Extranet Lockout について

こんにちは、 Azure Identity の平形です。 本ブログを参照されている方の中でも、今現在以下のような現象にお悩みの方がいらっしゃたりしませんでしょうか。   ・ AD FS 環境でオンプレミスの AD アカウントが頻繁にロックアウトされてしまう ・ ロックアウトの原因が AD FS サーバーからの認証   アカウント ロックアウトの頻度が非常に高く、様々なアカウントで発生しているのであればパスワード スプレー攻撃によって引き起こされている可能性があります。 また、ロックアウトにつながるログオン失敗が AD FS 経由でされている場合には、インターネットから WAP (Web Application Proxy) に対してパスワード スプレー攻撃を試行していることが疑われます。   今回は AD FS 環境における外部からのパスワード スプレー攻撃に対処する Extranet Lockout 機能についての紹介と設定方法をお伝えします。     —————————————————— そもそもパスワード スプレー攻撃とは —————————————————— パスワード スプレー攻撃とは、複数の異なるアカウントに対して多くの人が一般的に設定するようなパスワードでのログオンを試行する攻撃手法です。 詳細につきましては先日ブログを公開しておりますので参照ください。   Azure AD と AD FS…

0

2018/11/7 以降 AADC 1.0.8641.0 以前では Password Writeback が利用できない

こんにちは。Azure Identity チームの金森です。 今回は Azure AD Connect (AADC) をご利用いただいている皆様に急ぎお伝えしたい情報がございます。   先に結論ですが、表題の通り AADC 1.0.8641.0 とそれ以前のバージョンをご利用の環境において 2018/11/7 以降は  Password Writeback が機能しなくなります。   理由として、AADC 1.0.8641.0 以前のバージョンでは、Password Writeback を実現するために ACS (Access Control Service) を利用していました。 ACS が 2018/11/7 に完全リタイアするのですが、ACS の機能が提供されなくなることで、AADC 1.0.8641.0 以前をご利用の環境で Password Writeback が動作しなくなります。なお、それ以降のバージョンについては特に影響はありませんのでご安心ください。   How-to: Configure password writeback https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-sspr-writeback   ACS のリタイアに関しては、昨年から情報を公開しておりましたので準備を進めていただいている方も多いかもしれませんが、今回は ACS 対応のアプリケーションを他に利用しているか否かは関係しません。   How to: Migrate…

0

条件付きアクセスの基本的な考え方

こんにちは、Azure & Identity サポート チームの栗井です。 この記事では条件付きアクセスポリシー設定の基本的な考え方について解説します。   条件付きアクセスの基本的な考え方は、アクセスを制限すること 条件付きアクセスポリシーは、アクセスを許可する条件の設定ではなく、アクセスをブロック / または制限 (特定の条件を満たさなければブロック) する条件を設定します。 基本的にはすべてのアクセスが許可された状態で、「ブロック、もしくは制御したいアクセスパターンのブラックリストを作成する」とイメージすると、分かりやすいかもしれません。 条件付きアクセスポリシーを 1つも設定していない場合や、それぞれのポリシーの「割り当て」で設定した対象に合致しない場合は、特に制限無くアクセスできる動作となります。 ポリシーの「割り当て」で設定した対象に合致した場合には、「アクセス制御」で設定した内容が適用されます。 例えば、アクセスがブロックされたり、あるいは 多要素認証が要求されるなど、アクセスするための制限が加わります。   条件付きアクセスのポリシーに、順序による優先順位はありません 条件付きアクセスポリシーを複数定義した場合、定義した順番 (画面表示上の上下) で優先順位はありません。 すべてのポリシーが評価対象であり、以下のように動作します。 どれか1つのポリシーでブロックの対象となった場合、アクセスはブロックされます。 複数のポリシーでアクセスを制限された場合、すべての条件を満たさないかぎり、アクセスはブロックされます。 どのポリシーの対象にもならない場合、あるいはすべての条件を満たした場合、アクセスが許可されます。   条件付きアクセスのポリシーの設定とアクセス可否の図 以下に、条件付きアクセスのポリシーの設定とアクセス可否の関係を簡潔なチャートで示します。 1. ポリシーの「割り当て」に該当するか 最初に、ポリシーの割り当て対象に該当するかどうかが評価されます。 割り当て対象に該当しない場合は、アクセスは許可されます。 割り当て対象に該当する場合、以下の 2 の評価に続きます。 2. ポリシーの「アクセスのブロック」対象か「アクセス権の付与」対象か すべてのポリシーには、「アクセスのブロック」「アクセス権の付与」のいずれかのコントロールが設定されています。 「アクセスのブロック」が設定されている場合、アクセスはブロックされます。 「アクセス権の付与」である場合、以下の 3 の評価に続きます。 3. 「アクセス権の付与」条件を満たすかどうか 「アクセス権の付与」のコントロールが設定されているポリシーでは、アクセス権の付与条件が少なくとも一つ以上設定されています。 この項目によって設定される条件を満たした場合、アクセスが許可されます。 条件を満たさない場合には、アクセスはブロックされます。   上記の 1 から 3…

0

Azure AD 登録 と Azure AD 参加 の違い

こんにちは、Azure & Identity サポート チームの倉本です。   今回は、 Azure AD 登録 (Azure AD registered) と Azure AD 参加 (Azure AD joined) の違いについて紹介します。 Azure AD へのデバイス登録の種類は複数あり、 その違いについてお問い合わせを多くお寄せいただいております。   それぞれについてどういった場面で利用されることが想定されているかを説明していきます。   Azure AD に登録されるデバイスの種類は下記の 3 種類となっています。   ・ Azure AD 登録 (Azure AD registered) ・ Azure AD 参加 (Azure AD joined) ・ ハイブリッド Azure AD 参加 (Hybrid Azure…

0

Azure AD の ディレクトリロールが割り当てられたメンバーの一覧を取得したい

こんにちは! Azure & Identity サポート チームの三浦 大です。   今回は Azure AD のディレクトリロールが割り当てられているユーザーの一覧を CSV で出力する PowerShell スクリプトをご紹介します。 Azure AD はセキュリティの観点から、ディレクトリロールにて設定できるロールが細かく分類されております。 各ロールのメンバーの一覧は、先日の ブログ で紹介しましたように、 Azure ポータルから参照することができます。 しかし、この一覧をファイルとして出力したいというご要望もあるかと思います。   以下のとおり、ディレクトリロールの一覧を出力する PowerShell スクリプトを作成いたしましたので、ぜひご利用ください!   ※ 実行に際しては、事前に Install-Module -Name MSOnline コマンドを実行し、 Azure AD PowerShell モジュールのインストールをお願いいたします。 Azure AD PowerShell のインストールなどについては、以下の公開情報をご参照くださいませ。   Azure Active Directory の PowerShell モジュール https://blogs.technet.microsoft.com/jpazureid/2017/12/04/aad-powershell/   PowerShell スクリプト…

0

テナント制限について

こんにちは! Azure & Identity サポート チームの三浦 大です。   今回はテナント制限の機能に関して、よくあるお問い合わせと、その回答をまとめさせていただきました。   テナント制限とは まず、テナント制限とは、 Azure AD に対する認証の通信をプロキシ経由させ、そのプロキシから送信されるデータに、アクセスを許可する Azure AD テナントの情報を付与しておくことで、それ以外の Azure AD テナントへのアクセスをブロックする機能を指しています。   詳細については、以下の公開情報をご参照ください。   自社テナント以外へのアクセス制御 – “テナントの制限” 機能 (Tenant Restrictions) https://blogs.technet.microsoft.com/office365-tech-japan/2017/02/06/tenant-restrictions/   テナント制限が機能しており、アクセスを許可しないテナントの  Office 365 や Azure へのサインイン時に 「ここからアクセスすることはできません」 のエラーメッセージが表示されます。     以下にて、テナント制限に関連する、よくあるお問い合わせをまとめました。 ぜひご参照ください!     よくあるお問い合わせ Q : MS アカウントを利用すると、制限の画面が表示されますが、回避策はありませんか? A : MS アカウントを許可する場合には、以下をテナント制限の許可するリストに追加します。…

0

Azure Active Directory への接続で使用する IP アドレス範囲の変更

日々ブログをご愛読してくれている皆様、Azure Identity チームの宮林です。 先日、新着情報にて広報された、2018 年 9 月 10 日までに変更が行われる Azure Active Directory の IP アドレス範囲についてお知らせいたします。 IP アドレス範囲の変更とありますが、去年から追加となった範囲内への変更となりますので、すでにご対応済みの場合は影響がございません。 以下のページで告知している Azure Active Directory の新着情報の抜粋と、Q&A 形式で IP アドレス範囲の変更に伴う影響について補足します。   Azure Active Directory の新着情報 https://docs.microsoft.com/ja-jp/azure/active-directory/fundamentals/whats-new 以下抜粋 ——————————————————————- 2018 年 7 月 Azure Active Directory の IP アドレス範囲の変更 タイプ: 変更の計画 サービス カテゴリ: その他 製品の機能: プラットフォーム Microsoft では、Azure AD に対してより大規模な IP…

0

Azure MFA の多要素認証設定の統合

  こんにちは。Azure Identity チームの金森です。 今回は先日プレビューとなりました [SSPR と Azure MFA の多要素認証設定の統合] をご紹介したいと思います。 ※ 個人的に待ちに待っていた改善となります!   Converged registration for self-service password reset and Azure Multi-Factor Authentication (Public preview) https://docs.microsoft.com/en-us/azure/active-directory/authentication/concept-registration-mfa-sspr-converged 2018/8/1 に公開された docs 技術情報です。   Combined registration for Azure AD MFA and Self Service Password Reset plus two other cool updates now in public preview! https://cloudblogs.microsoft.com/enterprisemobility/2018/08/06/mfa-and-sspr-updates-now-in-public-preview/ 2018/8/6 に公開された…

0

Azure AD におけるロール管理の新しい方法

こんにちは、Azure & Identity サポート チームの栗井です。 本記事は、2018年7月末に公開された A new way to manage roles and administrators in Azure AD を元にしています。 これまで、 Azure AD の全体管理者などのロールを割り当てられているユーザー一覧を取得することができなかったのですが、最近の更新により、簡単に確認できるようになりました。 元記事を参考に、ユーザーへのディレクトリロールの新しい割り当て・管理方法について、画面キャプチャを含めてご紹介します。   Azure AD におけるロール管理の新しい方法   ユーザの役割の確認や管理者権限の割り当てを、これまでより簡単におこなうことができます。 以下が、新しい機能の特徴です。 ビルトイン (既定) のディレクトリロールの一覧と、それぞれの詳細を確認可能 役割の管理や設定がより簡単に 関連ドキュメントへのリンク追加 言い換えますと 「全体管理者は何人いるのか?」「このユーザーに割り当てられているのは何の役割か?」がすぐ分かるようになりました。 概要画面から、新機能「ロールと管理者」がご利用できます 概要   ビルトイン ディレクトリ ロールの一覧とそれぞれの簡単な説明は 「ロールと管理者」をクリックすることで確認できます。これも最近追加されました Azure AD と連携するアプリケーションの管理を目的とした新しいロールも含まれます。 現在サインインして操作を実施しているユーザー自身に何かしらのロールが割り当てられている場合、画面上部に表示されます。「ロール」をクリックすると、自身に割り当てられているロールと、それぞれの概要の一覧を確認できます。 「ロールと管理者」下の、各ロールと説明の一覧   また、ロールの行をクリックすると、そのロールに割り当てられているユーザーの一覧が確認できます。 ロールに割り当てられているユーザー(メンバー)一覧   各ロールによりどのようなことができるのかという質問をよく頂きますが、それぞれのロールに何の権限があるのか、その詳細を一覧でみられるようになりました。同じ画面で、関連記事のリンクも見ることができます。ロールを最大限有効に使うためにぜひご活用ください。 画像に示すように、ブレードの「説明」をクリックするとこの画面が見られます。もしくはロールの一覧画面から、各行の右側にある「・・・」をクリックをすることでも、同じ画面に辿り着くことができます。…

0

「ユーザーはアプリケーションを登録できる」の設定について

こんにちは、Azure Identity チームの宮林です。 今回は Azure  Active Directory における、アプリケーションの登録の制限について紹介します。   Azure Active Directory では、お客様が開発したアプリケーションを登録することで、Azure Active Directory に登録されているアカウントを利用したシングルサインオンを実現することが可能です。既定では、一般ユーザーでも、[アプリの登録] から自身で開発したアプリケーションを自由に登録することができます。一般ユーザーによるアプリケーションの登録は、Azure  Active Directory 内の [ユーザー設定] にある「ユーザーはアプリケーションを登録できる」で制御が可能です。下記画面のとおり本設定は既定で「はい」となっており、この状態での運用をお勧めします (お勧めしている理由は後述します)。 一方、ゲスト ユーザーは、「ユーザーはアプリケーションを登録できる」が「はい」となっていた場合でもアプリケーションを登録することができません。     ユーザーがアプリケーションを登録できる状態を推奨する理由 管理者としては、一般のユーザーにアプリケーションを登録できるようにしておくことについて抵抗感を持たれるようなことがあるのではないかとも思います。 しかし、この設定を「いいえ」に設定してユーザーによる登録を制限した場合には、ユーザーは自身で Azure Active Directory のテナントを作成して組織の管理が及ばないテナントにアプリケーションを登録して作業を行う可能性が高くなります。このような状況は、いわゆるシャドー IT を促進してしまうことに繋がるため、「ユーザーはアプリケーションを登録できる」の設定を「はい」にすることを推奨しています。 組織で管理されているユーザーがビジネスを目的として組織アカウントを使用してアプリケーションを利用されることで、管理者はどのようなアプリケーションが、どのユーザーによって利用されているか確認することができます。また、その利用が適切でない場合には、ユーザーに注意を促すこともできますし、ユーザーが組織を離れた場合にも、その組織アカウントを削除することでアプリケーションへのアクセスも停止させることができるなど一元管理のメリットを得られます。 アプリケーションの追加に関して、以下の公開情報を併せてご参照ください。   アプリケーションを Azure AD に追加する方法と理由 https://docs.microsoft.com/ja-jp/azure/active-directory/develop/active-directory-how-applications-are-added   アプリケーションの登録を制限する方法 Azure Active Directory の [ユーザー設定] で、「ユーザーはアプリケーションを登録できる」を「いいえ」に変更することによって、一般ユーザーによるアプリの登録を行えなくすることが可能です。このとき、一般ユーザーがアプリケーションの登録を行おうとすると、十分な権限が無い旨のエラーが表示されます。 なお、「ユーザーはアプリケーションを登録できる」を「いいえ」に設定した場合は、以下のロールを持つアカウントからのみ、アプリケーションの登録が可能です。 全体管理者 アプリケーション管理者…

0