ユーザーに期待どおりに MFA が求められない!

本記事は、 2020 年 6 月 18 日に Core Infrastructure and Security Blog に公開された記事 (“Why are my users not prompted for MFA as expected?”) を翻訳したものです。原文は こちら より参照ください。 “MFA” もしくは “多要素認証 (Multi-Factor Authentication)” とは、リソースへのアクセスを許可する前に、ユーザー名とパスワード以上のものが必要とされる認証プロセスのことです。 これらには、SMS のテキスト メッセージを介してユーザーの携帯電話に送信されるワンタイム コードや、ユーザーのオフィスやデスクの電話機への電話、携帯電話のモバイル アプリに “プッシュ” されるワンタイム コード、もしくは物理的なトークンのコード (OATH トークンやハード...

Read more

Azure AD 参加後に有効になる Windows Hello for Business とその無効化方法について

こんにちは、Azure & Identity サポート チームの中山です。 昨今では、オンプレミス環境からクラウド環境へ随時移行を検討されている企業も多く、デバイスもオンプレミスの Active Directory で管理するのではなく、クラウド サービスである Azure AD と Microsoft Intune などの MDM で管理するといった方法も選択肢となっております。 今回は、Azure AD でデバイスを管理する方法の 1 つである “Azure AD 参加 (Azure AD Join)” 後に既定で有効になる Windows Hello for Business についての説明と、さらに Windows Hello for Business の無効化方法について紹介します。 Azure AD 参加については、以下の記事で Azure AD 登録の違いと比較し、ま...

Read more

「現時点ではこれにはアクセスできません」 エラーについて

Note2022 年 10 月 7 日更新: 「サインインログの見方に関する注意点」 の条件付きアクセスの判定条件が「or」となっていたところを「and」に修正しました。 こんにちは! Azure & Identity サポートチームです。この記事では、Microsoft 365 や Azure など Microsoft のクラウドサービスにサインインしようとした場合に遭遇するエラー「現時点ではこれにはアクセスできません」 について、その原因と調査方法を解説します。 また、最後に、一般的にエラー画面に遭遇しサポート部門にお問い合わせする際のポイントもお伝えしようと思いますので、最後まで読んでいただけると嬉しいです。 目次 「現時点ではこれにはアクセスできません」と表示される原因 条件付きアクセスポリシーの確認方法 サインインログの見方に関する注意点 よくある質問 最後に 「現時...

Read more

Identity Protection 2 つのリスク ポリシーの導入メリットについて

こんにちは。 Azure Identity チームの山口です。 今回は Azure AD Premium P2 ライセンスにて利用可能な Azure AD Identity Protection (以降 Identity Protection と呼称) が持つ 2 つのリスク ポリシー「ユーザー リスク ポリシー」と「サインイン リスク ポリシー」の導入メリットをご紹介したいと思います。 本 Blog の記事は以下のような方を対象としています。 Identity Protection の機能を知りたい すでに Azure AD Premium P2 を購入しており、そこに含まれる Identity Protection をこれから活用していきたい セキュリティ管理の強化を検討しており、 Azure AD Premium P2 ライセンスの購入および利用を検討したい Microso...

Read more

Azure AD Mailbag:リモート ワークにおいてデバイス ベースの条件付きアクセスを使用する際のよくある質問

本記事は、 2020 年 6 月 12 日に Azure Active Directory Identity Blog に公開された記事 (Azure AD Mailbag: Frequent questions about using device-based Conditional Access for remote work) を翻訳したものです。原文は こちら より参照ください。 皆さんこんにちは!今回はデバイス ベースの条件付きアクセスのシナリオに関し、よく頂戴するご質問にお答えしていきたいと思います。ここ数ヶ月間、従業員が安全にリモート ワークを実施できるよう多くの方が新たな課題に取り組まれるとともに、条件付きアクセスが適切な管理を実現するための重要な要素であるということを伺いました。先日の条件付きアクセスに関するベスト プラクティスの ブログ に対しても、素晴らしい反響を...

Read more

Azure AD ディレクトリ クォータの拡張について

こんにちは、Azure Identity サポート チームの小田です。今回は、Azure AD オブジェクト数の拡張と、その確認方法についてご案内いたします。 Azure AD オブジェクト数の制限値Azure AD では、既定で最大 50,000 個の Azure AD オブジェクトを作成することが可能です。そこに検証済みドメイン (カスタム ドメイン) を 1 つ以上追加した場合、この Azure AD オブジェクト数の上限は 300,000 個に拡張されます。 参考情報Azure AD サービスの制限と制約https://docs.microsoft.com/ja-jp/azure/active-directory/users-groups-roles/directory-service-limits-restrictions Azure AD リソースとは、下記のようなオブジェ...

Read more

permission-issue - Error Code ; 8344

Azure AD Connect 構築後、運用中に同期処理にて正常に行えないことで下記の事象が発生します。事象発生内容、それぞれのケースの対処方法をお纏めいたしました。 permission-issue とは Azure AD Connect でユーザー オブジェクトを同期した場合の動作としては、下記の流れで処理が行われます。 Active Directory から Azure Active Directory に同期 Azure Active Directory から ユーザーオブジェクトの mS-DS-ConsistencyGuid 属性を取得し、Azure AD Connect に格納 Azure AD Connect から Active Directory のユーザーオブジェクトの mS-DS-ConsistencyGuid 属性の書き込み  上記の 3. の処理で通常はユーザ...

Read more

「管理者の承認が必要」のメッセージが表示された場合の対処法

こんにちは。Azure Identity チームの埴山です。今回は、Azure AD の同意のフレームワークについて解説します。 早速ですが、皆さんはアプリケーションを利用しようと思った際に、以下のように、”管理者の承認が必要” と表示されてしまったことは無いでしょうか。 あるいは、以下のような同意画面を見たことはないでしょうか。 多くはアプリケーションを利用する際に表示される画面ですが、皆さんはこの画面の意味がお分かりでしょうか。 この画面は、Azure AD の同意のフレームワークと呼ばれる仕組みで、ユーザーがアプリケーションに対し、安全に権限を委任するための仕組みです。 今回は、この同意のフレームワークについて、どのような機能であり、”管理者の承認が必要” と表示されたときには、どのように対処すればよいのか、次の順番で解説します。 何のための機能なのか アプリケーションに同意を...

Read more

Hybrid Azure AD Join 失敗の初動調査方法について (フェデレーション編)

こんにちは、Azure & Identity サポート チームの 姚 ( ヨウ ) です。 前回の Hybrid Azure AD Join 失敗時の初動調査方法について (マネージド編) に続き、今回は Hybrid Azure AD Join (以下 HAADJ) のフェデレーション環境での初期調査方法を紹介します。 以下にご案内する初動調査によって問題が解決することが一番ですが、問題が解決しない場合もここで案内した初期切り分け情報を含めてお問い合わせをすることで、弊社サポートへスムーズな形で調査を依頼することができます。 はじめに、クライアント端末でフェデレーションの HAADJ として構成が完了するまでの流れを以下にまとめました。 HAADJ として構成が完了するまでの流れ クライアント端末をオンプレミス Active Directory ドメインに参加します。 *この時...

Read more

ポリシーとセキュリティのリアル タイムな適用に向けて

本記事は、 2020 年 4 月 21 日に Azure Active Directory Identity Blog に公開された記事 (Moving towards real time policy and security enforcement) を翻訳したものです。原文は こちら より参照ください。 皆さんこんにちは。 はじめに、世界中でセキュリティおよび ID を担当する皆さんが情報セキュリティを強化しつつ、新しい働き方を実現するために大変な活躍をされていることに驚かされるばかりです。今まさにゼロ トラストのモデルが急激に導入されつつあり、その一端を担えることを本当に光栄に思います。本日は、セッションの有効期間を最小限に抑えるための重要な新機能についてお知らせします。 Azure Active Directory や Office 365 などの Microsoft のサー...

Read more