「ユーザーはアプリケーションを登録できる」の設定について

こんにちは、Azure Identity チームの宮林です。 今回は Azure  Active Directory における、アプリケーションの登録の制限について紹介します。   Azure Active Directory では、お客様が開発したアプリケーションを登録することで、Azure Active Directory に登録されているアカウントを利用したシングルサインオンを実現することが可能です。既定では、一般ユーザーでも、[アプリの登録] から自身で開発したアプリケーションを自由に登録することができます。一般ユーザーによるアプリケーションの登録は、Azure  Active Directory 内の [ユーザー設定] にある「ユーザーはアプリケーションを登録できる」で制御が可能です。下記画面のとおり本設定は既定で「はい」となっています。 一方、ゲスト ユーザーは、「ユーザーはアプリケーションを登録できる」が「はい」となっていた場合でもアプリケーションを登録することができません。     アプリケーションの登録を制限する方法 Azure Active Directory の [ユーザー設定] で、「ユーザーはアプリケーションを登録できる」を「いいえ」に変更することによって、一般ユーザーによるアプリの登録を行えなくすることが可能です。このとき、一般ユーザーがアプリケーションの登録を行おうとすると、十分な権限が無い旨のエラーが表示されます。 なお、「ユーザーはアプリケーションを登録できる」を「いいえ」に設定した場合は、以下のロールを持つアカウントからのみ、アプリケーションの登録が可能です。 全体管理者 アプリケーション管理者 アプリケーション開発者 クラウド アプリケーション管理者   従来、「ユーザーはアプリケーションを登録できる」を「いいえ」に設定した場合、アプリケーションを登録することができるのは全体管理者のみでした。しかし、現在では全体管理者以外にもアプリケーションの登録が可能なロールが追加されています。そのため、アプリケーションの登録の際に、必要以上の権限を与えずにアプリケーションの登録が行えます。 アプリケーション管理者など、各管理者ロールが行える操作の詳細については、以下の弊社公開情報をご参照ください。   Azure Active Directory での管理者ロールの割り当て https://docs.microsoft.com/ja-jp/azure/active-directory/users-groups-roles/directory-assign-admin-roles     ご不明な点がございましたら弊社サポートまでお気軽にお問い合わせください。 上記内容が少しでも皆様の参考となりますと幸いです。 ※本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。

0

“Baseline policy: Require MFA for admins” について

こんにちは、Azure ID チームの宮林です。 今回は下記のとおり、6/22 より Public Preview となった “Baseline policy: Require MFA for admins” についてお知らせいたします。   Baseline security policy for Azure AD admin accounts in public preview! https://cloudblogs.microsoft.com/enterprisemobility/2018/06/22/baseline-security-policy-for-azure-ad-admin-accounts-in-public-preview/ ベースラインの保護とは (プレビュー) https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-conditional-access-baseline-protection   (こちらが対象のポリシーとなります)   “Baseline policy: Require MFA for admins” とは “Baseline policy: Require MFA for admins” は、特権ロールを持つアカウントに対して多要素認証 (MFA : Multi Factor Authentication) を必要とさせるポリシーです。将来的にすべての Azure…

0

Microsoft 365 を用いたゼロ トラスト ネットワークの実現

こんにちは、Azure & Identity サポート チームの田中と高田です。 本記事は、米国時間 2018年 6 月 14 日に公開された Building Zero Trust networks with Microsoft 365 の抄訳です。   従来の境界ベースのネットワーク制御は時代遅れとなりつつあります。 境界ベースのネットワークには、ネットワーク内のすべてのシステムが信頼できるという前提があります。 しかし、今日ますますモバイル ワーカーが増える中、パブリック クラウドサービスへの移行や BYOD (Bring Your Own Device) モデルの採用もあり、境界セキュリティの制御は意味をなさなくなってきています。従来有効とされていた制御方法を依然として使い続けているネットワークは、侵入に脆弱となります。信頼される境界として定義していた中に含まれるエンドポイントのたった一つからでも攻撃者の侵入を許すと、攻撃者はその後あっという間にネットワーク全体を支配下においていきます。 ゼロ トラスト ネットワークは、境界で囲まれたネットワークは信頼できるという考え方を用いません。 代わりに、ゼロ トラスト アーキテクチャは組織内のデータとリソースへのアクセスにデバイスおよびユーザーのクレーム情報を活用します。 一般的なゼロ トラスト ネットワークモデル (図 1) は通常、以下の要素で構成されます。 ユーザーおよびユーザー関連の情報を保持する ID プロバイダ 対応するデバイス情報 (デバイスの種類、整合性など) に基づいて、会社のリソースにアクセスできるデバイスのリストを保持するデバイス ディレクトリ ユーザーまたはデバイスがセキュリティ管理者によって設定されたポリシーに準拠しているかどうかを判断するポリシー評価サービス 組織リソースへのアクセスを許可または拒否する上記の方式を利用したプロキシ   図 1….

0

Azure MFA を求められるタイミングについて

こんにちは、Azure ID チームの田中です。 Azure AD では、ユーザー名、パスワードによるサインインだけでなく、多要素認証(MFA) を簡単に構成することができます。 私たちのサポートチームでは多要素認証(MFA) についてよくお問い合わせをいただくのですが、 今回はMFA を有効化しているのにも関わらず、MFA を求められないことがあるということで、Azure MFA を要求されないケースについて、その理由を含めて紹介します。   MFAとは? Multi-Factor Authentication の略で、ユーザー名・パスワードの認証にプラスして別の認証を求める機能を指します。 例えば社内ネットワーク以外からのアクセスであれば、ユーザー名とパスワードだけではなく、SMS 認証を強制することが可能になり、セキュリティをさらに高めることができます。 Azure の機能では電話認証(電話・SMS)、Authenticator アプリを使用した認証を提供しています。   ・参考情報 Azure Multi-Factor Authentication とは https://docs.microsoft.com/ja-jp/azure/active-directory/authentication/multi-factor-authentication   Azure MFA を再び要求されないのは果たして安全なのか 初回 MFA を要求された後に MFA を求められなくなるシナリオとしては大きく分けて2つあります。   A. MFA の画面で多要素認証の記憶がオンになっている B. 各種トークンが使用されている   ここではそれぞれのシナリオについて、その理由と解決策、セキュリティ面をご説明致します。   A. MFA の画面で多要素認証の記憶がオンになっている ユーザーが Azure AD…

0

Azure AD B2B におけるユーザーの新しい招待方法

こんにちは、Azure ID チームの高田です。 今回は、新しくなった Azure AD B2B (ゲスト招待機能) についてお知らせします。   マイクロソフトでは、以下の資料のとおり、5 月 11 日から Azure AD B2B の新しい更新を展開しています。これにより、ゲストユーザーの招待においてこれまでと比べてユーザーから見た画面が変更されたり、管理者により行うべきことも変更されていたりします。本記事ではその概要についておまとめしました。 Exciting improvements to the B2B collaboration experience https://cloudblogs.microsoft.com/enterprisemobility/2018/05/14/exciting-improvements-to-the-b2b-collaboration-experience/ Azure Active Directory B2B collaboration invitation redemption https://docs.microsoft.com/ja-jp/azure/active-directory/b2b/redemption-experience   新しい Azure AD B2B の変更概要 新しい Azure AD B2B では、多くのシナリオにおいてユーザー自身が招待メールをクリックしなくてもよいように改善されています。従来は管理者がユーザーを招待すると、招待されたユーザーにメールが届き、ユーザーはメール内にある「はじめに」のリンクをクリックして招待を完了するというのが一般的な招待の流れでした。 しかしながら、招待メールのクリック自体が煩雑であること、また環境によっては招待メールがセキュリティによりブロックされるなどし届かないことで、招待がスムーズに行われないという問題がありました。 新しい Azure AD B2B でもメールによる招待は可能ですが、招待されたユーザーはメールにある「はじめに」のクリックせずとも、招待されたテナント上のリソース (URL) に直接アクセスしサインインすれば、招待を完了することが可能となります。招待されたテナント上のリソース (URL) に実際にアクセスしサインインすると、ユーザーには以下の画面が表示されます。…

0

Office 365 へのアクセスで iOS Accounts 登録のメッセージが表示され接続できない

こんにちは。Azure ID チームの三浦です。今回は iOS 11 から Office 365 に ActiveSyncなどで接続する際に iOS Accounts 登録に関する画面が表示されて利用できない事象への対応方法をご紹介します。   iOS 11 では  Office 365 が利用している Azure AD (以降 AAD) に iOS Accounts というアプリケーションを登録し、そのアプリケーションを利用して Office 365 への接続をおこなうことがあります。   既定では各ユーザーは AAD に対してアプリケーションを登録することができるようになっているため、自動的に iOS Accounts というアプリケーションが登録されますが、 Office 365 の AAD で “ユーザーはアプリケーションを登録できる” が “いいえ” の場合にはユーザーによるアプリケーション登録ができません。     結果として、 ユーザーが ActiveSync の構成などを実施するタイミングで、次のような画面が iOS 上に表示され、…

0

Azure AD のサインイン画面に関するアップデートのお知らせ

こんにちは、Azure & Identity サポート チームの山口です。 本記事は、米国時間 2018 年 4 月 4 日に公開された Upcoming improvements to the Azure AD sign-in experience – Enterprise Mobility + Security の抄訳です。2017 年 11 月にサインイン画面の変更を実施しましたが、更にサイン画面の更新を予定していますので、そのお知らせと、イメージ画像がまとめられていますのでご紹介します。 Upcoming improvements to the Azure AD sign-in experience 皆さん、こんにちは。 本日は、Azure AD のサインイン UX に関するアップデート情報をお知らせいたします。 前回のサインイン UX のアップデートでは、皆様から本当にたくさんのフィードバックをいただいておりましたが、なかでも「情報をもっと早い段階で知りたかった」という声が非常に多く寄せられました。そのご指摘を踏まえ、今回はより速い段階で詳細な更新情報をお届けしたいと思います。 数か月前に サインイン画面のデザイン変更 をリリースし、新しい UI に向けてどのような改善ができるかについてフィードバックをいただいておりました。そして次の変更では、わかりづらさを削減し、見た目をすっきりさせることに注力することにしました。ユーザーがサインイン作業に集中できるよう、UI をよりシンプルなデザインにしました。 今回のアップデートは UI の改善だけであり、サインインの動作は変更しておりません。既存の会社のブランド設定はそのまま引き継がれますのでご安心ください。…

0

4/6 RCA – Azure Active Directory – 認証エラー (日本語抄訳)

いつも Azure Identity サポート チームのブログを参照いただきましてありがとうございます。 今回は 4/6 に発生しました Azure Active Directory の障害についての RCA (Root Cause Analysis) レポートの日本語版の抄訳をご紹介します。 原文は https://azure.microsoft.com/ja-jp/status/history/ を確認ください。 この障害では Azure / Office 365 ポータルへのサインインができないことをはじめ、障害の対象となりましたテナントで多大な影響が生じました。改めてですが、今回の障害により多くのお客様にご迷惑をお掛けしましたことを深くお詫び申し上げます。   4/6 RCA – Azure Active Directory – 認証エラー   影響の概要: 2018 年 4 月 6 日の 8:18 から 11:25 (UTC) (日本時間同日の 17:18 から 20:25) の間で、アジア、オセアニア、ヨーロッパの各地域を主として Azure Active Directory…

0

ハイブリッド Azure Active Directory 参加済みデバイスの構成について

いつもお世話になります。Azure & Identity サポート チームの加藤です。 本記事では「ハイブリッド Azure Active Directory 参加済みデバイスの構成」についてご案内します。 本記事がみなさまの一助になれば幸いです。   本記事の目的 ハイブリッド Azure Active Directory 参加済みデバイスの構成とは 「手順 1 : サービス接続ポイントの構成」についての補足 「手順 2 : 要求の発行のセットアップ」についての補足 Windows 10 のデバイス登録の流れについて Windows 10 のデバイス登録について注意事項 ダウンレベルの Windows (Windows 7、Windows 8.1) のデバイス登録の流れ ダウンレベルの Windows (Windows 7、Windows 8.1) のデバイス登録について注意事項   1. 本記事の目的 本記事の目的は、以下の弊社公開情報を補足することです。   ハイブリッド Azure Active Directory 参加済みデバイスの構成方法  …

0

Azure AD プロビジョニング機能について

こんにちは、 Azure & Identity サポート チームの平形です。 今回は、Azure AD のプロビジョニング機能についてご紹介します。   プロビジョニングは Azure AD と連携する主に他社から提供されている SaaS アプリケーションに Azure AD 上に存在するアカウント情報を自動で作成・更新・削除を行う機能です。オンプレミスの Active Directory と Azure Active Directory 間は Azure AD Connect で同期できますが (Azure AD 視点でアカウントを利用できるようにするという意味でプロビジョニングと呼ぶこともできます)、更に Azure AD と連携している SaaS アプリケーションが利用するアカウント情報を同期させることで (今回の Blog で紹介するプロビジョニングです)、それぞれのアカウントを一元管理し、シングル サインオンを実現できます。   今回はプロビジョニング機能の概要とよくあるお問い合わせを紹介します。 プロビジョニングは大まかに分けると以下のフローに分けて処理が行われます。 (括弧内は Azure AD 監査ログに出力されるアクティビティです)   プロビジョニングの初期同期 テナント上のユーザー・グループ オブジェクト情報を属性マッピングで定義された値に基づき抽出する。 (Import) 1….

0