こんにちは、Azure & Identity サポートチームの竹村です。今回は、多くのお客様からお問合せをいただく AD FS のクライアント証明書認証の問題について、既知の事例や対応方法をご紹介します。 最初に行うこと証明書認証の問題は、大きく 2 つのパターンに分けられます。 (A) クライアントが証明書を送信しないケース (B) クライアントから証明書を選択して送信したものの、正常に動作しないケース トラブルシューティングを進める際には、まず、どちらのケースに該当するかを確認します。 ※ 注意証明書認証では、認証を試みる際に証明書を選択するポップアップが表示されます。しかし、 IE には、有効な証明書が 1 つしか存在しない場合に、自動的に送信する機能があります。一見 (A) のケースのように見えていても、実際にはバックグラウンドで自動的に証明書を送信している可能性があり...

Read more

Note本記事は Technet Blog の更新停止に伴い https://blogs.technet.microsoft.com/jpazureid/2018/11/30/adfs-crule-ts/ の内容を移行したものです。元の記事の最新の更新情報については、本内容をご参照ください。 こんにちは、Azure & Identitiy サポートチームの竹村です。今回は、AD FS のクレームルールに関連した問題のトラブルシュート方法をご紹介します。 エラー画面、エラーイベントの特徴AD FS のクレームルールにより認証が失敗している場合、エラー画面やエラーイベントから容易に判断することができます。ブラウザーやモダン認証のアプリケーションからアクセスしている場合には、以下のように 「このサイトにアクセスする権限がありません。」と表示されます。 一部の Office クライアント...

Read more

Note本記事は Technet Blog の更新停止に伴い https://blogs.technet.microsoft.com/jpazureid/2018/11/01/create-subscription-error/ の内容を移行したものです。元の記事の最新の更新情報については、本内容をご参照ください。 こんにちは、Azure & Identity サポート チームの小野です。 今回は、Azure におけるサブスクリプション作成時に表示される「アカウントが Azure サブスクリプションに関連付けられないディレクトリに属しています。別のアカウントでサインインしてください」というエラーの発生原因と対処策についてご紹介します。 本エラーは、サブスクリプション作成を試みたユーザー (のメールアドレス) が ”セルフサービス サインアップ テナント” に紐づいている場合に発...

Read more

Note本記事は Technet Blog の更新停止に伴い https://blogs.technet.microsoft.com/jpazureid/2018/10/15/mfa-reset/ の内容を移行したものです。元の記事の最新の更新情報については、本内容をご参照ください。現在では 2018 年版から GUI やコマンドなどが変更されているため、最新の記事は 多要素認証 (MFA) のリセット手順 - 2025 年版 をご覧ください。 警告本記事のコマンド実行例では MSOnline PowerShell を利用しています。MSOnline PowerShell は 2025 年 4 月初旬から 5 月下旬の間に廃止され、使用できなくなります。詳細は、MSOnline および AzureAD PowerShell の廃止 - 2025 年版 の記事をご確認ください。 こんにちは、...

Read more

Note本記事は Technet Blog の更新停止に伴い https://blogs.technet.microsoft.com/jpazureid/2018/10/15/extranetlockout%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/ の内容を移行したものです。元の記事の最新の更新情報については、本内容をご参照ください。 こんにちは、 Azure Identity の平形です。本ブログを参照されている方の中でも、今現在以下のような現象にお悩みの方がいらっしゃたりしませんでしょうか。 AD FS 環境でオンプレミスの AD アカウントが頻繁にロックアウトされてしまう ロックアウトの原因が AD FS サーバーからの認証 アカウント ロックアウトの頻度が非常に高く、様々なアカウントで発生しているのであればパスワード スプレー攻撃によって引き起こ...

Read more

Note本記事は Technet Blog の更新停止に伴い https://blogs.technet.microsoft.com/jpazureid/2018/10/11/2019adfs/ の内容を移行したものです。元の記事の最新の更新情報については、本内容をご参照ください。 こんにちは。Azure Identity チームの三浦です。 今回は、 Windows Server 2019 の AD FS に関する新機能についてリンク にあります公開情報に多少補足を含めて翻訳してみました。AD FS も Azure Active Directory の進化に合わせて様々な機能が追加されています。既存 AD FS サーバーの更新、新規導入を検討する中で本情報が参考になれば幸いです。 ...

Read more

Note本記事は Technet Blog の更新停止に伴い https://blogs.technet.microsoft.com/jpazureid/2018/10/11/aadc-apply-point01/ の内容を移行したものです。元の記事の最新の更新情報については、本内容をご参照ください。 こんにちは。Azure Identity チームの金森です。今回は Azure AD Connect (AADC) ツールを利用している環境で “オンプレミス AD ユーザー B にセットしたメール アドレス値が同期先 AAD ユーザーに反映されない” という事象について AADC の動作仕様を元に解説します。今回 AADC の動作についての応用編となりますので、先に基本的な考え方については、以下の Blog もぜひご参照いただけたら嬉しいです。 Azure AD Connect : ディレ...

Read more

Note本記事は Technet Blog の更新停止に伴い https://blogs.technet.microsoft.com/jpazureid/2018/10/09/20171107cantphsback-aadc108641/ の内容を移行したものです。元の記事の最新の更新情報については、本内容をご参照ください。 こんにちは。Azure Identity チームの金森です。今回は Azure AD Connect (AADC) をご利用いただいている皆様に急ぎお伝えしたい情報がございます。 先に結論ですが、表題の通り AADC 1.0.8641.0 とそれ以前のバージョンをご利用の環境において 2018/11/7 以降は Password Writeback が機能しなくなります。 理由として、AADC 1.0.8641.0 以前のバージョンでは、Pa...

Read more

Note本記事は Technet Blog の更新停止に伴い https://blogs.technet.microsoft.com/jpazureid/2018/10/04/authorization-code-reuse/ の内容を移行したものです。元の記事の最新の更新情報については、本内容をご参照ください。 こんにちは、Azure & Identity サポート チームの小野です。今回は、2018 年 10 月 10 日 (水) 以降に変更を予定しています Azure AD の OAuth 2.0 における Authorization Code の再利用禁止についてご紹介します。変更のアナウンスについては以下の資料をご確認ください。 変更通知: 承認コードを再利用できなくなるhttps://docs.microsoft.com/ja-jp/azure/active-direc...

Read more

Note本記事は Technet Blog の更新停止に伴い https://blogs.technet.microsoft.com/jpazureid/2018/09/27/ca-basic/ の内容を移行したものです。元の記事の最新の更新情報については、本内容をご参照ください。 こんにちは、Azure & Identity サポート チームの栗井です。 この記事では条件付きアクセスポリシー設定の基本的な考え方について解説します。 条件付きアクセスの基本的な考え方は、アクセスを制限すること条件付きアクセスポリシーは、アクセスを許可する条件の設定ではなく、アクセスをブロック / または制限 (特定の条件を満たさなければブロック) する条件を設定します。 基本的にはすべてのアクセスが許可された状態で、「ブロック、もしくは制御したいアクセスパターンのブラックリストを作成する」...

Read more