入れ子 (ネスト) グループへの権限付与について

こんにちは、 Azure Identity の平形です。 今回は Azure AD における入れ子 (ネスト) グループの対応状況についてお伝え致します。     —————————————————— 入れ子のグループとは —————————————————— そもそも入れ子のグループとは、グループの中にグループを所属させているグループを指します。 以下の図をご覧ください。 この場合はグループ A が入れ子のグループです。 グループ A の中にはグループ B とユーザー B が含まれています。 そしてユーザー A はグループ B に含まれている状態ですが、グループ A に含まれていると考えて良いかが今回のテーマです。   例えば、アクセス権限をグループ A に割り当てた場合、ユーザー A に対してもアクセス権限が割り当てられることが期待されますが、 Azure AD の機能によっては必ずしもそうならず、いくつかの制限事項があります。 ここではよくお問い合わせ頂く制限事項についてご紹介します。     —————————————————— Azure AD における入れ子グループの制限 —————————————————— 主にお問い合わせ頂く機能の中で、現時点では以下の機能については入れ子グループに対応していません。   ・ グループ…

0

Azure AD サインイン ログ 取得方法まとめ

    こんにちは。Azure Identity チームの三浦です。今回は Azure AD のサインイン ログ取得方法についてまとめました。 Azure AD のサインイン ログは Azure ポータルで確認するほかに次のような方法で確認することができます。   1. ポータルから CSV 形式のファイルをダウンロード 2. ポータルから取得したスクリプトを利用して CSV 形式のファイルを取得する 3. API を利用して CSV 形式のファイルを取得する 4. データをエクスポートし、 PowerBI で解析する 5. Log Analytics に統合する     それぞれ簡単に概要を紹介します。 なお、 Azure ポータルのサインインからログを確認することを含めて Azure AD テナントに Azure AD Premium のライセンスが必要ですのでご注意ください。   1. ポータルから CSV 形式のファイルをダウンロード…

0

「エンタープライズアプリケーション」と「アプリの登録」の違いについて

こんにちは、Azure Identity チームの宮林です。 今回は Azure Active Directory の管理項目にある、「エンタープライズアプリケーション」と「アプリの登録」のそれぞれの違いについて紹介します。 初めてアプリケーションの登録を行おうとした際にどちらで設定すれば良いのかと、気になった方も多いのではないでしょうか。 この記事では、そのような疑問に対する答えとして、それぞれの違いについて説明します。   「エンタープライズアプリケーション」と「アプリの登録」の違い   アプリケーションをテナント (Azure AD) に登録する際に「エンタープライズアプリケーションの登録」と「アプリの登録」それぞれの方法では、登録する目的が異なります。 端的に説明すれば以下のようになります。   「エンタープライズアプリケーション」:既存の SaaS アプリケーション (オンプレミスの環境で提供しているサービスを含む) をテナントに統合する場合に用いる。 「アプリの登録」:開発したアプリケーションの公開、もしくは利用するために用いる。   (ここで、統合が指す意味は、SaaS アプリケーションに対する シングルサインオン (SSO) の構成や、ユーザーのプロビジョニング構成を行うことなどを指します。) それぞれの項目で、アプリケーションの登録を行う場合の目的の違いついて、詳細を説明します。   「エンタープライズアプリケーション」からアプリケーションの登録を行う場合   例えば、GitHub、Salesforce、Slack や G Suite など、Azure Marketplace もしくは、Azure ポータルより [Azure Active Directory] – [エンタープライズアプリケーション] – [+新しいアプリケーション] を選択した際に表示されるページで公開されている、事前に統合された SaaS アプリケーションをテナントに追加して利用するために使用します。 それぞれの SaaS…

0

Azure VM 上の AD FS 構成と Azure トラフィック マネージャーとの構成での非推奨設定について

こんにちは、Azure & Identity サポート チームの 姚 (ヨウ)です。   Azure VM 上に AD FS を構成し、 Azure トラフィック マネージャーと組み合わせることで WAP サーバーと AD FS サーバーのセットを丸ごと冗長化できるメリットがあります。 この具体的な手順を含む詳細な情報を以下で公開しています。   High availability cross-geographic AD FS deployment in Azure with Azure Traffic Manager https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/deployment/active-directory-adfs-in-azure-with-azure-traffic-manager   今回は、この構成を構築する際に注意していただきたい点についてご紹介します。 公開情報では、インターネットからのアクセスに対してトラフィック マネージャーで通信を受け、 WAP と AD FS のそれぞれでロードバランサーを用意しておく構成について図示されています。   ここでロードバランサーの代わりに Azure トラフィック マネージャーを AD FS のロードバランシングにも利用できるのではと考えるようなケースもあるかと思いますが、そのような構成を取ることはできません。 具体的には、トラフィック…

0

PowerShell にて全ユーザーの最終サインイン日時を一括で取得する方法

  こんにちは、Azure & Identity サポート チームの小野です。 今回は、PowerShell で Azure AD 上の全ユーザー(ゲストユーザーも含む)の最終サインイン日時を一括で取得する方法をご紹介します。   Azure AD における最終サインイン日時は、皆さまから強いご要望を受けており開発チームも機能追加に向け動き出しています。 今回ご案内する方法は正式に機能が追加されるまでの回避策となりますが、ご活用いただけますと幸いです。   この方法を実施すると、以下のようにユーザー毎の最終サインイン時刻が、csv 形式で出力されます。   なお、今回はスクリプトとしてご用意をしたため、Japan Azure ID Support チームの GitHub にアップロードをしましたので、以下サイトをご確認ください。 Get last-sign-in activity reports   今後も、Japan Azure ID Support チームの GitHub には、Azure を利用するにあたり便利なスクリプトをアップロードしてまいります。 ぜひチェックしてみてください!   ご不明な点がございましたら弊社サポートまでお気軽にお問い合わせください。 上記内容が少しでも皆様の参考となりますと幸いです。 ※本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。

0

AD FS クレームルール関連のトラブルシューティング

こんにちは、Azure & Identitiy サポートチームの竹村です。 今回は、AD FS のクレームルールに関連した問題のトラブルシュート方法をご紹介します。   エラー画面、エラーイベントの特徴 AD FS のクレームルールにより認証が失敗している場合、エラー画面やエラーイベントから容易に判断することができます。 ブラウザやモダン認証のアプリケーションからアクセスしている場合には、以下のように 「このサイトにアクセスする権限がありません。」と表示されます。     一部の Office クライアントなどで レガシー認証を使用している場合には、上記のようなブラウザの画面は表示されません。 しかし、クライアントの種類に関係なく、AD FS サーバー側のイベント ログ ( [アプリケーションとサービス ログ] – [AD FS] – [Admin] ) に、以下のようにイベント ID 325、501、1000、364 が記録されます。     上記の ID 325 の内容において、「発信者」(例では TEST122\test01) が認証したユーザーであり、「証明書利用者」(例では urn:federation:MicrosoftOnline) がアクセスを試みようとしたサービス (証明書利用者信頼) になります。 この証明書利用者信頼は、AD FS 管理ツールから確認することができます。 以下のように、信頼を結んでいるサービスのプロパティを開き、[識別子] のタブで確認することができます。(例は、Office 365…

0

Azure AD Connect : ステージング サーバーのすゝめ

こんにちは。Azure Identity チームの金森です。 今回は Azure AD Connect (AADC) サーバーの運用にあたって、さまざまなメリットが享受できる [Staging サーバー] のご紹介です!   AADC が担っているディレクトリ同期やパスワード同期は AADC サーバーが停止した場合も [AAD 上のユーザーやグループなどのオブジェクト情報] はそのままであり、AADC そのものが認証処理を担っている訳ではないため業務への影響はそこまでは大きくないと言えます。 もちろんパススルー認証 (PTA) の構成にしており、PTA エージェントが AADC と同居しているそのサーバー1台だけ、という場合は AADC サーバーの停止 = AAD への認証ができなくなることになるため、影響は大きくなることが予想されます。 ※ そんな懸念に対しては PTA エージェントの役割を持つサーバーを複数台用意しましょう!DC サーバーと同じく認証基盤を担うサーバーですので、冗長構成が基本です。   つまり、AADC サーバー (=ディレクトリ同期) が停止しても業務影響が小さいと判断すること自体は誤りではないのですが、それが故に AADC サーバーを1台だけで構成されているお客様もいらっしゃいます。 しかし、運用していく中で以下のようなお悩みが生じることがままあります。    バージョン アップを検討しているけど、いきなりアップしてすでに同期済みのユーザーとかグループに影響はないかな…  (同期元になるオンプレ AD 側のリプレースなど) 大きく ID 基盤の環境が変わる予定があるけど、 ちゃんと同期済みのユーザーとかグループとの紐づけ状態は維持されるかな……

0

AD FS 証明書認証のトラブルシューティング

こんにちは、Azure & Identitiy サポートチームの竹村です。 今回は、多くのお客様からお問合せをいただく AD FS のクライアント証明書認証の問題について、既知の事例や対応方法をご紹介します。   最初に行うこと   証明書認証の問題は、大きく 2つのパターンに分けられます。   (A) クライアントが証明書を送信しないケース (B) クライアントから証明書を選択して送信したものの、正常に動作しないケース   トラブルシューティングを進める際には、まず、どちらのケースに該当するかを確認します。   ※ 注意 証明書認証では、認証を試みる際に証明書を選択するポップアップが表示されます。しかし、 IE には、有効な証明書が 1つしか存在しない場合に、自動的に送信する機能があります。 一見 (A) のケースのように見えていても、実際にはバックグラウンドで自動的に証明書を送信している可能性があります。 インターネット オプションの [セキュリティ] タブで、各ゾーンの [レベルのカスタマイズ] から以下の設定を確認しておきます。 この設定を「無効にする」にしておくことで、有効な証明書が 1つしか無い場合にもポップアップしてユーザーが選択する動作になりますので、確認が容易になります。     ※ 既定では、「ローカル イントラネット」ゾーンのみ有効となっていますが、念のため各ゾーンの設定をご確認ください。   次に、それぞれのケースにおける代表的な問題について説明して行きます。 すでにクライアント側に証明書が表示されている場合には、(A) は飛ばして (B) からご確認ください。   (A) クライアントが証明書を送信しないケース このケースの問題は、CTL (Certificate Trust…

0

サブスクリプション作成時のエラー「アカウントが Azure サブスクリプションに関連付けられないディレクトリに属しています。別のアカウントでサインインしてください」

こんにちは、Azure & Identity サポート チームの小野です。 今回は、Azure におけるサブスクリプション作成時に表示される「アカウントが Azure サブスクリプションに関連付けられないディレクトリに属しています。別のアカウントでサインインしてください」というエラーの発生原因と対処策についてご紹介します。       本エラーは、サブスクリプション作成を試みたユーザー (のメールアドレス) が ”セルフサービス サインアップ テナント” に紐づいている場合に発生します。   ◆ セルフサービス サインアップ テナントとは セルフサービス サインアップ テナントとは、管理者により作成されたテナントではなく、ユーザーが Azure Active Directory(以下、Azure AD ) による認証を必須とするサービスにサインアップした (利用を試みた) 場合に自動で作成されるテナントです。具体的には Power BI などのサービスになりますが、サービスを利用するためにサインアップを試みた際に指定したユーザーのメール アドレスに含まれるドメイン名が Azure AD にまだ登録されていない場合には、自動で Azure AD テナントが作成され、これがセルフサービス サインアップ テナントになります。通常 Azure AD テナントには必ず管理者が存在しますが、このセルフサービス サインアップ テナントには管理者が存在しません。この管理者が存在しないテナントではサブスクリプションを紐づけることができないため、発生しているエラーが今回ご紹介しているエラーメッセージになります。   対処策としては、以下の手順にてテナントの管理者への昇格をする必要があります。  …

0

Azure サポート エンジニア説明会+キャリア相談会を 11 月にも開催します

今年の 5 月、10 月と開催してきた Azure サポート エンジニアの説明会・キャリア相談会ですが、好評のため 11 月にも再度開催させていただくことが決定しましたのでご案内いたします。   Azure のサポート部門ではエンジニアを募集しています。 ポジションとしては、私ども、Azure AD、AD FS、Azure AD Connect などを担当する Azure Identity チームをはじめ、IaaS Networking/Platform でも募集中です。 募集職種 Support Engineer (Azure Identity) Support Engineer (Azure IaaS Networking) Support Engineer (Azure IaaS Platform)   詳細について説明させていただければと思いまして、2018/11/14 (水) 19:00 から弊社品川オフィスにて、募集職種についての説明会、MS でのキャリアについて相談会を開催します。 興味のある方は下記 リンクより事前にお申し込みの上、ぜひご参加ください。 > Azure サポート エンジニア 説明会、相談会 申し込みフォーム 日時: 2018/11/14 (水) 19:00~ 場所: 品川マイクロソフト オフィス…

0