Azure AD B2C のキホンとよくある質問

こんにちは。Azure Identity サポートの埴山です。 Azure AD B2C は非常に多機能な ID 基盤ですが、誤った利用方法を検討いただいていたり、本来利用方法として想定されない構成についてご質問いただいたりすることがございます。本記事では Azure AD B2C をご利用いただくにあたり、抑えていただきたい Azure AD B2C の基本的な考え方をご案内し、併せてよくあるご質問について回答します。 Azure AD B2C のキホンまず、Azure AD B2C は Microsoft が提供する ID 管理基盤で、いわゆる IDaaS と呼ばれるサービスです。Azure AD がエンタープライズ (企業など組織で働くユーザー) 向けの ID 管理基盤であるのに対し、Azure AD B2C は、コンシューマー (ショッピング サイトの利用者など一般ユーザー) の ...

Read more

Hybrid Azure AD Join とユーザーの UPN

こんにちは、Azure & Identity サポート チームの 姚 (ヨウ) です。 今回は Hybrid Azure AD Join を構成した際の、デバイスにログオンするユーザーの UPN とドメイン名の関係について説明します。この内容は以下の公開情報で説明されておりますが、今回はより分かりやすい解説を目指します。 ハイブリッド Azure AD 参加でのオンプレミス AD ユーザー UPN サポートを確認する ご存じの通り、Hybrid Azure AD Join した端末へユーザーがログオンすると、SSO や条件付きアクセスに利用される PRT を取得します。 PRT を正常に取得するためには、デバイスが正常に Hybrid Azure AD Join した状態として登録されている必要がありますが、ユーザーの UPN も正しく構成されている必要があります。PRT を正常に...

Read more

生体情報 - どうか指紋情報が漏洩しませんように!

本記事は、 2020 年 5 月 26 日に Azure Active Directory Identity Blog に公開された記事 (Biometrics – Keep Your Fingers Close) を翻訳したものです。原文は こちら より参照ください。 「利用者がシステムに立ち寄って指紋をスキャンすると (もしくはカメラを見つめるかマイクに話しかけると)、あっという間にログインできるようなシステムが欲しい」。こんなご要望を特に製造業、政府系サービス、自動発券機の利用シナリオなどでお客様からよく伺います。 機械に近づくと、初めてそれを使う場合でも指紋や顔で簡単にログオンできるというのは確かに魅力的なシナリオのように思います。何かを購入して持ち歩いたり、落として無くしたりすることもなく、フィッシングにも会いませんし誰かに勝手に使われたりすることもありません。また、従業員が職...

Read more

すべてのアプリにサインインしたままにする

こんにちは。 Azure Identity サポートです。 Windows 10 以降のデバイスで Office のライセンス認証時やサインインが求められる際に表示される下記 “すべてのアプリにサインインしたままにする” 画面について、お問い合わせを多くいただいています。この画面の動作および制御方法について、本記事ではお纏めいたしました。   なぜ表示されるのか?Windows 10 の 1703 (Build 15063.138) 以後のバージョンにて Office のバージョン 16.0.7967 以後のバージョンを利用する場合、Office は Web Account Manager (WAM) と呼ばれる認証フレームワークを利用します。 「すべてのアプリにサインインしたままにする」のダイアログ メッセージは、認証に WAM が使用された際、資格情報 (ID/Pass...

Read more

Azure AD に登録できる 「アプリ」と「リソース」、「API 権限」を理解する

こんにちは、Azure ID チームの埴山です。 本記事は Azure Tech Advent Calendar 4 日目の記事です。 今回はトラブルシューティングの方法ではなく、Azure AD を利用したアプリケーション開発における、”API 権限” について説明します。特に Microsoft Graph API を題材に API エコシステムの中身を見ていきます。 Azure AD を利用してアプリ開発を検討している方や、Azure AD における OAuth の実装について詳しく知りたい方への記事となります。チュートリアルなどについては、一通り動かしたことのある方を対象とした記事ですので、Azure AD で保護されたアプリケーション開発の基礎については Microsoft ID プラットフォームのドキュメント | Microsoft Docs の公開ドキュメントをご確認ください...

Read more

MFA 認証方法を、変更 / 再登録 / 追加 したい!

こんにちは。Azure Identity サポート チームの栗井です。 弊社サポートチームでは、 Azure Active Directory に関して、以下のようなご要望に関するお問い合わせをよくいただきます。 スマートフォンを買い替えたので、MFA 認証方法を変更したい。 スマートフォンを紛失したので、MFA 認証方法を再登録したい。 社用のスマートフォンに加えて、私用スマートフォンを、MFA 認証方法として追加したい。 このブログでは、こういったご要望に答えるために、MFA 認証方法の変更 / 再登録 / 追加 するための方法と手順を、ご紹介いたします。 読者のターゲット : テナントの管理者。組織内のユーザーが、MFA 認証方法の変更 / 再登録 / 追加 が必要となった際に、ご参考になれば幸いです。 操作の手順は、以下の場合ごとに異なるため、それぞれ別項目でご説明します。 ...

Read more

9/28 (日本語抄訳) RCA – 複数の Microsoft サービスおよび Azure Active Directory と連携したアプリケーションでの認証エラー (Tracking ID SM79-F88)

いつも Azure Identity サポート チームのブログを参照いただきましてありがとうございます。 今回は 9/28 に発生しました Azure Active Directory の障害について、RCA (Root Cause Analysis) レポートの日本語版の抄訳を紹介します。原文は 状態の履歴および根本原因分析 (RCA) を確認ください。 日本語版の抄訳の PDF については、以下のリンクよりダウンロード頂けます。 SM79-F88_JP.pdf この障害では Azure / Office 365 ポータルへのサインインができないことをはじめ、障害の対象となりましたテナントで多大な影響が生じました。改めて、今回の障害により多くのお客様にご迷惑をお掛けしましたことを深くお詫び申し上げます。 9/28 RCA – 複数の Microsoft サービスおよび Azure Act...

Read more

最終サインイン日時を一括で取得する方法

こんにちは、Azure Identity サポート チームの谷です。 Microsoft Graph API の lastSignInDateTime プロパティを取得することで、実際に Azure AD に長期間サインインを行っていないユーザーを取得することが可能です。 Azure AD で非アクティブなユーザー アカウントを管理する https://docs.microsoft.com/ja-jp/azure/active-directory/reports-monitoring/howto-manage-inactive-user-accounts 上記 API を利用し、組織内のユーザーとその最終サインイン日時、最後に利用したクラウド アプリケーションを一覧で CSV 形式ファイルで取得するまでを GitHub にサンプルとしてお纏めしました。 具体的な設定手順も REA...

Read more

Azure AD Connect Sync Configuration Documenter 使用方法

こんにちは、Azure Identity サポート チームの谷です。Azure AD Connect Sync Configuration Documenter 使用方法をご案内します。Readme に記載の手順となります。Azure AD Connect サーバーの移行やアップグレードに際し、設定変更内容や差分内容を確認する場合に参考にしてください。 Azure AD Connect Sync Configuration Documenter とはAzure AD Connect の設定内容や同期ルールを比較するためのツールです。各 Azure AD Connect にて設定情報をエクスポートし、HTML レポート ファイルで比較情報を取得することができます。 使用方法 比較情報を確認するサーバーにて Azure AD Connect Configuration Document...

Read more

Azure AD Connect に関する FAQ

 Azure AD Connect (AADC) のお問い合わせが多いご質問について、Q&A 形式でおまとめいたしました。既存のドキュメントではカバーされていない動作や質問について今後も適宜内容を拡充していきますので、ご参照いただければと思います。 Q. AADC の Active / Stand By (アクティブ / スタンバイ) の構成が行えるか?A. いいえ。AADC はクラスター構成を実装していません。AADC を同一フォレスト内で 2 台以上構成した場合でも各 AADC で死活監視を行う実装はありません。冗長構成をご検討の場合はステージング モード機能をご利用ください。詳細はこちら をご参照ください。 Q. AADC をインストールする際のネットワーク要件は?A. Azure AD Connect サーバー - ウィルス対策ソフト除外項目 / 使用する通信ポート...

Read more