本記事は、 2020 年 2 月 10 日に Azure Active Directory Identity Blog に公開された記事 (Three ways Azure AD Conditional Access balances security and productivity) を翻訳したものです。原文は こちら より参照ください。 こんにちは！ パートナー ブログ シリーズへようこそ。貴社では現在 ID と IAM (Identity and Access Management) のソリューションをお使いと思いますが、もしそれらがユーザーの生産性とセキュリティの適切なバランスを実現していないとお考えの場合は、この記事を読んでいただければと思います。今回は Content and Code 社のテクノロジー アーキテクチャ責任者である Ben Athawes 氏をお招きし、な...

Read more

こんにちは、Azure & Identitiy サポートチームの竹村です。今回は、多くのお客様からお問合せをいただく AADSTS50107 のエラーについて、その意味や対応方法をご紹介します。 1. ADSTS50107 と Issuer ID、 Issuer URI最初に、AADSTS50107 のエラーの内容と、その背景にある Issuer ID、および Issuer URI と呼ばれるものについて説明します。Issuer ID は、Azure AD と連携する IdP (例えば AD FS など) が発行するクレームです。AD FS (WS-Federation) の場合は、具体的には以下のクレームになります。 http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid 一方、Azure AD のカス...

Read more

本記事は、 2020 年 1 月 28 日に Azure Active Directory Identity Blog に公開された記事 (5 identity priorities for 2020 - preparing for what’s next) を翻訳したものです。原文は こちら より参照ください。 Microsoft アイデンティティ グループの慣習として、毎年、顧客との共同イノベーション週間というものを開催しています。次の新しい 10 年で最初のイベントを始めるにあたり、2020 年またさらにその先を見据え、常に念頭にあるのは、私たちの戦略と製品の方向性を形作るお客様の優先事項がどのようのように進化していくのかという点です。 過去の 10 年間を振り返ってみると、デジタル トランスフォーメーションが人々の働き方や企業のビジネスのあり方を大きく変えてきたのは驚くべきこと...

Read more

こんにちは、 Azure & Identity サポート チームの平形です。 以前、Azure AD のサインイン アクティビティ レポートと監査アクティビティ レポートを Azure AD Graph API を経由して取得するスクリプトを紹介しました。今回はスクリプト内にクライアント シークレットや証明書の情報を記載しなくてもよい方法として、マネージド ID を使用したレポート取得方法と共に、いくつかのサインイン ログ・監査ログを取得するサンプルをご用意いたしました。 マネージド ID は特殊なサービス プリンシパルであり、このサービス プリンシパルを用いて認証を行うには Azure 内部のみアクセス可能な特殊なエンドポイントにアクセスする必要があります。通常のサービス プリンシパルと同じように RBAC を設定することで Azure 各種リソースへアクセスが可能になる一方、サ...

Read more

こんにちは、Azure & Identity サポート チームの 姚 (ヨウ) です。 多くの方にご利用いただいている Hybrid Azure AD Join (以後 HAADJ) の構成ですが、構成に失敗する場合、 Azure AD の観点だけでなく、オンプレミス Active Directory と Windows の観点での確認が必要です。今回は、HAADJ の構成時の初動調査について紹介します。 今回の情報により問題が解決すれば越したことはありませんが、問題が解決しない場合も、ここで確認した初期切り分け情報を含めることで、サポートにスムーズな形で調査を依頼することができます。 なお、 HAADJ には、マネージド構成とフェデレーション構成の 2 種類の構成があります。HAADJ とマネージド構成とフェデレーション構成については、それぞれ以下の弊社公開情報をご参照ください。...

Read more

こんにちは、Azure & Identity サポート チームの石川です。今回は、Azure AD において、無料で利用できる多要素認証の機能の移行についてご紹介します。 概要Azure AD の多要素認証 (MFA) を実現するために 2020 年 1 月時点ではプレビュー機能の “ベースライン ポリシー” (条件付きアクセスの [ベースライン ポリシー]) を利用することができます。ベースライン ポリシーを有効にすることで、特定のディレクトリ ロールを持つユーザーに対して MFA を要求するなどのベースライン レベルのセキュリティ強化を追加の費用なしで有効にすることができます。 ※ベースラインポリシーの詳細はこちらでご確認ください。 ベースライン ポリシーとは ?https://docs.microsoft.com/ja-jp/azure/active-directory/c...

Read more

こんにちは、Azure AD サポートチームの高田です。 本日は、Azure AD Domain Services についてその推奨される利用方法やシナリオをご紹介したいと思います。 Azure AD Domain Services は、ユーザーが指定したドメイン名を用いて Azure の仮想ネットワーク上にドメイン コントローラーを自動構築するという機能です。Windows Server の Active Directory と完全に互換性のあるドメイン サービスが構築されることから、ドメイン参加やグループ ポリシーなど従来オンプレミス環境で使用していたテクノロジーをそのまま Azure 上で利用することが可能です。 しかし、利便性が大きい反面、サービスの位置づけが特殊なため、本来想定していない方法で Azure AD Domain Services の利用を検討しているお客様もいらっし...

Read more

Note本記事は Technet Blog の更新停止に伴い https://blogs.technet.microsoft.com/jpazureid/2018/12/28/enterprise-applications-app-registrations/ の内容を移行したものです。元の記事の最新の更新情報については、本内容をご参照ください。 こんにちは、Azure Identity チームの宮林です。 今回は Azure Active Directory の管理項目にある、「エンタープライズアプリケーション」と「アプリの登録」のそれぞれの違いについて紹介します。初めてアプリケーションの登録を行おうとした際にどちらで設定すれば良いのかと、気になった方も多いのではないでしょうか。この記事では、そのような疑問に対する答えとして、それぞれの違いについて説明します。 「エンタープライズアプリケ...

Read more

こんにちは、Azure & Identity サポート チームの倉本です。   今回は、Azure AD ユーザーの iOS 標準メール アプリへサインイン時の条件付きアクセスを利用した制御方法について紹介します。  条件付きアクセスではアクセス元のクライアント アプリケーションを条件として設定することができますが、このとき [先進認証クライアント] [Exchange ActiveSync クライアント] [他のクライアント] の 3 種の認証方式毎にアクセス制御を設定することができます。  iOS 標準メール アプリでは iOS 11 から先進認証に対応していますが、アカウントの設定手順によって、記 3 つのどの認証方式で Exchange Online に接続するか変わります。  設定手順により、どの認証方式を利用するか、説明します。    <先進認証クライアント>...

Read more

皆さん、こんにちは。日本マイクロソフト Azure Identity サポートの金子です。 今回は、オンプレミス AD フォレストの移行を検討されている方々に向けて、既存の AD フォレストと同期している Azure AD ユーザーを新しい AD フォレストに紐付け替える方法についてご紹介したいと思います。 図にすると、このようなイメージです。 既存の AD フォレスト contoso.local は既に Azure AD と同期しています。この図では一つのドメインにしていますが、マルチフォレスト環境の場合、contoso.local や abc.local など複数の AD フォレストがオンプレミスに存在している場合があります。そのようなマルチフォレスト環境で、会社間の合併などにより複数のドメインを contoso.com などの一つのドメインに統合する、といったような移行作業で...

Read more