AD FS 証明書認証のトラブルシューティング

こんにちは、Azure & Identitiy サポートチームの竹村です。 今回は、多くのお客様からお問合せをいただく AD FS のクライアント証明書認証の問題について、既知の事例や対応方法をご紹介します。   最初に行うこと   証明書認証の問題は、大きく 2つのパターンに分けられます。   (A) クライアントが証明書を送信しないケース (B) クライアントから証明書を選択して送信したものの、正常に動作しないケース   トラブルシューティングを進める際には、まず、どちらのケースに該当するかを確認します。   ※ 注意 証明書認証では、認証を試みる際に証明書を選択するポップアップが表示されます。しかし、 IE には、有効な証明書が 1つしか存在しない場合に、自動的に送信する機能があります。 一見 (A) のケースのように見えていても、実際にはバックグラウンドで自動的に証明書を送信している可能性があります。 インターネット オプションの [セキュリティ] タブで、各ゾーンの [レベルのカスタマイズ] から以下の設定を確認しておきます。 この設定を「無効にする」にしておくことで、有効な証明書が 1つしか無い場合にもポップアップしてユーザーが選択する動作になりますので、確認が容易になります。     ※ 既定では、「ローカル イントラネット」ゾーンのみ有効となっていますが、念のため各ゾーンの設定をご確認ください。   次に、それぞれのケースにおける代表的な問題について説明して行きます。 すでにクライアント側に証明書が表示されている場合には、(A) は飛ばして (B) からご確認ください。   (A) クライアントが証明書を送信しないケース このケースの問題は、CTL (Certificate Trust…

0

サブスクリプション作成時のエラー「アカウントが Azure サブスクリプションに関連付けられないディレクトリに属しています。別のアカウントでサインインしてください」

こんにちは、Azure & Identity サポート チームの小野です。 今回は、Azure におけるサブスクリプション作成時に表示される「アカウントが Azure サブスクリプションに関連付けられないディレクトリに属しています。別のアカウントでサインインしてください」というエラーの発生原因と対処策についてご紹介します。       本エラーは、サブスクリプション作成を試みたユーザー (のメールアドレス) が ”セルフサービス サインアップ テナント” に紐づいている場合に発生します。   ◆ セルフサービス サインアップ テナントとは セルフサービス サインアップ テナントとは、管理者により作成されたテナントではなく、ユーザーが Azure Active Directory(以下、Azure AD ) による認証を必須とするサービスにサインアップした (利用を試みた) 場合に自動で作成されるテナントです。具体的には Power BI などのサービスになりますが、サービスを利用するためにサインアップを試みた際に指定したユーザーのメール アドレスに含まれるドメイン名が Azure AD にまだ登録されていない場合には、自動で Azure AD テナントが作成され、これがセルフサービス サインアップ テナントになります。通常 Azure AD テナントには必ず管理者が存在しますが、このセルフサービス サインアップ テナントには管理者が存在しません。この管理者が存在しないテナントではサブスクリプションを紐づけることができないため、発生しているエラーが今回ご紹介しているエラーメッセージになります。   対処策としては、以下の手順にてテナントの管理者への昇格をする必要があります。  …

0

Azure サポート エンジニア説明会+キャリア相談会を 11 月にも開催します

今年の 5 月、10 月と開催してきた Azure サポート エンジニアの説明会・キャリア相談会ですが、好評のため 11 月にも再度開催させていただくことが決定しましたのでご案内いたします。   Azure のサポート部門ではエンジニアを募集しています。 ポジションとしては、私ども、Azure AD、AD FS、Azure AD Connect などを担当する Azure Identity チームをはじめ、IaaS Networking/Platform でも募集中です。 募集職種 Support Engineer (Azure Identity) Support Engineer (Azure IaaS Networking) Support Engineer (Azure IaaS Platform)   詳細について説明させていただければと思いまして、2018/11/14 (水) 19:00 から弊社品川オフィスにて、募集職種についての説明会、MS でのキャリアについて相談会を開催します。 興味のある方は下記 リンクより事前にお申し込みの上、ぜひご参加ください。 > Azure サポート エンジニア 説明会、相談会 申し込みフォーム 日時: 2018/11/14 (水) 19:00~ 場所: 品川マイクロソフト オフィス…

0

Azure サポート エンジニア説明会+キャリア相談会開催します

現在  Azure のサポート部門ではエンジニアを募集しています。 ポジションとしては、私ども、Azure AD、AD FS、Azure AD Connect などを担当する Azure Identity チームをはじめ、IaaS Networking/Platform でも募集中です。 募集職種 Support Engineer (Azure Identity) Support Engineer (Azure IaaS Networking) Support Engineer (Azure IaaS Platform)   詳細について説明させていただければと思いまして、2018/10/23 (火) 19:00~ に募集職種についての説明会、MS でのキャリアについて相談会を品川オフィスで開催します。 興味のある方は下記 リンクより事前にお申し込みの上、ぜひご参加ください。 > Azure サポート エンジニア 説明会、相談会 申し込みフォーム   こちらも見たことない方はぜひ → Azureサポート エンジニアの魅力とやりがいとは? https://japan.zdnet.com/extra/microsoft_support_201803/35116283/   Azure Identity チームだけでも、お問い合わせ数がこの 1 年で倍増しています。 毎月のように新しい方に入社いただき、エンジニア数も倍増していてオフィスが手狭になってきているのですが、今後もまだまだお問い合わせが増える傾向にあるため、引き続き増員が必要な状況です。 Azure が大好きなみなさまのご参加・ご応募お待ちしています!オフィスは何とかします!

0

Extranet Lockout について

こんにちは、 Azure Identity の平形です。 本ブログを参照されている方の中でも、今現在以下のような現象にお悩みの方がいらっしゃたりしませんでしょうか。   ・ AD FS 環境でオンプレミスの AD アカウントが頻繁にロックアウトされてしまう ・ ロックアウトの原因が AD FS サーバーからの認証   アカウント ロックアウトの頻度が非常に高く、様々なアカウントで発生しているのであればパスワード スプレー攻撃によって引き起こされている可能性があります。 また、ロックアウトにつながるログオン失敗が AD FS 経由でされている場合には、インターネットから WAP (Web Application Proxy) に対してパスワード スプレー攻撃を試行していることが疑われます。   今回は AD FS 環境における外部からのパスワード スプレー攻撃に対処する Extranet Lockout 機能についての紹介と設定方法をお伝えします。     —————————————————— そもそもパスワード スプレー攻撃とは —————————————————— パスワード スプレー攻撃とは、複数の異なるアカウントに対して多くの人が一般的に設定するようなパスワードでのログオンを試行する攻撃手法です。 詳細につきましては先日ブログを公開しておりますので参照ください。   Azure AD と AD FS…

0

多要素認証 (MFA) のリセット手順

こんにちは、Azure & Identity サポート チームの小野です。   今回は、Azure AD における多要素認証 (Multi-Factor Authentication = MFA) のリセット手順についてご紹介します。   Azure AD では、ログイン時の追加認証方式として電話・スマートフォンアプリ・メールなどを使った多要素認証 (Multi-Factor Authentication = MFA) を利用することができ、パスワードのセルフサービス リセット時にも同様の認証方式を利用させることが可能です。MFA の設定を有効にしている場合、Azure AD にログインをするためには認証方法に指定したスマートフォンなどを利用できる必要がありますが、スマートフォンを紛失してしまった場合や電話番号およびメールアドレスが無効になった場合には、MFA で設定していた認証を利用できない状況となり、ユーザー認証を完了することができずサービスを利用することができなくなります。 このような場合は、Azure AD  の管理者による対象ユーザーのMFA 設定のリセットを実施します。   なお、一般ユーザー権限では他ユーザーのMFA 認証設定のリセットは行うことができません。一般ユーザーは 、ログインができる状態であればユーザー自身で登録されている MFA の設定を変更することはできますが、MFA の追加の認証を受け取れるスマートフォンを紛失したなどの場合に、自ら MFA 設定のリセットを行うことはできません。     MFA のリセットは、Azure Portal またはPowerShell より行うことが可能です。Azure Portal からの操作では事前準備が不要なため、すぐに操作を実施することができます。PowerShell からの操作では、CSV 形式で用意した全ユーザーに対してリセットを行うことができるため、多くのユーザーに対し一括でリセットを行いたい場合に有効です。   Azure Portal…

0

Windows Server 2019 AD FS の新機能

こんにちは。Azure Identity チームの三浦です。 今回は、 Windows Server 2019 の AD FS に関する新機能についてリンク にあります公開情報に多少補足を含めて翻訳してみました。 AD FS も Azure Active Directory の進化に合わせて様々な機能が追加されています。既存 AD FS サーバーの更新、新規導入を検討する中で本情報が参考になれば幸いです。   カテゴリ 項目 説明 ログインの保護 外部の認証プロバイダーをプライマリにすることができる 3rd Party の認証プロバイダをプライマリにしてパスワード ベースの認証を取り除くことができます。また、 3rd Party は多要素認証を実施済みとクレームに含めることもできます。 パスワード ベースの認証を追加認証に設定可能 パスワード以外の方式をプライマリに設定し、パスワード ベースの認証を追加の認証方式として指定することができます。 (ADFS 2016 では Github からアダプタを入手する必要がありました) 脅威に対するプラグイン可能なモジュールへの対応 独自のプラグインを利用して実際の認証処理が開始される前に特定のタイプの認証要求をブロックできるようになりました。例えば Identity Protection のようなものを利用し、リスクと判断されたユーザーのログインをブロックするなどです。 エクストラネット スマート ロックアウト (ESL = Extranet…

0

Azure AD Connect : ディレクトリ同期の応用 – オブジェクト間の属性値の移動

こんにちは。Azure Identity チームの金森です。 今回は Azure AD Connect (AADC) ツールを利用している環境で “オンプレミス AD ユーザー B にセットしたメール アドレス値が同期先 AAD ユーザーに反映されない” という事象について AADC の動作仕様を元に解説します。今回 AADC の動作についての応用編となりますので、先に基本的な考え方については、以下の Blog もぜひご参照いただけたら嬉しいです。   Azure AD Connect : ディレクトリ同期の基本的なポイント https://blogs.technet.microsoft.com/jpazureid/2018/05/09/synchronization-basic-point/   まず、AADC の基本的な動作を整理します。 AADC は、オンプレミス AD と AAD 間の [中間データベース] の位置づけとなり、オンプレミス AD と AAD のディレクトリに対して、それぞれに対応した Connector と呼ばれるモジュールを作成して対話を行います。 Connector は通信対象ディレクトリとやり取りするデータを、Connector Space (CS) と呼ばれるデータベースに一時的に格納 (ステージング) します。…

0

Azure AD Connect : 2018/11/7 以降 AADC 1.0.8641.0 以前では Password Writeback が利用できない

こんにちは。Azure Identity チームの金森です。 今回は Azure AD Connect (AADC) をご利用いただいている皆様に急ぎお伝えしたい情報がございます。   先に結論ですが、表題の通り AADC 1.0.8641.0 とそれ以前のバージョンをご利用の環境において 2018/11/7 以降は  Password Writeback が機能しなくなります。   理由として、AADC 1.0.8641.0 以前のバージョンでは、Password Writeback を実現するために ACS (Access Control Service) を利用していました。 ACS が 2018/11/7 に完全リタイアするのですが、ACS の機能が提供されなくなることで、AADC 1.0.8641.0 以前をご利用の環境で Password Writeback が動作しなくなります。なお、それ以降のバージョンについては特に影響はありませんのでご安心ください。   How-to: Configure password writeback https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-sspr-writeback   ACS のリタイアに関しては、昨年から情報を公開しておりましたので準備を進めていただいている方も多いかもしれませんが、今回は ACS 対応のアプリケーションを他に利用しているか否かは関係しません。   How to: Migrate…

0

Azure AD の OAuth 2.0 における Authorization Code の再利用禁止

こんにちは、Azure & Identity サポート チームの小野です。   今回は、2018 年 10 月 10 日 (水) 以降に変更を予定しています Azure AD の OAuth 2.0 における Authorization Code の再利用禁止についてご紹介します。 変更のアナウンスについては以下の資料をご確認ください。 変更通知: 承認コードを再利用できなくなる https://docs.microsoft.com/ja-jp/azure/active-directory/fundamentals/whats-new#change-notice-authorization-codes-will-no-longer-be-available-for-reuse   本変更の影響を受けるのは、Azure AD より Authorization Code を取得し、この Authorization Code を繰り返し使用してアクセス トークンをリクエストする処理を含むアプリケーションです。Azure AD へのログイン、Azure PowerShell 、Azure CLI や SDK を利用したトークン取得については、特に影響ありませんので、ご安心ください。   まず、OAuth 2.0 における Authorization Code について簡単に説明します。 Authorization Code…

0