Azure AD B2C のキホンとよくある質問

こんにちは。Azure Identity サポートの埴山です。 Azure AD B2C は非常に多機能な ID 基盤ですが、誤った利用方法を検討いただいていたり、本来利用方法として想定されない構成についてご質問いただいたりすることがございます。本記事では Azure AD B2C をご利用いただくにあたり、抑えていただきたい Azure AD B2C の基本的な考え方をご案内し、併せてよくあるご質問について回答します。 Azure AD B2C のキホンまず、Azure AD B2C は Microsoft が提供する ID 管理基盤で、いわゆる IDaaS と呼ばれるサービスです。Azure AD がエンタープライズ (企業など組織で働くユーザー) 向けの ID 管理基盤であるのに対し、Azure AD B2C は、コンシューマー (ショッピング サイトの利用者など一般ユーザー) の ...

Read more

Hybrid Azure AD Join とユーザーの UPN

こんにちは、Azure & Identity サポート チームの 姚 (ヨウ) です。 今回は Hybrid Azure AD Join を構成した際の、デバイスにログオンするユーザーの UPN とドメイン名の関係について説明します。この内容は以下の公開情報で説明されておりますが、今回はより分かりやすい解説を目指します。 ハイブリッド Azure AD 参加でのオンプレミス AD ユーザー UPN サポートを確認する ご存じの通り、Hybrid Azure AD Join した端末へユーザーがログオンすると、SSO や条件付きアクセスに利用される PRT を取得します。 PRT を正常に取得するためには、デバイスが正常に Hybrid Azure AD Join した状態として登録されている必要がありますが、ユーザーの UPN も正しく構成されている必要があります。PRT を正常に...

Read more

生体情報 - どうか指紋情報が漏洩しませんように!

本記事は、 2020 年 5 月 26 日に Azure Active Directory Identity Blog に公開された記事 (Biometrics – Keep Your Fingers Close) を翻訳したものです。原文は こちら より参照ください。 「利用者がシステムに立ち寄って指紋をスキャンすると (もしくはカメラを見つめるかマイクに話しかけると)、あっという間にログインできるようなシステムが欲しい」。こんなご要望を特に製造業、政府系サービス、自動発券機の利用シナリオなどでお客様からよく伺います。 機械に近づくと、初めてそれを使う場合でも指紋や顔で簡単にログオンできるというのは確かに魅力的なシナリオのように思います。何かを購入して持ち歩いたり、落として無くしたりすることもなく、フィッシングにも会いませんし誰かに勝手に使われたりすることもありません。また、従業員が職...

Read more

このデバイスではどこでもこのアカウントを使用する

こんにちは。 Azure Identity サポートの谷です。 Windows 10 デバイスで Office のライセンス認証時やサインインが求められる際に表示される “このデバイスではどこでもこのアカウントを使用する” 下記画面について、お問い合わせを多くいただいています。この画面の動作および制御方法について、本記事ではお纏めいたしました。 なぜ表示されるのか?Windows 10 の 1703 (Build 15063.138) 以後のバージョンにて Office のバージョン 16.0.7967 以後のバージョンを利用する場合、Office は Web Account Manager (WAM) と呼ばれる認証方式を利用します。ダイアログ メッセージは この WAM と呼ばれる認証フレームワークを使用され、 Office クライアントを使用する際に資格情報を入力した最後の...

Read more

Azure AD に登録できる 「アプリ」と「リソース」、「API 権限」を理解する

こんにちは、Azure ID チームの埴山です。 本記事は Azure Tech Advent Calendar 4 日目の記事です。 今回はトラブルシューティングの方法ではなく、Azure AD を利用したアプリケーション開発における、”API 権限” について説明します。特に Microsoft Graph API を題材に API エコシステムの中身を見ていきます。 Azure AD を利用してアプリ開発を検討している方や、Azure AD における OAuth の実装について詳しく知りたい方への記事となります。チュートリアルなどについては、一通り動かしたことのある方を対象とした記事ですので、Azure AD で保護されたアプリケーション開発の基礎については Microsoft ID プラットフォームのドキュメント | Microsoft Docs の公開ドキュメントをご確認ください...

Read more

Azure AD B2B ゲストユーザーの連絡先情報更新方法について

こんにちは、Azure Identity サポート チームの小田です。今回は、Azure AD B2B ゲストユーザーの連絡先情報(電子メール / 連絡用メールアドレス)の更新方法についてご案内いたします。 Azure AD にて別組織のユーザーを招待しますと、テナントにゲストユーザーが作成されます。ゲストユーザーの連絡先情報(電子メール / 連絡用メールアドレス)には、招待したときに指定したメールアドレスが設定され、これらは Azure 側からの通知メール(計画メンテナンス、MFA の通知など)の宛先として使用されます。 ゲストユーザーが招待を承諾した後で、そのユーザーの実体が登録されているホームテナント側でメールアドレスの変更があった場合、そのユーザーをゲストとして登録しているリソーステナント側では、メールアドレスの変更は反映されません。 そのため、ゲストユーザーがホームテナント側で持...

Read more

パスワード ライトバックのしくみと一般的なトラブルシューティング

こんにちは、Azure & Identity サポート チームの金子です。今回はパスワード ライトバックのしくみと一般的なトラブルシューティングについてご紹介します。 パスワード ハッシュ同期とパスワード ライトバックの違いとはまず、ユーザーは Azure AD Connect により、オンプレミス AD から Azure AD に同期されていることを前提とします。パスワード ハッシュ同期についてはご存じの方が多いと思いますが、パスワード ハッシュ同期はオンプレミスの認証パスワード (厳密にはパスワード ハッシュ) を Azure AD に同期する機能です。これによりユーザーは同じ ID/パスワードで Office 365 などのクラウド上のアプリにもサインインすることができるようになります。オンプレミス側でパスワードを変更した場合も同様にクラウド側へ同期されますが、逆にクラウド側...

Read more

MFA 認証方法を、変更 / 再登録 / 追加 したい!

こんにちは。Azure Identity サポート チームの栗井です。 弊社サポートチームでは、 Azure Active Directory に関して、以下のようなご要望に関するお問い合わせをよくいただきます。 スマートフォンを買い替えたので、MFA 認証方法を変更したい。 スマートフォンを紛失したので、MFA 認証方法を再登録したい。 社用のスマートフォンに加えて、私用スマートフォンを、MFA 認証方法として追加したい。 このブログでは、こういったご要望に答えるために、MFA 認証方法の変更 / 再登録 / 追加 するための方法と手順を、ご紹介いたします。 読者のターゲット : テナントの管理者。組織内のユーザーが、MFA 認証方法の変更 / 再登録 / 追加 が必要となった際に、ご参考になれば幸いです。 操作の手順は、以下の場合ごとに異なるため、それぞれ別項目でご説明します。 ...

Read more

9/28 (日本語抄訳) RCA – 複数の Microsoft サービスおよび Azure Active Directory と連携したアプリケーションでの認証エラー (Tracking ID SM79-F88)

いつも Azure Identity サポート チームのブログを参照いただきましてありがとうございます。 今回は 9/28 に発生しました Azure Active Directory の障害について、RCA (Root Cause Analysis) レポートの日本語版の抄訳を紹介します。原文は 状態の履歴および根本原因分析 (RCA) を確認ください。 日本語版の抄訳の PDF については、以下のリンクよりダウンロード頂けます。 SM79-F88_JP.pdf この障害では Azure / Office 365 ポータルへのサインインができないことをはじめ、障害の対象となりましたテナントで多大な影響が生じました。改めて、今回の障害により多くのお客様にご迷惑をお掛けしましたことを深くお詫び申し上げます。 9/28 RCA – 複数の Microsoft サービスおよび Azure Act...

Read more

最終サインイン日時を一括で取得する方法

こんにちは、Azure Identity サポート チームの谷です。 以前の記事 Get last-sign-in activity reports でユーザーの最終サインイン日時の取得をご紹介させていただきましたが、下記の制約がありました。 サインイン ログの保存期間により、30 日以上前のサインイン日時は確認できません。 サインインのログから一覧を取得しているため、厳密な ”最終アクセス日時” とは異なります。 新たに Microsoft Graph API の lastSignInDateTime プロパティを取得することで、上述の制約を解消し、実際に Azure AD に長期間サインインを行っていないユーザーを取得することが可能となりました。 Azure AD で非アクティブなユーザー アカウントを管理する https://docs.microsoft.com/ja-...

Read more