身または知っているものに置き換えられるため、パスワードレスの認証はより便利な方法です。 認証 ユーザーが持っているもの ユーザー自身またはユーザーが知っているもの 認証については、組織ごとにさまざまなニーズがあります。 Microsoft Azure および Azure Government には、Microsoft Entra ID と統合される次の 4 つのパスワードレス認証オプションが用意されています。 Windows Hello for Business Microsoft Authenticator パスキー (FIDO2) 証明
「現時点ではこれにはアクセスできません」 エラーについて
Note 2022 年 10 月 7 日更新: 「サインインログの見方に関する注意点」 の条件付きアクセスの判定条件が「or」となっていたところを「and」に修正しました。 こんにちは! Azure & Identity サポートチームです。 この記事では、Microsoft 365 や Azure など Microsoft のクラウドサービスにサインインしようとした場合に遭遇するエラー「現時点ではこれにはアクセスできません」 について、その原因と調査方法を解説します。 また、最後に、一般的にエラー画面に遭遇しサポート部門にお問い合わせする際のポイントもお伝えしようと思いますので、最後まで読んでいただけると嬉しいです。 目次 「現時点ではこれにはアクセスできません」と表示される原因 条件付きアクセスポリシーの確認方法 サインインログの見方に関する注意点 よくある質問 最後に 「現時点ではこ
プライマリ更新トークン (PRT) と Microsoft Entra ID - Microsoft Entra ID
プライマリ更新トークン (PRT) は、Windows 10 以降、Windows Server 2016 以降のバージョン、iOS、Android デバイスでの Microsoft Entra 認証の主要なアーティファクトです。 これは、これらのデバイスで使用されるアプリケーション間でシングル サインオン (SSO) を有効にするために、マイクロソフトのファースト パーティ トークン ブローカーに向けて特別に発行される JSON Web トークン (JWT) です。 この記事では、Windows 10 以降のデバイス上で PRT が どのように発行、使用、保護されるかについて詳しく説明します。 最良の SSO エクスペリエンスを得るために、最新バージョンの Windows 10、Windows 11、Windows Server 2019 以降を使用することをお勧めします。 この記事では
Azure AD が発行するトークンの有効期間について
Note 本記事は Technet Blog の更新停止に伴い https://blogs.technet.microsoft.com/jpazureid/2018/02/28/aad-issure-token-lifetime/ の内容を移行したものです。 元の記事の最新の更新情報については、本内容をご参照ください。 警告 アクセス トークンを除き、トークンの有効期間の変更は現在廃止されております。サインインの頻度を変更したい場合には、代わりに条件付きアクセスの 認証セッション管理 をご利用ください こんにちは、Azure & Identity サポート チームの金森です。 Azure AD (AAD) は Office 365 をはじめ様々なクラウド サービスの認証基盤として利用されますが、その重要な機能として認証が完了したアカウントに対してトークンを発行するということがあります。 こ
Microsoft Entra ハイブリッド参加済みデバイスのトラブルシューティング - Microsoft Entra ID
この記事では、Windows 10 以降または Windows Server 2016 以降を実行しているデバイスの潜在的な問題を解決するのに役立つトラブルシューティング ガイダンスを提供します。 Microsoft Entra ハイブリッド参加では、Windows 10 の 2015 年 11 月以降の更新プログラムがサポートされます。 他の Windows クライアントのトラブルシューティングについては、Microsoft Entra ハイブリッド参加済みダウンレベル デバイスのトラブルシューティングに関するページを参照してください。 この記事では、次のシナリオをサポートするように Microsoft Entra ハイブリッド参加済みデバイスがあることを前提としています。 デバイスベースの条件付きアクセス Enterprise State Roaming Windows Hello f
マイクロソフト パートナー ブログ
tag, and before any other scripts. Your first data will appear automatically in just a few seconds. -->
Azure AD の条件付きアクセスに関する Q&A
Note 本記事は Technet Blog の更新停止に伴い https://blogs.technet.microsoft.com/jpazureid/2017/12/04/conditional-access-qa/ の内容を移行したものです。 元の記事の最新の更新情報については、本内容をご参照ください。 こんにちは、Azure & Identity サポート チームの高田です。 今回はお問い合わせをよくいただく、Azure AD の条件付きアクセスについてです。 2019/07/02 条件付きアクセスの動作の考え方やアクセス制御の適用順序など Azure Active Directory Identity Blog に投稿された内容を追記しました。 お問い合わせの多いご質問について、Q&A 形式でおまとめいたしました。既存のドキュメントではカバーされていない動作や質問について今後も
エラーコード 700003 の対処策について
こんにちは、 Azure Identity の平形です。 今回は最近多くお問い合わせ頂いております 700003 エラーについてのご説明と一般的な対応手順をお伝えします。 エラーコード 700003 とは何か最近こんなエラーを見たことはありますか? 上記で表示されているエラー コード 700003 とは、「クライアントが提示したデバイス情報が Azure AD 上に存在しない」場合に発生するエラーです。 このエラーが多く起きるのは Windows 10 デバイスをご利用されており、かつ Edge や Internet Explorer をご利用されている、もしくは Office アプリケーションご利用のタイミングです。 本ブログでは、このエラーの対処策と、簡単に「デバイス情報」とは何かをご説明します。 デバイス情報とは何かWindows 10 を Azure AD に参加させた場合、あるい
条件付きアクセスのサービスの依存関係 - Microsoft Entra ID
条件付きアクセス ポリシーを使用すると、Web サイトやサービスに対するアクセス要件を指定できます。 たとえば、アクセス要件に、Multi-Factor Authentication (MFA) またはマネージド デバイスの要件を含めることができます。 サイトまたはサービスに直接アクセスすると、通常、関連するポリシーの影響を簡単に確認できます。 たとえば、SharePoint Online に Multi-Factor Authentication (MFA) を必要とするポリシーを構成すると、SharePoint Web ポータルにサインインするたびに MFA が適用されます。 ただし、他のクラウド アプリとの依存関係があるクラウド アプリがあるため、ポリシーの影響が常に簡単に確認できるとは限りません。 たとえば、Microsoft Teams では SharePoint Online
グループへのライセンスの割り当て - Microsoft Entra ID
Note 9 月 1 日から、Microsoft Entra ID 管理センターと Microsoft Azure portal は、ユーザー インターフェイスを介したライセンスの割り当てをサポートしなくなります。 ユーザーとグループのライセンスの割り当てを管理するには、管理者は Microsoft 365 管理センターを使用する必要があります。 この更新プログラムは、Microsoft エコシステム内のライセンス管理プロセスを効率化するように設計されています。 この変更は、ユーザー インターフェイスに限定されます。 API と PowerShell へのアクセスは影響を受けません。 Microsoft 365 管理 センターを使用してライセンスを割り当てる方法の詳細については、次のリソースを参照してください。 Microsoft 365 管理センターでユーザーにライセンスを割り当てるまた
Conditions in Conditional Access policy - Microsoft Entra ID
Within a Conditional Access policy, an administrator can make use of one or more signals to enhance their policy decisions. Multiple conditions can be combined to create fine-grained and specific Conditional Access policies. When users access a sensitive application, an administrator might factor multiple conditions into their access decisions like: Sign-in risk information from ID Protection Netw
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Azure AD における入れ子 (ネスト) グループへの権限付与について