Azure AD Connect アップグレード手順

こんにちは。 Azure Identity サポートの谷です。 Azure AD Connect (AADC) のアップグレード手順をご紹介いたします。 AADC の更新バージョンのリリース頻度は高く、この 3 カ月でも 3 回更新バージョンがリリースされています。 更新には、既知の不具合やセキュリティに関する修正に加えて機能強化も含まれています。 そのため、できるだけ安定して AADC を運用いただくうえで弊社としての推奨は以下となります。 – 最新バージョンの利用 – 最低でも 6 カ月毎に最新バージョンへのアップグレード   Azure AD Connect: バージョンのリリース履歴 https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnect-version-history   なお、サポートという観点では、リリースされている全てのバージョンの AADC が現在サポート対象となります。 特定のバージョンの AADC をサポート終了する場合にはアップグレードを実施いただくために十分な期間を設け、ご案内いたしますので、ご安心ください。 (トラブルシューティングなどの中で古いバージョンをご利用されている場合に切り分けのためのバージョンアップをお願いする、より詳細な調査をするためにも、まずアップグレードをお願いするという可能性があることについては予めご承知おきください)   ■ アップグレードの流れ AADC 1 台構成の場合 —————————————- A. バージョンアップ前にサーバーの健全性確認 B. 設定情報 / ルールのバックアップ C. アップグレード  …

0

Azure AD Connect サーバーの CPU 使用率が頻繁に 100% になる問題について

こんにちは、Azure ID チームの松枝です。 本記事では、Azure AD Connect サーバーの CPU 使用率が頻繁に 100% になる問題について、次のとおりご案内いたします。 先日より同様の事象について、多くのお問い合わせをいただいております (ご迷惑をお掛けしまして申し訳ありません)。先日修正を含む Azure AD Connect のバージョンがリリースされましたので、もし本問題事象が発生しましたら、下記の対処方法を実施ください。 本事象の概要: ”バージョン 1.1.819.0 以前” の Azure AD Connect の不具合が原因で、 .NET Framework に関するセキュリティ更新プログラムの適用が行われた後、 Azure AD Connect サーバーの CPU 使用率 が常に 100% に近い高負荷状態になります。 事象発生が報告されている更新プログラム: KB4338420 KB4338606 KB4054542 KB4054566 KB4054590 KB4338814 KB4338419 KB4338605 KB4345418 参考情報: High CPU issue in Azure Active…

0

RBAC のスコープについて

こんにちは、Azure & Identity サポート チームの坂井です。   今回は ロールベースのアクセス制御 (RBAC) について紹介します。 Azure の各種リソースに対するアクセス制御 (IAM) とも呼ばれ、リソースに対して実行できること、そのユーザーがアクセスできる領域を管理するのに役立ちます。   RBAC の設定ポイントとしては、3 つあります。   ・セキュリティ プリンシパル :権限を付与する対象を表します。ユーザー、グループ、サービス プリンシパルに設定可能です ・ロール (権限) 定義       :組み込みロールやカスタム ロールから、付与したい権限の種類を決定します ・Scope (スコープ)      :権限が適用される範囲を決定します   (サブスクリプション > リソース グループ > リソース) サブスクリプション全体に対して権限を付与すると、リソース グループ、リソースへと権限が継承されます   ここからは “スコープ” について具体例をもとに、紹介します。     シナリオ 1 : サブスクリプション単位 【設定内容】 : サブスクリプション A には「所有者」権限、サブスクリプション B には権限の付与なし…

0

“Baseline policy: Require MFA for admins” について

こんにちは、Azure ID チームの宮林です。 今回は下記のとおり、6/22 より Public Preview となった “Baseline policy: Require MFA for admins” についてお知らせいたします。   Baseline security policy for Azure AD admin accounts in public preview! https://cloudblogs.microsoft.com/enterprisemobility/2018/06/22/baseline-security-policy-for-azure-ad-admin-accounts-in-public-preview/ ベースラインの保護とは (プレビュー) https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-conditional-access-baseline-protection   (こちらが対象のポリシーとなります)   “Baseline policy: Require MFA for admins” とは “Baseline policy: Require MFA for admins” は、特権ロールを持つアカウントに対して多要素認証 (MFA : Multi Factor Authentication) を必要とさせるポリシーです。将来的にすべての Azure…

0

Azure AD の ExpressRoute サポート変更につきまして

こんにちは、 Azure ID チームの三浦です。 2018 年 5 月の Azure AD に対する更新情報 に記載の  ExpressRoute 利用環境における Azure AD への認証トラフィックの変更について、その変更の内容、変更の影響を受ける場合の対応策についてご案内します。   変更の内容 Azure AD の認証トラフィックを処理するエンドポイント (IP アドレス) について、これまで ExpressRoute で Public ピアリング、 Microsoft ピアリングのいずれにおいてもルート情報がアドバタイズされていました。 言い換えますと ExpressRoute で Public ピアリングや Microsoft ピアリングを有効にして利用している環境では、 Azure AD に対する認証トラフィックが ExpressRoute を経由していました。   これが 2018 年 8 月 1 日から次のように変更されます。   Microsoft ピアリング、かつ ExpressRoute を利用するサービスとして “その他の…

0

Azure AD Connect サーバー : ウィルス対策ソフト除外項目 / 使用する通信ポート

こんにちは!Azure Identity サポートの谷です。 Azure AD Connect サーバーを新規構築に構築する場合や既存環境のセキュリティ面での見直しなどの背景により、 サードパーティ製のウィルス対策ソフトやファイアウォールでの通信制限についてのお問い合わせを多くいただいています。 公開情報等の情報を踏まえ、これらの情報を一目できるようにお纏めしました。 構築時や運用時の参考にしていただければ幸いです。   ======================================== ウィルス対策ソフトでのスキャン除外項目 ======================================== 基本的には SQL Server 2012 Express LocalDB としての除外をご考慮いただければと存じますので、以下の技術情報をまずは参考としてご参照いただければと存じます。 Title: SQL Server を実行しているコンピューター上で実行するウイルス対策ソフトウェアを選択する方法 URL:https://support.microsoft.com/ja-jp/help/309422/how-to-choose-antivirus-software-to-run-on-computers-that-are-running 上記技術情報を踏まえ、AADC 製品を添付の SQL Server 2012 Express LocalDB をご利用いただいた状態で、既定でセットアップされた際の除外対象は以下となります。 ・SQL Server データ ファイル格納先 C:\Program Files\Microsoft Azure AD Sync\Data ※ 一時的に利用される場合があるため、[C:\Program Files\Microsoft Azure AD Sync\MaData] も併せて除外していただければと存じます。 ・ウイルス スキャンから除外するプロセス C:\Program Files\Microsoft SQL…

0

Microsoft 365 を用いたゼロ トラスト ネットワークの実現

こんにちは、Azure & Identity サポート チームの田中と高田です。 本記事は、米国時間 2018年 6 月 14 日に公開された Building Zero Trust networks with Microsoft 365 の抄訳です。   従来の境界ベースのネットワーク制御は時代遅れとなりつつあります。 境界ベースのネットワークには、ネットワーク内のすべてのシステムが信頼できるという前提があります。 しかし、今日ますますモバイル ワーカーが増える中、パブリック クラウドサービスへの移行や BYOD (Bring Your Own Device) モデルの採用もあり、境界セキュリティの制御は意味をなさなくなってきています。従来有効とされていた制御方法を依然として使い続けているネットワークは、侵入に脆弱となります。信頼される境界として定義していた中に含まれるエンドポイントのたった一つからでも攻撃者の侵入を許すと、攻撃者はその後あっという間にネットワーク全体を支配下においていきます。 ゼロ トラスト ネットワークは、境界で囲まれたネットワークは信頼できるという考え方を用いません。 代わりに、ゼロ トラスト アーキテクチャは組織内のデータとリソースへのアクセスにデバイスおよびユーザーのクレーム情報を活用します。 一般的なゼロ トラスト ネットワークモデル (図 1) は通常、以下の要素で構成されます。 ユーザーおよびユーザー関連の情報を保持する ID プロバイダ 対応するデバイス情報 (デバイスの種類、整合性など) に基づいて、会社のリソースにアクセスできるデバイスのリストを保持するデバイス ディレクトリ ユーザーまたはデバイスがセキュリティ管理者によって設定されたポリシーに準拠しているかどうかを判断するポリシー評価サービス 組織リソースへのアクセスを許可または拒否する上記の方式を利用したプロキシ   図 1….

0

Azure AD B2B におけるユーザーの新しい招待方法

こんにちは、Azure ID チームの高田です。 今回は、新しくなった Azure AD B2B (ゲスト招待機能) についてお知らせします。   マイクロソフトでは、以下の資料のとおり、5 月 11 日から Azure AD B2B の新しい更新を展開しています。これにより、ゲストユーザーの招待においてこれまでと比べてユーザーから見た画面が変更されたり、管理者により行うべきことも変更されていたりします。本記事ではその概要についておまとめしました。 Exciting improvements to the B2B collaboration experience https://cloudblogs.microsoft.com/enterprisemobility/2018/05/14/exciting-improvements-to-the-b2b-collaboration-experience/ Azure Active Directory B2B collaboration invitation redemption https://docs.microsoft.com/ja-jp/azure/active-directory/b2b/redemption-experience   新しい Azure AD B2B の変更概要 新しい Azure AD B2B では、多くのシナリオにおいてユーザー自身が招待メールをクリックしなくてもよいように改善されています。従来は管理者がユーザーを招待すると、招待されたユーザーにメールが届き、ユーザーはメール内にある「はじめに」のリンクをクリックして招待を完了するというのが一般的な招待の流れでした。 しかしながら、招待メールのクリック自体が煩雑であること、また環境によっては招待メールがセキュリティによりブロックされるなどし届かないことで、招待がスムーズに行われないという問題がありました。 新しい Azure AD B2B でもメールによる招待は可能ですが、招待されたユーザーはメールにある「はじめに」のクリックせずとも、招待されたテナント上のリソース (URL) に直接アクセスしサインインすれば、招待を完了することが可能となります。招待されたテナント上のリソース (URL) に実際にアクセスしサインインすると、ユーザーには以下の画面が表示されます。…

0

Office 365 へのアクセスで iOS Accounts 登録のメッセージが表示され接続できない

こんにちは。Azure ID チームの三浦です。今回は iOS 11 から Office 365 に ActiveSyncなどで接続する際に iOS Accounts 登録に関する画面が表示されて利用できない事象への対応方法をご紹介します。   iOS 11 では  Office 365 が利用している Azure AD (以降 AAD) に iOS Accounts というアプリケーションを登録し、そのアプリケーションを利用して Office 365 への接続をおこなうことがあります。   既定では各ユーザーは AAD に対してアプリケーションを登録することができるようになっているため、自動的に iOS Accounts というアプリケーションが登録されますが、 Office 365 の AAD で “ユーザーはアプリケーションを登録できる” が “いいえ” の場合にはユーザーによるアプリケーション登録ができません。     結果として、 ユーザーが ActiveSync の構成などを実施するタイミングで、次のような画面が iOS 上に表示され、…

0