JAMF NATION LIVE TOKYO 2024の登壇資料です。 内容は2024年8月時点のものです。
Entra IDとJamfで実現する金融業界のセキュリティ対策 〜デバイストラストへの道のり〜
JAMF NATION LIVE TOKYO 2024の登壇資料です。 内容は2024年8月時点のものです。
「Active Directory」から「Microsoft Entra ID」への移行が進む“3つの理由”
関連キーワード Microsoft(マイクロソフト) | Active Directory | ID管理 MicrosoftのID・アクセス管理システム「Active Directory」(AD)は、企業のオンプレミスシステムにおけるファイル管理の中核を担い続けてきた。MicrosoftはADのクラウドサービス版である「Microsoft Entra ID」(旧「Azure Active Directory」)も提供している。Microsoft Entra IDは一部の機能がADとは異なるため、必ずしもADの代替になるわけではないが、Microsoft Entra IDへの移行は検討すべき選択肢になる。なぜMicrosoft Entra IDへの移行が進むのか。3つのポイントを紹介する。 「Microsoft Entra ID」への移行が進む3つの理由 併せて読みたいお薦め記事 Micro
本内容は実際に「Microsoft Entra ID」のテスト環境を構築してみよう!これから触ってみよう!という方に向けて、基本的な設定と操作をガイドします。 本書では Microsoft Entra ID の基本機能を想定しています。 ライセンス的には Free や Entra ID P1 あたりとなります。 なお本内容は著者自身の所属する会社は関係なく、いちエンジニアとして情報を共有するべく提供しておりますので、勉強用途でご利用くださいませ。 スムーズに Microsoft Entra ID の環境を作るのにお役に立てれば幸いです😉
Semperisは2024年8月7日(現地時間)、「Microsoft Entra ID」(以下、Entra ID)に重大なセキュリティリスクがあると報告した。特定のMicrosoftアプリケーションにおいて、通常は許可されていない特権アクションを実行できることが明らかにされている。Entra IDのグローバル管理者ロールを含む特権ロールへのユーザーの追加や削除が可能である点が最も懸念されており、特権昇格の危険性があることが指摘されている。 特定のMicrosoftアプリケーションで不適切なアクセス許可が許される この問題は、MicrosoftのOAuth 2.0スコープ(アクセス許可)の不備に起因している。OAuth 2.0はアプリケーションがユーザーの認証情報を直接共有することなく限定的なアクセス権を取得できるようにするための認証プロトコルだが、このプロトコルで一部のMicrosoft
Microsoft Entra ID のユーザーとグループを Cloud Identity に同期して SSO する
こんにちは、クラウドエース SRE ディビジョンの小田です。 昨今便利な Web サービスが増えてきましたが、それぞれのサービスにログインするためのログイン情報を管理が手間がかかります。それぞれのサービスにログインするのではなく、一度だけログインすればすべてのサービスを利用できるとしたらどうでしょうか。これは Single Sign-On (以下、SSO) と呼ばれる仕組みで、今回は Microsoft Entra ID を Idp、Cloud Identity を SP としてユーザーとグループのプロビジョニングと SSO を実現するための環境構築手順について解説します。 この記事を読めば、以下のようなことがわかると思います! Microsoft Entra ID と Cloud Identity それぞれのサービスでどういった設定が必要なのか Microsoft Entra ID と
「Active Directory」から「Microsoft Entra ID」にトラブルなしで移行するには?
関連キーワード Microsoft(マイクロソフト) | Active Directory | ID管理 「Active Directory」(AD)は、Microsoftが提供するID・アクセス管理システムだ。ADが企業のオンプレミスシステムでID管理の中心的役割を果たし続けている一方、クラウドサービスの普及に伴い、ID・アクセス管理システムの移行が課題として浮上している。そこで移行先候補になるのがクラウド版の「Microsoft Entra ID」(旧「Azure Active Directory」)だ。どのように進めれば移行を成功させることができるのか。ADとMicrosoft Entra IDの違いを踏まえつつ、移行を無事にやり切るための具体的な方法と注意点を解説しよう。 「Microsoft Entra ID」にトラブルなしで移行するには? 併せて読みたいお薦め記事 連載:ADか
米国時間の 2024/7/11 に Microsoft Entra Suite が GA されました!🎉🎉 Azure AD から Entra に名前が変わったのは 2023/7/11 … ちょうど 1 年経って新しいプランの発表に私はかなりワクワクしています。 Microsoft Entra ID は Microsoft の Product の中でも Security の中心を担うソリューションです。 条件付きアクセスを中心としたアクセスコントロールの他、Microsoft の脅威インテリジェンスを活用したリスクベース認証や厳密なアクセスコントロールを行うことができる継続的アクセス評価などの機能を提供してきました。 昨年 Microsoft Digital Defence Report 2023 にもデータがありましたが ID を狙った攻撃は毎秒 4,000 も試行され Identi
AWS ALB には認証機能があり、バックのターゲットへリクエストを流す前に認証を行うようルールを構成することができます。ここでは Microsoft Entra ID (旧 Azure AD) と連携して SAML 認証を行う設定について説明します。 構成 ALB は認証方法として OpenID Connect (OIDC) または Amazon Cognito をサポートしています。ALB で直接 SAML を扱うことはできないので、ALB からは AWS Cognito を指定し、Cognito 側で Entra ID との SAML 連携を行います。 あくまで SAML を処理するのは Cognito であり、ALB は Cognito からユーザ情報を受け取るという点に留意してください[1]。 Cognito リソースの準備 最初に一部の Cognitor リソースを作成し、En
Microsoftは2024年7月11日(米国時間)、セキュアアクセスソリューション「Microsoft Entra Suite」の一般提供を発表した。 Microsoft Entra Suiteとは? Microsoft Entra Suiteは従業員向けの包括的なゼロトラストユーザーアクセスソリューションを提供し、組織はユーザーIDやエンドポイントを対象に、プライベートネットワークとパブリックネットワークの双方にまたがって、アクセスポリシーを統合できるようになる。 Microsoftは、「Microsoft Entra SuiteはAI(人工知能)時代のユニバーサルトラストファブリックとして機能し、信頼できるIDを安全に接続できるMicrosoft Entra製品ラインのビジョンを前進させる」としており、トラストファブリックを組織で構築するための4つの段階を提案している。 第1段階でゼ
IAM Identity Center + Entra ID による SSO と複数 AWS アカウント切り替えのしくみ 2024年版
こんにちは、サイボウズ生産性向上チームの @naotama です。 今回は、サイボウズ生産性向上チームの AWS 基盤開発活動の中から、AWS SSO に関する取り組み紹介したいと思います。 2019 年に生産性向上チームで構築した AWS SSO しくみ "AWS + Azure AD による Single Sign-On と複数 AWS アカウント切り替えのしくみ" を 2024 年に新しいしくみへ移行しました。本記事では新しく構築したしくみの紹介をしたいと思います。 目的 シングルアカウントで運用していると、人やチームが増えて規模が大きくなってきたときに権限管理が中央集権的になり、管理者への負担が増大してしまいます。また、新規ユーザーの登録だけでなく、退職時の削除漏れにも注意が必要です。ユーザに管理するパスワードが増える負担を負わせたくありません。 生産性向上チームではマルチアカウン
Microsoft Entra Private Access と Azure Private Endpoint の組合せが最高
TL;DR Microsoft Entra Private Access と Azure Private Endpoint の組合せがめちゃいいのでお伝えし隊 Azure Private Endpoint を生やしてロックダウンした PaaS リソースを手元の PC の開発環境から利用できる GSA が GA したのでどんどんいろいろ試していきたい (cf. The Microsoft Entra Suite and unified security operations platform are now generally available) Update log tag の追加とか - 2024/07/14 typo の修正とか - 2024/07/15 はじめに Microsoft Entra Private Access (MEPA) は SSE の出口である Microsoft
Microsoft Entra IDでは、Microsoft Entra リソースを様々な役割の人が管理できるように、多くのビルドインロールが用意されています。これらのロールをユーザーに割り当てる際には、原則として操作に必要な最小特権ロールを割り当てることが推奨されています。 しかし、各ロールで可能な操作の境界が複雑で、詳細を理解しておらず、とりあえず権限の強いロールを割り当ててしまうことはないでしょうか。 そのような事態に陥らないために、本記事ではEntra IDの「アプリの登録」周辺の操作について、ビルドインロールで可能な操作を整理します。 調査・検証の内容 結果の整理 ※1:ロールを割り当てていないユーザーによる新規アプリ登録 ※2:アプリ登録の所有者 ※3:エンタープライズアプリの所有者 ※4:APIアクセス許可に対する管理者の同意 最後に 調査・検証の内容 Microsoft E
Qlik Cloud 向けに Microsoft Entra ID で SCIM プロビジョニングを構成する | Qlik Cloud ヘルプ
このページ上 メイン コンテンツをスキップする このページは役に立ちましたか? このページまたはコンテンツに、タイポ、ステップの省略、技術的エラーなどの問題が見つかった場合は、お知らせください。改善に役立たせていただきます。 こちらにフィードバックをお寄せください SCIM 向けに Qlik Cloud を構成した後、 Microsoft Entra ID (旧 Azure AD) で SCIM プロビジョニングを構成する必要があります。 SCIM のMicrosoft Entra ID 要件 P1 サブスクリプションまたはそれ以上の Microsoft Entra ID (旧 Microsoft Azure Active Directory P1) Microsoft Azure Portal にアクセスし、自分の Microsoft Entra ID のためのエンタープライズアプリケー
【Microsoft Entra Cloud Sync】同期アカウントにてパスワードリセットが出来ない事象の詳細と原因および現時点での対処法 - JBS Tech Blog
Microsoft Entra Cloud Sync(以下、Cloud Sync)で同期したアカウントにおいて、Entra ID(旧 Azure AD)上で、ユーザーによるパスワードリセット(セルフサービスパスワードリセット)及び管理者によるパスワードリセットのいずれも不可となる事象が発生しています。 ※2024年3月下旬より発生していることを検証環境にて確認しましたが、正確な事象発生タイミング及び影響範囲は不明です。 本事象による影響を受けるものの1つとして考えられるのは、Entra IDのユーザーリスクポリシー*1です。 ユーザーリスクポリシーを利用し、ユーザーリスクが検知された場合にパスワードを変更することでユーザーのテナントへのアクセスを許可するという構成の場合、Entra ID上でパスワード変更が出来なければ、ユーザーへの救済措置(パスワード変更)を取ることが出来ず、ユーザーの業
TerraformでMicrosoft Entra IDのクライアントシークレットを更新する - JBS Tech Blog
前回、Terraformを使用してAzureサービスプリンシパルとクライアントシークレットを作成しました。 blog.jbs.co.jp 作成したクライアントシークレットには有効期限があり、期限を過ぎてしまうと使用不可となってしまいます。そうなった場合、Azureポータル上で再作成を実施しなければなりません。 その問題をTerraformを実行することで解決していきます。 time_rotatingリソースの適用 定義ファイル記載例 main.tf variables.tf sp.tf Terraform実行 リソースの確認 Terraform再実行 リソースの再作成確認 最後に time_rotatingリソースの適用 Terraform定義ファイル内でクライアントシークレットの再作成を行う場合、time_rotatingリソース(以下、time_rotating)を使用します。 tim
Microsoft Entra IDを利用した各種サービスへのSSO/SCIMのユーザ制御をどうやるかを悩みました
こんにちは。イオンスマートテクノロジー株式会社(AST)でSREチームの林 aka もりはやです。 本記事ではSREチームで推進中のMicrosoft Entra ID(以後はEntra ID)を利用した各種サービスへのSSO/SCIM連携を行なっていく上で、ユーザの制御をどう行うか検討した4パターンを紹介します。自分なりに考えたものを紹介しますが、より良い考え方や違った切り口などのご意見は大歓迎です。 もしかしたら「Entra IDで各サービスの認証をするだけなのにそんなパターンある?」と思われた方もいらっしゃるかもしれません。分かりやすくするために以下の図を作成しました。ユーザおよびグループを制御するポイントが複数あることが伝わるでしょうか。 *なお本記事で"サービス"と記載した箇所は"SaaS"や"ツール"や"プロダクト"と呼ぶ方が適切かもしれませんが記事内では"サービス"で統一しま
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
タメシカタ Microsoft Entra ID - 基本編
Microsoft Entra IDに重大なセキュリティリスク 特権昇格の危険性
Microsoft Entra Suite が GA されました
ソリトンのPCログオンソフト「SmartOn ID」、Microsoft Entra IDに対応
AWS ALB と Entra ID (旧 Azure AD) を SAML 認証で連携する
Microsoft Entra Suite、一般提供開始 従業員のセキュアアクセスを支援
【Entra ID】アプリ登録まわりのビルドインロールを整理する - JBS Tech Blog
Azure:Microsoft Entra IDの「エンタープライズアプリケーション」と「アプリの登録」の違いでハマった話 | SIOS Tech. Lab
