Azure AD の追加・変更・削除について

こんにちは、Azure & Identity サポート チームの坂井です。   今回は下記の 3 つについて紹介します。   ・ Azure AD の追加手順 ・ Azure AD の変更手順 ・ Azure AD の削除手順   まずは、簡単に Azure AD について説明します。 Azure AD とは、Azure や Office 365 などの Microsoft クラウド サービスに組織がサインアップしたときに作成されます。 (もう少し平易な言い方をすると、 Office 365 など Azure AD が必須のサービスの新規利用を開始した時点で自動的に作成されます) Azure AD に所属しているユーザーは、その Azure AD に紐づいているクラウドサービスを利用することが可能です。         Azure…

0

Office 365 の TLS 1.0/1.1 無効化に伴う AD FS / WAP (AD FS Proxy) の対応

こんにちは、 Azure ID の三浦です。 今回は Office 365 での TLS 1.0 と 1.1 のサポート無効化に伴う AD FS / WAP (AD FS Proxy) での対応についてまとめました。 次の情報にありますように 2018/3/1 に Office 365 では TLS 1.0 と 1.1 のサポートを無効化することを予定しています。   Office 365 への TLS 1.2 の実装に対する準備 https://support.microsoft.com/ja-jp/help/4057306/preparing-for-tls-1-2-in-office-365   フェデレーション環境では、 AD FS および WAP (Windows Server 2012 以前は AD FS Proxy) で TLS…

0

Azure ポータルへのアクセス制限について

こんにちは、Azure & Identity サポート チームの坂井です。 今回は、一般ユーザーに対して Azure ポータルへのアクセスを制限する方法について紹介します。   クラシック ポータル (旧ポータル) ではログインする際に Azure のサブスクリプションを保持していることが前提となっていました。 一方 Azure ポータル (https://portal.azure.com) には、サブスクリプションの有無によらず、ログインすることが可能です。 この動作変更により、より多くのユーザーが簡単に Azure に対してアクセスできるようになっています。 Azure ポータルからは、そのログインしたユーザーが所属する Azure AD ディレクトリにアクセスすることができ、このとき Azure AD に対しての管理者権限を持たない一般ユーザーであっても、既定では Azure AD に登録されているユーザー一覧を参照できるようになっています。 ご利用状況によっては、このことがセキュリティ上好ましくない場合もあると思います。   Azure ポータルへのアクセスを制限する方法 Azure ポータル自体へのアクセスを限られたユーザーのみに制限する方法については、条件付きアクセスの機能を利用する必要があります。 条件付きアクセスの機能を利用するためには Azure AD Premium (P1 or P2) のライセンスが制御対象のユーザー分必要となります。 なお、 後述します Azure AD へのアクセスを制限する方法 (ユーザーの一覧を見えなくする) であれば、ライセンスは不要です。…

0

ACS の移行スケジュール

こんにちは、Azure & Identity サポート チームの石川です。   今回は、ACS (Azure Active Directory アクセス制御サービス) の移行について紹介します。 ACS の概要 https://msdn.microsoft.com/ja-jp/library/azure/gg429788.aspx 既に Azure クラシック ポータル上やメールなどでもお伝えをさせていただいておりますが、ACS は 今後利用できなくなるため、Azure AD B2C の機能を利用するように移行を進めていただく必要があります。移行スケジュールについては、下記の弊社 Web サイトに最新の情報がございますが、このブログでも日本語で案内させていただきます。 Time to migrate off Access Control Service https://azure.microsoft.com/en-us/blog/time-to-migrate-off-access-control-service/   既に作成/有効化済みの ACS の名前空間内のデータ管理は、2018年11 月 7 日まで https://<namespace>.accesscontrol.windows.net に直接アクセスすることで継続して可能です。 ただし、名前空間自体の新規作成、削除、有効化、一覧表示のために用意された http://manage.windowsazure.com/?restoreClassic=true は、2018 年 4 月以降は Azure クラシック ポータル上の機能が完全に利用できなくなることに伴いご利用いただけなくなる予定です。 なお、現在この URL で表示される日付…

0

Azure AD Connect サービスアカウントに関するセキュリティ アドバイザリについて (MC125948)

こんにちは。Azure Identity サポートチームの橋本です。 先日 12 月 12 日に公開された Azure AD Connect で利用するアカウントのセキュリティ強化に関する下記セキュリティ アドバイザリについて補足情報をお知らせします。   Microsoft Security Advisory 4056318 Guidance for securing AD DS account used by Azure AD Connect for directory synchronization   セキュリティ アドバイザリの概要について 対処策について   セキュリティ アドバイザリの概要について Azure AD Connect (AADC) はオンプレミスの Active Directory に接続するためのアカウントをインストール時に作成します。 このアカウントは、同期処理を実施するためにオンプレミス AD に対してパスワードリセットなど (Exchange ハイブリッドを構成した場合はディレクトリ オブジェクトへの書き込みや、パスワードの書き戻しを構成している場合はパスワードのリセット) などの比較的強い権限を持ちます。 この権限を持つこと自体は…

0

フェデレーション環境 (Windows 統合認証) で [サインインの状態を維持しますか?] の画面が表示されない

こんにちは、Azure ID サポートチームの高田です。 本日は、Azure AD のサインイン画面の変更とそれに伴うフェデレーション環境への影響についておまとめしました。   まず、Microsoft では、11 月より Azure AD のサインイン画面にいくつか変更を加えております。具体的には、新しいサインイン エクスペリエンスが導入されており、Azure AD へのサインイン時に以下のような画面が表示されることにお気づきの方もいらっしゃると思います。   ▼古いサインイン エクスペリエンス   ▼新しいサインイン エクスペリエンス ※画面遷移の説明は、下記ブログを参照ください。 Fewer login prompts: The new “Keep me signed in” experience for Azure AD is in preview https://cloudblogs.microsoft.com/enterprisemobility/2017/09/19/fewer-login-prompts-the-new-keep-me-signed-in-experience-for-azure-ad-is-in-preview/   この [サインインの状態を維持しますか?] の画面は、古いサインイン画面の [サインインしたままにする] チェックボックスと同じ設定を表しています。Azure AD の [会社のブランド] から構成できる [サインインしたままにするオプションを表示する] の設定が [はい] の場合に表示されます。 既定ではこのオプションは…

0

Member ユーザーと Guest ユーザーについて

こんにちは、Azure & Identity サポート チームの坂井です。   Azure AD に所属しているユーザーの種類として、下記のように 「Member」 と 「Guest」があります。 今回は、こちらのユーザーの種類について説明します。     はじめに 下記のように、個人アカウントや別テナントの職場または学校アカウント (組織アカウント) を追加した (Azure AD B2B の機能を利用した) 場合に、ユーザーの種類が 「Guest」 として追加されます。       これ以外の Azure のサブスクリプションのサインアップで利用した個人アカウントや組織内のドメイン (上記の例の場合:contso.com) をユーザー名 (例:test@contoso.com) に持つユーザーは「Member」として登録されます。 また、クラシックポータル  (旧ポータル) より追加した外部ユーザーについては 「Member」として登録されております。     詳細 既定ではゲスト ユーザーに対しては、 Azure AD のデータへのアクセスを制限しています。 そのため、ゲスト ユーザーでサインインした場合、招待された Azure AD のユーザーの一覧を参照することもできませんし、各種設定の参照・変更も制限されています。 もちろん、サブスクリプションに対する権限を付与していない場合は、サブスクリプションのリソースを操作することもできません。    …

0

Azure AD B2B とは

こんにちは、Azure & Identity サポート チームの坂井です。   今回は Azure AD B2B (Business-To-Business) コラボレーション機能 (以下、Azure AD B2B) について紹介します。   https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-b2b-what-is-azure-ad-b2b   この機能については、上記のリンクでも紹介しています。 Azure AD B2B と聞くと、もしかしたら小難しく聞こえるかもしれませんが、要は、他 Azure AD のユーザーを追加 (招待) する機能のことです。 具体的には、Azure AD を利用する中で、次のような要望がでてくることがあります。   ・会社間 (Azure AD 間) でリソースを共有したい ・別の Azure AD に紐づいているリソースを使用したい ・ひとりの管理者で、複数の Azure AD を管理したい など   このような連携が必要な時に、利用する機能が、今回ご紹介する Azure AD B2B になります。    …

0

Azure AD の条件付きアクセスに関する Q&A

こんにちは、Azure & Identity サポート チームの高田です。 今回はお問い合わせをよくいただく、Azure AD の条件付きアクセスについてです。 お問い合わせの多いご質問について、Q&A 形式でおまとめいたしました。既存のドキュメントではカバーされていない動作や質問について今後も適宜内容を拡充していきますので、ご参照いただければと思います。     Q. Office 365 を利用しているが、条件付きアクセスを利用できますか? A. はい、利用可能です。Office 365 をご利用いただいているお客様は、認証基盤として Azure AD をご利用いただいている状態となります。そのため、追加で Azure AD Premium のライセンスを購入いただくことで、利用可能になります。     Q. Azure AD Application Proxy を利用して公開しているアプリケーションなども条件付きアクセスで制御可能でしょうか。 A. はい、条件付きアクセスで制御可能です。Azure AD 上に登録されているアプリケーションであれば、条件付きアクセスで制御できます。Azure AD Application Proxy を利用して公開しているアプリケーションやご自身で開発し Azure AD 上に登録したアプリケーションも制御対象とすることが可能です。     Q. Azure AD B2B コラボレーション機能により招待されたゲスト ユーザーに対して条件付きアクセスのルールを適用する場合には、Azure AD…

0

Azure Active Directory の PowerShell モジュール

こんにちは、 Azure ID チームの三浦です。今回は Azure Active Directory (Azure AD) の PowerShell モジュールの種類、インストール方法についてご案内します。 Azure AD への操作は主に Azure ポータル、 Office 365 ポータル、 Graph API それに今回紹介します PowerShell からおこなうことができます。PowerShell モジュールについても複数ありますので、その種類をまず紹介します。   Azure AD PowerShell の種類  Azure AD の PowerShell には次のようなものがあります。   MSOnline (Azure AD v1) Office 365 をご利用いただいている方にとっては Office 365 のライセンスを割り当てるときにも利用しますので馴染み深いかもしれません。当初からあるもので、あとから紹介する Azure AD v2 と明示的に区別する際に Azure AD v1 モジュールとも呼びます。Connect-Msolservice…

0