Extranet Lockout について

こんにちは、 Azure Identity の平形です。 本ブログを参照されている方の中でも、今現在以下のような現象にお悩みの方がいらっしゃたりしませんでしょうか。   ・ AD FS 環境でオンプレミスの AD アカウントが頻繁にロックアウトされてしまう ・ ロックアウトの原因が AD FS サーバーからの認証   アカウント ロックアウトの頻度が非常に高く、様々なアカウントで発生しているのであればパスワード スプレー攻撃によって引き起こされている可能性があります。 また、ロックアウトにつながるログオン失敗が AD FS 経由でされている場合には、インターネットから WAP (Web Application Proxy) に対してパスワード スプレー攻撃を試行していることが疑われます。   今回は AD FS 環境における外部からのパスワード スプレー攻撃に対処する Extranet Lockout 機能についての紹介と設定方法をお伝えします。     —————————————————— そもそもパスワード スプレー攻撃とは —————————————————— パスワード スプレー攻撃とは、複数の異なるアカウントに対して多くの人が一般的に設定するようなパスワードでのログオンを試行する攻撃手法です。 詳細につきましては先日ブログを公開しておりますので参照ください。   Azure AD と AD FS…

0

Windows Server 2019 AD FS の新機能

こんにちは。Azure Identity チームの三浦です。 今回は、 Windows Server 2019 の AD FS に関する新機能についてリンク にあります公開情報に多少補足を含めて翻訳してみました。 AD FS も Azure Active Directory の進化に合わせて様々な機能が追加されています。既存 AD FS サーバーの更新、新規導入を検討する中で本情報が参考になれば幸いです。   カテゴリ 項目 説明 ログインの保護 外部の認証プロバイダーをプライマリにすることができる 3rd Party の認証プロバイダをプライマリにしてパスワード ベースの認証を取り除くことができます。また、 3rd Party は多要素認証を実施済みとクレームに含めることもできます。 パスワード ベースの認証を追加認証に設定可能 パスワード以外の方式をプライマリに設定し、パスワード ベースの認証を追加の認証方式として指定することができます。 (ADFS 2016 では Github からアダプタを入手する必要がありました) 脅威に対するプラグイン可能なモジュールへの対応 独自のプラグインを利用して実際の認証処理が開始される前に特定のタイプの認証要求をブロックできるようになりました。例えば Identity Protection のようなものを利用し、リスクと判断されたユーザーのログインをブロックするなどです。 エクストラネット スマート ロックアウト (ESL = Extranet…

0

ハイブリッド Azure Active Directory 参加済みデバイスの構成について

いつもお世話になります。Azure & Identity サポート チームの加藤です。 本記事では「ハイブリッド Azure Active Directory 参加済みデバイスの構成」についてご案内します。 本記事がみなさまの一助になれば幸いです。   本記事の目的 ハイブリッド Azure Active Directory 参加済みデバイスの構成とは 「手順 1 : サービス接続ポイントの構成」についての補足 「手順 2 : 要求の発行のセットアップ」についての補足 Windows 10 のデバイス登録の流れについて Windows 10 のデバイス登録について注意事項 ダウンレベルの Windows (Windows 7、Windows 8.1) のデバイス登録の流れ ダウンレベルの Windows (Windows 7、Windows 8.1) のデバイス登録について注意事項   1. 本記事の目的 本記事の目的は、以下の弊社公開情報を補足することです。   ハイブリッド Azure Active Directory 参加済みデバイスの構成方法  …

0

Azure AD と AD FS のベスト プラクティス: パスワード スプレー攻撃の防御

こんにちは、Azure Identity サポートの宮林と高田です。 本記事は、米国時間 2018 年 3 月 5 日に公開された Azure AD and ADFS best practices: Defending against password spray attacks の抄訳です。Azure AD と AD FS に関してパスワードスプレー攻撃を取り上げた情報がまとめられており、日本のサポート チームとして皆様にぜひ内容を共有したく日本語化しました。     皆さんこんにちは。 パスワードを用いたログインを採用している限り、第三者がそれを推測しようとすることは避けられません。このブログでは、最近非常に頻繁に行われるようになったパスワード スプレーと呼ばれる攻撃手法と、それに対する防衛のためのベスト プラクティスについて説明します。 パスワード スプレー攻撃では、攻撃者が多くの人が設定するような一般的なパスワードで、複数の異なるアカウントに対してログインを試行することで、パスワードで保護されたリソースにアクセスを試みます。 通常、これらは 1 つの組織や 1 つの認証基盤に留まることなく行われます。例えば、攻撃者は Mailsniper などの一般にも入手可能なツールを用いて、複数の組織の全てのユーザーを列挙し、それらのアカウントすべてに対して “P@$$w0rd” や “Password1” などのパスワードを試します。 攻撃のイメージとしては、以下のようなものが挙げられます。    Target User  Target Password  User1@org1.com  Password1…

0

AD FS プロキシの混雑回避アルゴリズムの動作

こんにちは、Azure & Identity サポート チームの石川です。 今回は、AD FS プロキシ (Windows Server 2012 R2 以降は WAP ですが、今回の記事での説明では AD FS プロキシとします) の混雑回避アルゴリズムの動作について紹介します。 社内からブラウザーを利用した Exchange Online へのアクセスは問題無いが、 Outlook を利用した場合 (アクティブ認証) やエクストラネットからのアクセス時に認証で問題が発生するというときには、AD FS プロキシ経由の認証でエラーが発生しており、それが混雑回避アルゴリズムにより認証が制限されていることが原因で生じている可能性があります。 最近の Outlook は先進認証 (= ADAL とも、モダン認証とも呼ぶ) を利用しており、この場合には Outlook もアクティブ認証ではなく、ブラウザーと同じような認証経路になります) 混雑回避アルゴリズムの動作を把握しておくことで、発生時の対処や恒久的な対応をすることができます。   混雑回避アルゴリズムとは AD FS プロキシは、Office 365 などのサービス プロバイダーからの認証要求を受け取り、AD FS に渡すプロキシ サーバーとして動作しています。 AD FS プロキシ経由の AD FS…

0

クレーム ルールと条件付きアクセスの比較

こんにちは、Azure & Identity サポート チームの坂井です。   今回は AD FS を利用したクレーム ルールとAzure AD を利用した条件付きアクセスについて比較します。 これまで AD FS のクレーム ルールでアクセス制御を実施しているが、条件付きアクセスの機能にも興味をお持ちの方も多いかと思います。 今後の運用においてクレーム ルールと条件付きアクセスのどちらで運用を行うか検討するにあたり少しでも本記事がお役に立ちましたら幸いです。   はじめに クレーム ルールと条件付きアクセスは、両者ともに指定した条件に応じて認証アクセスの制御を行うことができます。 例えば、多要素認証を発生させるための条件設定は、クレーム ルールでも条件付きアクセスでも可能です。   それぞれを利用する際に必要な前提条件は次のとおりです。   クレーム ルール AD FS 環境が必須です。 AD FS を利用した認証フローとなるため、認証についてはオンプレミス側で行います。   条件付きアクセス Azure AD 環境が必須です。 また、条件付きアクセスの利用には、利用するユーザー分 Azure AD Premium のライセンスが必要です。 AD FS が導入されている環境においても、条件付きアクセスを利用することが可能です。       コスト比較 まずは、重要となるコスト面について比較してみましょう。…

0

デバイス ベースのアクセス制御

こんにちは、Azure & Identity サポート チームの下野です。   今回は下記の 3 つについてご紹介します。   AD FS による証明書認証 AD FS によるデバイス認証 Azure AD によるデバイスベースの条件付きアクセス   昨今話題の働き方改革を実現する手段の一つとして、テレワークができる環境を整える – オフィス内で利用する端末だけでなく、会社支給の端末、モバイルデバイスなど多種多様なデバイスから企業のリソースにアクセスできるようにする – ということも有効だと思います。 それを検討する際に、管理者側で会社のリソースにアクセスできるデバイスを限定したいとのご要望をいただくことが多くあります。 そのような要望の実現を検討する際に、今回ご紹介させていただく内容が少しでもお役に立ちましたら幸いです。   ではまずは、それぞれの制御方法を説明します。   1. AD FS による証明書認証 Windows Server 2012 R2 (AD FS 3.0) 以降で利用可能となった、証明書を使用した認証方式です。 ユーザー証明書を各デバイスに配布して、モダン認証 (ADAL)に対応している多くのアプリケーションで利用します。 証明書認証を構成した際に正常に動作しないというケースでは、主に下記のようなポイントをチェックします。  証明書のサブジェクト代替名にユーザーの UPN が正しくセットされているか AD FS (または WAP) が信頼している証明機関から発行された証明書かどうか 証明書の有効期限が切れていないかどうか 証明書が、失効されていないかどうか…

0

Office 365 の TLS 1.0/1.1 無効化に伴う AD FS / WAP (AD FS Proxy) の対応

2018/02/15: TLS 1.2 の必須化は当初予定していた 2018/3/1 から 2018/10/31 に延期になりました。   こんにちは、 Azure ID の三浦です。 今回は Office 365 での TLS 1.0 と 1.1 のサポート無効化に伴う AD FS / WAP (AD FS Proxy) での対応についてまとめました。 次の情報にありますように 2018/10/31 に Office 365 では TLS 1.0 と 1.1 のサポートを無効化することを予定しています。   Office 365 への TLS 1.2 の実装に対する準備 https://support.microsoft.com/ja-jp/help/4057306/preparing-for-tls-1-2-in-office-365   フェデレーション環境では、 AD FS および WAP…

0

[2018/03/06 更新] フェデレーション環境 (Windows 統合認証) で [サインインの状態を維持しますか?] の画面が表示されない

こんにちは、Azure ID サポートチームの高田です。 本日は、Azure AD のサインイン画面の変更とそれに伴うフェデレーション環境への影響についておまとめしました。   まず、Microsoft では、11 月より Azure AD のサインイン画面にいくつか変更を加えております。具体的には、新しいサインイン エクスペリエンスが導入されており、Azure AD へのサインイン時に以下のような画面が表示されることにお気づきの方もいらっしゃると思います。   ▼古いサインイン エクスペリエンス   ▼新しいサインイン エクスペリエンス ※画面遷移の説明は、下記ブログを参照ください。 Fewer login prompts: The new “Keep me signed in” experience for Azure AD is in preview https://cloudblogs.microsoft.com/enterprisemobility/2017/09/19/fewer-login-prompts-the-new-keep-me-signed-in-experience-for-azure-ad-is-in-preview/   この [サインインの状態を維持しますか?] の画面は、古いサインイン画面の [サインインしたままにする] チェックボックスと同じ設定を表しています。Azure AD の [会社のブランド] から構成できる [サインインしたままにするオプションを表示する] の設定が [はい] の場合に表示されます。 既定ではこのオプションは…

0

AD FS が PDC と通信するケース

皆様、こんにちは。Windows プラットフォーム サポート担当の竹村です。   今回は、簡単ですが AD FS が PDC と通信する3つのケースについてご案内します。 ドメイン コントローラーが各拠点に散らばっている場合などに、ご留意ください。   – 対象リリース Windows Server 2012 R2 (AD FS 3.0)   ————————————————————- (1) AD FS 構成ウィザードの実行時 ————————————————————- AD FS 構成ウィザード中で、PDC にアクセスいたします。 したがって、PDC と通信できない場合にはウィザードが失敗いたしますので、ご注意ください。     ————————————————————- (2) パスワード更新機能利用時 ————————————————————- AD FS には、オンプレミス ドメインのユーザーのパスワードを更新する機能がございます。   (ご参考) https://docs.microsoft.com/ja-jp/windows-server/identity/ad-fs/operations/update-password-customization この機能を利用してパスワードを更新する際には、PDC にアクセスいたします。 PDC と通信ができない場合には、パスワードを更新できませんので、ご注意ください。     ————————————————————-…

0