Note 本記事は、2018 年公開の以下の Blog の内容が、現在の機能/技術にマッチしない内容になってきたことを踏まえ、2023 年現在の機能/技術を元に改めて考え方をおまとめしたものとなります。以前に公開した Azure AD が発行するトークンの有効期間について (2018 年公開) の記事は参考のためそのまま残し、新しく本記事を執筆しました。 こんにちは、Azure & Identity サポートの金森です。 Azure AD (AAD) は、Microsoft 365 をはじめ様々なクラウド サービスの認証基盤 (Identity Provider / IdP) として利用されています。その重要な機能としてユーザーの認証が完了したら、アプリケーションに対してトークンを発行するというものがあります。あるサービス (Teams や Exchange Online、他に Azure
組織内でクラウドアプリケーションの導入が増え、 Azure AD で SSO することが増えました。感覚的には2021年比で数倍です。初めて設定した時は緊張しながら実施したものですが、数を積んでだいぶ慣れてきました。 依頼をもらって設定するのは、SAMLばかりです。そのSAMLをほかのメンバーでも対応できるようにしたいので、自分が説明するために流れをまとめてみました。アレコレ、端折ってますがご容赦を。 覚えておく サービスプロバイダ(SP):クラウドアプリケーション、SaaSのこと。IDプロバイダ(IdP):認証機能側。AzureADとか。 SP-Initiated:クラウドアプリケーションでログインしようとすると、IdPに飛んで、認可されたらクラウドアプリを開ける方法。入口はSP側にある。IdP-Initiated:IdPでログインしている状態で、指定のURLを開くと、クラウドアプリケー
マイクロソフト、「Universal Print」を発表。プリンタサーバをクラウド化し、プリンタドライバ不要、集中管理へ。キヤノンと対応プリンタを共同開発中
マイクロソフト、「Universal Print」を発表。プリンタサーバをクラウド化し、プリンタドライバ不要、集中管理へ。キヤノンと対応プリンタを共同開発中 アプリケーションのクラウド化や仮想デスクトップの導入などによって、PCをネットワークに接続すれば、それだけでアプリケーションが簡単に利用できるようになってきました。 これによって企業の情報部門は、社員がさまざまな業務アプリケーションをいちいちインストールしなければならない、という手間を大幅に削減できました。 しかしプリンタ周りについては、プリンタサーバを導入し、ユーザーのPCそれぞれにプリンタドライバをインストールしてもらうなどの面倒な手間がいまだにかかります。 そうした課題を解決するため、マイクロソフトはクラウドベースのプリントソリューション「Microsoft Universal Print」を発表しました。 Universal
偽の ID (識別子) のアンチパターン
こんにちは、Azure Identity サポート チームの 高田 です。 本記事は、2023 年 6 月 20 日に米国の Azure Active Directory Identity Blog で公開された The False Identifier Anti-pattern を意訳したものになります。ご不明点等ございましたらサポート チームまでお問い合わせください。 本日は、ID の世界における危険なアンチパターンである 偽の ID (識別子) のアンチパターン を取り上げます。アンチパターン とは、繰り返し発生する問題に対する一般的な対応策のことで、こういった問題は多くが悪い結果をもたらし、想定と反対の結果をもたらすリスクとなるものです。パスワードのアンチパターン も聞いたことがあるかもしれません。本日お話しする内容は、もしかしたらより危険なパターンかもしれません。 偽の ID (
こんにちは、IDチームのすかんくです。 今回は「Azure AD Connect」と「オンプレ AD の廃止」について考えてみました。 執筆の背景 日々お客様と会話する中でこんな悩みが多くあるということに気付きました。 「将来的にはオンプレ AD を廃止して、Azure AD(またはその他 IDaaS)に寄せたいと思ってる」 「一方で、現状はオンプレ AD でユーザーやデバイス管理しているので、Azure AD Connect の導入を検討している」 「しかし Azure AD Connect を導入したら、オンプレ AD の廃止に逆行していそうで躊躇している」 オンプレ AD に関連するコンポーネントを追加することで、よりオンプレ AD 依存度が高まるのでは?という疑問は至極当然のものだと思います。 しかしながら Azure AD Connect に関しては寧ろその逆で、周辺機能も含め上
こんにちは、Azure Identity サポート チームの 五十嵐 です。 本記事は、2023 年 4 月 3 日に米国の Azure Active Directory Identity Blog で公開された Quick Wins to Strengthen Your Azure AD Security を意訳したものになります。ご不明点等ございましたらサポート チームまでお問い合わせください。 どの組織も、インフラの安全性と信頼性を高めるために、攻撃の対象範囲を縮小するべく取り組んでいらっしゃると存じます。 Microsoft Global Compromise Recovery Security Practice (CRSP) のチーム メンバーとして、セキュリティの態勢を改善し、侵入を平均よりも難しくすることで、低スキルの攻撃者がすぐに攻撃を諦めて次のターゲットに移る事例をこれま
「Azure AD」がオンプレミスのActive Directory(AD)より魅力的な3つの理由
関連キーワード Microsoft Azure | Office 365 | Active Directory 前編「『Active Directory』(AD)と『Azure AD』の違い クラウド版だけの機能とは」に続き、MicrosoftのID・アクセス管理システムである「Active Directory」(AD)と、ADのクラウドサービス版である「Azure Active Directory」(Azure AD)の違いを紹介する。今回は特に、Azure ADのメリットが際立つ3つのポイントを紹介しよう。 ポイント1.シングルサインオン(SSO)の実装 併せて読みたいお薦め記事 「Microsoft 365」のセキュリティ対策 「Microsoft 365」で多要素認証(MFA)を利用するMicrosoft推奨の方法とは? 「Microsoft 365」のパスワード同期に潜む“意外な
Azure AD とエンタープライズ アプリケーションを SAML 連携する際のトラブルシュートのやり方について - Qiita
はじめに Azure AD にアプリケーションを登録し、SAML 連携することで、Azure AD ユーザーから SAML 連携したアプリケーションにシングル サインオンできるようになります。 また、ギャラリー内のエンタープライズ アプリケーションの場合は、下記 Microsoft 公開情報に、チュートリアルとして Azure AD 側、アプリケーション側それぞれの設定方法が画面ショット付きで記載されております。 -参考情報 SaaS アプリケーションと Azure Active Directory の統合に関するチュートリアル URL:https://docs.microsoft.com/ja-jp/azure/active-directory/saas-apps/tutorial-list しかしながら実際にチュートリアルとおりに設定してもエラーが出てしまい、シングル サインオンに失敗
MicrosoftのクラウドベースのID管理、認証基盤「Microsoft Azure Active Directory」を使った認証フローの種類は、大きく分けて3つある。それらはどう違うのか。利用が適するシーンと併せて解説する。 IDと認証を担うクラウドベースの管理基盤が「Microsoft Azure Active Directory」(以下、Azure AD)だ。単純に認証のために使うだけであれば迷うことはないが、トラブルが発生した場合などには、認証フローが最も頭を悩ませるポイントになる。 Microsoft MVPの大川貴志氏(内田洋行ITソリューションズ)は、「Microsoft 365 Virtual Marathon 2021 Japanese Track」で、Azure ADによる認証の仕組みや、認証フローの種類と使い分け、適した利用シーンなどについて解説した。 「Azur
シンジです。社内デバイスは全部Windowsですとは言いにくい時代になった昨今、Mac達は野放しにされ、例外とかいう常套句で社内ポリシーから逃げてきましたが、残念ながらmacOSのユーザー配布をADからAzureADを経由することで完全統制する方法が仕上がってきたので現状の話です。 ADとMacの相性は悪い 読者の中にMac利用者が居たとしても、そのMacをActive Directoryの配下に置いて、そこからユーザーを発行して展開したことある人は少ないでしょうし、試しにやってみた人が居たとしても運用したことがある人はもっと少ないのではと思っています。もしそれら全てを経験し、それを売りに仕事をしている方が居たとしたら、このブログによって廃業します。 管理者がMacを直接触ってセットアップする必要があった 今時ゼロタッチデプロイですよ。箱から空けたらユーザーがすぐに使える、管理者が電源を入
くらめその情シス:社内WindowsPCをすべてAzureADに移行したおはなし | DevelopersIO
はじめに どうも、情シスやってますアノテーションの徳道です。 2020年内はAzureADとIntuneに関する記事を書いてきました。 これをもとに全社のWindowsPCをActiveDirectory/ローカルログインからAzureAD+Intuneの環境に移行しました。 今回は技術的な観点よりも、運用的な観点で注意、工夫したことを社内事例として紹介させていただきます。 どうやって着地させようか 移行にあたり、一番最初に考えたことはユーザーへのインパクトがどれくらいあるかでした。 Windowsの管理者をやったことがある方ならピンとくると思いますが、参加させるドメインを変更するとWindowsのユーザープロファイルを作り直さないといけません。 つまり、仕事をしている環境を一旦ガラガラポンして作り直さないといけないわけです。本来なら、影響を最小限にするためにHybrid AzureADも
Today we announced significant milestones for identity and network access, including the news that Microsoft Azure Active Directory (Azure AD) is becoming Microsoft Entra ID. As part of our ongoing commitment to simplify secure access experiences for everyone, the rebranding of Azure AD to Microsoft Entra ID is designed to make it easier for you to use and navigate the unified and expanded Microso
Azure AD の SAML 構成に必要な設定項目とその意味、動作の説明について - Qiita
はじめに Azure AD は SAML 2.0 を話せるので、アプリケーション側が SAML 2.0 を話せるのであれば SAML 連携してシングル サインオン構成をとることができます。 実際に構成したことがある方もそうでない方も、各アプリケーション毎のチュートリアルとおりに設定すれば、構成自体は行えます。 しかし、実際にこの設定値は何の意味があるのだろう、この設定をすることでどういう動きになるんだろう、と考えたことはありますでしょうか。 今回は、Azure AD 上の 「SAML によるシングル サインオンのセットアップ」の画面で設定する主な設定項目の意味と、その動作について触れたいと思います。 本題 まず、Microsoft の公開情報に、以下のように SAML 連携する際に Azure AD 側で設定が必要な項目の説明が記載されています。 SAML ベースのシングル サインオンにつ
そこで、Azure ADを活用した開発に携わり、2020年からMicrosoftより「Microsoft MVP Award」の「Microsoft MVP Office Development」を受賞した内田洋行ITソリューションズの大川貴志氏に開発するエンジニア目線の話を聞いた。 また、長年にわたり自治体、教育委員会のITシステム構築・運用サービスの提供に携わり、直近では埼玉県鴻巣市教育委員会の教育ICT基盤のフルクラウド化やAzure AD導入などを担当した内田洋行の永山達也氏に、導入するエンジニア目線の話を聞いた。 前編となる本記事ではActive DirectoryとAzure ADの違いやライセンス選定のポイントを、後編ではAzure ADの強力な機能やオンプレミスからの移行ポイント、運用負荷を減らすコツを解説する。 安全なクラウド認証で求められるAzure AD 2013年に
JCBの Payment as a Service 実現にむけたゼロベースの組織変革とテクニカル・イネーブラー(NTTデータ テクノロジーカンファレンス ...NTT DATA Technology & Innovation
クラウドサービスの利用が拡大する中、各サービスのID管理の負荷が増大している。各サービスのIDやパスワードが漏えいしてしまうと大きなセキュリティインシデントにもなりかねないからだ。こうした中で注目されているのが、ゼロトラストネットワークという概念であり、それを実現する「IDaaS(Identity as a Service)」だ。この記事ではアイ・ティ・アール(ITR) 藤 俊満氏監修のもと 、IDaaSの基本知識・市場規模、主要機能などについて解説するとともに、Microsoft Azure ADやOkta Workforce Identity Cloudなど、代表的なツールをまとめて紹介する。
AAD Pod Identity の使用例 - AKS の Pod にマネージド ID で Azure リソースへのアクセス権を割り当てる
この記事は Microsoft Azure Tech Advent Calendar 2020 の 21 日目の記事になります。 こんにちは🎅 Azure テクニカル サポート チームの桐井です。 AKS 上のアプリケーション Pod から、 SQL Database や Key Vault、Blob Storage などの Azure サービスを利用する場合は、Pod に資格情報を渡し対象リソースへのアクセス権を付与する必要があります。 この記事では、AKS 上の Pod へ Azure AD Pod Identity を使ってマネージド ID を割り当てる方法を解説します。サンプル アプリケーションを動かしながら、マネージド ID の持つアクセス権で Azure Key Vault へアクセスする例をご紹介します。 🚩 Update: 2023/5/1 Pod にマネージド ID
ソフトマッチによる Azure AD (Office 365) 上のユーザーをオンプレミス Active Directory ユーザーと紐付ける方法
こんにちは、Azure & Identity サポート チームの菊池です。 Azure AD 上のユーザーをオンプレミス Active Drectory ユーザーと紐づける方法として、ハードマッチとソフトマッチと呼ばれる方法があります。 今回はソフトマッチについてご紹介します。 ソフトマッチとは ?ソフトマッチとは、Azure AD 上のユーザーとオンプレミス AD 上のユーザーを proxyAddresses または UserPrincipalName (UPN) で紐づけて、同期させる手法のことをいいます。基本的にはユーザーを紐づける必要がある場合には、ソフトマッチを利用することを推奨します。 ソフトマッチができない場合にはハードマッチと呼ばれる方法で直接的に同期時にオブジェクトの一意性を確保するソースアンカーと呼ばれる ID 情報 (ImmutableID) を紐づけます。ハードマッ
Azure AD B2C のキホンとよくある質問
こんにちは。Azure Identity サポートの埴山です。 Azure AD B2C は非常に多機能な ID 基盤ですが、誤った利用方法を検討いただいていたり、本来利用方法として想定されない構成についてご質問いただいたりすることがございます。本記事では Azure AD B2C をご利用いただくにあたり、抑えていただきたい Azure AD B2C の基本的な考え方をご案内し、併せてよくあるご質問について回答します。 Azure AD B2C のキホンまず、Azure AD B2C は Microsoft が提供する ID 管理基盤で、いわゆる IDaaS と呼ばれるサービスです。Azure AD がエンタープライズ (企業など組織で働くユーザー) 向けの ID 管理基盤であるのに対し、Azure AD B2C は、コンシューマー (ショッピング サイトの利用者など一般ユーザー) の
こんにちは。 Azure Identity サポート チームです。こちらのブログでは、Azure における ゲスト ユーザー招待 (B2B) のよくある質問をお纏めいたしました。 招待操作をするリソース テナント側(管理者側) と 招待されたホーム テナント側(ユーザー側) にわけて記載をしておりますので、それぞれ参照いただけますと幸いです。 なお、B2B についてのご説明は以下のブログにもおまとめしておりますので、機能のご紹介は以下を参照ください。 Azure AD B2B とは | Japan Azure Identity Support Blog また、本ブログでは ユーザーが元々所属している Azure AD を “ホーム ディレクトリ(ホーム テナント)”、そのユーザーが招待された先の Azure AD を “招待先ディレクトリ(リソース テナント)” と記載します。 1.招待操
皆さんこんにちは。Azure & Identity サポート チームの高田です。 本日は Azure AD Connect を利用しオンプレミス AD から Azure AD にユーザーを同期しているお客様において影響が生じる可能性のある多要素認証の動作変更についてお知らせいたします。この内容は、Azure Active Directory Identity Blog で公開されたものであり、本記事ではその内容についてより分かりやすく解説いたします。 影響を受ける可能性のあるお客様本記事で解説する内容で影響を受ける可能性があるのは、以下のすべての点に該当するお客様です。 オンプレミス AD 上のユーザー属性に多要素認証用の電話番号を設定している。 Azure AD Connect などのアカウント同期ソリューションを利用してオンプレミス AD から Azure AD にユーザーを同期してい
すべてのアプリにサインインしたままにする
こんにちは。 Azure Identity サポートです。 Windows 10 以降のデバイスで Office のライセンス認証時やサインインが求められる際に表示される下記 “すべてのアプリにサインインしたままにする” 画面について、お問い合わせを多くいただいています。 この画面の動作および制御方法について、本記事ではお纏めいたしました。 なぜ表示されるのか?Windows 10 の 1703 (Build 15063.138) 以後のバージョンにて Office のバージョン 16.0.7967 以後のバージョンを利用する場合、Office は Web Account Manager (WAM) と呼ばれる認証フレームワークを利用します。 「すべてのアプリにサインインしたままにする」のダイアログ メッセージは、認証に WAM が使用された際、資格情報 (ID/Password) を入力
Always on the clock これまでに、セミナーやカンファレンス、書籍を通じてお会いした方々、そしてこれから出会うであろう方々のために Microsoft テクノロジーを中心とした情報を株式会社エストディアンの国井 傑 (くにい すぐる) が提供するブログです。 皆さんこんにちは。国井です。 外出先からVPNなしでオンプレミスのWebアプリケーションに接続できるようにするリバースプロキシ機能であるAzure ADアプリケーションプロキシ。コロナ禍で世界的に利用者数が増えたといわれており、私のところでもご質問をいただく機会が多くなりました。 以前からあるテクノロジーなので、ネットを見てください!という言おうと思ったら、 あまりAzure ADアプリケーションプロキシを使ったときの認証周りの話がネットでお見掛けしなかったので「今さらかよ」と思う人もいるかもしれないですが、 Azur
セキュリティを重視する大規模な組織は、Microsoft 365 などのクラウド サービスへの移行を望んでいますが、ユーザーが承認済みリソースにしかアクセスできないことを認識しておく必要があります。 従来より、企業ではアクセスを管理するときにドメイン名や IP アドレスを制限しています。 このアプローチは、パブリック クラウドでホストされ、outlook.office.com や login.microsoftonline.com などのドメイン名で実行される、サービスとしてのソフトウェア (SaaS) アプリ の場合はうまくいきません。 これらのアドレスをブロックすると、ユーザーを承認済みの ID やリソースに単に制限するのではなく、ユーザーは Web 上の Outlook にまったくアクセスできなくなります。 この課題を解決する Microsoft Entra ソリューションが、テナン
Azure ADのアプリの登録とは
続いてWindows Serverですが、バージョンは何でもいいです。インターネットにつながる環境のWindows Serverを用意しましょう。 用意できたらIISをインストールしておいてください。IISをインストールするときはCGIも一緒にインストールしておきましょう。 IISのインストールが完了したら、前にダウンロードしたapp.js, index.html, msalconfig.js の3つのファイルをIISをインストールしたサーバーに保存しておきます。ここではc:\spaフォルダーを作って保存しておきました。 次にIISでWebサイトを追加します。c:\spaをサイトのルートとなるような、ご覧のようなサイトを作りました。 アプリの登録を設定 ここまでの準備ができたら、いよいよアプリの登録を作成します。IISのWebサイトに対応するように、Azure ADの[アプリの登録]からW
マイクロソフトは約1年前の2022年5月末、新しい製品サービス群「Microsoft Entra」を発表しました。Azureのポータルやドキュメントでこの名称を目にすることが多くなってきたと思いますが、Microsoft Entraとは一体何なのか、ざっくり見てみましょう。 IT 専門誌、Web 媒体を中心に執筆活動を行っているテクニカルライター。システムインテグレーター、IT 専門誌の編集者、地方の中堅企業のシステム管理者を経て、2008年にフリーランスに。雑誌やWebメディアに多数の記事を寄稿するほか、ITベンダー数社の技術文書 (ホワイトペーパー) の制作やユーザー事例取材なども行う。2008年10月よりMicrosoft MVP - Cloud and Datacenter Management(旧カテゴリ:Hyper-V)を毎年受賞。岩手県花巻市在住。 主な著書・訳書 『インサイ
こんにちは、Azure & Identity サポート チームの金子です。 今回はパスワード ライトバックのしくみと一般的なトラブルシューティングについてご紹介します。 パスワード ハッシュ同期とパスワード ライトバックの違いとはまず、ユーザーは Azure AD Connect により、オンプレミス AD から Azure AD に同期されていることを前提とします。 パスワード ハッシュ同期についてはご存じの方が多いと思いますが、パスワード ハッシュ同期はオンプレミスの認証パスワード (厳密にはパスワード ハッシュ) を Azure AD に同期する機能です。これによりユーザーは同じ ID/パスワードで Office 365 などのクラウド上のアプリにもサインインすることができるようになります。 オンプレミス側でパスワードを変更した場合も同様にクラウド側へ同期されますが、逆にクラウド側か
Azure Active Directoryにおける段階的な多要素認証の強化を確認、設定する方法:企業ユーザーに贈るWindows 11への乗り換え案内(15) Microsoftは2023年4月、Azure Active Directoryで管理される組織のアカウントに、新たに「システムが優先する多要素認証」機能を追加し、今後、最も安全な認証方法を提示するように、段階的に切り替えていくことを発表しました。 企業ユーザーに贈るWindows 11への乗り換え案内 「システムが優先する多要素認証」とは? 「Microsoft Azure」サブスクリプションや「Microsoft 365」サブスクリプションなどで使用されるIDとアクセス管理サービス「Azure Active Directory(Azure AD)」では、電話やSMS(ショートメールメッセージ)、メール、認証アプリ(「Micro
Microsoft Entra (Azure AD) 向け Windows Local Administrator Password Solution のご紹介
こんにちは、Azure Identity サポート チームの 高田 です。 本記事は、2023 年 4 月 21 日に米国の Microsoft Entra (Azure AD) の Discussion で公開された Introducing Windows Local Administrator Password Solution with Microsoft Entra (Azure AD) を意訳したものになります。ご不明点等ございましたらサポート チームまでお問い合わせください。 本日、皆様に素晴らしいニュースをお伝えしたいと思います!包括的なセキュリティソリューションを提供するという私たちのビジョンの一環として、弊社では Windows および Microsoft Intune チームと協力して、Windows Local Administrator Password Solut
テナント制限について
Note 本記事は Technet Blog の更新停止に伴い https://blogs.technet.microsoft.com/jpazureid/2018/09/13/tenant-restrictions/ の内容を移行したものです。 また本記事は 2018 年に公開したものですが、サポートへのお問い合わせ状況ならびにエラー画面の変更などをふまえ、2023 年 6 月時点での最新の情報にアップデートいたしました。 こんにちは! Azure & Identity サポート チームの栗井です。 今回は Azure AD のテナント制限の機能に関して、よくあるお問い合わせと、その回答をご紹介いたします。 テナント制限とはテナント制限の機能では、ユーザーがアクセス可能な Azure AD テナントを制限することが可能です。 具体的には、クライアント端末から Azure AD に対する認
よくわかるパスワード ポリシーとよくある質問
こんにちは、 Azure ID チームの小出です。 今日は、混乱しやすい Azure AD のパスワード ポリシーについて、どのユーザーにどの項目が該当するか、同期ユーザーとクラウド ユーザーの観点からそれぞれご案内します。 はじめに多くの企業では、Azure AD Connect を使用し、オンプレミス側からユーザー アカウントを同期して Azure AD や Microsoft 365 を利用していることと思います。Azure AD には、クラウド上に直接作成したクラウド ユーザーや、ほかのテナントから招待したゲスト ユーザーなど、多くの種類のアカウントも登録されている場合もあります。 最近では、MFA などパスワード以外の方法も併用してサインインする方法も増えてきましたが、パスワードを使用して Azure AD やオンプレミス環境にサインインしている方がほとんどと思います。こうしたパ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Azure AD が発行するトークンの有効期間と考え方 (2023 年版)
SaaSをAzure ADでシングルサインオンを構成する流れをわかりやすくまとめてみた
Azure AD Connect導入がオンプレAD廃止の足掛かりになるって、どういうこと?
Azure AD のセキュリティを強化するために今すぐできること (Quick Win)
Microsoft MVPが解説「Azure AD」3つの認証フローと使い分け、認証エラーの対処法
macOSとAzureADでMacのユーザーアカウントを掌握 | ロードバランスすだちくん
Azure AD is Becoming Microsoft Entra ID
Azure ADの基礎を解説 オンプレとの違いやライセンス選定のポイントとは
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について
IDaaSとは何か? Azure ADやOktaなどのクラウド型ID管理サービスを比較する
Azure における ゲスト ユーザー招待 (B2B) のよくある質問
Azure AD Connect をご利用のお客様に対して予定されている多要素認証に関する変更
Azure AD アプリケーションプロキシとWindows統合認証
テナント制限を使用して SaaS アプリへのアクセスを管理する - Microsoft Entra ID
Microsoft Entraとは何か?マイクロソフトのセキュリティ・ID管理サービスのゆくえ
パスワード ライトバックのしくみと一般的なトラブルシューティング
Azure Active Directoryにおける段階的な多要素認証の強化を確認、設定する方法