テナント制限について

こんにちは! Azure & Identity サポート チームの三浦 大です。   今回はテナント制限の機能に関して、よくあるお問い合わせと、その回答をまとめさせていただきました。   テナント制限とは まず、テナント制限とは、 Azure AD に対する認証の通信をプロキシ経由させ、そのプロキシから送信されるデータに、アクセスを許可する Azure AD テナントの情報を付与しておくことで、それ以外の Azure AD テナントへのアクセスをブロックする機能を指しています。   詳細については、以下の公開情報をご参照ください。   自社テナント以外へのアクセス制御 – “テナントの制限” 機能 (Tenant Restrictions) https://blogs.technet.microsoft.com/office365-tech-japan/2017/02/06/tenant-restrictions/   テナント制限が機能しており、アクセスを許可しないテナントの  Office 365 や Azure へのサインイン時に 「ここからアクセスすることはできません」 のエラーメッセージが表示されます。     以下にて、テナント制限に関連する、よくあるお問い合わせをまとめました。 ぜひご参照ください!     よくあるお問い合わせ Q : MS アカウントを利用すると、制限の画面が表示されますが、回避策はありませんか? A : MS アカウントを許可する場合には、以下をテナント制限の許可するリストに追加します。…


Azure Active Directory への接続で使用する IP アドレス範囲の変更

日々ブログをご愛読してくれている皆様、Azure Identity チームの宮林です。 先日、新着情報にて広報された、2018 年 9 月 10 日までに変更が行われる Azure Active Directory の IP アドレス範囲についてお知らせいたします。 IP アドレス範囲の変更とありますが、去年から追加となった範囲内への変更となりますので、すでにご対応済みの場合は影響がございません。 以下のページで告知している Azure Active Directory の新着情報の抜粋と、Q&A 形式で IP アドレス範囲の変更に伴う影響について補足します。   Azure Active Directory の新着情報 https://docs.microsoft.com/ja-jp/azure/active-directory/fundamentals/whats-new 以下抜粋 ——————————————————————- 2018 年 7 月 Azure Active Directory の IP アドレス範囲の変更 タイプ: 変更の計画 サービス カテゴリ: その他 製品の機能: プラットフォーム Microsoft では、Azure AD に対してより大規模な IP…


Azure MFA の多要素認証設定の統合

  こんにちは。Azure Identity チームの金森です。 今回は先日プレビューとなりました [SSPR と Azure MFA の多要素認証設定の統合] をご紹介したいと思います。 ※ 個人的に待ちに待っていた改善となります!   Converged registration for self-service password reset and Azure Multi-Factor Authentication (Public preview) https://docs.microsoft.com/en-us/azure/active-directory/authentication/concept-registration-mfa-sspr-converged 2018/8/1 に公開された docs 技術情報です。   Combined registration for Azure AD MFA and Self Service Password Reset plus two other cool updates now in public preview! https://cloudblogs.microsoft.com/enterprisemobility/2018/08/06/mfa-and-sspr-updates-now-in-public-preview/ 2018/8/6 に公開された…


Azure AD におけるロール管理の新しい方法

こんにちは、Azure & Identity サポート チームの栗井です。 本記事は、2018年7月末に公開された A new way to manage roles and administrators in Azure AD を元にしています。 これまで、 Azure AD の全体管理者などのロールを割り当てられているユーザー一覧を取得することができなかったのですが、最近の更新により、簡単に確認できるようになりました。 元記事を参考に、ユーザーへのディレクトリロールの新しい割り当て・管理方法について、画面キャプチャを含めてご紹介します。   Azure AD におけるロール管理の新しい方法   ユーザの役割の確認や管理者権限の割り当てを、これまでより簡単におこなうことができます。 以下が、新しい機能の特徴です。 ビルトイン (既定) のディレクトリロールの一覧と、それぞれの詳細を確認可能 役割の管理や設定がより簡単に 関連ドキュメントへのリンク追加 言い換えますと 「全体管理者は何人いるのか?」「このユーザーに割り当てられているのは何の役割か?」がすぐ分かるようになりました。 概要画面から、新機能「ロールと管理者」がご利用できます 概要   ビルトイン ディレクトリ ロールの一覧とそれぞれの簡単な説明は 「ロールと管理者」をクリックすることで確認できます。これも最近追加されました Azure AD と連携するアプリケーションの管理を目的とした新しいロールも含まれます。 現在サインインして操作を実施しているユーザー自身に何かしらのロールが割り当てられている場合、画面上部に表示されます。「ロール」をクリックすると、自身に割り当てられているロールと、それぞれの概要の一覧を確認できます。 「ロールと管理者」下の、各ロールと説明の一覧   また、ロールの行をクリックすると、そのロールに割り当てられているユーザーの一覧が確認できます。 ロールに割り当てられているユーザー(メンバー)一覧   各ロールによりどのようなことができるのかという質問をよく頂きますが、それぞれのロールに何の権限があるのか、その詳細を一覧でみられるようになりました。同じ画面で、関連記事のリンクも見ることができます。ロールを最大限有効に使うためにぜひご活用ください。 画像に示すように、ブレードの「説明」をクリックするとこの画面が見られます。もしくはロールの一覧画面から、各行の右側にある「・・・」をクリックをすることでも、同じ画面に辿り着くことができます。…


「ユーザーはアプリケーションを登録できる」の設定について

こんにちは、Azure Identity チームの宮林です。 今回は Azure  Active Directory における、アプリケーションの登録の制限について紹介します。   Azure Active Directory では、お客様が開発したアプリケーションを登録することで、Azure Active Directory に登録されているアカウントを利用したシングルサインオンを実現することが可能です。既定では、一般ユーザーでも、[アプリの登録] から自身で開発したアプリケーションを自由に登録することができます。一般ユーザーによるアプリケーションの登録は、Azure  Active Directory 内の [ユーザー設定] にある「ユーザーはアプリケーションを登録できる」で制御が可能です。下記画面のとおり本設定は既定で「はい」となっており、この状態での運用をお勧めします (お勧めしている理由は後述します)。 一方、ゲスト ユーザーは、「ユーザーはアプリケーションを登録できる」が「はい」となっていた場合でもアプリケーションを登録することができません。     ユーザーがアプリケーションを登録できる状態を推奨する理由 管理者としては、一般のユーザーにアプリケーションを登録できるようにしておくことについて抵抗感を持たれるようなことがあるのではないかとも思います。 しかし、この設定を「いいえ」に設定してユーザーによる登録を制限した場合には、ユーザーは自身で Azure Active Directory のテナントを作成して組織の管理が及ばないテナントにアプリケーションを登録して作業を行う可能性が高くなります。このような状況は、いわゆるシャドー IT を促進してしまうことに繋がるため、「ユーザーはアプリケーションを登録できる」の設定を「はい」にすることを推奨しています。 組織で管理されているユーザーがビジネスを目的として組織アカウントを使用してアプリケーションを利用されることで、管理者はどのようなアプリケーションが、どのユーザーによって利用されているか確認することができます。また、その利用が適切でない場合には、ユーザーに注意を促すこともできますし、ユーザーが組織を離れた場合にも、その組織アカウントを削除することでアプリケーションへのアクセスも停止させることができるなど一元管理のメリットを得られます。 アプリケーションの追加に関して、以下の公開情報を併せてご参照ください。   アプリケーションを Azure AD に追加する方法と理由 https://docs.microsoft.com/ja-jp/azure/active-directory/develop/active-directory-how-applications-are-added   アプリケーションの登録を制限する方法 Azure Active Directory の [ユーザー設定] で、「ユーザーはアプリケーションを登録できる」を「いいえ」に変更することによって、一般ユーザーによるアプリの登録を行えなくすることが可能です。このとき、一般ユーザーがアプリケーションの登録を行おうとすると、十分な権限が無い旨のエラーが表示されます。 なお、「ユーザーはアプリケーションを登録できる」を「いいえ」に設定した場合は、以下のロールを持つアカウントからのみ、アプリケーションの登録が可能です。 全体管理者 アプリケーション管理者…


“Baseline policy: Require MFA for admins” について

こんにちは、Azure ID チームの宮林です。 今回は下記のとおり、6/22 より Public Preview となった “Baseline policy: Require MFA for admins” についてお知らせいたします。   Baseline security policy for Azure AD admin accounts in public preview! https://cloudblogs.microsoft.com/enterprisemobility/2018/06/22/baseline-security-policy-for-azure-ad-admin-accounts-in-public-preview/ ベースラインの保護とは (プレビュー) https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-conditional-access-baseline-protection   (こちらが対象のポリシーとなります)   “Baseline policy: Require MFA for admins” とは “Baseline policy: Require MFA for admins” は、特権ロールを持つアカウントに対して多要素認証 (MFA : Multi Factor Authentication) を必要とさせるポリシーです。将来的にすべての Azure…


Microsoft 365 を用いたゼロ トラスト ネットワークの実現

こんにちは、Azure & Identity サポート チームの田中と高田です。 本記事は、米国時間 2018年 6 月 14 日に公開された Building Zero Trust networks with Microsoft 365 の抄訳です。   従来の境界ベースのネットワーク制御は時代遅れとなりつつあります。 境界ベースのネットワークには、ネットワーク内のすべてのシステムが信頼できるという前提があります。 しかし、今日ますますモバイル ワーカーが増える中、パブリック クラウドサービスへの移行や BYOD (Bring Your Own Device) モデルの採用もあり、境界セキュリティの制御は意味をなさなくなってきています。従来有効とされていた制御方法を依然として使い続けているネットワークは、侵入に脆弱となります。信頼される境界として定義していた中に含まれるエンドポイントのたった一つからでも攻撃者の侵入を許すと、攻撃者はその後あっという間にネットワーク全体を支配下においていきます。 ゼロ トラスト ネットワークは、境界で囲まれたネットワークは信頼できるという考え方を用いません。 代わりに、ゼロ トラスト アーキテクチャは組織内のデータとリソースへのアクセスにデバイスおよびユーザーのクレーム情報を活用します。 一般的なゼロ トラスト ネットワークモデル (図 1) は通常、以下の要素で構成されます。 ユーザーおよびユーザー関連の情報を保持する ID プロバイダ 対応するデバイス情報 (デバイスの種類、整合性など) に基づいて、会社のリソースにアクセスできるデバイスのリストを保持するデバイス ディレクトリ ユーザーまたはデバイスがセキュリティ管理者によって設定されたポリシーに準拠しているかどうかを判断するポリシー評価サービス 組織リソースへのアクセスを許可または拒否する上記の方式を利用したプロキシ   図 1….


Azure MFA を求められるタイミングについて

こんにちは、Azure ID チームの田中です。 Azure AD では、ユーザー名、パスワードによるサインインだけでなく、多要素認証(MFA) を簡単に構成することができます。 私たちのサポートチームでは多要素認証(MFA) についてよくお問い合わせをいただくのですが、 今回はMFA を有効化しているのにも関わらず、MFA を求められないことがあるということで、Azure MFA を要求されないケースについて、その理由を含めて紹介します。   MFAとは? Multi-Factor Authentication の略で、ユーザー名・パスワードの認証にプラスして別の認証を求める機能を指します。 例えば社内ネットワーク以外からのアクセスであれば、ユーザー名とパスワードだけではなく、SMS 認証を強制することが可能になり、セキュリティをさらに高めることができます。 Azure の機能では電話認証(電話・SMS)、Authenticator アプリを使用した認証を提供しています。   ・参考情報 Azure Multi-Factor Authentication とは https://docs.microsoft.com/ja-jp/azure/active-directory/authentication/multi-factor-authentication   Azure MFA を再び要求されないのは果たして安全なのか 初回 MFA を要求された後に MFA を求められなくなるシナリオとしては大きく分けて2つあります。   A. MFA の画面で多要素認証の記憶がオンになっている B. 各種トークンが使用されている   ここではそれぞれのシナリオについて、その理由と解決策、セキュリティ面をご説明致します。   A. MFA の画面で多要素認証の記憶がオンになっている ユーザーが Azure AD…


Azure AD B2B におけるユーザーの新しい招待方法

こんにちは、Azure ID チームの高田です。 今回は、新しくなった Azure AD B2B (ゲスト招待機能) についてお知らせします。   マイクロソフトでは、以下の資料のとおり、5 月 11 日から Azure AD B2B の新しい更新を展開しています。これにより、ゲストユーザーの招待においてこれまでと比べてユーザーから見た画面が変更されたり、管理者により行うべきことも変更されていたりします。本記事ではその概要についておまとめしました。 Exciting improvements to the B2B collaboration experience https://cloudblogs.microsoft.com/enterprisemobility/2018/05/14/exciting-improvements-to-the-b2b-collaboration-experience/ Azure Active Directory B2B collaboration invitation redemption https://docs.microsoft.com/ja-jp/azure/active-directory/b2b/redemption-experience   新しい Azure AD B2B の変更概要 新しい Azure AD B2B では、多くのシナリオにおいてユーザー自身が招待メールをクリックしなくてもよいように改善されています。従来は管理者がユーザーを招待すると、招待されたユーザーにメールが届き、ユーザーはメール内にある「はじめに」のリンクをクリックして招待を完了するというのが一般的な招待の流れでした。 しかしながら、招待メールのクリック自体が煩雑であること、また環境によっては招待メールがセキュリティによりブロックされるなどし届かないことで、招待がスムーズに行われないという問題がありました。 新しい Azure AD B2B でもメールによる招待は可能ですが、招待されたユーザーはメールにある「はじめに」のクリックせずとも、招待されたテナント上のリソース (URL) に直接アクセスしサインインすれば、招待を完了することが可能となります。招待されたテナント上のリソース (URL) に実際にアクセスしサインインすると、ユーザーには以下の画面が表示されます。…