Azure Active Directory への接続で使用する IP アドレス範囲の変更

日々ブログをご愛読してくれている皆様、Azure Identity チームの宮林です。 先日、新着情報にて広報された、2018 年 9 月 10 日までに変更が行われる Azure Active Directory の IP アドレス範囲についてお知らせいたします。 IP アドレス範囲の変更とありますが、去年から追加となった範囲内への変更となりますので、すでにご対応済みの場合は影響がございません。 以下のページで告知している Azure Active Directory の新着情報の抜粋と、Q&A 形式で IP アドレス範囲の変更に伴う影響について補足します。   Azure Active Directory の新着情報 https://docs.microsoft.com/ja-jp/azure/active-directory/fundamentals/whats-new 以下抜粋 ——————————————————————- 2018 年 7 月 Azure Active Directory の IP アドレス範囲の変更 タイプ: 変更の計画 サービス カテゴリ: その他 製品の機能: プラットフォーム Microsoft では、Azure AD に対してより大規模な IP…

0

「ユーザーはアプリケーションを登録できる」の設定について

こんにちは、Azure Identity チームの宮林です。 今回は Azure  Active Directory における、アプリケーションの登録の制限について紹介します。   Azure Active Directory では、お客様が開発したアプリケーションを登録することで、Azure Active Directory に登録されているアカウントを利用したシングルサインオンを実現することが可能です。既定では、一般ユーザーでも、[アプリの登録] から自身で開発したアプリケーションを自由に登録することができます。一般ユーザーによるアプリケーションの登録は、Azure  Active Directory 内の [ユーザー設定] にある「ユーザーはアプリケーションを登録できる」で制御が可能です。下記画面のとおり本設定は既定で「はい」となっており、この状態での運用をお勧めします (お勧めしている理由は後述します)。 一方、ゲスト ユーザーは、「ユーザーはアプリケーションを登録できる」が「はい」となっていた場合でもアプリケーションを登録することができません。     ユーザーがアプリケーションを登録できる状態を推奨する理由 管理者としては、一般のユーザーにアプリケーションを登録できるようにしておくことについて抵抗感を持たれるようなことがあるのではないかとも思います。 しかし、この設定を「いいえ」に設定してユーザーによる登録を制限した場合には、ユーザーは自身で Azure Active Directory のテナントを作成して組織の管理が及ばないテナントにアプリケーションを登録して作業を行う可能性が高くなります。このような状況は、いわゆるシャドー IT を促進してしまうことに繋がるため、「ユーザーはアプリケーションを登録できる」の設定を「はい」にすることを推奨しています。 組織で管理されているユーザーがビジネスを目的として組織アカウントを使用してアプリケーションを利用されることで、管理者はどのようなアプリケーションが、どのユーザーによって利用されているか確認することができます。また、その利用が適切でない場合には、ユーザーに注意を促すこともできますし、ユーザーが組織を離れた場合にも、その組織アカウントを削除することでアプリケーションへのアクセスも停止させることができるなど一元管理のメリットを得られます。 アプリケーションの追加に関して、以下の公開情報を併せてご参照ください。   アプリケーションを Azure AD に追加する方法と理由 https://docs.microsoft.com/ja-jp/azure/active-directory/develop/active-directory-how-applications-are-added   アプリケーションの登録を制限する方法 Azure Active Directory の [ユーザー設定] で、「ユーザーはアプリケーションを登録できる」を「いいえ」に変更することによって、一般ユーザーによるアプリの登録を行えなくすることが可能です。このとき、一般ユーザーがアプリケーションの登録を行おうとすると、十分な権限が無い旨のエラーが表示されます。 なお、「ユーザーはアプリケーションを登録できる」を「いいえ」に設定した場合は、以下のロールを持つアカウントからのみ、アプリケーションの登録が可能です。 全体管理者 アプリケーション管理者…

0

RBAC のスコープについて

こんにちは、Azure & Identity サポート チームの坂井です。   今回は ロールベースのアクセス制御 (RBAC) について紹介します。 Azure の各種リソースに対するアクセス制御 (IAM) とも呼ばれ、リソースに対して実行できること、そのユーザーがアクセスできる領域を管理するのに役立ちます。   RBAC の設定ポイントとしては、3 つあります。   ・セキュリティ プリンシパル :権限を付与する対象を表します。ユーザー、グループ、サービス プリンシパルに設定可能です ・ロール (権限) 定義       :組み込みロールやカスタム ロールから、付与したい権限の種類を決定します ・Scope (スコープ)      :権限が適用される範囲を決定します   (サブスクリプション > リソース グループ > リソース) サブスクリプション全体に対して権限を付与すると、リソース グループ、リソースへと権限が継承されます   ここからは “スコープ” について具体例をもとに、紹介します。     シナリオ 1 : サブスクリプション単位 【設定内容】 : サブスクリプション A には「所有者」権限、サブスクリプション B には権限の付与なし…

0

“Baseline policy: Require MFA for admins” について

こんにちは、Azure ID チームの宮林です。 今回は下記のとおり、6/22 より Public Preview となった “Baseline policy: Require MFA for admins” についてお知らせいたします。   Baseline security policy for Azure AD admin accounts in public preview! https://cloudblogs.microsoft.com/enterprisemobility/2018/06/22/baseline-security-policy-for-azure-ad-admin-accounts-in-public-preview/ ベースラインの保護とは (プレビュー) https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-conditional-access-baseline-protection   (こちらが対象のポリシーとなります)   “Baseline policy: Require MFA for admins” とは “Baseline policy: Require MFA for admins” は、特権ロールを持つアカウントに対して多要素認証 (MFA : Multi Factor Authentication) を必要とさせるポリシーです。将来的にすべての Azure…

0

Azure AD の ExpressRoute サポート変更につきまして

こんにちは、 Azure ID チームの三浦です。 2018 年 5 月の Azure AD に対する更新情報 に記載の  ExpressRoute 利用環境における Azure AD への認証トラフィックの変更について、その変更の内容、変更の影響を受ける場合の対応策についてご案内します。   変更の内容 Azure AD の認証トラフィックを処理するエンドポイント (IP アドレス) について、これまで ExpressRoute で Public ピアリング、 Microsoft ピアリングのいずれにおいてもルート情報がアドバタイズされていました。 言い換えますと ExpressRoute で Public ピアリングや Microsoft ピアリングを有効にして利用している環境では、 Azure AD に対する認証トラフィックが ExpressRoute を経由していました。   これが 2018 年 8 月 1 日から次のように変更されます。   Microsoft ピアリング、かつ ExpressRoute を利用するサービスとして “その他の…

0

Azure サポート エンジニア募集中

技術関連の情報ではないのですが、ご案内させてください。   現在  Azure のサポート エンジニアを募集しています。 2018/5/26 (土) に説明会、相談会を開催しますので、興味のある方は下記 リンクより事前にお申し込みの上、ぜひご参加ください。 Azure サポート エンジニア 説明会、相談会   ポジションとしては、私ども、Azure AD、AD FS, Azure AD Connect を担当する Azure Identity チームをはじめ、IaaS、PaaS、Azure Stack でも募集中です。 説明会に参加いただけない場合ももちろん応募いただけます。 募集要項 Technical Specialist Azure Identity Technical Specialist Engineer Iaas Technical Specialist Engineer Paas Technical Specialist Azure Stack   Azureサポート エンジニアの魅力とやりがいとは? https://japan.zdnet.com/extra/microsoft_support_201803/35116283/   ※5/16 追加情報 レバテック社様の「スキルアップ記事」にて、今回対象のポジションについてご紹介いただいております!興味のある方はぜひご一読ください。 https://career.levtech.jp/guide/knowhow/article/416/    …

0

ハイブリッド Azure Active Directory 参加済みデバイスの構成について

いつもお世話になります。Azure & Identity サポート チームの加藤です。 本記事では「ハイブリッド Azure Active Directory 参加済みデバイスの構成」についてご案内します。 本記事がみなさまの一助になれば幸いです。   本記事の目的 ハイブリッド Azure Active Directory 参加済みデバイスの構成とは 「手順 1 : サービス接続ポイントの構成」についての補足 「手順 2 : 要求の発行のセットアップ」についての補足 Windows 10 のデバイス登録の流れについて Windows 10 のデバイス登録について注意事項 ダウンレベルの Windows (Windows 7、Windows 8.1) のデバイス登録の流れ ダウンレベルの Windows (Windows 7、Windows 8.1) のデバイス登録について注意事項   1. 本記事の目的 本記事の目的は、以下の弊社公開情報を補足することです。   ハイブリッド Azure Active Directory 参加済みデバイスの構成方法  …

0

Azure AD と AD FS のベスト プラクティス: パスワード スプレー攻撃の防御

こんにちは、Azure Identity サポートの宮林と高田です。 本記事は、米国時間 2018 年 3 月 5 日に公開された Azure AD and ADFS best practices: Defending against password spray attacks の抄訳です。Azure AD と AD FS に関してパスワードスプレー攻撃を取り上げた情報がまとめられており、日本のサポート チームとして皆様にぜひ内容を共有したく日本語化しました。     皆さんこんにちは。 パスワードを用いたログインを採用している限り、第三者がそれを推測しようとすることは避けられません。このブログでは、最近非常に頻繁に行われるようになったパスワード スプレーと呼ばれる攻撃手法と、それに対する防衛のためのベスト プラクティスについて説明します。 パスワード スプレー攻撃では、攻撃者が多くの人が設定するような一般的なパスワードで、複数の異なるアカウントに対してログインを試行することで、パスワードで保護されたリソースにアクセスを試みます。 通常、これらは 1 つの組織や 1 つの認証基盤に留まることなく行われます。例えば、攻撃者は Mailsniper などの一般にも入手可能なツールを用いて、複数の組織の全てのユーザーを列挙し、それらのアカウントすべてに対して “P@$$w0rd” や “Password1” などのパスワードを試します。 攻撃のイメージとしては、以下のようなものが挙げられます。    Target User  Target Password  User1@org1.com  Password1…

0

Azure Identity サポート部門より

こんにちは! 日本マイクロソフトの Azure Identity サポートです。 Azure Identity のサポート チームでは Azure に関わる認証についてのお問い合わせを主に担当しています。 “Azure Identity” というと何が思い浮かぶでしょうか? Azure Active Directory (Azure AD) がその一つですが、オンプレミスの Active Directory と連携する Federation Service (AD FS) やオンプレミス Active Directory から Azure AD にユーザーなどのオブジェクトを同期する Azure AD Connect も私たちの担当範囲です。それ以外に Key Vault や Azure AD Application Proxy といったサービスもあります。 元々オンプレミスの Identity サポート チームと同じブログで私たちの情報も提供していましたが、今回 Azure Identity サポートに特化した形で新規のブログサイトを開設しました。 開発部門などからも多くの公式な公開情報を提供しておりますが、私たちのブログでは、新機能に関してのご紹介だけでなく、日本の多くの Azure…

0