「エンタープライズアプリケーション」と「アプリの登録」の違いについて

こんにちは、Azure Identity チームの宮林です。 今回は Azure Active Directory の管理項目にある、「エンタープライズアプリケーション」と「アプリの登録」のそれぞれの違いについて紹介します。 初めてアプリケーションの登録を行おうとした際にどちらで設定すれば良いのかと、気になった方も多いのではないでしょうか。 この記事では、そのような疑問に対する答えとして、それぞれの違いについて説明します。   「エンタープライズアプリケーション」と「アプリの登録」の違い   アプリケーションをテナント (Azure AD) に登録する際に「エンタープライズアプリケーションの登録」と「アプリの登録」それぞれの方法では、登録する目的が異なります。 端的に説明すれば以下のようになります。   「エンタープライズアプリケーション」:既存の SaaS アプリケーション (オンプレミスの環境で提供しているサービスを含む) をテナントに統合する場合に用いる。 「アプリの登録」:開発したアプリケーションの公開、もしくは利用するために用いる。   (ここで、統合が指す意味は、SaaS アプリケーションに対する シングルサインオン (SSO) の構成や、ユーザーのプロビジョニング構成を行うことなどを指します。) それぞれの項目で、アプリケーションの登録を行う場合の目的の違いついて、詳細を説明します。   「エンタープライズアプリケーション」からアプリケーションの登録を行う場合   例えば、GitHub、Salesforce、Slack や G Suite など、Azure Marketplace もしくは、Azure ポータルより [Azure Active Directory] – [エンタープライズアプリケーション] – [+新しいアプリケーション] を選択した際に表示されるページで公開されている、事前に統合された SaaS アプリケーションをテナントに追加して利用するために使用します。 それぞれの SaaS…

0

Azure VM 上の AD FS 構成と Azure トラフィック マネージャーとの構成での非推奨設定について

こんにちは、Azure & Identity サポート チームの 姚 (ヨウ)です。   Azure VM 上に AD FS を構成し、 Azure トラフィック マネージャーと組み合わせることで WAP サーバーと AD FS サーバーのセットを丸ごと冗長化できるメリットがあります。 この具体的な手順を含む詳細な情報を以下で公開しています。   High availability cross-geographic AD FS deployment in Azure with Azure Traffic Manager https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/deployment/active-directory-adfs-in-azure-with-azure-traffic-manager   今回は、この構成を構築する際に注意していただきたい点についてご紹介します。 公開情報では、インターネットからのアクセスに対してトラフィック マネージャーで通信を受け、 WAP と AD FS のそれぞれでロードバランサーを用意しておく構成について図示されています。   ここでロードバランサーの代わりに Azure トラフィック マネージャーを AD FS のロードバランシングにも利用できるのではと考えるようなケースもあるかと思いますが、そのような構成を取ることはできません。 具体的には、トラフィック…

0

PowerShell にて全ユーザーの最終サインイン日時を一括で取得する方法

  こんにちは、Azure & Identity サポート チームの小野です。 今回は、PowerShell で Azure AD 上の全ユーザー(ゲストユーザーも含む)の最終サインイン日時を一括で取得する方法をご紹介します。   Azure AD における最終サインイン日時は、皆さまから強いご要望を受けており開発チームも機能追加に向け動き出しています。 今回ご案内する方法は正式に機能が追加されるまでの回避策となりますが、ご活用いただけますと幸いです。   この方法を実施すると、以下のようにユーザー毎の最終サインイン時刻が、csv 形式で出力されます。   なお、今回はスクリプトとしてご用意をしたため、Japan Azure ID Support チームの GitHub にアップロードをしましたので、以下サイトをご確認ください。 Get last-sign-in activity reports   今後も、Japan Azure ID Support チームの GitHub には、Azure を利用するにあたり便利なスクリプトをアップロードしてまいります。 ぜひチェックしてみてください!   ご不明な点がございましたら弊社サポートまでお気軽にお問い合わせください。 上記内容が少しでも皆様の参考となりますと幸いです。 ※本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。

0

AD FS クレームルール関連のトラブルシューティング

こんにちは、Azure & Identitiy サポートチームの竹村です。 今回は、AD FS のクレームルールに関連した問題のトラブルシュート方法をご紹介します。   エラー画面、エラーイベントの特徴 AD FS のクレームルールにより認証が失敗している場合、エラー画面やエラーイベントから容易に判断することができます。 ブラウザやモダン認証のアプリケーションからアクセスしている場合には、以下のように 「このサイトにアクセスする権限がありません。」と表示されます。     一部の Office クライアントなどで レガシー認証を使用している場合には、上記のようなブラウザの画面は表示されません。 しかし、クライアントの種類に関係なく、AD FS サーバー側のイベント ログ ( [アプリケーションとサービス ログ] – [AD FS] – [Admin] ) に、以下のようにイベント ID 325、501、1000、364 が記録されます。     上記の ID 325 の内容において、「発信者」(例では TEST122\test01) が認証したユーザーであり、「証明書利用者」(例では urn:federation:MicrosoftOnline) がアクセスを試みようとしたサービス (証明書利用者信頼) になります。 この証明書利用者信頼は、AD FS 管理ツールから確認することができます。 以下のように、信頼を結んでいるサービスのプロパティを開き、[識別子] のタブで確認することができます。(例は、Office 365…

0

Azure AD Connect : ステージング サーバーのすゝめ

こんにちは。Azure Identity チームの金森です。 今回は Azure AD Connect (AADC) サーバーの運用にあたって、さまざまなメリットが享受できる [Staging サーバー] のご紹介です!   AADC が担っているディレクトリ同期やパスワード同期は AADC サーバーが停止した場合も [AAD 上のユーザーやグループなどのオブジェクト情報] はそのままであり、AADC そのものが認証処理を担っている訳ではないため業務への影響はそこまでは大きくないと言えます。 もちろんパススルー認証 (PTA) の構成にしており、PTA エージェントが AADC と同居しているそのサーバー1台だけ、という場合は AADC サーバーの停止 = AAD への認証ができなくなることになるため、影響は大きくなることが予想されます。 ※ そんな懸念に対しては PTA エージェントの役割を持つサーバーを複数台用意しましょう!DC サーバーと同じく認証基盤を担うサーバーですので、冗長構成が基本です。   つまり、AADC サーバー (=ディレクトリ同期) が停止しても業務影響が小さいと判断すること自体は誤りではないのですが、それが故に AADC サーバーを1台だけで構成されているお客様もいらっしゃいます。 しかし、運用していく中で以下のようなお悩みが生じることがままあります。    バージョン アップを検討しているけど、いきなりアップしてすでに同期済みのユーザーとかグループに影響はないかな…  (同期元になるオンプレ AD 側のリプレースなど) 大きく ID 基盤の環境が変わる予定があるけど、 ちゃんと同期済みのユーザーとかグループとの紐づけ状態は維持されるかな……

0

AD FS 証明書認証のトラブルシューティング

こんにちは、Azure & Identitiy サポートチームの竹村です。 今回は、多くのお客様からお問合せをいただく AD FS のクライアント証明書認証の問題について、既知の事例や対応方法をご紹介します。   最初に行うこと   証明書認証の問題は、大きく 2つのパターンに分けられます。   (A) クライアントが証明書を送信しないケース (B) クライアントから証明書を選択して送信したものの、正常に動作しないケース   トラブルシューティングを進める際には、まず、どちらのケースに該当するかを確認します。   ※ 注意 証明書認証では、認証を試みる際に証明書を選択するポップアップが表示されます。しかし、 IE には、有効な証明書が 1つしか存在しない場合に、自動的に送信する機能があります。 一見 (A) のケースのように見えていても、実際にはバックグラウンドで自動的に証明書を送信している可能性があります。 インターネット オプションの [セキュリティ] タブで、各ゾーンの [レベルのカスタマイズ] から以下の設定を確認しておきます。 この設定を「無効にする」にしておくことで、有効な証明書が 1つしか無い場合にもポップアップしてユーザーが選択する動作になりますので、確認が容易になります。     ※ 既定では、「ローカル イントラネット」ゾーンのみ有効となっていますが、念のため各ゾーンの設定をご確認ください。   次に、それぞれのケースにおける代表的な問題について説明して行きます。 すでにクライアント側に証明書が表示されている場合には、(A) は飛ばして (B) からご確認ください。   (A) クライアントが証明書を送信しないケース このケースの問題は、CTL (Certificate Trust…

0

サブスクリプション作成時のエラー「アカウントが Azure サブスクリプションに関連付けられないディレクトリに属しています。別のアカウントでサインインしてください」

こんにちは、Azure & Identity サポート チームの小野です。 今回は、Azure におけるサブスクリプション作成時に表示される「アカウントが Azure サブスクリプションに関連付けられないディレクトリに属しています。別のアカウントでサインインしてください」というエラーの発生原因と対処策についてご紹介します。       本エラーは、サブスクリプション作成を試みたユーザー (のメールアドレス) が ”セルフサービス サインアップ テナント” に紐づいている場合に発生します。   ◆ セルフサービス サインアップ テナントとは セルフサービス サインアップ テナントとは、管理者により作成されたテナントではなく、ユーザーが Azure Active Directory(以下、Azure AD ) による認証を必須とするサービスにサインアップした (利用を試みた) 場合に自動で作成されるテナントです。具体的には Power BI などのサービスになりますが、サービスを利用するためにサインアップを試みた際に指定したユーザーのメール アドレスに含まれるドメイン名が Azure AD にまだ登録されていない場合には、自動で Azure AD テナントが作成され、これがセルフサービス サインアップ テナントになります。通常 Azure AD テナントには必ず管理者が存在しますが、このセルフサービス サインアップ テナントには管理者が存在しません。この管理者が存在しないテナントではサブスクリプションを紐づけることができないため、発生しているエラーが今回ご紹介しているエラーメッセージになります。   対処策としては、以下の手順にてテナントの管理者への昇格をする必要があります。  …

0

Azure サポート エンジニア説明会+キャリア相談会を 11 月にも開催します

今年の 5 月、10 月と開催してきた Azure サポート エンジニアの説明会・キャリア相談会ですが、好評のため 11 月にも再度開催させていただくことが決定しましたのでご案内いたします。   Azure のサポート部門ではエンジニアを募集しています。 ポジションとしては、私ども、Azure AD、AD FS、Azure AD Connect などを担当する Azure Identity チームをはじめ、IaaS Networking/Platform でも募集中です。 募集職種 Support Engineer (Azure Identity) Support Engineer (Azure IaaS Networking) Support Engineer (Azure IaaS Platform)   詳細について説明させていただければと思いまして、2018/11/14 (水) 19:00 から弊社品川オフィスにて、募集職種についての説明会、MS でのキャリアについて相談会を開催します。 興味のある方は下記 リンクより事前にお申し込みの上、ぜひご参加ください。 > Azure サポート エンジニア 説明会、相談会 申し込みフォーム 日時: 2018/11/14 (水) 19:00~ 場所: 品川マイクロソフト オフィス…

0

Azure サポート エンジニア説明会+キャリア相談会開催します

現在  Azure のサポート部門ではエンジニアを募集しています。 ポジションとしては、私ども、Azure AD、AD FS、Azure AD Connect などを担当する Azure Identity チームをはじめ、IaaS Networking/Platform でも募集中です。 募集職種 Support Engineer (Azure Identity) Support Engineer (Azure IaaS Networking) Support Engineer (Azure IaaS Platform)   詳細について説明させていただければと思いまして、2018/10/23 (火) 19:00~ に募集職種についての説明会、MS でのキャリアについて相談会を品川オフィスで開催します。 興味のある方は下記 リンクより事前にお申し込みの上、ぜひご参加ください。 > Azure サポート エンジニア 説明会、相談会 申し込みフォーム   こちらも見たことない方はぜひ → Azureサポート エンジニアの魅力とやりがいとは? https://japan.zdnet.com/extra/microsoft_support_201803/35116283/   Azure Identity チームだけでも、お問い合わせ数がこの 1 年で倍増しています。 毎月のように新しい方に入社いただき、エンジニア数も倍増していてオフィスが手狭になってきているのですが、今後もまだまだお問い合わせが増える傾向にあるため、引き続き増員が必要な状況です。 Azure が大好きなみなさまのご参加・ご応募お待ちしています!オフィスは何とかします!

0

Extranet Lockout について

こんにちは、 Azure Identity の平形です。 本ブログを参照されている方の中でも、今現在以下のような現象にお悩みの方がいらっしゃたりしませんでしょうか。   ・ AD FS 環境でオンプレミスの AD アカウントが頻繁にロックアウトされてしまう ・ ロックアウトの原因が AD FS サーバーからの認証   アカウント ロックアウトの頻度が非常に高く、様々なアカウントで発生しているのであればパスワード スプレー攻撃によって引き起こされている可能性があります。 また、ロックアウトにつながるログオン失敗が AD FS 経由でされている場合には、インターネットから WAP (Web Application Proxy) に対してパスワード スプレー攻撃を試行していることが疑われます。   今回は AD FS 環境における外部からのパスワード スプレー攻撃に対処する Extranet Lockout 機能についての紹介と設定方法をお伝えします。     —————————————————— そもそもパスワード スプレー攻撃とは —————————————————— パスワード スプレー攻撃とは、複数の異なるアカウントに対して多くの人が一般的に設定するようなパスワードでのログオンを試行する攻撃手法です。 詳細につきましては先日ブログを公開しておりますので参照ください。   Azure AD と AD FS…

0