クレーム ルールと条件付きアクセスの比較

こんにちは、Azure & Identity サポート チームの坂井です。   今回は AD FS を利用したクレーム ルールとAzure AD を利用した条件付きアクセスについて比較します。 これまで AD FS のクレーム ルールでアクセス制御を実施しているが、条件付きアクセスの機能にも興味をお持ちの方も多いかと思います。 今後の運用においてクレーム ルールと条件付きアクセスのどちらで運用を行うか検討するにあたり少しでも本記事がお役に立ちましたら幸いです。   はじめに クレーム ルールと条件付きアクセスは、両者ともに指定した条件に応じて認証アクセスの制御を行うことができます。 例えば、多要素認証を発生させるための条件設定は、クレーム ルールでも条件付きアクセスでも可能です。   それぞれを利用する際に必要な前提条件は次のとおりです。   クレーム ルール AD FS 環境が必須です。 AD FS を利用した認証フローとなるため、認証についてはオンプレミス側で行います。   条件付きアクセス Azure AD 環境が必須です。 また、条件付きアクセスの利用には、利用するユーザー分 Azure AD Premium のライセンスが必要です。 AD FS が導入されている環境においても、条件付きアクセスを利用することが可能です。       コスト比較 まずは、重要となるコスト面について比較してみましょう。…

0

デバイス ベースのアクセス制御

こんにちは、Azure & Identity サポート チームの下野です。   今回は下記の 3 つについてご紹介します。   AD FS による証明書認証 AD FS によるデバイス認証 Azure AD によるデバイスベースの条件付きアクセス   昨今話題の働き方改革を実現する手段の一つとして、テレワークができる環境を整える – オフィス内で利用する端末だけでなく、会社支給の端末、モバイルデバイスなど多種多様なデバイスから企業のリソースにアクセスできるようにする – ということも有効だと思います。 それを検討する際に、管理者側で会社のリソースにアクセスできるデバイスを限定したいとのご要望をいただくことが多くあります。 そのような要望の実現を検討する際に、今回ご紹介させていただく内容が少しでもお役に立ちましたら幸いです。   ではまずは、それぞれの制御方法を説明します。   1. AD FS による証明書認証 Windows Server 2012 R2 (AD FS 3.0) 以降で利用可能となった、証明書を使用した認証方式です。 ユーザー証明書を各デバイスに配布して、モダン認証 (ADAL)に対応している多くのアプリケーションで利用します。 証明書認証を構成した際に正常に動作しないというケースでは、主に下記のようなポイントをチェックします。  証明書のサブジェクト代替名にユーザーの UPN が正しくセットされているか AD FS (または WAP) が信頼している証明機関から発行された証明書かどうか 証明書の有効期限が切れていないかどうか 証明書が、失効されていないかどうか…

0

Azure AD の条件付きアクセスに関する Q&A

こんにちは、Azure & Identity サポート チームの高田です。 今回はお問い合わせをよくいただく、Azure AD の条件付きアクセスについてです。 お問い合わせの多いご質問について、Q&A 形式でおまとめいたしました。既存のドキュメントではカバーされていない動作や質問について今後も適宜内容を拡充していきますので、ご参照いただければと思います。     Q. Office 365 を利用しているが、条件付きアクセスを利用できますか? A. はい、利用可能です。Office 365 をご利用いただいているお客様は、認証基盤として Azure AD をご利用いただいている状態となります。そのため、追加で Azure AD Premium のライセンスを購入いただくことで、利用可能になります。     Q. Azure AD Application Proxy を利用して公開しているアプリケーションなども条件付きアクセスで制御可能でしょうか。 A. はい、条件付きアクセスで制御可能です。Azure AD 上に登録されているアプリケーションであれば、条件付きアクセスで制御できます。Azure AD Application Proxy を利用して公開しているアプリケーションやご自身で開発し Azure AD 上に登録したアプリケーションも制御対象とすることが可能です。     Q. Azure AD B2B コラボレーション機能により招待されたゲスト ユーザーに対して条件付きアクセスのルールを適用する場合には、Azure AD…

0