入れ子 (ネスト) グループへの権限付与について

こんにちは、 Azure Identity の平形です。 今回は Azure AD における入れ子 (ネスト) グループの対応状況についてお伝え致します。     —————————————————— 入れ子のグループとは —————————————————— そもそも入れ子のグループとは、グループの中にグループを所属させているグループを指します。 以下の図をご覧ください。 この場合はグループ A が入れ子のグループです。 グループ A の中にはグループ B とユーザー B が含まれています。 そしてユーザー A はグループ B に含まれている状態ですが、グループ A に含まれていると考えて良いかが今回のテーマです。   例えば、アクセス権限をグループ A に割り当てた場合、ユーザー A に対してもアクセス権限が割り当てられることが期待されますが、 Azure AD の機能によっては必ずしもそうならず、いくつかの制限事項があります。 ここではよくお問い合わせ頂く制限事項についてご紹介します。     —————————————————— Azure AD における入れ子グループの制限 —————————————————— 主にお問い合わせ頂く機能の中で、現時点では以下の機能については入れ子グループに対応していません。   ・ グループ…

0

Azure AD サインイン ログ 取得方法まとめ

    こんにちは。Azure Identity チームの三浦です。今回は Azure AD のサインイン ログ取得方法についてまとめました。 Azure AD のサインイン ログは Azure ポータルで確認するほかに次のような方法で確認することができます。   1. ポータルから CSV 形式のファイルをダウンロード 2. ポータルから取得したスクリプトを利用して CSV 形式のファイルを取得する 3. API を利用して CSV 形式のファイルを取得する 4. データをエクスポートし、 PowerBI で解析する 5. Log Analytics に統合する     それぞれ簡単に概要を紹介します。 なお、 Azure ポータルのサインインからログを確認することを含めて Azure AD テナントに Azure AD Premium のライセンスが必要ですのでご注意ください。   1. ポータルから CSV 形式のファイルをダウンロード…

0

「エンタープライズアプリケーション」と「アプリの登録」の違いについて

こんにちは、Azure Identity チームの宮林です。 今回は Azure Active Directory の管理項目にある、「エンタープライズアプリケーション」と「アプリの登録」のそれぞれの違いについて紹介します。 初めてアプリケーションの登録を行おうとした際にどちらで設定すれば良いのかと、気になった方も多いのではないでしょうか。 この記事では、そのような疑問に対する答えとして、それぞれの違いについて説明します。   「エンタープライズアプリケーション」と「アプリの登録」の違い   アプリケーションをテナント (Azure AD) に登録する際に「エンタープライズアプリケーションの登録」と「アプリの登録」それぞれの方法では、登録する目的が異なります。 端的に説明すれば以下のようになります。   「エンタープライズアプリケーション」:既存の SaaS アプリケーション (オンプレミスの環境で提供しているサービスを含む) をテナントに統合する場合に用いる。 「アプリの登録」:開発したアプリケーションの公開、もしくは利用するために用いる。   (ここで、統合が指す意味は、SaaS アプリケーションに対する シングルサインオン (SSO) の構成や、ユーザーのプロビジョニング構成を行うことなどを指します。) それぞれの項目で、アプリケーションの登録を行う場合の目的の違いついて、詳細を説明します。   「エンタープライズアプリケーション」からアプリケーションの登録を行う場合   例えば、GitHub、Salesforce、Slack や G Suite など、Azure Marketplace もしくは、Azure ポータルより [Azure Active Directory] – [エンタープライズアプリケーション] – [+新しいアプリケーション] を選択した際に表示されるページで公開されている、事前に統合された SaaS アプリケーションをテナントに追加して利用するために使用します。 それぞれの SaaS…

0

PowerShell にて全ユーザーの最終サインイン日時を一括で取得する方法

  こんにちは、Azure & Identity サポート チームの小野です。 今回は、PowerShell で Azure AD 上の全ユーザー(ゲストユーザーも含む)の最終サインイン日時を一括で取得する方法をご紹介します。   Azure AD における最終サインイン日時は、皆さまから強いご要望を受けており開発チームも機能追加に向け動き出しています。 今回ご案内する方法は正式に機能が追加されるまでの回避策となりますが、ご活用いただけますと幸いです。   この方法を実施すると、以下のようにユーザー毎の最終サインイン時刻が、csv 形式で出力されます。   なお、今回はスクリプトとしてご用意をしたため、Japan Azure ID Support チームの GitHub にアップロードをしましたので、以下サイトをご確認ください。 Get last-sign-in activity reports   今後も、Japan Azure ID Support チームの GitHub には、Azure を利用するにあたり便利なスクリプトをアップロードしてまいります。 ぜひチェックしてみてください!   ご不明な点がございましたら弊社サポートまでお気軽にお問い合わせください。 上記内容が少しでも皆様の参考となりますと幸いです。 ※本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。

0

サブスクリプション作成時のエラー「アカウントが Azure サブスクリプションに関連付けられないディレクトリに属しています。別のアカウントでサインインしてください」

こんにちは、Azure & Identity サポート チームの小野です。 今回は、Azure におけるサブスクリプション作成時に表示される「アカウントが Azure サブスクリプションに関連付けられないディレクトリに属しています。別のアカウントでサインインしてください」というエラーの発生原因と対処策についてご紹介します。       本エラーは、サブスクリプション作成を試みたユーザー (のメールアドレス) が ”セルフサービス サインアップ テナント” に紐づいている場合に発生します。   ◆ セルフサービス サインアップ テナントとは セルフサービス サインアップ テナントとは、管理者により作成されたテナントではなく、ユーザーが Azure Active Directory(以下、Azure AD ) による認証を必須とするサービスにサインアップした (利用を試みた) 場合に自動で作成されるテナントです。具体的には Power BI などのサービスになりますが、サービスを利用するためにサインアップを試みた際に指定したユーザーのメール アドレスに含まれるドメイン名が Azure AD にまだ登録されていない場合には、自動で Azure AD テナントが作成され、これがセルフサービス サインアップ テナントになります。通常 Azure AD テナントには必ず管理者が存在しますが、このセルフサービス サインアップ テナントには管理者が存在しません。この管理者が存在しないテナントではサブスクリプションを紐づけることができないため、発生しているエラーが今回ご紹介しているエラーメッセージになります。   対処策としては、以下の手順にてテナントの管理者への昇格をする必要があります。  …

0

Extranet Lockout について

こんにちは、 Azure Identity の平形です。 本ブログを参照されている方の中でも、今現在以下のような現象にお悩みの方がいらっしゃたりしませんでしょうか。   ・ AD FS 環境でオンプレミスの AD アカウントが頻繁にロックアウトされてしまう ・ ロックアウトの原因が AD FS サーバーからの認証   アカウント ロックアウトの頻度が非常に高く、様々なアカウントで発生しているのであればパスワード スプレー攻撃によって引き起こされている可能性があります。 また、ロックアウトにつながるログオン失敗が AD FS 経由でされている場合には、インターネットから WAP (Web Application Proxy) に対してパスワード スプレー攻撃を試行していることが疑われます。   今回は AD FS 環境における外部からのパスワード スプレー攻撃に対処する Extranet Lockout 機能についての紹介と設定方法をお伝えします。     —————————————————— そもそもパスワード スプレー攻撃とは —————————————————— パスワード スプレー攻撃とは、複数の異なるアカウントに対して多くの人が一般的に設定するようなパスワードでのログオンを試行する攻撃手法です。 詳細につきましては先日ブログを公開しておりますので参照ください。   Azure AD と AD FS…

0

Azure AD Connect : 2018/11/7 以降 AADC 1.0.8641.0 以前では Password Writeback が利用できない

こんにちは。Azure Identity チームの金森です。 今回は Azure AD Connect (AADC) をご利用いただいている皆様に急ぎお伝えしたい情報がございます。   先に結論ですが、表題の通り AADC 1.0.8641.0 とそれ以前のバージョンをご利用の環境において 2018/11/7 以降は  Password Writeback が機能しなくなります。   理由として、AADC 1.0.8641.0 以前のバージョンでは、Password Writeback を実現するために ACS (Access Control Service) を利用していました。 ACS が 2018/11/7 に完全リタイアするのですが、ACS の機能が提供されなくなることで、AADC 1.0.8641.0 以前をご利用の環境で Password Writeback が動作しなくなります。なお、それ以降のバージョンについては特に影響はありませんのでご安心ください。   How-to: Configure password writeback https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-sspr-writeback   ACS のリタイアに関しては、昨年から情報を公開しておりましたので準備を進めていただいている方も多いかもしれませんが、今回は ACS 対応のアプリケーションを他に利用しているか否かは関係しません。   How to: Migrate…

0

条件付きアクセスの基本的な考え方

こんにちは、Azure & Identity サポート チームの栗井です。 この記事では条件付きアクセスポリシー設定の基本的な考え方について解説します。   条件付きアクセスの基本的な考え方は、アクセスを制限すること 条件付きアクセスポリシーは、アクセスを許可する条件の設定ではなく、アクセスをブロック / または制限 (特定の条件を満たさなければブロック) する条件を設定します。 基本的にはすべてのアクセスが許可された状態で、「ブロック、もしくは制御したいアクセスパターンのブラックリストを作成する」とイメージすると、分かりやすいかもしれません。 条件付きアクセスポリシーを 1つも設定していない場合や、それぞれのポリシーの「割り当て」で設定した対象に合致しない場合は、特に制限無くアクセスできる動作となります。 ポリシーの「割り当て」で設定した対象に合致した場合には、「アクセス制御」で設定した内容が適用されます。 例えば、アクセスがブロックされたり、あるいは 多要素認証が要求されるなど、アクセスするための制限が加わります。   条件付きアクセスのポリシーに、順序による優先順位はありません 条件付きアクセスポリシーを複数定義した場合、定義した順番 (画面表示上の上下) で優先順位はありません。 すべてのポリシーが評価対象であり、以下のように動作します。 どれか1つのポリシーでブロックの対象となった場合、アクセスはブロックされます。 複数のポリシーでアクセスを制限された場合、すべての条件を満たさないかぎり、アクセスはブロックされます。 どのポリシーの対象にもならない場合、あるいはすべての条件を満たした場合、アクセスが許可されます。   条件付きアクセスのポリシーの設定とアクセス可否の図 以下に、条件付きアクセスのポリシーの設定とアクセス可否の関係を簡潔なチャートで示します。 1. ポリシーの「割り当て」に該当するか 最初に、ポリシーの割り当て対象に該当するかどうかが評価されます。 割り当て対象に該当しない場合は、アクセスは許可されます。 割り当て対象に該当する場合、以下の 2 の評価に続きます。 2. ポリシーの「アクセスのブロック」対象か「アクセス権の付与」対象か すべてのポリシーには、「アクセスのブロック」「アクセス権の付与」のいずれかのコントロールが設定されています。 「アクセスのブロック」が設定されている場合、アクセスはブロックされます。 「アクセス権の付与」である場合、以下の 3 の評価に続きます。 3. 「アクセス権の付与」条件を満たすかどうか 「アクセス権の付与」のコントロールが設定されているポリシーでは、アクセス権の付与条件が少なくとも一つ以上設定されています。 この項目によって設定される条件を満たした場合、アクセスが許可されます。 条件を満たさない場合には、アクセスはブロックされます。   上記の 1 から 3…

0

Azure AD 登録 と Azure AD 参加 の違い

こんにちは、Azure & Identity サポート チームの倉本です。   今回は、 Azure AD 登録 (Azure AD registered) と Azure AD 参加 (Azure AD joined) の違いについて紹介します。 Azure AD へのデバイス登録の種類は複数あり、 その違いについてお問い合わせを多くお寄せいただいております。   それぞれについてどういった場面で利用されることが想定されているかを説明していきます。   Azure AD に登録されるデバイスの種類は下記の 3 種類となっています。   ・ Azure AD 登録 (Azure AD registered) ・ Azure AD 参加 (Azure AD joined) ・ ハイブリッド Azure AD 参加 (Hybrid Azure…

0

Azure AD の ディレクトリロールが割り当てられたメンバーの一覧を取得したい

こんにちは! Azure & Identity サポート チームの三浦 大です。   今回は Azure AD のディレクトリロールが割り当てられているユーザーの一覧を CSV で出力する PowerShell スクリプトをご紹介します。 Azure AD はセキュリティの観点から、ディレクトリロールにて設定できるロールが細かく分類されております。 各ロールのメンバーの一覧は、先日の ブログ で紹介しましたように、 Azure ポータルから参照することができます。 しかし、この一覧をファイルとして出力したいというご要望もあるかと思います。   以下のとおり、ディレクトリロールの一覧を出力する PowerShell スクリプトを作成いたしましたので、ぜひご利用ください!   ※ 実行に際しては、事前に Install-Module -Name MSOnline コマンドを実行し、 Azure AD PowerShell モジュールのインストールをお願いいたします。 Azure AD PowerShell のインストールなどについては、以下の公開情報をご参照くださいませ。   Azure Active Directory の PowerShell モジュール https://blogs.technet.microsoft.com/jpazureid/2017/12/04/aad-powershell/   PowerShell スクリプト…

0