こんにちは、 Azure & Identity サポート チームの平形です。 以前、Azure AD のサインイン アクティビティ レポートと監査アクティビティ レポートを Azure AD Graph API を経由して取得するスクリプトを紹介しました。今回はスクリプト内にクライアント シークレットや証明書の情報を記載しなくてもよい方法として、マネージド ID を使用したレポート取得方法と共に、いくつかのサインイン ログ・監査ログを取得するサンプルをご用意いたしました。 マネージド ID は特殊なサービス プリンシパルであり、このサービス プリンシパルを用いて認証を行うには Azure 内部のみアクセス可能な特殊なエンドポイントにアクセスする必要があります。通常のサービス プリンシパルと同じように RBAC を設定することで Azure 各種リソースへアクセスが可能になる一方、サ...

Read more

こんにちは、Azure & Identity サポート チームの 姚 (ヨウ) です。 多くの方にご利用いただいている Hybrid Azure AD Join (以後 HAADJ) の構成ですが、構成に失敗する場合、 Azure AD の観点だけでなく、オンプレミス Active Directory と Windows の観点での確認が必要です。今回は、HAADJ の構成時の初動調査について紹介します。 今回の情報により問題が解決すれば越したことはありませんが、問題が解決しない場合も、ここで確認した初期切り分け情報を含めることで、サポートにスムーズな形で調査を依頼することができます。 なお、 HAADJ には、マネージド構成とフェデレーション構成の 2 種類の構成があります。HAADJ とマネージド構成とフェデレーション構成については、それぞれ以下の弊社公開情報をご参照ください。...

Read more

こんにちは、Azure & Identity サポート チームの石川です。今回は、Azure AD において、無料で利用できる多要素認証の機能の移行についてご紹介します。 概要Azure AD の多要素認証 (MFA) を実現するために 2020 年 1 月時点ではプレビュー機能の “ベースライン ポリシー” (条件付きアクセスの [ベースライン ポリシー]) を利用することができます。ベースライン ポリシーを有効にすることで、特定のディレクトリ ロールを持つユーザーに対して MFA を要求するなどのベースライン レベルのセキュリティ強化を追加の費用なしで有効にすることができます。 ※ベースラインポリシーの詳細はこちらでご確認ください。 ベースライン ポリシーとは ?https://docs.microsoft.com/ja-jp/azure/active-directory/c...

Read more

こんにちは、Azure AD サポートチームの高田です。 本日は、Azure AD Domain Services についてその推奨される利用方法やシナリオをご紹介したいと思います。 Azure AD Domain Services は、ユーザーが指定したドメイン名を用いて Azure の仮想ネットワーク上にドメイン コントローラーを自動構築するという機能です。Windows Server の Active Directory と完全に互換性のあるドメイン サービスが構築されることから、ドメイン参加やグループ ポリシーなど従来オンプレミス環境で使用していたテクノロジーをそのまま Azure 上で利用することが可能です。 しかし、利便性が大きい反面、サービスの位置づけが特殊なため、本来想定していない方法で Azure AD Domain Services の利用を検討しているお客様もいらっし...

Read more

Note本記事は Technet Blog の更新停止に伴い https://blogs.technet.microsoft.com/jpazureid/2018/12/28/enterprise-applications-app-registrations/ の内容を移行したものです。元の記事の最新の更新情報については、本内容をご参照ください。 こんにちは、Azure Identity チームの宮林です。 今回は Azure Active Directory の管理項目にある、「エンタープライズアプリケーション」と「アプリの登録」のそれぞれの違いについて紹介します。初めてアプリケーションの登録を行おうとした際にどちらで設定すれば良いのかと、気になった方も多いのではないでしょうか。この記事では、そのような疑問に対する答えとして、それぞれの違いについて説明します。 「エンタープライズアプリケ...

Read more

こんにちは、Azure & Identity サポート チームの倉本です。   今回は、Azure AD ユーザーの iOS 標準メール アプリへサインイン時の条件付きアクセスを利用した制御方法について紹介します。  条件付きアクセスではアクセス元のクライアント アプリケーションを条件として設定することができますが、このとき [先進認証クライアント] [Exchange ActiveSync クライアント] [他のクライアント] の 3 種の認証方式毎にアクセス制御を設定することができます。  iOS 標準メール アプリでは iOS 11 から先進認証に対応していますが、アカウントの設定手順によって、記 3 つのどの認証方式で Exchange Online に接続するか変わります。  設定手順により、どの認証方式を利用するか、説明します。    <先進認証クライアント>...

Read more

皆さん、こんにちは。日本マイクロソフト Azure Identity サポートの金子です。 今回は、オンプレミス AD フォレストの移行を検討されている方々に向けて、既存の AD フォレストと同期している Azure AD ユーザーを新しい AD フォレストに紐付け替える方法についてご紹介したいと思います。 図にすると、このようなイメージです。 既存の AD フォレスト contoso.local は既に Azure AD と同期しています。この図では一つのドメインにしていますが、マルチフォレスト環境の場合、contoso.local や abc.local など複数の AD フォレストがオンプレミスに存在している場合があります。そのようなマルチフォレスト環境で、会社間の合併などにより複数のドメインを contoso.com などの一つのドメインに統合する、といったような移行作業で...

Read more

こんにちは、Azure Identity サポートチームの鈴木です。 本記事は Your Pa$$word doesn’t matter を意訳したものになります。ご不明点等ございましたらご連絡ください。 セキュリティに関して組織の方針を決定できる方との会話の中で 「これまでに漏洩したことがあるパスワードは絶対に再度使用するな」「長いパスワードを使用したほうがいい」「パスワードよりも長いパスフレーズを使えばいい」などなどの話題がでます。実はこれらは、これまでの研究結果と異なっており、マイクロソフトが毎日何億ものパスワードベースの攻撃を防いでいる状況から見ますと正しくありません。多要素認証 (MFA) や脅威の検出の仕組みなど本当に価値のあるものにではなく、パスワード規則に着目しても、気晴らし程度の効果しかありません。 ここでは、パスワードの構成や長さに関しては（ほとんど）意味がないという...

Read more

2019/9/11 に Office 365 / Azure AD の管理者に対して突然 User at risk detected という件名でメールが送信されるという問題が発生しました。 今回の事象は、弊社 Azure AD サービスにおける問題に起因して発生しております。ご利用の皆様には突然このようなメールが届いてしまったことにより、混乱をまねくこととなり、確認のお手間をおかけしてしまいましたこと深くお詫び申し上げます。 このメールは、Azure AD Identity Protection の機能により送信されたメールとなり、通常は、Azure AD Premium Plan 2 (以降 AAD P2) ライセンスを利用している環境の管理者にのみ送信されるものとなります。しかしながら、Azure AD サービス上の問題により、ライセンスを持たない方にも...

Read more

更新情報 (2019/11/22)マイクロソフトではこの問題に対応するため条件付きアクセスの動作を更新しました。現在、条件付きアクセスは iPadOS を macOS としてではなく、iOS として認識します。このため、iOS に対して適用した条件付きアクセス ポリシーは iPadOS の更新前と同じように適用されます。 Safari と Apple のネイティブ メール アプリで依然として挙動が異なる場合は、一度ネイティブ メール アプリからサインアウトおよびサインインしなおして動作をご確認ください。また下記資料に記載のとおり、条件付きアクセスの認証セッション管理をご利用いただくことも可能です。その他の詳細については以下の資料をご覧ください。 Action Required: Evaluate and update Conditional Access policie...

Read more