多要素認証 (MFA) のリセット手順

こんにちは、Azure & Identity サポート チームの小野です。   今回は、Azure AD における多要素認証 (Multi-Factor Authentication = MFA) のリセット手順についてご紹介します。   Azure AD では、ログイン時の追加認証方式として電話・スマートフォンアプリ・メールなどを使った多要素認証 (Multi-Factor Authentication = MFA) を利用することができ、パスワードのセルフサービス リセット時にも同様の認証方式を利用させることが可能です。MFA の設定を有効にしている場合、Azure AD にログインをするためには認証方法に指定したスマートフォンなどを利用できる必要がありますが、スマートフォンを紛失してしまった場合や電話番号およびメールアドレスが無効になった場合には、MFA で設定していた認証を利用できない状況となり、ユーザー認証を完了することができずサービスを利用することができなくなります。 このような場合は、Azure AD  の管理者による対象ユーザーのMFA 設定のリセットを実施します。   なお、一般ユーザー権限では他ユーザーのMFA 認証設定のリセットは行うことができません。一般ユーザーは 、ログインができる状態であればユーザー自身で登録されている MFA の設定を変更することはできますが、MFA の追加の認証を受け取れるスマートフォンを紛失したなどの場合に、自ら MFA 設定のリセットを行うことはできません。     MFA のリセットは、Azure Portal またはPowerShell より行うことが可能です。Azure Portal からの操作では事前準備が不要なため、すぐに操作を実施することができます。PowerShell からの操作では、CSV 形式で用意した全ユーザーに対してリセットを行うことができるため、多くのユーザーに対し一括でリセットを行いたい場合に有効です。   Azure Portal…

0

Azure AD Connect : 2018/11/7 以降 AADC 1.0.8641.0 以前では Password Writeback が利用できない

こんにちは。Azure Identity チームの金森です。 今回は Azure AD Connect (AADC) をご利用いただいている皆様に急ぎお伝えしたい情報がございます。   先に結論ですが、表題の通り AADC 1.0.8641.0 とそれ以前のバージョンをご利用の環境において 2018/11/7 以降は  Password Writeback が機能しなくなります。   理由として、AADC 1.0.8641.0 以前のバージョンでは、Password Writeback を実現するために ACS (Access Control Service) を利用していました。 ACS が 2018/11/7 に完全リタイアするのですが、ACS の機能が提供されなくなることで、AADC 1.0.8641.0 以前をご利用の環境で Password Writeback が動作しなくなります。なお、それ以降のバージョンについては特に影響はありませんのでご安心ください。   How-to: Configure password writeback https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-sspr-writeback   ACS のリタイアに関しては、昨年から情報を公開しておりましたので準備を進めていただいている方も多いかもしれませんが、今回は ACS 対応のアプリケーションを他に利用しているか否かは関係しません。   How to: Migrate…

0

Azure AD の OAuth 2.0 における Authorization Code の再利用禁止

こんにちは、Azure & Identity サポート チームの小野です。   今回は、2018 年 10 月 10 日 (水) 以降に変更を予定しています Azure AD の OAuth 2.0 における Authorization Code の再利用禁止についてご紹介します。 変更のアナウンスについては以下の資料をご確認ください。 変更通知: 承認コードを再利用できなくなる https://docs.microsoft.com/ja-jp/azure/active-directory/fundamentals/whats-new#change-notice-authorization-codes-will-no-longer-be-available-for-reuse   本変更の影響を受けるのは、Azure AD より Authorization Code を取得し、この Authorization Code を繰り返し使用してアクセス トークンをリクエストする処理を含むアプリケーションです。Azure AD へのログイン、Azure PowerShell 、Azure CLI や SDK を利用したトークン取得については、特に影響ありませんので、ご安心ください。   まず、OAuth 2.0 における Authorization Code について簡単に説明します。 Authorization Code…

0

条件付きアクセスの基本的な考え方

こんにちは、Azure & Identity サポート チームの栗井です。 この記事では条件付きアクセスポリシー設定の基本的な考え方について解説します。   条件付きアクセスの基本的な考え方は、アクセスを制限すること 条件付きアクセスポリシーは、アクセスを許可する条件の設定ではなく、アクセスをブロック / または制限 (特定の条件を満たさなければブロック) する条件を設定します。 基本的にはすべてのアクセスが許可された状態で、「ブロック、もしくは制御したいアクセスパターンのブラックリストを作成する」とイメージすると、分かりやすいかもしれません。 条件付きアクセスポリシーを 1つも設定していない場合や、それぞれのポリシーの「割り当て」で設定した対象に合致しない場合は、特に制限無くアクセスできる動作となります。 ポリシーの「割り当て」で設定した対象に合致した場合には、「アクセス制御」で設定した内容が適用されます。 例えば、アクセスがブロックされたり、あるいは 多要素認証が要求されるなど、アクセスするための制限が加わります。   条件付きアクセスのポリシーに、順序による優先順位はありません 条件付きアクセスポリシーを複数定義した場合、定義した順番 (画面表示上の上下) で優先順位はありません。 すべてのポリシーが評価対象であり、以下のように動作します。 どれか1つのポリシーでブロックの対象となった場合、アクセスはブロックされます。 複数のポリシーでアクセスを制限された場合、すべての条件を満たさないかぎり、アクセスはブロックされます。 どのポリシーの対象にもならない場合、あるいはすべての条件を満たした場合、アクセスが許可されます。   条件付きアクセスのポリシーの設定とアクセス可否の図 以下に、条件付きアクセスのポリシーの設定とアクセス可否の関係を簡潔なチャートで示します。 1. ポリシーの「割り当て」に該当するか 最初に、ポリシーの割り当て対象に該当するかどうかが評価されます。 割り当て対象に該当しない場合は、アクセスは許可されます。 割り当て対象に該当する場合、以下の 2 の評価に続きます。 2. ポリシーの「アクセスのブロック」対象か「アクセス権の付与」対象か すべてのポリシーには、「アクセスのブロック」「アクセス権の付与」のいずれかのコントロールが設定されています。 「アクセスのブロック」が設定されている場合、アクセスはブロックされます。 「アクセス権の付与」である場合、以下の 3 の評価に続きます。 3. 「アクセス権の付与」条件を満たすかどうか 「アクセス権の付与」のコントロールが設定されているポリシーでは、アクセス権の付与条件が少なくとも一つ以上設定されています。 この項目によって設定される条件を満たした場合、アクセスが許可されます。 条件を満たさない場合には、アクセスはブロックされます。   上記の 1 から 3…

0

RBAC のスコープについて

こんにちは、Azure & Identity サポート チームの坂井です。   今回は ロールベースのアクセス制御 (RBAC) について紹介します。 Azure の各種リソースに対するアクセス制御 (IAM) とも呼ばれ、リソースに対して実行できること、そのユーザーがアクセスできる領域を管理するのに役立ちます。   RBAC の設定ポイントとしては、3 つあります。   ・セキュリティ プリンシパル :権限を付与する対象を表します。ユーザー、グループ、サービス プリンシパルに設定可能です ・ロール (権限) 定義       :組み込みロールやカスタム ロールから、付与したい権限の種類を決定します ・Scope (スコープ)      :権限が適用される範囲を決定します   (サブスクリプション > リソース グループ > リソース) サブスクリプション全体に対して権限を付与すると、リソース グループ、リソースへと権限が継承されます   ここからは “スコープ” について具体例をもとに、紹介します。     シナリオ 1 : サブスクリプション単位 【設定内容】 : サブスクリプション A には「所有者」権限、サブスクリプション B には権限の付与なし…

0

“Baseline policy: Require MFA for admins” について

こんにちは、Azure ID チームの宮林です。 今回は下記のとおり、6/22 より Public Preview となった “Baseline policy: Require MFA for admins” についてお知らせいたします。   Baseline security policy for Azure AD admin accounts in public preview! https://cloudblogs.microsoft.com/enterprisemobility/2018/06/22/baseline-security-policy-for-azure-ad-admin-accounts-in-public-preview/ ベースラインの保護とは (プレビュー) https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-conditional-access-baseline-protection   (こちらが対象のポリシーとなります)   “Baseline policy: Require MFA for admins” とは “Baseline policy: Require MFA for admins” は、特権ロールを持つアカウントに対して多要素認証 (MFA : Multi Factor Authentication) を必要とさせるポリシーです。将来的にすべての Azure…

0

Azure AD の ExpressRoute サポート変更につきまして

こんにちは、 Azure ID チームの三浦です。 2018 年 5 月の Azure AD に対する更新情報 に記載の  ExpressRoute 利用環境における Azure AD への認証トラフィックの変更について、その変更の内容、変更の影響を受ける場合の対応策についてご案内します。   変更の内容 Azure AD の認証トラフィックを処理するエンドポイント (IP アドレス) について、これまで ExpressRoute で Public ピアリング、 Microsoft ピアリングのいずれにおいてもルート情報がアドバタイズされていました。 言い換えますと ExpressRoute で Public ピアリングや Microsoft ピアリングを有効にして利用している環境では、 Azure AD に対する認証トラフィックが ExpressRoute を経由していました。   これが 2018 年 8 月 1 日から次のように変更されます。   Microsoft ピアリング、かつ ExpressRoute を利用するサービスとして “その他の…

0

ハイブリッド Azure Active Directory 参加済みデバイスの構成について

いつもお世話になります。Azure & Identity サポート チームの加藤です。 本記事では「ハイブリッド Azure Active Directory 参加済みデバイスの構成」についてご案内します。 本記事がみなさまの一助になれば幸いです。   本記事の目的 ハイブリッド Azure Active Directory 参加済みデバイスの構成とは 「手順 1 : サービス接続ポイントの構成」についての補足 「手順 2 : 要求の発行のセットアップ」についての補足 Windows 10 のデバイス登録の流れについて Windows 10 のデバイス登録について注意事項 ダウンレベルの Windows (Windows 7、Windows 8.1) のデバイス登録の流れ ダウンレベルの Windows (Windows 7、Windows 8.1) のデバイス登録について注意事項   1. 本記事の目的 本記事の目的は、以下の弊社公開情報を補足することです。   ハイブリッド Azure Active Directory 参加済みデバイスの構成方法  …

0

Azure Identity サポート部門より

こんにちは! 日本マイクロソフトの Azure Identity サポートです。 Azure Identity のサポート チームでは Azure に関わる認証についてのお問い合わせを主に担当しています。 “Azure Identity” というと何が思い浮かぶでしょうか? Azure Active Directory (Azure AD) がその一つですが、オンプレミスの Active Directory と連携する Federation Service (AD FS) やオンプレミス Active Directory から Azure AD にユーザーなどのオブジェクトを同期する Azure AD Connect も私たちの担当範囲です。それ以外に Key Vault や Azure AD Application Proxy といったサービスもあります。 元々オンプレミスの Identity サポート チームと同じブログで私たちの情報も提供していましたが、今回 Azure Identity サポートに特化した形で新規のブログサイトを開設しました。 開発部門などからも多くの公式な公開情報を提供しておりますが、私たちのブログでは、新機能に関してのご紹介だけでなく、日本の多くの Azure…

0