ハイブリッド Azure Active Directory 参加済みデバイスの構成について

いつもお世話になります。Azure & Identity サポート チームの加藤です。 本記事では「ハイブリッド Azure Active Directory 参加済みデバイスの構成」についてご案内します。 本記事がみなさまの一助になれば幸いです。   本記事の目的 ハイブリッド Azure Active Directory 参加済みデバイスの構成とは 「手順 1 : サービス接続ポイントの構成」についての補足 「手順 2 : 要求の発行のセットアップ」についての補足 Windows 10 のデバイス登録の流れについて Windows 10 のデバイス登録について注意事項 ダウンレベルの Windows (Windows 7、Windows 8.1) のデバイス登録の流れ ダウンレベルの Windows (Windows 7、Windows 8.1) のデバイス登録について注意事項   1. 本記事の目的 本記事の目的は、以下の弊社公開情報を補足することです。   ハイブリッド Azure Active Directory 参加済みデバイスの構成方法  …

0

Azure AD と AD FS のベスト プラクティス: パスワード スプレー攻撃の防御

こんにちは、Azure Identity サポートの宮林と高田です。 本記事は、米国時間 2018 年 3 月 5 日に公開された Azure AD and ADFS best practices: Defending against password spray attacks の抄訳です。Azure AD と AD FS に関してパスワードスプレー攻撃を取り上げた情報がまとめられており、日本のサポート チームとして皆様にぜひ内容を共有したく日本語化しました。     皆さんこんにちは。 パスワードを用いたログインを採用している限り、第三者がそれを推測しようとすることは避けられません。このブログでは、最近非常に頻繁に行われるようになったパスワード スプレーと呼ばれる攻撃手法と、それに対する防衛のためのベスト プラクティスについて説明します。 パスワード スプレー攻撃では、攻撃者が多くの人が設定するような一般的なパスワードで、複数の異なるアカウントに対してログインを試行することで、パスワードで保護されたリソースにアクセスを試みます。 通常、これらは 1 つの組織や 1 つの認証基盤に留まることなく行われます。例えば、攻撃者は Mailsniper などの一般にも入手可能なツールを用いて、複数の組織の全てのユーザーを列挙し、それらのアカウントすべてに対して “P@$$w0rd” や “Password1” などのパスワードを試します。 攻撃のイメージとしては、以下のようなものが挙げられます。    Target User  Target Password  User1@org1.com  Password1…

0

AD FS プロキシの混雑回避アルゴリズムの動作

こんにちは、Azure & Identity サポート チームの石川です。 今回は、AD FS プロキシ (Windows Server 2012 R2 以降は WAP ですが、今回の記事での説明では AD FS プロキシとします) の混雑回避アルゴリズムの動作について紹介します。 社内からブラウザーを利用した Exchange Online へのアクセスは問題無いが、 Outlook を利用した場合 (アクティブ認証) やエクストラネットからのアクセス時に認証で問題が発生するというときには、AD FS プロキシ経由の認証でエラーが発生しており、それが混雑回避アルゴリズムにより認証が制限されていることが原因で生じている可能性があります。 最近の Outlook は先進認証 (= ADAL とも、モダン認証とも呼ぶ) を利用しており、この場合には Outlook もアクティブ認証ではなく、ブラウザーと同じような認証経路になります) 混雑回避アルゴリズムの動作を把握しておくことで、発生時の対処や恒久的な対応をすることができます。   混雑回避アルゴリズムとは AD FS プロキシは、Office 365 などのサービス プロバイダーからの認証要求を受け取り、AD FS に渡すプロキシ サーバーとして動作しています。 AD FS プロキシ経由の AD FS…

0

クレーム ルールと条件付きアクセスの比較

こんにちは、Azure & Identity サポート チームの坂井です。   今回は AD FS を利用したクレーム ルールとAzure AD を利用した条件付きアクセスについて比較します。 これまで AD FS のクレーム ルールでアクセス制御を実施しているが、条件付きアクセスの機能にも興味をお持ちの方も多いかと思います。 今後の運用においてクレーム ルールと条件付きアクセスのどちらで運用を行うか検討するにあたり少しでも本記事がお役に立ちましたら幸いです。   はじめに クレーム ルールと条件付きアクセスは、両者ともに指定した条件に応じて認証アクセスの制御を行うことができます。 例えば、多要素認証を発生させるための条件設定は、クレーム ルールでも条件付きアクセスでも可能です。   それぞれを利用する際に必要な前提条件は次のとおりです。   クレーム ルール AD FS 環境が必須です。 AD FS を利用した認証フローとなるため、認証についてはオンプレミス側で行います。   条件付きアクセス Azure AD 環境が必須です。 また、条件付きアクセスの利用には、利用するユーザー分 Azure AD Premium のライセンスが必要です。 AD FS が導入されている環境においても、条件付きアクセスを利用することが可能です。       コスト比較 まずは、重要となるコスト面について比較してみましょう。…

0

デバイス ベースのアクセス制御

こんにちは、Azure & Identity サポート チームの下野です。   今回は下記の 3 つについてご紹介します。   AD FS による証明書認証 AD FS によるデバイス認証 Azure AD によるデバイスベースの条件付きアクセス   昨今話題の働き方改革を実現する手段の一つとして、テレワークができる環境を整える – オフィス内で利用する端末だけでなく、会社支給の端末、モバイルデバイスなど多種多様なデバイスから企業のリソースにアクセスできるようにする – ということも有効だと思います。 それを検討する際に、管理者側で会社のリソースにアクセスできるデバイスを限定したいとのご要望をいただくことが多くあります。 そのような要望の実現を検討する際に、今回ご紹介させていただく内容が少しでもお役に立ちましたら幸いです。   ではまずは、それぞれの制御方法を説明します。   1. AD FS による証明書認証 Windows Server 2012 R2 (AD FS 3.0) 以降で利用可能となった、証明書を使用した認証方式です。 ユーザー証明書を各デバイスに配布して、モダン認証 (ADAL)に対応している多くのアプリケーションで利用します。 証明書認証を構成した際に正常に動作しないというケースでは、主に下記のようなポイントをチェックします。  証明書のサブジェクト代替名にユーザーの UPN が正しくセットされているか AD FS (または WAP) が信頼している証明機関から発行された証明書かどうか 証明書の有効期限が切れていないかどうか 証明書が、失効されていないかどうか…

0

Office 365 の TLS 1.0/1.1 無効化に伴う AD FS / WAP (AD FS Proxy) の対応

2018/02/15: TLS 1.2 の必須化は当初予定していた 2018/3/1 から 2018/10/31 に延期になりました。   こんにちは、 Azure ID の三浦です。 今回は Office 365 での TLS 1.0 と 1.1 のサポート無効化に伴う AD FS / WAP (AD FS Proxy) での対応についてまとめました。 次の情報にありますように 2018/10/31 に Office 365 では TLS 1.0 と 1.1 のサポートを無効化することを予定しています。   Office 365 への TLS 1.2 の実装に対する準備 https://support.microsoft.com/ja-jp/help/4057306/preparing-for-tls-1-2-in-office-365   フェデレーション環境では、 AD FS および WAP…

0

[2018/03/06 更新] フェデレーション環境 (Windows 統合認証) で [サインインの状態を維持しますか?] の画面が表示されない

こんにちは、Azure ID サポートチームの高田です。 本日は、Azure AD のサインイン画面の変更とそれに伴うフェデレーション環境への影響についておまとめしました。   まず、Microsoft では、11 月より Azure AD のサインイン画面にいくつか変更を加えております。具体的には、新しいサインイン エクスペリエンスが導入されており、Azure AD へのサインイン時に以下のような画面が表示されることにお気づきの方もいらっしゃると思います。   ▼古いサインイン エクスペリエンス   ▼新しいサインイン エクスペリエンス ※画面遷移の説明は、下記ブログを参照ください。 Fewer login prompts: The new “Keep me signed in” experience for Azure AD is in preview https://cloudblogs.microsoft.com/enterprisemobility/2017/09/19/fewer-login-prompts-the-new-keep-me-signed-in-experience-for-azure-ad-is-in-preview/   この [サインインの状態を維持しますか?] の画面は、古いサインイン画面の [サインインしたままにする] チェックボックスと同じ設定を表しています。Azure AD の [会社のブランド] から構成できる [サインインしたままにするオプションを表示する] の設定が [はい] の場合に表示されます。 既定ではこのオプションは…

0

AD FS が PDC と通信するケース

皆様、こんにちは。Windows プラットフォーム サポート担当の竹村です。   今回は、簡単ですが AD FS が PDC と通信する3つのケースについてご案内します。 ドメイン コントローラーが各拠点に散らばっている場合などに、ご留意ください。   – 対象リリース Windows Server 2012 R2 (AD FS 3.0)   ————————————————————- (1) AD FS 構成ウィザードの実行時 ————————————————————- AD FS 構成ウィザード中で、PDC にアクセスいたします。 したがって、PDC と通信できない場合にはウィザードが失敗いたしますので、ご注意ください。     ————————————————————- (2) パスワード更新機能利用時 ————————————————————- AD FS には、オンプレミス ドメインのユーザーのパスワードを更新する機能がございます。   (ご参考) https://docs.microsoft.com/ja-jp/windows-server/identity/ad-fs/operations/update-password-customization この機能を利用してパスワードを更新する際には、PDC にアクセスいたします。 PDC と通信ができない場合には、パスワードを更新できませんので、ご注意ください。     ————————————————————-…

0

証明書利用者信頼のセキュア ハッシュ アルゴリズムについて

こんにちは、Azure & Identity サポート担当の竹村です。   今回は、AD FS の証明書利用者信頼のプロパティで設定する、セキュア ハッシュ アルゴリズム についてご案内いたします。 ここで設定する セキュア ハッシュ アルゴリズム は、AD FS が、発行したトークンに署名を行う時のハッシュ アルゴリズムです。   以下、簡単に動作をご説明します。   認証要求が AD FS にリダイレクトされた後、認証に成功すると、AD FS は 証明書利用者信頼 (AD FS と連携しているサービス、アプリケーションを指します。例えば Office 365 などが該当します。) にアクセスするためのトークンを発行します。 この時、AD FS は、トークンに署名を行います。 クライアントは、証明書利用者信頼にアクセスする際にこのトークンを提示し、証明書利用者信頼は受け取ったトークンの署名を検証します。 つまり、間違いなくフェデレーション信頼を結んでいる AD FS がトークンを発行したこと、および改ざんが無いことを確認するために、デジタル署名のしくみを利用しています。 AD FS のプロパティで設定するセキュア ハッシュ アルゴリズムは、この署名を行う(メッセージダイジェストを作成する)時のハッシュ アルゴリズムになります。   Office 365 をご利用の環境で、このハッシュ アルゴリズムが…

0

AD FS の自動証明書ロールオーバー機能について

AD FS の自動証明書ロールオーバー機能についてご案内します。 (a) ご案内の目的 (b) 対象の AD FS (c) 自動証明書ロールオーバー機能とは (d) 想定されるリスク (e) 対処策 (f) 補足   (a) ご案内の目的 AD FS の自動証明書ロールオーバー機能が動作することで、連携をしていただいているサービス (RP・IdP) によりましては運用に影響を及ぼす可能性がございます。 そのため、多くのお客様に正しく AD FS の自動証明書ロールオーバー機能をご理解いただけますよう、その一助となればと思いまして本ご案内にて情報の提供を行わせていただくことになりました。   (b) 対象の AD FS 本ご案内の対象となる AD FS は以下になります。 Windows Server 2008 R2 の AD FS 2.0 Windows Server 2012 の AD FS 2.1 Windows Server…

0