マネージド ドメイン用(AD FS なし) Hybrid Azure AD Join を一から構成する

こんにちは、 Azure Identity の山口です。今回は AD FS を利用しないマネージド ドメイン環境における Hybrid Azure AD Join の構成手順をご紹介します。 はじめにAD FS を利用しないマネージド ドメイン環境の Hybrid Azure AD Join の環境構築手順は、下記公開情報にあります。 チュートリアル:マネージド ドメイン用のハイブリッド Azure Active Directory 参加の構成URL:https://docs.microsoft.com/ja-jp/azure/active-directory/devices/hybrid-azuread-join-managed-domains 本 Blog では、 Azure AD にオンプレミス AD のデバイスが登録される仕組みを含め、一から Hybrid Azure AD Joi...

Read more

入れ子 (ネスト) グループへの権限付与について

Note本記事は Technet Blog の更新停止に伴い https://blogs.technet.microsoft.com/jpazureid/2019/02/06/nesting-group/ の内容を移行したものです。元の記事の最新の更新情報については、本内容をご参照ください。 こんにちは、 Azure Identity の平形です。今回は Azure AD における入れ子 (ネスト) グループの対応状況についてお伝え致します。 入れ子のグループとはそもそも入れ子のグループとは、グループの中にグループを所属させているグループを指します。以下の図をご覧ください。 この場合はグループ A が入れ子のグループです。グループ A の中にはグループ B とユーザー B が含まれています。そしてユーザー A はグループ B に含まれている状態ですが、グループ A に含まれていると考えて...

Read more

Azure AD サインイン ログ取得方法まとめ

Note本記事は Technet Blog の更新停止に伴い https://blogs.technet.microsoft.com/jpazureid/2019/02/04/signin-log-summary/ の内容を移行したものです。元の記事の最新の更新情報については、本内容をご参照ください。 こんにちは。Azure Identity チームの三浦です。 Azure AD のサインイン ログは Azure ポータルで確認するほかに次のような方法で確認することができます。 ポータルから CSV/JSON 形式のファイルをダウンロード Azure Monitor に統合する API を利用して JSON 形式のファイルを取得する データをエクスポートし、 PowerBI で解析する それぞれ簡単に概要を紹介します。 なお、 Azure ポータルのサインインからログを確認することを含...

Read more

Azure VM 上の AD FS 構成と Azure トラフィック マネージャーとの構成での非推奨設定について

Note本記事は Technet Blog の更新停止に伴い https://blogs.technet.microsoft.com/jpazureid/2018/12/27/adfstrafficmanager/ の内容を移行したものです。元の記事の最新の更新情報については、本内容をご参照ください。 こんにちは、Azure & Identity サポート チームの 姚 (ヨウ) です。 Azure VM 上に AD FS を構成し、 Azure トラフィック マネージャーと組み合わせることで WAP サーバーと AD FS サーバーのセットを丸ごと冗長化できるメリットがあります。 この具体的な手順を含む詳細な情報を以下で公開しています。 High availability cross-geographic AD FS deployment in Azure with Azure ...

Read more

PowerShell にて全ユーザーの最終サインイン日時を一括で取得する方法

Note本記事は Technet Blog の更新停止に伴い https://blogs.technet.microsoft.com/jpazureid/2018/12/12/last-signin-reports/ の内容を移行したものです。元の記事の最新の更新情報については、本内容をご参照ください。 こんにちは、Azure & Identity サポート チームの小野です。今回は、PowerShell で Azure AD 上の全ユーザー(ゲストユーザーも含む)の最終サインイン日時を一括で取得する方法をご紹介します。 Azure AD における最終サインイン日時は、皆さまから強いご要望を受けており開発チームも機能追加に向け動き出しています。今回ご案内する方法は正式に機能が追加されるまでの回避策となりますが、ご活用いただけますと幸いです。 この方法を実施すると、以下のようにユーザ...

Read more

ステージング サーバーのすゝめ

Note本記事は Technet Blog の更新停止に伴い https://blogs.technet.microsoft.com/jpazureid/2018/11/27/aadc_staging/ の内容を移行したものです。元の記事の最新の更新情報については、本内容をご参照ください。 こんにちは。Azure Identity チームの金森です。今回は Azure AD Connect (AADC) サーバーの運用にあたって、さまざまなメリットが享受できる [Staging サーバー] のご紹介です! AADC が担っているディレクトリ同期やパスワード同期は AADC サーバーが停止した場合も [AAD 上のユーザーやグループなどのオブジェクト情報] はそのままであり、AADC そのものが認証処理を担っている訳ではないため業務への影響はそこまでは大きくないと言えます。もちろんパススルー...

Read more

AD FS クレームルール関連のトラブルシューティング

Note本記事は Technet Blog の更新停止に伴い https://blogs.technet.microsoft.com/jpazureid/2018/11/30/adfs-crule-ts/ の内容を移行したものです。元の記事の最新の更新情報については、本内容をご参照ください。 こんにちは、Azure & Identitiy サポートチームの竹村です。今回は、AD FS のクレームルールに関連した問題のトラブルシュート方法をご紹介します。 エラー画面、エラーイベントの特徴AD FS のクレームルールにより認証が失敗している場合、エラー画面やエラーイベントから容易に判断することができます。ブラウザーやモダン認証のアプリケーションからアクセスしている場合には、以下のように 「このサイトにアクセスする権限がありません。」と表示されます。 一部の Office クライアント...

Read more

サブスクリプション作成時のエラー「アカウントが Azure サブスクリプションに関連付けられないディレクトリに属しています。別のアカウントでサインインしてください」

Note本記事は Technet Blog の更新停止に伴い https://blogs.technet.microsoft.com/jpazureid/2018/11/01/create-subscription-error/ の内容を移行したものです。元の記事の最新の更新情報については、本内容をご参照ください。 こんにちは、Azure & Identity サポート チームの小野です。 今回は、Azure におけるサブスクリプション作成時に表示される「アカウントが Azure サブスクリプションに関連付けられないディレクトリに属しています。別のアカウントでサインインしてください」というエラーの発生原因と対処策についてご紹介します。 本エラーは、サブスクリプション作成を試みたユーザー (のメールアドレス) が ”セルフサービス サインアップ テナント” に紐づいている場合に発...

Read more

証明書認証のトラブルシューティング

こんにちは、Azure & Identity サポートチームの竹村です。今回は、多くのお客様からお問合せをいただく AD FS のクライアント証明書認証の問題について、既知の事例や対応方法をご紹介します。 最初に行うこと証明書認証の問題は、大きく 2 つのパターンに分けられます。 (A) クライアントが証明書を送信しないケース (B) クライアントから証明書を選択して送信したものの、正常に動作しないケース トラブルシューティングを進める際には、まず、どちらのケースに該当するかを確認します。 ※ 注意証明書認証では、認証を試みる際に証明書を選択するポップアップが表示されます。しかし、 IE には、有効な証明書が 1 つしか存在しない場合に、自動的に送信する機能があります。一見 (A) のケースのように見えていても、実際にはバックグラウンドで自動的に証明書を送信している可能性があり...

Read more

Extranet Lockout について

Note本記事は Technet Blog の更新停止に伴い https://blogs.technet.microsoft.com/jpazureid/2018/10/15/extranetlockout%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/ の内容を移行したものです。元の記事の最新の更新情報については、本内容をご参照ください。 こんにちは、 Azure Identity の平形です。本ブログを参照されている方の中でも、今現在以下のような現象にお悩みの方がいらっしゃたりしませんでしょうか。 AD FS 環境でオンプレミスの AD アカウントが頻繁にロックアウトされてしまう ロックアウトの原因が AD FS サーバーからの認証 アカウント ロックアウトの頻度が非常に高く、様々なアカウントで発生しているのであればパスワード スプレー攻撃によって引き起こ...

Read more