こんにちは、Azure Identity サポート チームの村上です。 本記事は、2021 年 6 月 23 日に米国の Azure Active Directory Identity Blog で公開された Guidance on using Azure AD to meet Zero Trust Architecture and MFA requirements を意訳したものになります。ご不明点等ございましたらサポート チームまでお問い合わせください。 皆さん、こんにちは。 最近発表された 国家のサイバー セキュリティ向上に関する大統領令 では、ゼロトラスト アーキテクチャと多要素認証が義務付けられていますが、これらの要件はどのようなもので、基準を満たすために Azure AD のツールをどのように使用すればよいのか気にされている方もいらっしゃると思います。 我々の公開文書の中で、...

Read more

こんにちは、Azure Identity サポート チームの竜と村上です。 本記事は、米国の Azure Active Directory Identity Blog で公開された Have you updated your applications to use the Microsoft Authentication Library and Microsoft Graph? を意訳したものになります。ご不明点等ございましたらサポート チームまでお問い合わせください。 皆さん、こんにちは。 2020 年に、アプリケーションを開発する際に Microsoft Authentication Library (MSAL) と Microsoft Graph API を使用することを、開発者の皆さまへ推奨しました。それ以降、MSAL および Microsoft Graph 双方へのパフォーマン...

Read more

こんにちは。Azure Identity チームの栗井です。 突然ですが、Azure AD の管理者ユーザー様からよく、下記のようなお問い合わせをいただきます。 「Azure AD の [エンタープライズ アプリケーション] 一覧に、管理者が追加した覚えのないアプリケーションが追加されています。」 「これはユーザーが追加したものなのでしょうか。Azure AD のアカウントと連携をとっているのでしょうか。」 「追加されたアプリケーションは、Azure AD 上の情報やリソースにアクセスが発生するものなのでしょうか。心配です。」 その正体は「マルチテナント アプリケーション」Azure ポータル上で確認いただける [エンタープライズ アプリケーション] には、既定で多くのアプリのサービス プリンシパルが登録されております。 既定で登録されているもの以外について、どのようなパターンでサービス ...

Read more

こんにちは、Azure & Identity サポート チームの高田です。今回は、App Service 認証を利用して複数のテナントの Azure AD ユーザーを App Service にサインインさせる方法について案内いたします。 まず、App Service は Web サイトや REST API など HTTP ベースのサービスを公開するための Azure のサービスです。例えば Visual Studio で開発した ASP.NET Core アプリケーションを Azure を用いて公開したい場合、Visual Studio の Publish 機能を用いることで非常に簡単に実現できます。またお客様によっては、そのようにして公開した Web サイトに対し認証機能を組み込みたい場合もあると思います。この場合に活用いただけるのが App Service 認証です (Eas...

Read more

こんにちは、Azure & Identity サポート チームの福島です。

システムの管理者は、定常運用時における運用管理アカウントのアクセス権管理に悩まれていないでしょうか。

今回のブログでは、”最低限必要な権限” を ”最低限必要な人間” に ”最低限の期間” 付与することが出来る Privileged Identity Management (PIM) という機能についてご紹介します。

Read More

こんにちは。Azure Identity チームの金森です。 みなさんは CAE (Continuous Access Evaluation: 継続的アクセス評価) という機能をご存知でしょうか。2021 年 11 月現在、以下のようなお知らせがあり、目にされた方も多いのではないかと思います。 Microsoft 365 管理ポータルのメッセージ センターに MC255540 (Continuous access evaluation on by default) として情報が公開 送信元 : Microsoft Azure azure-noreply@microsoft.com から TRACKING ID: 5T93-LTG として以下の件名のメールでお知らせ-> Continuous access evaluation will be enabled in premium A...

Read more

こんにちは、Azure & Identity サポート チームの金子です。今回はパスワード ライトバックのしくみと一般的なトラブルシューティングについてご紹介します。 パスワード ハッシュ同期とパスワード ライトバックの違いとはまず、ユーザーは Azure AD Connect により、オンプレミス AD から Azure AD に同期されていることを前提とします。パスワード ハッシュ同期についてはご存じの方が多いと思いますが、パスワード ハッシュ同期はオンプレミスの認証パスワード (厳密にはパスワード ハッシュ) を Azure AD に同期する機能です。これによりユーザーは同じ ID/パスワードで Office 365 などのクラウド上のアプリにもサインインすることができるようになります。オンプレミス側でパスワードを変更した場合も同様にクラウド側へ同期されますが、逆に...

Read more

こんにちは。 Azure Identity サポート チームです。 こちらのブログでは、MC246440 にて案内している Azure AD における TLS 1.0 および TLS 1.1 の無効化における Azure AD Connect の対応ついてご案内いたします。 MC246440 の詳細この度、2021 年 6 月 30 日をもって TLS 1.0 /1.1 , 3DES 暗号スイート (TLS_RSA_WITH_3DES_EDE_CBC_SHA) のプロトコルおよび暗号のサポートが終了いたします。それに伴い Azure AD にて 上記プロトコルが無効化されますので、Azure AD Connect でも TLS 1.2 への対応が必要となります。 重要上記の通り、2021 年 6 月 30 日に TLS 1.0 および TLS 1.1 の無効化を計画しておりまし...

Read more

こんにちは。Azure Identity チームの栗井です。 この度、Azure AD アプリケーション (Service Principal) のクライアント シークレットの作成画面の変更、設定可能な有効期限の変更がありましたので、本記事にて紹介します。 新旧画面の比較該当画面 : [Azure Active Directory] > [アプリの登録] > (任意のアプリケーション) > [証明書とシークレット] 従来の画面では、有効期限が「1 年」「2 年」「なし (= 無期限)」が選択いただけました。 新しい画面では、1, 12, 18, 24 ヶ月が選択肢として表示されます。 [カスタム] を選択することで更にきめ細かく開始日と終了日を選択可能です。 開始日 : 現在の日付 ～ 1 年 6 ヶ月後の範囲内を指定します。(現在の日時が 2021...

Read more

いつも Azure Identity サポート チームのブログを参照いただきましてありがとうございます。 今回は 日本時間の 3/16 に発生しました Azure Active Directory の障害について、RCA (Root Cause Analysis) レポートの日本語版の抄訳を紹介します。原文は 状態の履歴および根本原因分析 (RCA) を確認ください。 日本語版の抄訳の PDF については、以下のリンクよりダウンロード頂けます。 LN01-P8Z _JP.pdf 本障害では Azure および Office 365 へのサインインができないことをはじめ、障害の対象となりましたテナントで多大な影響が生じました。改めて、今回の障害により多くのお客様にご迷惑をお掛けしましたことを深くお詫び申し上げます。 重要下記内容において 2021 年半ばに対応が予定されていた「第 ...

Read more