こんにちは、Azure Identity サポート チームの田中です。  今回は、比較的多くのお客様からお問い合わせをいただく、条件付きアクセスの利用を開始した環境において、ディレクトリ同期が失敗するという事象の対処方法の一例を紹介します。   読者のターゲット : テナントのグローバル管理者。条件付きアクセスおよび Azure AD Connect を操作できることが前提となります。   Azure AD Connect は、オンプレミス AD から Azure AD に情報を同期するため、Azure AD 側に Azure AD コネクタ アカウントと呼ばれる (既定では UPN が “Sync_” から始まるアカウント)、Azure AD Connect が同期に使用するための専用アカウントがあります。   この Azure AD コネクタ アカウントが条件付きアクセスでブロック...

Read more

こんにちは。 Azure Identity チームの山口です。 2021 年 1 月中旬頃より AD FS と信頼関係を結んでいる Office 365 (Azure AD) の証明書利用者信頼の「監視」のタブに下記画面ショットのようにフェデレーション メタデータの更新が検知されたことを知らせる警告メッセージに関するお問い合わせを多くいただいております。 本 Blog の記事ではフェデレーション メタデータに関する説明と更新影響の有無、また、お客様よりよくいただいておりますご質問内容について Q&A 形式で記載いたします。 このメッセージの意味AD FS 側ではなく、連携している証明書利用者信頼 (サービス側) のフェデレーション メタデータが更新されたことを示します。本記事では、証明書利用者信頼が Office 365 (Azure AD) の場合についてご案内いたします。 ...

Read more

本記事は、 2021 年 2 月 1 日に Azure Active Directory Identity Blog に公開された記事 (Search, Sort, and Filter for Conditional Access is now in public preview!) の抄訳です。原文は こちら より参照ください。 Azure ポータル上で Azure AD  条件付きアクセス ポリシーを検索、並び替え、絞り込みする機能がパブリック プレビューとなりました。これは Azure AD のフィードバック フォーラムで最もリクエストされていたものの 1 つであり、ポリシーの管理が一段と楽になります。この機能は 2021 年 2 月 1 日から全テナントに順次展開され、数週間後には全テナントで利用できるようになる予定です。 検索 (Search)条件付きアクセス ポリシーの...

Read more

こんにちは。Azure Identity サポートの埴山です。 Azure AD B2C は非常に多機能な ID 基盤ですが、誤った利用方法を検討いただいていたり、本来利用方法として想定されない構成についてご質問いただいたりすることがございます。本記事では Azure AD B2C をご利用いただくにあたり、抑えていただきたい Azure AD B2C の基本的な考え方をご案内し、併せてよくあるご質問について回答します。 Azure AD B2C のキホンまず、Azure AD B2C は Microsoft が提供する ID 管理基盤で、いわゆる IDaaS と呼ばれるサービスです。Azure AD がエンタープライズ (企業など組織で働くユーザー) 向けの ID 管理基盤であるのに対し、Azure AD B2C は、コンシューマー (ショッピング サイトの利用者など一般ユーザー) の ...

Read more

こんにちは、Azure & Identity サポート チームの 姚 (ヨウ) です。 今回は Hybrid Azure AD Join を構成した際の、デバイスにログオンするユーザーの UPN とドメイン名の関係について説明します。この内容は以下の公開情報で説明されておりますが、今回はより分かりやすい解説を目指します。 ハイブリッド Azure AD 参加でのオンプレミス AD ユーザー UPN サポートを確認する ご存じの通り、Hybrid Azure AD Join した端末へユーザーがログオンすると、SSO や条件付きアクセスに利用される PRT を取得します。 PRT を正常に取得するためには、デバイスが正常に Hybrid Azure AD Join した状態として登録されている必要がありますが、ユーザーの UPN も正しく構成されている必要があります。PRT を正常に...

Read more

本記事は、 2020 年 5 月 26 日に Azure Active Directory Identity Blog に公開された記事 (Biometrics – Keep Your Fingers Close) を翻訳したものです。原文は こちら より参照ください。 「利用者がシステムに立ち寄って指紋をスキャンすると (もしくはカメラを見つめるかマイクに話しかけると)、あっという間にログインできるようなシステムが欲しい」。こんなご要望を特に製造業、政府系サービス、自動発券機の利用シナリオなどでお客様からよく伺います。 機械に近づくと、初めてそれを使う場合でも指紋や顔で簡単にログオンできるというのは確かに魅力的なシナリオのように思います。何かを購入して持ち歩いたり、落として無くしたりすることもなく、フィッシングにも会いませんし誰かに勝手に使われたりすることもありません。また、従業員が職...

Read more

こんにちは。 Azure Identity サポートです。 Windows 10 以降のデバイスで Office のライセンス認証時やサインインが求められる際に表示される下記 “すべてのアプリにサインインしたままにする” 画面について、お問い合わせを多くいただいています。この画面の動作および制御方法について、本記事ではお纏めいたしました。   なぜ表示されるのか？Windows 10 の 1703 (Build 15063.138) 以後のバージョンにて Office のバージョン 16.0.7967 以後のバージョンを利用する場合、Office は Web Account Manager (WAM) と呼ばれる認証フレームワークを利用します。 「すべてのアプリにサインインしたままにする」のダイアログ メッセージは、認証に WAM が使用された際、資格情報 (ID/Pass...

Read more

こんにちは、Azure ID チームの埴山です。 本記事は Azure Tech Advent Calendar 4 日目の記事です。 今回はトラブルシューティングの方法ではなく、Azure AD を利用したアプリケーション開発における、”API 権限” について説明します。特に Microsoft Graph API を題材に API エコシステムの中身を見ていきます。 Azure AD を利用してアプリ開発を検討している方や、Azure AD における OAuth の実装について詳しく知りたい方への記事となります。チュートリアルなどについては、一通り動かしたことのある方を対象とした記事ですので、Azure AD で保護されたアプリケーション開発の基礎については Microsoft ID プラットフォームのドキュメント | Microsoft Docs の公開ドキュメントをご確認ください...

Read more

いつも Azure Identity サポート チームのブログを参照いただきましてありがとうございます。 今回は 9/28 に発生しました Azure Active Directory の障害について、RCA (Root Cause Analysis) レポートの日本語版の抄訳を紹介します。原文は 状態の履歴および根本原因分析 (RCA) を確認ください。 日本語版の抄訳の PDF については、以下のリンクよりダウンロード頂けます。 SM79-F88_JP.pdf この障害では Azure / Office 365 ポータルへのサインインができないことをはじめ、障害の対象となりましたテナントで多大な影響が生じました。改めて、今回の障害により多くのお客様にご迷惑をお掛けしましたことを深くお詫び申し上げます。 9/28 RCA – 複数の Microsoft サービスおよび Azure Act...

Read more

こんにちは、Azure Identity サポート チームの谷です。 Microsoft Graph API の lastSignInDateTime プロパティを取得することで、実際に Azure AD に長期間サインインを行っていないユーザーを取得することが可能です。 Azure AD で非アクティブなユーザー アカウントを管理する https://docs.microsoft.com/ja-jp/azure/active-directory/reports-monitoring/howto-manage-inactive-user-accounts 上記 API を利用し、組織内のユーザーとその最終サインイン日時、最後に利用したクラウド アプリケーションを一覧で CSV 形式ファイルで取得するまでを GitHub にサンプルとしてお纏めしました。 具体的な設定手順も REA...

Read more