PowerShell にて全ユーザーの最終サインイン日時を一括で取得する方法

  こんにちは、Azure & Identity サポート チームの小野です。 今回は、PowerShell で Azure AD 上の全ユーザー(ゲストユーザーも含む)の最終サインイン日時を一括で取得する方法をご紹介します。   Azure AD における最終サインイン日時は、皆さまから強いご要望を受けており開発チームも機能追加に向け動き出しています。 今回ご案内する方法は正式に機能が追加されるまでの回避策となりますが、ご活用いただけますと幸いです。   この方法を実施すると、以下のようにユーザー毎の最終サインイン時刻が、csv 形式で出力されます。   なお、今回はスクリプトとしてご用意をしたため、Japan Azure ID Support チームの GitHub にアップロードをしましたので、以下サイトをご確認ください。 Get last-sign-in activity reports   今後も、Japan Azure ID Support チームの GitHub には、Azure を利用するにあたり便利なスクリプトをアップロードしてまいります。 ぜひチェックしてみてください!   ご不明な点がございましたら弊社サポートまでお気軽にお問い合わせください。 上記内容が少しでも皆様の参考となりますと幸いです。 ※本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。

0

サブスクリプション作成時のエラー「アカウントが Azure サブスクリプションに関連付けられないディレクトリに属しています。別のアカウントでサインインしてください」

こんにちは、Azure & Identity サポート チームの小野です。 今回は、Azure におけるサブスクリプション作成時に表示される「アカウントが Azure サブスクリプションに関連付けられないディレクトリに属しています。別のアカウントでサインインしてください」というエラーの発生原因と対処策についてご紹介します。       本エラーは、サブスクリプション作成を試みたユーザー (のメールアドレス) が ”セルフサービス サインアップ テナント” に紐づいている場合に発生します。   ◆ セルフサービス サインアップ テナントとは セルフサービス サインアップ テナントとは、管理者により作成されたテナントではなく、ユーザーが Azure Active Directory(以下、Azure AD ) による認証を必須とするサービスにサインアップした (利用を試みた) 場合に自動で作成されるテナントです。具体的には Power BI などのサービスになりますが、サービスを利用するためにサインアップを試みた際に指定したユーザーのメール アドレスに含まれるドメイン名が Azure AD にまだ登録されていない場合には、自動で Azure AD テナントが作成され、これがセルフサービス サインアップ テナントになります。通常 Azure AD テナントには必ず管理者が存在しますが、このセルフサービス サインアップ テナントには管理者が存在しません。この管理者が存在しないテナントではサブスクリプションを紐づけることができないため、発生しているエラーが今回ご紹介しているエラーメッセージになります。   対処策としては、以下の手順にてテナントの管理者への昇格をする必要があります。  …

0

Extranet Lockout について

こんにちは、 Azure Identity の平形です。 本ブログを参照されている方の中でも、今現在以下のような現象にお悩みの方がいらっしゃたりしませんでしょうか。   ・ AD FS 環境でオンプレミスの AD アカウントが頻繁にロックアウトされてしまう ・ ロックアウトの原因が AD FS サーバーからの認証   アカウント ロックアウトの頻度が非常に高く、様々なアカウントで発生しているのであればパスワード スプレー攻撃によって引き起こされている可能性があります。 また、ロックアウトにつながるログオン失敗が AD FS 経由でされている場合には、インターネットから WAP (Web Application Proxy) に対してパスワード スプレー攻撃を試行していることが疑われます。   今回は AD FS 環境における外部からのパスワード スプレー攻撃に対処する Extranet Lockout 機能についての紹介と設定方法をお伝えします。     —————————————————— そもそもパスワード スプレー攻撃とは —————————————————— パスワード スプレー攻撃とは、複数の異なるアカウントに対して多くの人が一般的に設定するようなパスワードでのログオンを試行する攻撃手法です。 詳細につきましては先日ブログを公開しておりますので参照ください。   Azure AD と AD FS…

0

Azure AD Connect : 2018/11/7 以降 AADC 1.0.8641.0 以前では Password Writeback が利用できない

こんにちは。Azure Identity チームの金森です。 今回は Azure AD Connect (AADC) をご利用いただいている皆様に急ぎお伝えしたい情報がございます。   先に結論ですが、表題の通り AADC 1.0.8641.0 とそれ以前のバージョンをご利用の環境において 2018/11/7 以降は  Password Writeback が機能しなくなります。   理由として、AADC 1.0.8641.0 以前のバージョンでは、Password Writeback を実現するために ACS (Access Control Service) を利用していました。 ACS が 2018/11/7 に完全リタイアするのですが、ACS の機能が提供されなくなることで、AADC 1.0.8641.0 以前をご利用の環境で Password Writeback が動作しなくなります。なお、それ以降のバージョンについては特に影響はありませんのでご安心ください。   How-to: Configure password writeback https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-sspr-writeback   ACS のリタイアに関しては、昨年から情報を公開しておりましたので準備を進めていただいている方も多いかもしれませんが、今回は ACS 対応のアプリケーションを他に利用しているか否かは関係しません。   How to: Migrate…

0

条件付きアクセスの基本的な考え方

こんにちは、Azure & Identity サポート チームの栗井です。 この記事では条件付きアクセスポリシー設定の基本的な考え方について解説します。   条件付きアクセスの基本的な考え方は、アクセスを制限すること 条件付きアクセスポリシーは、アクセスを許可する条件の設定ではなく、アクセスをブロック / または制限 (特定の条件を満たさなければブロック) する条件を設定します。 基本的にはすべてのアクセスが許可された状態で、「ブロック、もしくは制御したいアクセスパターンのブラックリストを作成する」とイメージすると、分かりやすいかもしれません。 条件付きアクセスポリシーを 1つも設定していない場合や、それぞれのポリシーの「割り当て」で設定した対象に合致しない場合は、特に制限無くアクセスできる動作となります。 ポリシーの「割り当て」で設定した対象に合致した場合には、「アクセス制御」で設定した内容が適用されます。 例えば、アクセスがブロックされたり、あるいは 多要素認証が要求されるなど、アクセスするための制限が加わります。   条件付きアクセスのポリシーに、順序による優先順位はありません 条件付きアクセスポリシーを複数定義した場合、定義した順番 (画面表示上の上下) で優先順位はありません。 すべてのポリシーが評価対象であり、以下のように動作します。 どれか1つのポリシーでブロックの対象となった場合、アクセスはブロックされます。 複数のポリシーでアクセスを制限された場合、すべての条件を満たさないかぎり、アクセスはブロックされます。 どのポリシーの対象にもならない場合、あるいはすべての条件を満たした場合、アクセスが許可されます。   条件付きアクセスのポリシーの設定とアクセス可否の図 以下に、条件付きアクセスのポリシーの設定とアクセス可否の関係を簡潔なチャートで示します。 1. ポリシーの「割り当て」に該当するか 最初に、ポリシーの割り当て対象に該当するかどうかが評価されます。 割り当て対象に該当しない場合は、アクセスは許可されます。 割り当て対象に該当する場合、以下の 2 の評価に続きます。 2. ポリシーの「アクセスのブロック」対象か「アクセス権の付与」対象か すべてのポリシーには、「アクセスのブロック」「アクセス権の付与」のいずれかのコントロールが設定されています。 「アクセスのブロック」が設定されている場合、アクセスはブロックされます。 「アクセス権の付与」である場合、以下の 3 の評価に続きます。 3. 「アクセス権の付与」条件を満たすかどうか 「アクセス権の付与」のコントロールが設定されているポリシーでは、アクセス権の付与条件が少なくとも一つ以上設定されています。 この項目によって設定される条件を満たした場合、アクセスが許可されます。 条件を満たさない場合には、アクセスはブロックされます。   上記の 1 から 3…

0

Azure AD 登録 と Azure AD 参加 の違い

こんにちは、Azure & Identity サポート チームの倉本です。   今回は、 Azure AD 登録 (Azure AD registered) と Azure AD 参加 (Azure AD joined) の違いについて紹介します。 Azure AD へのデバイス登録の種類は複数あり、 その違いについてお問い合わせを多くお寄せいただいております。   それぞれについてどういった場面で利用されることが想定されているかを説明していきます。   Azure AD に登録されるデバイスの種類は下記の 3 種類となっています。   ・ Azure AD 登録 (Azure AD registered) ・ Azure AD 参加 (Azure AD joined) ・ ハイブリッド Azure AD 参加 (Hybrid Azure…

0

Azure AD の ディレクトリロールが割り当てられたメンバーの一覧を取得したい

こんにちは! Azure & Identity サポート チームの三浦 大です。   今回は Azure AD のディレクトリロールが割り当てられているユーザーの一覧を CSV で出力する PowerShell スクリプトをご紹介します。 Azure AD はセキュリティの観点から、ディレクトリロールにて設定できるロールが細かく分類されております。 各ロールのメンバーの一覧は、先日の ブログ で紹介しましたように、 Azure ポータルから参照することができます。 しかし、この一覧をファイルとして出力したいというご要望もあるかと思います。   以下のとおり、ディレクトリロールの一覧を出力する PowerShell スクリプトを作成いたしましたので、ぜひご利用ください!   ※ 実行に際しては、事前に Install-Module -Name MSOnline コマンドを実行し、 Azure AD PowerShell モジュールのインストールをお願いいたします。 Azure AD PowerShell のインストールなどについては、以下の公開情報をご参照くださいませ。   Azure Active Directory の PowerShell モジュール https://blogs.technet.microsoft.com/jpazureid/2017/12/04/aad-powershell/   PowerShell スクリプト…

0

テナント制限について

こんにちは! Azure & Identity サポート チームの三浦 大です。   今回はテナント制限の機能に関して、よくあるお問い合わせと、その回答をまとめさせていただきました。   テナント制限とは まず、テナント制限とは、 Azure AD に対する認証の通信をプロキシ経由させ、そのプロキシから送信されるデータに、アクセスを許可する Azure AD テナントの情報を付与しておくことで、それ以外の Azure AD テナントへのアクセスをブロックする機能を指しています。   詳細については、以下の公開情報をご参照ください。   自社テナント以外へのアクセス制御 – “テナントの制限” 機能 (Tenant Restrictions) https://blogs.technet.microsoft.com/office365-tech-japan/2017/02/06/tenant-restrictions/   テナント制限が機能しており、アクセスを許可しないテナントの  Office 365 や Azure へのサインイン時に 「ここからアクセスすることはできません」 のエラーメッセージが表示されます。     以下にて、テナント制限に関連する、よくあるお問い合わせをまとめました。 ぜひご参照ください!     よくあるお問い合わせ Q : MS アカウントを利用すると、制限の画面が表示されますが、回避策はありませんか? A : MS アカウントを許可する場合には、以下をテナント制限の許可するリストに追加します。…

0

Azure Active Directory への接続で使用する IP アドレス範囲の変更

日々ブログをご愛読してくれている皆様、Azure Identity チームの宮林です。 先日、新着情報にて広報された、2018 年 9 月 10 日までに変更が行われる Azure Active Directory の IP アドレス範囲についてお知らせいたします。 IP アドレス範囲の変更とありますが、去年から追加となった範囲内への変更となりますので、すでにご対応済みの場合は影響がございません。 以下のページで告知している Azure Active Directory の新着情報の抜粋と、Q&A 形式で IP アドレス範囲の変更に伴う影響について補足します。   Azure Active Directory の新着情報 https://docs.microsoft.com/ja-jp/azure/active-directory/fundamentals/whats-new 以下抜粋 ——————————————————————- 2018 年 7 月 Azure Active Directory の IP アドレス範囲の変更 タイプ: 変更の計画 サービス カテゴリ: その他 製品の機能: プラットフォーム Microsoft では、Azure AD に対してより大規模な IP…

0

Azure MFA の多要素認証設定の統合

  こんにちは。Azure Identity チームの金森です。 今回は先日プレビューとなりました [SSPR と Azure MFA の多要素認証設定の統合] をご紹介したいと思います。 ※ 個人的に待ちに待っていた改善となります!   Converged registration for self-service password reset and Azure Multi-Factor Authentication (Public preview) https://docs.microsoft.com/en-us/azure/active-directory/authentication/concept-registration-mfa-sspr-converged 2018/8/1 に公開された docs 技術情報です。   Combined registration for Azure AD MFA and Self Service Password Reset plus two other cool updates now in public preview! https://cloudblogs.microsoft.com/enterprisemobility/2018/08/06/mfa-and-sspr-updates-now-in-public-preview/ 2018/8/6 に公開された…

0