こんにちは。Azure Identity サポートの埴山です。 Azure AD B2C は非常に多機能な ID 基盤ですが、誤った利用方法を検討いただいていたり、本来利用方法として想定されない構成についてご質問いただいたりすることがございます。本記事では Azure AD B2C をご利用いただくにあたり、抑えていただきたい Azure AD B2C の基本的な考え方をご案内し、併せてよくあるご質問について回答します。 Azure AD B2C のキホンまず、Azure AD B2C は Microsoft が提供する ID 管理基盤で、いわゆる IDaaS と呼ばれるサービスです。Azure AD がエンタープライズ (企業など組織で働くユーザー) 向けの ID 管理基盤であるのに対し、Azure AD B2C は、コンシューマー (ショッピング サイトの利用者など一般ユーザー) の ...

Read more

こんにちは、Azure & Identity サポート チームの 姚 (ヨウ) です。 今回は Hybrid Azure AD Join を構成した際の、デバイスにログオンするユーザーの UPN とドメイン名の関係について説明します。この内容は以下の公開情報で説明されておりますが、今回はより分かりやすい解説を目指します。 ハイブリッド Azure AD 参加でのオンプレミス AD ユーザー UPN サポートを確認する ご存じの通り、Hybrid Azure AD Join した端末へユーザーがログオンすると、SSO や条件付きアクセスに利用される PRT を取得します。 PRT を正常に取得するためには、デバイスが正常に Hybrid Azure AD Join した状態として登録されている必要がありますが、ユーザーの UPN も正しく構成されている必要があります。PRT を正常に...

Read more

本記事は、 2020 年 5 月 26 日に Azure Active Directory Identity Blog に公開された記事 (Biometrics – Keep Your Fingers Close) を翻訳したものです。原文は こちら より参照ください。 「利用者がシステムに立ち寄って指紋をスキャンすると (もしくはカメラを見つめるかマイクに話しかけると)、あっという間にログインできるようなシステムが欲しい」。こんなご要望を特に製造業、政府系サービス、自動発券機の利用シナリオなどでお客様からよく伺います。 機械に近づくと、初めてそれを使う場合でも指紋や顔で簡単にログオンできるというのは確かに魅力的なシナリオのように思います。何かを購入して持ち歩いたり、落として無くしたりすることもなく、フィッシングにも会いませんし誰かに勝手に使われたりすることもありません。また、従業員が職...

Read more

こんにちは。 Azure Identity サポートです。 Windows 10 以降のデバイスで Office のライセンス認証時やサインインが求められる際に表示される下記 “すべてのアプリにサインインしたままにする” 画面について、お問い合わせを多くいただいています。この画面の動作および制御方法について、本記事ではお纏めいたしました。   なぜ表示されるのか？Windows 10 の 1703 (Build 15063.138) 以後のバージョンにて Office のバージョン 16.0.7967 以後のバージョンを利用する場合、Office は Web Account Manager (WAM) と呼ばれる認証フレームワークを利用します。 「すべてのアプリにサインインしたままにする」のダイアログ メッセージは、認証に WAM が使用された際、資格情報 (ID/Pass...

Read more

こんにちは、Azure ID チームの埴山です。 本記事は Azure Tech Advent Calendar 4 日目の記事です。 今回はトラブルシューティングの方法ではなく、Azure AD を利用したアプリケーション開発における、”API 権限” について説明します。特に Microsoft Graph API を題材に API エコシステムの中身を見ていきます。 Azure AD を利用してアプリ開発を検討している方や、Azure AD における OAuth の実装について詳しく知りたい方への記事となります。チュートリアルなどについては、一通り動かしたことのある方を対象とした記事ですので、Azure AD で保護されたアプリケーション開発の基礎については Microsoft ID プラットフォームのドキュメント | Microsoft Docs の公開ドキュメントをご確認ください...

Read more

いつも Azure Identity サポート チームのブログを参照いただきましてありがとうございます。 今回は 9/28 に発生しました Azure Active Directory の障害について、RCA (Root Cause Analysis) レポートの日本語版の抄訳を紹介します。原文は 状態の履歴および根本原因分析 (RCA) を確認ください。 日本語版の抄訳の PDF については、以下のリンクよりダウンロード頂けます。 SM79-F88_JP.pdf この障害では Azure / Office 365 ポータルへのサインインができないことをはじめ、障害の対象となりましたテナントで多大な影響が生じました。改めて、今回の障害により多くのお客様にご迷惑をお掛けしましたことを深くお詫び申し上げます。 9/28 RCA – 複数の Microsoft サービスおよび Azure Act...

Read more

こんにちは、Azure Identity サポート チームの谷です。 Microsoft Graph API の lastSignInDateTime プロパティを取得することで、実際に Azure AD に長期間サインインを行っていないユーザーを取得することが可能です。 Azure AD で非アクティブなユーザー アカウントを管理する https://docs.microsoft.com/ja-jp/azure/active-directory/reports-monitoring/howto-manage-inactive-user-accounts 上記 API を利用し、組織内のユーザーとその最終サインイン日時、最後に利用したクラウド アプリケーションを一覧で CSV 形式ファイルで取得するまでを GitHub にサンプルとしてお纏めしました。 具体的な設定手順も REA...

Read more

こんにちは、Azure & Identity サポート チームの菊池です。 Azure AD 上のユーザーをオンプレミス Active Drectory ユーザーと紐づける方法として、ハードマッチとソフトマッチと呼ばれる方法があります。今回はソフトマッチについてご紹介します。 ソフトマッチとは ?ソフトマッチとは、Azure AD 上のユーザーとオンプレミス AD 上のユーザーを proxyAddresses または UserPrincipalName (UPN) で紐づけて、同期させる手法のことをいいます。基本的にはユーザーを紐づける必要がある場合には、ソフトマッチを利用することを推奨します。ソフトマッチができない場合にはハードマッチと呼ばれる方法で直接的に同期時にオブジェクトの一意性を確保するソースアンカーと呼ばれる ID 情報 (ImmutableID) を紐づけます。ハード...

Read more

こんにちは、Azure & Identity サポート チームの谷口です。 今回は、最近多くご質問いただいております、135001 エラーが出力された際の対処方法をご紹介します。エラーコード 700003 が出力されている場合は、以下の記事を参照ください。 エラーコード 700003 の対処策について エラーコード 135011 について Azure Active Directory (Azure AD) にデバイスを登録するとそのデバイスに紐づく形で PRT (Primary Refresh Token) というものを取得できるようになり、この PRT を用いて Office 365 など Azure AD と連携したアプリケーションのサインイン時にシングル サインオン (SSO) できるようになります。 このエラーは、Azure AD 上に登録された デバイス オブジェクトが無...

Read more

本記事は、 2020 年 8 月 3 日に Azure Active Directory Identity Blog に公開された記事 (End users can now report “This wasn’t me” for unusual sign-in activity) の抄訳です。原文は こちら より参照ください。 Azure AD My Sign-Ins が利用できるようになりました。パブリック プレビューの blog post にありますように、**[自分のサインイン]** ページで、次の情報を確認することができます。 だれかがパスワードを推測しようとしているような痕跡。 普段の利用場所とは異なるところから攻撃者が自分のアカウントへのサインインに成功したこと。 攻撃者がアクセスしようとしたアプリ。 加えて、エンドユーザーが通常とは異なるサインインが発生した場合に “こ...

Read more