AD FS クレームルール関連のトラブルシューティング

こんにちは、Azure & Identitiy サポートチームの竹村です。 今回は、AD FS のクレームルールに関連した問題のトラブルシュート方法をご紹介します。   エラー画面、エラーイベントの特徴 AD FS のクレームルールにより認証が失敗している場合、エラー画面やエラーイベントから容易に判断することができます。 ブラウザやモダン認証のアプリケーションからアクセスしている場合には、以下のように 「このサイトにアクセスする権限がありません。」と表示されます。     一部の Office クライアントなどで レガシー認証を使用している場合には、上記のようなブラウザの画面は表示されません。 しかし、クライアントの種類に関係なく、AD FS サーバー側のイベント ログ ( [アプリケーションとサービス ログ] – [AD FS] – [Admin] ) に、以下のようにイベント ID 325、501、1000、364 が記録されます。     上記の ID 325 の内容において、「発信者」(例では TEST122\test01) が認証したユーザーであり、「証明書利用者」(例では urn:federation:MicrosoftOnline) がアクセスを試みようとしたサービス (証明書利用者信頼) になります。 この証明書利用者信頼は、AD FS 管理ツールから確認することができます。 以下のように、信頼を結んでいるサービスのプロパティを開き、[識別子] のタブで確認することができます。(例は、Office 365…

0

AD FS 証明書認証のトラブルシューティング

こんにちは、Azure & Identitiy サポートチームの竹村です。 今回は、多くのお客様からお問合せをいただく AD FS のクライアント証明書認証の問題について、既知の事例や対応方法をご紹介します。   最初に行うこと   証明書認証の問題は、大きく 2つのパターンに分けられます。   (A) クライアントが証明書を送信しないケース (B) クライアントから証明書を選択して送信したものの、正常に動作しないケース   トラブルシューティングを進める際には、まず、どちらのケースに該当するかを確認します。   ※ 注意 証明書認証では、認証を試みる際に証明書を選択するポップアップが表示されます。しかし、 IE には、有効な証明書が 1つしか存在しない場合に、自動的に送信する機能があります。 一見 (A) のケースのように見えていても、実際にはバックグラウンドで自動的に証明書を送信している可能性があります。 インターネット オプションの [セキュリティ] タブで、各ゾーンの [レベルのカスタマイズ] から以下の設定を確認しておきます。 この設定を「無効にする」にしておくことで、有効な証明書が 1つしか無い場合にもポップアップしてユーザーが選択する動作になりますので、確認が容易になります。     ※ 既定では、「ローカル イントラネット」ゾーンのみ有効となっていますが、念のため各ゾーンの設定をご確認ください。   次に、それぞれのケースにおける代表的な問題について説明して行きます。 すでにクライアント側に証明書が表示されている場合には、(A) は飛ばして (B) からご確認ください。   (A) クライアントが証明書を送信しないケース このケースの問題は、CTL (Certificate Trust…

0

Extranet Lockout について

こんにちは、 Azure Identity の平形です。 本ブログを参照されている方の中でも、今現在以下のような現象にお悩みの方がいらっしゃたりしませんでしょうか。   ・ AD FS 環境でオンプレミスの AD アカウントが頻繁にロックアウトされてしまう ・ ロックアウトの原因が AD FS サーバーからの認証   アカウント ロックアウトの頻度が非常に高く、様々なアカウントで発生しているのであればパスワード スプレー攻撃によって引き起こされている可能性があります。 また、ロックアウトにつながるログオン失敗が AD FS 経由でされている場合には、インターネットから WAP (Web Application Proxy) に対してパスワード スプレー攻撃を試行していることが疑われます。   今回は AD FS 環境における外部からのパスワード スプレー攻撃に対処する Extranet Lockout 機能についての紹介と設定方法をお伝えします。     —————————————————— そもそもパスワード スプレー攻撃とは —————————————————— パスワード スプレー攻撃とは、複数の異なるアカウントに対して多くの人が一般的に設定するようなパスワードでのログオンを試行する攻撃手法です。 詳細につきましては先日ブログを公開しておりますので参照ください。   Azure AD と AD FS…

0

Windows Server 2019 AD FS の新機能

こんにちは。Azure Identity チームの三浦です。 今回は、 Windows Server 2019 の AD FS に関する新機能についてリンク にあります公開情報に多少補足を含めて翻訳してみました。 AD FS も Azure Active Directory の進化に合わせて様々な機能が追加されています。既存 AD FS サーバーの更新、新規導入を検討する中で本情報が参考になれば幸いです。   カテゴリ 項目 説明 ログインの保護 外部の認証プロバイダーをプライマリにすることができる 3rd Party の認証プロバイダをプライマリにしてパスワード ベースの認証を取り除くことができます。また、 3rd Party は多要素認証を実施済みとクレームに含めることもできます。 パスワード ベースの認証を追加認証に設定可能 パスワード以外の方式をプライマリに設定し、パスワード ベースの認証を追加の認証方式として指定することができます。 (ADFS 2016 では Github からアダプタを入手する必要がありました) 脅威に対するプラグイン可能なモジュールへの対応 独自のプラグインを利用して実際の認証処理が開始される前に特定のタイプの認証要求をブロックできるようになりました。例えば Identity Protection のようなものを利用し、リスクと判断されたユーザーのログインをブロックするなどです。 エクストラネット スマート ロックアウト (ESL = Extranet…

0

ハイブリッド Azure Active Directory 参加済みデバイスの構成について

いつもお世話になります。Azure & Identity サポート チームの加藤です。 本記事では「ハイブリッド Azure Active Directory 参加済みデバイスの構成」についてご案内します。 本記事がみなさまの一助になれば幸いです。   本記事の目的 ハイブリッド Azure Active Directory 参加済みデバイスの構成とは 「手順 1 : サービス接続ポイントの構成」についての補足 「手順 2 : 要求の発行のセットアップ」についての補足 Windows 10 のデバイス登録の流れについて Windows 10 のデバイス登録について注意事項 ダウンレベルの Windows (Windows 7、Windows 8.1) のデバイス登録の流れ ダウンレベルの Windows (Windows 7、Windows 8.1) のデバイス登録について注意事項   1. 本記事の目的 本記事の目的は、以下の弊社公開情報を補足することです。   ハイブリッド Azure Active Directory 参加済みデバイスの構成方法  …

0

Azure AD と AD FS のベスト プラクティス: パスワード スプレー攻撃の防御

こんにちは、Azure Identity サポートの宮林と高田です。 本記事は、米国時間 2018 年 3 月 5 日に公開された Azure AD and ADFS best practices: Defending against password spray attacks の抄訳です。Azure AD と AD FS に関してパスワードスプレー攻撃を取り上げた情報がまとめられており、日本のサポート チームとして皆様にぜひ内容を共有したく日本語化しました。     皆さんこんにちは。 パスワードを用いたログインを採用している限り、第三者がそれを推測しようとすることは避けられません。このブログでは、最近非常に頻繁に行われるようになったパスワード スプレーと呼ばれる攻撃手法と、それに対する防衛のためのベスト プラクティスについて説明します。 パスワード スプレー攻撃では、攻撃者が多くの人が設定するような一般的なパスワードで、複数の異なるアカウントに対してログインを試行することで、パスワードで保護されたリソースにアクセスを試みます。 通常、これらは 1 つの組織や 1 つの認証基盤に留まることなく行われます。例えば、攻撃者は Mailsniper などの一般にも入手可能なツールを用いて、複数の組織の全てのユーザーを列挙し、それらのアカウントすべてに対して “P@$$w0rd” や “Password1” などのパスワードを試します。 攻撃のイメージとしては、以下のようなものが挙げられます。    Target User  Target Password  User1@org1.com  Password1…

0

AD FS プロキシの混雑回避アルゴリズムの動作

こんにちは、Azure & Identity サポート チームの石川です。 今回は、AD FS プロキシ (Windows Server 2012 R2 以降は WAP ですが、今回の記事での説明では AD FS プロキシとします) の混雑回避アルゴリズムの動作について紹介します。 社内からブラウザーを利用した Exchange Online へのアクセスは問題無いが、 Outlook を利用した場合 (アクティブ認証) やエクストラネットからのアクセス時に認証で問題が発生するというときには、AD FS プロキシ経由の認証でエラーが発生しており、それが混雑回避アルゴリズムにより認証が制限されていることが原因で生じている可能性があります。 最近の Outlook は先進認証 (= ADAL とも、モダン認証とも呼ぶ) を利用しており、この場合には Outlook もアクティブ認証ではなく、ブラウザーと同じような認証経路になります) 混雑回避アルゴリズムの動作を把握しておくことで、発生時の対処や恒久的な対応をすることができます。   混雑回避アルゴリズムとは AD FS プロキシは、Office 365 などのサービス プロバイダーからの認証要求を受け取り、AD FS に渡すプロキシ サーバーとして動作しています。 AD FS プロキシ経由の AD FS…

0

クレーム ルールと条件付きアクセスの比較

こんにちは、Azure & Identity サポート チームの坂井です。   今回は AD FS を利用したクレーム ルールとAzure AD を利用した条件付きアクセスについて比較します。 これまで AD FS のクレーム ルールでアクセス制御を実施しているが、条件付きアクセスの機能にも興味をお持ちの方も多いかと思います。 今後の運用においてクレーム ルールと条件付きアクセスのどちらで運用を行うか検討するにあたり少しでも本記事がお役に立ちましたら幸いです。   はじめに クレーム ルールと条件付きアクセスは、両者ともに指定した条件に応じて認証アクセスの制御を行うことができます。 例えば、多要素認証を発生させるための条件設定は、クレーム ルールでも条件付きアクセスでも可能です。   それぞれを利用する際に必要な前提条件は次のとおりです。   クレーム ルール AD FS 環境が必須です。 AD FS を利用した認証フローとなるため、認証についてはオンプレミス側で行います。   条件付きアクセス Azure AD 環境が必須です。 また、条件付きアクセスの利用には、利用するユーザー分 Azure AD Premium のライセンスが必要です。 AD FS が導入されている環境においても、条件付きアクセスを利用することが可能です。       コスト比較 まずは、重要となるコスト面について比較してみましょう。…

0

デバイス ベースのアクセス制御

こんにちは、Azure & Identity サポート チームの下野です。   今回は下記の 3 つについてご紹介します。   AD FS による証明書認証 AD FS によるデバイス認証 Azure AD によるデバイスベースの条件付きアクセス   昨今話題の働き方改革を実現する手段の一つとして、テレワークができる環境を整える – オフィス内で利用する端末だけでなく、会社支給の端末、モバイルデバイスなど多種多様なデバイスから企業のリソースにアクセスできるようにする – ということも有効だと思います。 それを検討する際に、管理者側で会社のリソースにアクセスできるデバイスを限定したいとのご要望をいただくことが多くあります。 そのような要望の実現を検討する際に、今回ご紹介させていただく内容が少しでもお役に立ちましたら幸いです。   ではまずは、それぞれの制御方法を説明します。   1. AD FS による証明書認証 Windows Server 2012 R2 (AD FS 3.0) 以降で利用可能となった、証明書を使用した認証方式です。 ユーザー証明書を各デバイスに配布して、モダン認証 (ADAL)に対応している多くのアプリケーションで利用します。 証明書認証を構成した際に正常に動作しないというケースでは、主に下記のようなポイントをチェックします。  証明書のサブジェクト代替名にユーザーの UPN が正しくセットされているか AD FS (または WAP) が信頼している証明機関から発行された証明書かどうか 証明書の有効期限が切れていないかどうか 証明書が、失効されていないかどうか…

0

Office 365 の TLS 1.0/1.1 無効化に伴う AD FS / WAP (AD FS Proxy) の対応

2018/02/15: TLS 1.2 の必須化は当初予定していた 2018/3/1 から 2018/10/31 に延期になりました。   こんにちは、 Azure ID の三浦です。 今回は Office 365 での TLS 1.0 と 1.1 のサポート無効化に伴う AD FS / WAP (AD FS Proxy) での対応についてまとめました。 次の情報にありますように 2018/10/31 に Office 365 では TLS 1.0 と 1.1 のサポートを無効化することを予定しています。   Office 365 への TLS 1.2 の実装に対する準備 https://support.microsoft.com/ja-jp/help/4057306/preparing-for-tls-1-2-in-office-365   フェデレーション環境では、 AD FS および WAP…

0