AD FS クレームルール関連のトラブルシューティング

こんにちは、Azure & Identitiy サポートチームの竹村です。 今回は、AD FS のクレームルールに関連した問題のトラブルシュート方法をご紹介します。   エラー画面、エラーイベントの特徴 AD FS のクレームルールにより認証が失敗している場合、エラー画面やエラーイベントから容易に判断することができます。 ブラウザやモダン認証のアプリケーションからアクセスしている場合には、以下のように 「このサイトにアクセスする権限がありません。」と表示されます。     一部の Office クライアントなどで レガシー認証を使用している場合には、上記のようなブラウザの画面は表示されません。 しかし、クライアントの種類に関係なく、AD FS サーバー側のイベント ログ ( [アプリケーションとサービス ログ] – [AD FS] – [Admin] ) に、以下のようにイベント ID 325、501、1000、364 が記録されます。     上記の ID 325 の内容において、「発信者」(例では TEST122\test01) が認証したユーザーであり、「証明書利用者」(例では urn:federation:MicrosoftOnline) がアクセスを試みようとしたサービス (証明書利用者信頼) になります。 この証明書利用者信頼は、AD FS 管理ツールから確認することができます。 以下のように、信頼を結んでいるサービスのプロパティを開き、[識別子] のタブで確認することができます。(例は、Office 365…

0

クレーム ルールと条件付きアクセスの比較

こんにちは、Azure & Identity サポート チームの坂井です。   今回は AD FS を利用したクレーム ルールとAzure AD を利用した条件付きアクセスについて比較します。 これまで AD FS のクレーム ルールでアクセス制御を実施しているが、条件付きアクセスの機能にも興味をお持ちの方も多いかと思います。 今後の運用においてクレーム ルールと条件付きアクセスのどちらで運用を行うか検討するにあたり少しでも本記事がお役に立ちましたら幸いです。   はじめに クレーム ルールと条件付きアクセスは、両者ともに指定した条件に応じて認証アクセスの制御を行うことができます。 例えば、多要素認証を発生させるための条件設定は、クレーム ルールでも条件付きアクセスでも可能です。   それぞれを利用する際に必要な前提条件は次のとおりです。   クレーム ルール AD FS 環境が必須です。 AD FS を利用した認証フローとなるため、認証についてはオンプレミス側で行います。   条件付きアクセス Azure AD 環境が必須です。 また、条件付きアクセスの利用には、利用するユーザー分 Azure AD Premium のライセンスが必要です。 AD FS が導入されている環境においても、条件付きアクセスを利用することが可能です。       コスト比較 まずは、重要となるコスト面について比較してみましょう。…

0