Azure AD B2B におけるユーザーの新しい招待方法

こんにちは、Azure ID チームの高田です。 今回は、新しくなった Azure AD B2B (ゲスト招待機能) についてお知らせします。   マイクロソフトでは、以下の資料のとおり、5 月 11 日から Azure AD B2B の新しい更新を展開しています。これにより、ゲストユーザーの招待においてこれまでと比べてユーザーから見た画面が変更されたり、管理者により行うべきことも変更されていたりします。本記事ではその概要についておまとめしました。 Exciting improvements to the B2B collaboration experience https://cloudblogs.microsoft.com/enterprisemobility/2018/05/14/exciting-improvements-to-the-b2b-collaboration-experience/ Azure Active Directory B2B collaboration invitation redemption https://docs.microsoft.com/ja-jp/azure/active-directory/b2b/redemption-experience   新しい Azure AD B2B の変更概要 新しい Azure AD B2B では、多くのシナリオにおいてユーザー自身が招待メールをクリックしなくてもよいように改善されています。従来は管理者がユーザーを招待すると、招待されたユーザーにメールが届き、ユーザーはメール内にある「はじめに」のリンクをクリックして招待を完了するというのが一般的な招待の流れでした。 しかしながら、招待メールのクリック自体が煩雑であること、また環境によっては招待メールがセキュリティによりブロックされるなどし届かないことで、招待がスムーズに行われないという問題がありました。 新しい Azure AD B2B でもメールによる招待は可能ですが、招待されたユーザーはメールにある「はじめに」のクリックせずとも、招待されたテナント上のリソース (URL) に直接アクセスしサインインすれば、招待を完了することが可能となります。招待されたテナント上のリソース (URL) に実際にアクセスしサインインすると、ユーザーには以下の画面が表示されます。…

0

Office 365 へのアクセスで iOS Accounts 登録のメッセージが表示され接続できない

こんにちは。Azure ID チームの三浦です。今回は iOS 11 から Office 365 に ActiveSyncなどで接続する際に iOS Accounts 登録に関する画面が表示されて利用できない事象への対応方法をご紹介します。   iOS 11 では  Office 365 が利用している Azure AD (以降 AAD) に iOS Accounts というアプリケーションを登録し、そのアプリケーションを利用して Office 365 への接続をおこなうことがあります。   既定では各ユーザーは AAD に対してアプリケーションを登録することができるようになっているため、自動的に iOS Accounts というアプリケーションが登録されますが、 Office 365 の AAD で “ユーザーはアプリケーションを登録できる” が “いいえ” の場合にはユーザーによるアプリケーション登録ができません。     結果として、 ユーザーが ActiveSync の構成などを実施するタイミングで、次のような画面が iOS 上に表示され、…

0

Azure AD のサインイン画面に関するアップデートのお知らせ

こんにちは、Azure & Identity サポート チームの山口です。 本記事は、米国時間 2018 年 4 月 4 日に公開された Upcoming improvements to the Azure AD sign-in experience – Enterprise Mobility + Security の抄訳です。2017 年 11 月にサインイン画面の変更を実施しましたが、更にサイン画面の更新を予定していますので、そのお知らせと、イメージ画像がまとめられていますのでご紹介します。 Upcoming improvements to the Azure AD sign-in experience 皆さん、こんにちは。 本日は、Azure AD のサインイン UX に関するアップデート情報をお知らせいたします。 前回のサインイン UX のアップデートでは、皆様から本当にたくさんのフィードバックをいただいておりましたが、なかでも「情報をもっと早い段階で知りたかった」という声が非常に多く寄せられました。そのご指摘を踏まえ、今回はより速い段階で詳細な更新情報をお届けしたいと思います。 数か月前に サインイン画面のデザイン変更 をリリースし、新しい UI に向けてどのような改善ができるかについてフィードバックをいただいておりました。そして次の変更では、わかりづらさを削減し、見た目をすっきりさせることに注力することにしました。ユーザーがサインイン作業に集中できるよう、UI をよりシンプルなデザインにしました。 今回のアップデートは UI の改善だけであり、サインインの動作は変更しておりません。既存の会社のブランド設定はそのまま引き継がれますのでご安心ください。…

0

4/6 RCA – Azure Active Directory – 認証エラー (日本語抄訳)

いつも Azure Identity サポート チームのブログを参照いただきましてありがとうございます。 今回は 4/6 に発生しました Azure Active Directory の障害についての RCA (Root Cause Analysis) レポートの日本語版の抄訳をご紹介します。 原文は https://azure.microsoft.com/ja-jp/status/history/ を確認ください。 この障害では Azure / Office 365 ポータルへのサインインができないことをはじめ、障害の対象となりましたテナントで多大な影響が生じました。改めてですが、今回の障害により多くのお客様にご迷惑をお掛けしましたことを深くお詫び申し上げます。   4/6 RCA – Azure Active Directory – 認証エラー   影響の概要: 2018 年 4 月 6 日の 8:18 から 11:25 (UTC) (日本時間同日の 17:18 から 20:25) の間で、アジア、オセアニア、ヨーロッパの各地域を主として Azure Active Directory…

0

ハイブリッド Azure Active Directory 参加済みデバイスの構成について

いつもお世話になります。Azure & Identity サポート チームの加藤です。 本記事では「ハイブリッド Azure Active Directory 参加済みデバイスの構成」についてご案内します。 本記事がみなさまの一助になれば幸いです。   本記事の目的 ハイブリッド Azure Active Directory 参加済みデバイスの構成とは 「手順 1 : サービス接続ポイントの構成」についての補足 「手順 2 : 要求の発行のセットアップ」についての補足 Windows 10 のデバイス登録の流れについて Windows 10 のデバイス登録について注意事項 ダウンレベルの Windows (Windows 7、Windows 8.1) のデバイス登録の流れ ダウンレベルの Windows (Windows 7、Windows 8.1) のデバイス登録について注意事項   1. 本記事の目的 本記事の目的は、以下の弊社公開情報を補足することです。   ハイブリッド Azure Active Directory 参加済みデバイスの構成方法  …

0

Azure AD プロビジョニング機能について

こんにちは、 Azure & Identity サポート チームの平形です。 今回は、Azure AD のプロビジョニング機能についてご紹介します。   プロビジョニングは Azure AD と連携する主に他社から提供されている SaaS アプリケーションに Azure AD 上に存在するアカウント情報を自動で作成・更新・削除を行う機能です。オンプレミスの Active Directory と Azure Active Directory 間は Azure AD Connect で同期できますが (Azure AD 視点でアカウントを利用できるようにするという意味でプロビジョニングと呼ぶこともできます)、更に Azure AD と連携している SaaS アプリケーションが利用するアカウント情報を同期させることで (今回の Blog で紹介するプロビジョニングです)、それぞれのアカウントを一元管理し、シングル サインオンを実現できます。   今回はプロビジョニング機能の概要とよくあるお問い合わせを紹介します。 プロビジョニングは大まかに分けると以下のフローに分けて処理が行われます。 (括弧内は Azure AD 監査ログに出力されるアクティビティです)   プロビジョニングの初期同期 テナント上のユーザー・グループ オブジェクト情報を属性マッピングで定義された値に基づき抽出する。 (Import) 1….

0

Azure AD が発行するトークンの有効期間について

こんにちは、Azure & Identity サポート チームの金森です。   Azure AD (AAD) は Office 365 をはじめ様々なクラウド サービスの認証基盤として利用されますが、その重要な機能として認証が完了したアカウントに対してトークンを発行するということがあります。 ここでのトークンとは Kerberos 認証におけるチケットに近いものです。AAD が発行するトークンの種類や有効期間の制御方法は以下の docs 技術情報として公開しています。   Azure Active Directory における構成可能なトークンの有効期間 (パブリック プレビュー) https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-configurable-token-lifetimes   今回の情報の中で、 AAD が発行するトークンにどのような種類があり、既定の状態ではトークンの有効期間はどうなっているのか、AAD ポリシーでどのような制御ができるのか、もう少しかみ砕いてご紹介いたします。 以下は説明における略語の一覧です。 AAD : Azure Active Directory の略です。 SSO : Single Sign On の略です。 IdP : Identity Provider の略です。以下の説明では AAD を指します。 SP :…

0

Azure AD 有償ライセンスの購入方法

こんにちは、Azure & Identity サポート チームの坂井です。   今回は、Azure AD 有償ライセンスの購入方法についてご案内します。 Azure AD は、Azure サブスクリプションや Office 365 をご利用いただく際の認証基盤として、無償で提供されます。 一方で Azure AD の有償ライセンスも用意されており、こちらを購入することで、様々な追加機能をご利用いただけます。 各ライセンスの機能差異についての詳細は、リンクをご参照ください。 基本的にはライセンスはその機能を利用するユーザーに割り当てる必要があるのですが、各機能における必要なライセンス数などは別途それぞれの機能の公開情報などをご確認ください。     有償ライセンスの購入方法について オンラインから購入する場合は、Office 365 ポータルより購入の手続きを実施します。 ※もし、販売元のパートナー様を介する場合などオンライン以外から購入予定の場合は、その販売元や場合によっては弊社営業などにご確認ください。   「Office 365 は利用していない」というお客様もいらっしゃるかと思いますが、Azure のサブスクリプションを契約している、そうすると必ず Azure AD を利用していることになるのですが、この場合管理者のアカウントで Office 365 ポータルにログインすることができます。 こちらは、Office 365 の認証基盤も Azure と同じく Azure AD を利用しているためであり、Azure AD のライセンスの体系が Office 365 のライセンスと同様に Azure のサブスクリプションとは異なり、…

0

クレーム ルールと条件付きアクセスの比較

こんにちは、Azure & Identity サポート チームの坂井です。   今回は AD FS を利用したクレーム ルールとAzure AD を利用した条件付きアクセスについて比較します。 これまで AD FS のクレーム ルールでアクセス制御を実施しているが、条件付きアクセスの機能にも興味をお持ちの方も多いかと思います。 今後の運用においてクレーム ルールと条件付きアクセスのどちらで運用を行うか検討するにあたり少しでも本記事がお役に立ちましたら幸いです。   はじめに クレーム ルールと条件付きアクセスは、両者ともに指定した条件に応じて認証アクセスの制御を行うことができます。 例えば、多要素認証を発生させるための条件設定は、クレーム ルールでも条件付きアクセスでも可能です。   それぞれを利用する際に必要な前提条件は次のとおりです。   クレーム ルール AD FS 環境が必須です。 AD FS を利用した認証フローとなるため、認証についてはオンプレミス側で行います。   条件付きアクセス Azure AD 環境が必須です。 また、条件付きアクセスの利用には、利用するユーザー分 Azure AD Premium のライセンスが必要です。 AD FS が導入されている環境においても、条件付きアクセスを利用することが可能です。       コスト比較 まずは、重要となるコスト面について比較してみましょう。…

0

Azure AD Reporting API を利用して PowerShell より Azure AD のサインイン アクティビティ レポートと監査アクティビティ レポートを CSV ファイルで取得する方法

こんにちは、Azure & Identity サポート チームの 姚 (ヨウ)です。   Azure AD のサインイン アクティビティ レポートと監査アクティビティ レポートの保持期間は決まっており、例えばサインイン アクティビティであれば Azure AD Premium のライセンスがテナントに割り当てられていても 30 日です。 そのため、それ以前のデータを確認したい場合には、予めログをエクスポートしてバックアップしておく必要があります。 バックアップは、 Azure ポータルで行うことはできるのですが、手動で定期的にバックアップをすることは手間ですが、そのような場合には Azure Active Directory Reporting API を利用して PowerShell よりおこなうこともできます。   以下の公開情報では、それぞれのレポートを PowerShell スクリプトを用いて取得する方法を紹介しています。   Azure Active Directory サインイン アクティビティ レポート API のサンプル https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-reporting-api-sign-in-activity-samples   Azure Active Directory レポートの監査 API の例 https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-reporting-api-audit-samples…

0