Azure AD 登録 と Azure AD 参加 の違い

こんにちは、Azure & Identity サポート チームの倉本です。   今回は、 Azure AD 登録 (Azure AD registered) と Azure AD 参加 (Azure AD joined) の違いについて紹介します。 Azure AD へのデバイス登録の種類は複数あり、 その違いについてお問い合わせを多くお寄せいただいております。   それぞれについてどういった場面で利用されることが想定されているかを説明していきます。   Azure AD に登録されるデバイスの種類は下記の 3 種類となっています。   ・ Azure AD 登録 (Azure AD registered) ・ Azure AD 参加 (Azure AD joined) ・ ハイブリッド Azure AD 参加 (Hybrid Azure…

0

Office 365 の TLS 1.0/1.1 無効化に伴うAzure AD Connectの対応

こんにちは。 Azure Identity サポートの谷です。 以下のサイトで案内している Office 365 での TLS 1.0 と 1.1 の無効化に伴う、Azure AD Connect での対応についてまとめました。   Office 365 への TLS 1.2 の実装に対する準備 https://support.microsoft.com/ja-jp/help/4057306/preparing-for-tls-1-2-in-office-365   Azure AD Connect でも TLS 1.2 による接続を有効にする必要があります。 Azure AD Connect では、Azure AD Connect、OS (および更新プログラムの適用状況)、.Net Framework のバージョンに依存し、それぞれ対応が異なります。 TLS 1.2 を Azure AD Connect の通信で使用するためのサマリは以下の通りです。   各バージョン毎での対応 ======================================== □ OS として TLS…

0

Azure AD の ディレクトリロールが割り当てられたメンバーの一覧を取得したい

こんにちは! Azure & Identity サポート チームの三浦 大です。   今回は Azure AD のディレクトリロールが割り当てられているユーザーの一覧を CSV で出力する PowerShell スクリプトをご紹介します。 Azure AD はセキュリティの観点から、ディレクトリロールにて設定できるロールが細かく分類されております。 各ロールのメンバーの一覧は、先日の ブログ で紹介しましたように、 Azure ポータルから参照することができます。 しかし、この一覧をファイルとして出力したいというご要望もあるかと思います。   以下のとおり、ディレクトリロールの一覧を出力する PowerShell スクリプトを作成いたしましたので、ぜひご利用ください!   ※ 実行に際しては、事前に Install-Module -Name MSOnline コマンドを実行し、 Azure AD PowerShell モジュールのインストールをお願いいたします。 Azure AD PowerShell のインストールなどについては、以下の公開情報をご参照くださいませ。   Azure Active Directory の PowerShell モジュール https://blogs.technet.microsoft.com/jpazureid/2017/12/04/aad-powershell/   PowerShell スクリプト…

0

テナント制限について

こんにちは! Azure & Identity サポート チームの三浦 大です。   今回はテナント制限の機能に関して、よくあるお問い合わせと、その回答をまとめさせていただきました。   テナント制限とは まず、テナント制限とは、 Azure AD に対する認証の通信をプロキシ経由させ、そのプロキシから送信されるデータに、アクセスを許可する Azure AD テナントの情報を付与しておくことで、それ以外の Azure AD テナントへのアクセスをブロックする機能を指しています。   詳細については、以下の公開情報をご参照ください。   自社テナント以外へのアクセス制御 – “テナントの制限” 機能 (Tenant Restrictions) https://blogs.technet.microsoft.com/office365-tech-japan/2017/02/06/tenant-restrictions/   テナント制限が機能しており、アクセスを許可しないテナントの  Office 365 や Azure へのサインイン時に 「ここからアクセスすることはできません」 のエラーメッセージが表示されます。     以下にて、テナント制限に関連する、よくあるお問い合わせをまとめました。 ぜひご参照ください!     よくあるお問い合わせ Q : MS アカウントを利用すると、制限の画面が表示されますが、回避策はありませんか? A : MS アカウントを許可する場合には、以下をテナント制限の許可するリストに追加します。…

0

Azure Active Directory への接続で使用する IP アドレス範囲の変更

日々ブログをご愛読してくれている皆様、Azure Identity チームの宮林です。 先日、新着情報にて広報された、2018 年 9 月 10 日までに変更が行われる Azure Active Directory の IP アドレス範囲についてお知らせいたします。 IP アドレス範囲の変更とありますが、去年から追加となった範囲内への変更となりますので、すでにご対応済みの場合は影響がございません。 以下のページで告知している Azure Active Directory の新着情報の抜粋と、Q&A 形式で IP アドレス範囲の変更に伴う影響について補足します。   Azure Active Directory の新着情報 https://docs.microsoft.com/ja-jp/azure/active-directory/fundamentals/whats-new 以下抜粋 ——————————————————————- 2018 年 7 月 Azure Active Directory の IP アドレス範囲の変更 タイプ: 変更の計画 サービス カテゴリ: その他 製品の機能: プラットフォーム Microsoft では、Azure AD に対してより大規模な IP…

0

Azure MFA の多要素認証設定の統合

  こんにちは。Azure Identity チームの金森です。 今回は先日プレビューとなりました [SSPR と Azure MFA の多要素認証設定の統合] をご紹介したいと思います。 ※ 個人的に待ちに待っていた改善となります!   Converged registration for self-service password reset and Azure Multi-Factor Authentication (Public preview) https://docs.microsoft.com/en-us/azure/active-directory/authentication/concept-registration-mfa-sspr-converged 2018/8/1 に公開された docs 技術情報です。   Combined registration for Azure AD MFA and Self Service Password Reset plus two other cool updates now in public preview! https://cloudblogs.microsoft.com/enterprisemobility/2018/08/06/mfa-and-sspr-updates-now-in-public-preview/ 2018/8/6 に公開された…

0

Azure AD におけるロール管理の新しい方法

こんにちは、Azure & Identity サポート チームの栗井です。 本記事は、2018年7月末に公開された A new way to manage roles and administrators in Azure AD を元にしています。 これまで、 Azure AD の全体管理者などのロールを割り当てられているユーザー一覧を取得することができなかったのですが、最近の更新により、簡単に確認できるようになりました。 元記事を参考に、ユーザーへのディレクトリロールの新しい割り当て・管理方法について、画面キャプチャを含めてご紹介します。   Azure AD におけるロール管理の新しい方法   ユーザの役割の確認や管理者権限の割り当てを、これまでより簡単におこなうことができます。 以下が、新しい機能の特徴です。 ビルトイン (既定) のディレクトリロールの一覧と、それぞれの詳細を確認可能 役割の管理や設定がより簡単に 関連ドキュメントへのリンク追加 言い換えますと 「全体管理者は何人いるのか?」「このユーザーに割り当てられているのは何の役割か?」がすぐ分かるようになりました。 概要画面から、新機能「ロールと管理者」がご利用できます 概要   ビルトイン ディレクトリ ロールの一覧とそれぞれの簡単な説明は 「ロールと管理者」をクリックすることで確認できます。これも最近追加されました Azure AD と連携するアプリケーションの管理を目的とした新しいロールも含まれます。 現在サインインして操作を実施しているユーザー自身に何かしらのロールが割り当てられている場合、画面上部に表示されます。「ロール」をクリックすると、自身に割り当てられているロールと、それぞれの概要の一覧を確認できます。 「ロールと管理者」下の、各ロールと説明の一覧   また、ロールの行をクリックすると、そのロールに割り当てられているユーザーの一覧が確認できます。 ロールに割り当てられているユーザー(メンバー)一覧   各ロールによりどのようなことができるのかという質問をよく頂きますが、それぞれのロールに何の権限があるのか、その詳細を一覧でみられるようになりました。同じ画面で、関連記事のリンクも見ることができます。ロールを最大限有効に使うためにぜひご活用ください。 画像に示すように、ブレードの「説明」をクリックするとこの画面が見られます。もしくはロールの一覧画面から、各行の右側にある「・・・」をクリックをすることでも、同じ画面に辿り着くことができます。…

0

「ユーザーはアプリケーションを登録できる」の設定について

こんにちは、Azure Identity チームの宮林です。 今回は Azure  Active Directory における、アプリケーションの登録の制限について紹介します。   Azure Active Directory では、お客様が開発したアプリケーションを登録することで、Azure Active Directory に登録されているアカウントを利用したシングルサインオンを実現することが可能です。既定では、一般ユーザーでも、[アプリの登録] から自身で開発したアプリケーションを自由に登録することができます。一般ユーザーによるアプリケーションの登録は、Azure  Active Directory 内の [ユーザー設定] にある「ユーザーはアプリケーションを登録できる」で制御が可能です。下記画面のとおり本設定は既定で「はい」となっており、この状態での運用をお勧めします (お勧めしている理由は後述します)。 一方、ゲスト ユーザーは、「ユーザーはアプリケーションを登録できる」が「はい」となっていた場合でもアプリケーションを登録することができません。     ユーザーがアプリケーションを登録できる状態を推奨する理由 管理者としては、一般のユーザーにアプリケーションを登録できるようにしておくことについて抵抗感を持たれるようなことがあるのではないかとも思います。 しかし、この設定を「いいえ」に設定してユーザーによる登録を制限した場合には、ユーザーは自身で Azure Active Directory のテナントを作成して組織の管理が及ばないテナントにアプリケーションを登録して作業を行う可能性が高くなります。このような状況は、いわゆるシャドー IT を促進してしまうことに繋がるため、「ユーザーはアプリケーションを登録できる」の設定を「はい」にすることを推奨しています。 組織で管理されているユーザーがビジネスを目的として組織アカウントを使用してアプリケーションを利用されることで、管理者はどのようなアプリケーションが、どのユーザーによって利用されているか確認することができます。また、その利用が適切でない場合には、ユーザーに注意を促すこともできますし、ユーザーが組織を離れた場合にも、その組織アカウントを削除することでアプリケーションへのアクセスも停止させることができるなど一元管理のメリットを得られます。 アプリケーションの追加に関して、以下の公開情報を併せてご参照ください。   アプリケーションを Azure AD に追加する方法と理由 https://docs.microsoft.com/ja-jp/azure/active-directory/develop/active-directory-how-applications-are-added   アプリケーションの登録を制限する方法 Azure Active Directory の [ユーザー設定] で、「ユーザーはアプリケーションを登録できる」を「いいえ」に変更することによって、一般ユーザーによるアプリの登録を行えなくすることが可能です。このとき、一般ユーザーがアプリケーションの登録を行おうとすると、十分な権限が無い旨のエラーが表示されます。 なお、「ユーザーはアプリケーションを登録できる」を「いいえ」に設定した場合は、以下のロールを持つアカウントからのみ、アプリケーションの登録が可能です。 全体管理者 アプリケーション管理者…

0

Azure AD Connect アップグレード手順

こんにちは。 Azure Identity サポートの谷です。 Azure AD Connect (AADC) のアップグレード手順をご紹介いたします。 AADC の更新バージョンのリリース頻度は高く、この 3 カ月でも 3 回更新バージョンがリリースされています。 更新には、既知の不具合やセキュリティに関する修正に加えて機能強化も含まれています。 そのため、できるだけ安定して AADC を運用いただくうえで弊社としての推奨は以下となります。 – 最新バージョンの利用 – 最低でも 6 カ月毎に最新バージョンへのアップグレード   Azure AD Connect: バージョンのリリース履歴 https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnect-version-history   なお、サポートという観点では、リリースされている全てのバージョンの AADC が現在サポート対象となります。 特定のバージョンの AADC をサポート終了する場合にはアップグレードを実施いただくために十分な期間を設け、ご案内いたしますので、ご安心ください。 (トラブルシューティングなどの中で古いバージョンをご利用されている場合に切り分けのためのバージョンアップをお願いする、より詳細な調査をするためにも、まずアップグレードをお願いするという可能性があることについては予めご承知おきください)   ■ アップグレードの流れ AADC 1 台構成の場合 —————————————- A. バージョンアップ前にサーバーの健全性確認 B. 設定情報 / ルールのバックアップ C. アップグレード  …

0

Azure AD Connect サーバーの CPU 使用率が頻繁に 100% になる問題について

こんにちは、Azure ID チームの松枝です。 本記事では、Azure AD Connect サーバーの CPU 使用率が頻繁に 100% になる問題について、次のとおりご案内いたします。 先日より同様の事象について、多くのお問い合わせをいただいております (ご迷惑をお掛けしまして申し訳ありません)。先日修正を含む Azure AD Connect のバージョンがリリースされましたので、もし本問題事象が発生しましたら、下記の対処方法を実施ください。 本事象の概要: ”バージョン 1.1.819.0 以前” の Azure AD Connect の不具合が原因で、 .NET Framework に関するセキュリティ更新プログラムの適用が行われた後、 Azure AD Connect サーバーの CPU 使用率 が常に 100% に近い高負荷状態になります。 事象発生が報告されている更新プログラム: KB4338420 KB4338606 KB4054542 KB4054566 KB4054590 KB4338814 KB4338419 KB4338605 KB4345418 参考情報: High CPU issue in Azure Active…

0