パスワード ライトバックのしくみと一般的なトラブルシューティング

こんにちは、Azure & Identity サポート チームの金子です。今回はパスワード ライトバックのしくみと一般的なトラブルシューティングについてご紹介します。 パスワード ハッシュ同期とパスワード ライトバックの違いとはまず、ユーザーは Azure AD Connect により、オンプレミス AD から Azure AD に同期されていることを前提とします。パスワード ハッシュ同期についてはご存じの方が多いと思いますが、パスワード ハッシュ同期はオンプレミスの認証パスワード (厳密にはパスワード ハッシュ) を Azure AD に同期する機能です。これによりユーザーは同じ ID/パスワードで Office 365 などのクラウド上のアプリにもサインインすることができるようになります。オンプレミス側でパスワードを変更した場合も同様にクラウド側へ同期されますが、逆にクラウド側...

Read more

MFA 認証方法を、変更 / 再登録 / 追加 したい!

こんにちは。Azure Identity サポート チームの栗井です。 弊社サポートチームでは、 Azure Active Directory に関して、以下のようなご要望に関するお問い合わせをよくいただきます。 スマートフォンを買い替えたので、MFA 認証方法を変更したい。 スマートフォンを紛失したので、MFA 認証方法を再登録したい。 社用のスマートフォンに加えて、私用スマートフォンを、MFA 認証方法として追加したい。 このブログでは、こういったご要望に答えるために、MFA 認証方法の変更 / 再登録 / 追加 するための方法と手順を、ご紹介いたします。 読者のターゲット : テナントの管理者。組織内のユーザーが、MFA 認証方法の変更 / 再登録 / 追加 が必要となった際に、ご参考になれば幸いです。 操作の手順は、以下の場合ごとに異なるため、それぞれ別項目でご説明します。 ...

Read more

9/28 (日本語抄訳) RCA – 複数の Microsoft サービスおよび Azure Active Directory と連携したアプリケーションでの認証エラー (Tracking ID SM79-F88)

いつも Azure Identity サポート チームのブログを参照いただきましてありがとうございます。 今回は 9/28 に発生しました Azure Active Directory の障害について、RCA (Root Cause Analysis) レポートの日本語版の抄訳を紹介します。原文は 状態の履歴および根本原因分析 (RCA) を確認ください。 日本語版の抄訳の PDF については、以下のリンクよりダウンロード頂けます。 SM79-F88_JP.pdf この障害では Azure / Office 365 ポータルへのサインインができないことをはじめ、障害の対象となりましたテナントで多大な影響が生じました。改めて、今回の障害により多くのお客様にご迷惑をお掛けしましたことを深くお詫び申し上げます。 9/28 RCA – 複数の Microsoft サービスおよび Azure Act...

Read more

最終サインイン日時を一括で取得する方法

こんにちは、Azure Identity サポート チームの谷です。以前の記事 Get last-sign-in activity reports でユーザーの最終サインイン日時の取得をご紹介させていただきましたが、下記の制約がありました。 サインイン ログの保存期間により、30 日以上前のサインイン日時は確認できません。 サインインのログから一覧を取得しているため、厳密な ”最終アクセス日時” とは異なります。 新たに Microsoft Graph API の lastSignInDateTime プロパティを取得することで、上述の制約を解消し、実際に Azure AD に長期間サインインを行っていないユーザーを取得することが可能となりました。 Azure AD で非アクティブなユーザー アカウントを管理する https://docs.microsoft.com/ja...

Read more

Azure AD Connect Sync Configuration Documenter 使用方法

こんにちは、Azure Identity サポート チームの谷です。Azure AD Connect Sync Configuration Documenter 使用方法をご案内します。Readme に記載の手順となります。Azure AD Connect サーバーの移行やアップグレードに際し、設定変更内容や差分内容を確認する場合に参考にしてください。 Azure AD Connect Sync Configuration Documenter とはAzure AD Connect の設定内容や同期ルールを比較するためのツールです。各 Azure AD Connect にて設定情報をエクスポートし、HTML レポート ファイルで比較情報を取得することができます。 使用方法 比較情報を確認するサーバーにて Azure AD Connect Configuration Document...

Read more

Azure AD Connect に関する FAQ

Azure AD Connect (AADC) のお問い合わせが多いご質問について、Q&A 形式でおまとめいたしました。既存のドキュメントではカバーされていない動作や質問について今後も適宜内容を拡充していきますので、ご参照いただければと思います。 Q. AADC の Active / Stand By (アクティブ / スタンバイ) の構成が行えるか?A. いいえ。AADC はクラスター構成を実装していません。AADC を同一フォレスト内で 2 台以上構成した場合でも各 AADC で死活監視を行う実装はありません。冗長構成をご検討の場合はステージング モード機能をご利用ください。詳細はこちら をご参照ください。 Q. AADC をインストールする際のネットワーク要件は?A. Azure AD Connect サーバー - ウィルス対策ソフト除外項目 / 使用する通信ポート ...

Read more

ソフトマッチによる Azure AD (Office 365) 上のユーザーをオンプレミス Active Directory ユーザーと紐付ける方法

こんにちは、Azure & Identity サポート チームの菊池です。 Azure AD 上のユーザーをオンプレミス Active Drectory ユーザーと紐づける方法として、ハードマッチとソフトマッチと呼ばれる方法があります。今回はソフトマッチについてご紹介します。 ソフトマッチとは ?ソフトマッチとは、Azure AD 上のユーザーとオンプレミス AD 上のユーザーを proxyAddresses または UserPrincipalName (UPN) で紐づけて、同期させる手法のことをいいます。基本的にはユーザーを紐づける必要がある場合には、ソフトマッチを利用することを推奨します。ソフトマッチができない場合にはハードマッチと呼ばれる方法で直接的に同期時にオブジェクトの一意性を確保するソースアンカーと呼ばれる ID 情報 (ImmutableID) を紐づけます。ハード...

Read more

エラーコード 135011 の対処方法

こんにちは、Azure & Identity サポート チームの谷口です。 今回は、最近多くご質問いただいております、135001 エラーが出力された際の対処方法をご紹介します。エラーコード 700003 が出力されている場合は、以下の記事を参照ください。 エラーコード 700003 の対処策について エラーコード 135011 について Azure Active Directory (Azure AD) にデバイスを登録するとそのデバイスに紐づく形で PRT (Primary Refresh Token) というものを取得できるようになり、この PRT を用いて Office 365 など Azure AD と連携したアプリケーションのサインイン時にシングル サインオン (SSO) できるようになります。 このエラーは、Azure AD 上に登録された デバイス オブジェクトが無...

Read more

[情報採取] Azure AD Connect に関わる問題などの際に採取、提供いただきたい情報

こんにちは、日本マイクロソフトの金子です。 Azure AD Connect に関わる問題が発生した場合にテクニカル サポートにお問い合わせいただく際に下記の情報をご提供いただくことで問い合わせがスムーズに行われますので、予め採取をお願いいたします。調査過程で追加で採取いただく情報が増える可能性がありますので、予めご了承ください。 Azure AD Connect トラブルシューティングは大区分として、Azure AD Connect サーバー全般に関わる問題か、特定のオブジェクトに関わる問題かにより調査に必要な情報が異なります。各シナリオでの取得情報としては、下記の記事にてお纏めさせていただいています。 Azure AD Connect サーバーの全般情報 [調査に有効な採取情報] Azure AD Connect でユーザー同期ができない問題 上記内容をスクリプトで一括採取する方法につ...

Read more

通常とは異なるサインインが発生した場合に "これは私ではありません" と報告する。

本記事は、 2020 年 8 月 3 日に Azure Active Directory Identity Blog に公開された記事 (End users can now report “This wasn’t me” for unusual sign-in activity) の抄訳です。原文は こちら より参照ください。 Azure AD My Sign-Ins が利用できるようになりました。パブリック プレビューの blog post にありますように、[自分のサインイン] ページで、次の情報を確認することができます。 だれかがパスワードを推測しようとしているような痕跡。 普段の利用場所とは異なるところから攻撃者が自分のアカウントへのサインインに成功したこと。 攻撃者がアクセスしようとしたアプリ。 加えて、エンドユーザーが通常とは異なるサインインが発生した場合に “これは私で...

Read more