Azure AD の ディレクトリロールが割り当てられたメンバーの一覧を取得したい

こんにちは! Azure & Identity サポート チームの三浦 大です。   今回は Azure AD のディレクトリロールが割り当てられているユーザーの一覧を CSV で出力する PowerShell スクリプトをご紹介します。 Azure AD はセキュリティの観点から、ディレクトリロールにて設定できるロールが細かく分類されております。 各ロールのメンバーの一覧は、先日の ブログ で紹介しましたように、 Azure ポータルから参照することができます。 しかし、この一覧をファイルとして出力したいというご要望もあるかと思います。   以下のとおり、ディレクトリロールの一覧を出力する PowerShell スクリプトを作成いたしましたので、ぜひご利用ください!   ※ 実行に際しては、事前に Install-Module -Name MSOnline コマンドを実行し、 Azure AD PowerShell モジュールのインストールをお願いいたします。 Azure AD PowerShell のインストールなどについては、以下の公開情報をご参照くださいませ。   Azure Active Directory の PowerShell モジュール https://blogs.technet.microsoft.com/jpazureid/2017/12/04/aad-powershell/   PowerShell スクリプト…

0

テナント制限について

こんにちは! Azure & Identity サポート チームの三浦 大です。   今回はテナント制限の機能に関して、よくあるお問い合わせと、その回答をまとめさせていただきました。   テナント制限とは まず、テナント制限とは、 Azure AD に対する認証の通信をプロキシ経由させ、そのプロキシから送信されるデータに、アクセスを許可する Azure AD テナントの情報を付与しておくことで、それ以外の Azure AD テナントへのアクセスをブロックする機能を指しています。   詳細については、以下の公開情報をご参照ください。   自社テナント以外へのアクセス制御 – “テナントの制限” 機能 (Tenant Restrictions) https://blogs.technet.microsoft.com/office365-tech-japan/2017/02/06/tenant-restrictions/   テナント制限が機能しており、アクセスを許可しないテナントの  Office 365 や Azure へのサインイン時に 「ここからアクセスすることはできません」 のエラーメッセージが表示されます。     以下にて、テナント制限に関連する、よくあるお問い合わせをまとめました。 ぜひご参照ください!     よくあるお問い合わせ Q : MS アカウントを利用すると、制限の画面が表示されますが、回避策はありませんか? A : MS アカウントを許可する場合には、以下をテナント制限の許可するリストに追加します。…

0

Azure MFA を求められるタイミングについて

こんにちは、Azure ID チームの田中です。 Azure AD では、ユーザー名、パスワードによるサインインだけでなく、多要素認証(MFA) を簡単に構成することができます。 私たちのサポートチームでは多要素認証(MFA) についてよくお問い合わせをいただくのですが、 今回はMFA を有効化しているのにも関わらず、MFA を求められないことがあるということで、Azure MFA を要求されないケースについて、その理由を含めて紹介します。   MFAとは? Multi-Factor Authentication の略で、ユーザー名・パスワードの認証にプラスして別の認証を求める機能を指します。 例えば社内ネットワーク以外からのアクセスであれば、ユーザー名とパスワードだけではなく、SMS 認証を強制することが可能になり、セキュリティをさらに高めることができます。 Azure の機能では電話認証(電話・SMS)、Authenticator アプリを使用した認証を提供しています。   ・参考情報 Azure Multi-Factor Authentication とは https://docs.microsoft.com/ja-jp/azure/active-directory/authentication/multi-factor-authentication   Azure MFA を再び要求されないのは果たして安全なのか 初回 MFA を要求された後に MFA を求められなくなるシナリオとしては大きく分けて2つあります。   A. MFA の画面で多要素認証の記憶がオンになっている B. 各種トークンが使用されている   ここではそれぞれのシナリオについて、その理由と解決策、セキュリティ面をご説明致します。   A. MFA の画面で多要素認証の記憶がオンになっている ユーザーが Azure AD…

0

Azure AD プロビジョニング機能について

こんにちは、 Azure & Identity サポート チームの平形です。 今回は、Azure AD のプロビジョニング機能についてご紹介します。   プロビジョニングは Azure AD と連携する主に他社から提供されている SaaS アプリケーションに Azure AD 上に存在するアカウント情報を自動で作成・更新・削除を行う機能です。オンプレミスの Active Directory と Azure Active Directory 間は Azure AD Connect で同期できますが (Azure AD 視点でアカウントを利用できるようにするという意味でプロビジョニングと呼ぶこともできます)、更に Azure AD と連携している SaaS アプリケーションが利用するアカウント情報を同期させることで (今回の Blog で紹介するプロビジョニングです)、それぞれのアカウントを一元管理し、シングル サインオンを実現できます。   今回はプロビジョニング機能の概要とよくあるお問い合わせを紹介します。 プロビジョニングは大まかに分けると以下のフローに分けて処理が行われます。 (括弧内は Azure AD 監査ログに出力されるアクティビティです)   プロビジョニングの初期同期 テナント上のユーザー・グループ オブジェクト情報を属性マッピングで定義された値に基づき抽出する。 (Import) 1….

0

Azure AD が発行するトークンの有効期間について

こんにちは、Azure & Identity サポート チームの金森です。   Azure AD (AAD) は Office 365 をはじめ様々なクラウド サービスの認証基盤として利用されますが、その重要な機能として認証が完了したアカウントに対してトークンを発行するということがあります。 ここでのトークンとは Kerberos 認証におけるチケットに近いものです。AAD が発行するトークンの種類や有効期間の制御方法は以下の docs 技術情報として公開しています。   Azure Active Directory における構成可能なトークンの有効期間 (パブリック プレビュー) https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-configurable-token-lifetimes   今回の情報の中で、 AAD が発行するトークンにどのような種類があり、既定の状態ではトークンの有効期間はどうなっているのか、AAD ポリシーでどのような制御ができるのか、もう少しかみ砕いてご紹介いたします。 以下は説明における略語の一覧です。 AAD : Azure Active Directory の略です。 SSO : Single Sign On の略です。 IdP : Identity Provider の略です。以下の説明では AAD を指します。 SP :…

0

[2018/03/06 更新] フェデレーション環境 (Windows 統合認証) で [サインインの状態を維持しますか?] の画面が表示されない

こんにちは、Azure ID サポートチームの高田です。 本日は、Azure AD のサインイン画面の変更とそれに伴うフェデレーション環境への影響についておまとめしました。   まず、Microsoft では、11 月より Azure AD のサインイン画面にいくつか変更を加えております。具体的には、新しいサインイン エクスペリエンスが導入されており、Azure AD へのサインイン時に以下のような画面が表示されることにお気づきの方もいらっしゃると思います。   ▼古いサインイン エクスペリエンス   ▼新しいサインイン エクスペリエンス ※画面遷移の説明は、下記ブログを参照ください。 Fewer login prompts: The new “Keep me signed in” experience for Azure AD is in preview https://cloudblogs.microsoft.com/enterprisemobility/2017/09/19/fewer-login-prompts-the-new-keep-me-signed-in-experience-for-azure-ad-is-in-preview/   この [サインインの状態を維持しますか?] の画面は、古いサインイン画面の [サインインしたままにする] チェックボックスと同じ設定を表しています。Azure AD の [会社のブランド] から構成できる [サインインしたままにするオプションを表示する] の設定が [はい] の場合に表示されます。 既定ではこのオプションは…

0

Azure AD の条件付きアクセスに関する Q&A

こんにちは、Azure & Identity サポート チームの高田です。 今回はお問い合わせをよくいただく、Azure AD の条件付きアクセスについてです。 お問い合わせの多いご質問について、Q&A 形式でおまとめいたしました。既存のドキュメントではカバーされていない動作や質問について今後も適宜内容を拡充していきますので、ご参照いただければと思います。     Q. Office 365 を利用しているが、条件付きアクセスを利用できますか? A. はい、利用可能です。Office 365 をご利用いただいているお客様は、認証基盤として Azure AD をご利用いただいている状態となります。そのため、追加で Azure AD Premium のライセンスを購入いただくことで、利用可能になります。     Q. Azure AD Application Proxy を利用して公開しているアプリケーションなども条件付きアクセスで制御可能でしょうか。 A. はい、条件付きアクセスで制御可能です。Azure AD 上に登録されているアプリケーションであれば、条件付きアクセスで制御できます。Azure AD Application Proxy を利用して公開しているアプリケーションやご自身で開発し Azure AD 上に登録したアプリケーションも制御対象とすることが可能です。     Q. Azure AD B2B コラボレーション機能により招待されたゲスト ユーザーに対して条件付きアクセスのルールを適用する場合には、Azure AD…

0

[Azure AD Connect] ID 同期と重複属性の回復性の動作について

こんにちは、Azure & Identity サポート チームの後藤です。 2017 年 3 月に多くのテナントで有効化された ID 同期と重複属性の回復性の動作についてご紹介します。 なお、2017 年 10 月 30 日以降は例外なくすべてのテナントでこの機能は有効になっています。   以下のような流れでご紹介します。   <目次> 以前の動作の概要 ID 同期と重複属性の回復性の動作 重複状態からの解消について ID 同期と重複属性の回復性が動作しないケース   以前の動作の概要 以前は、ディレクトリ同期の際に UPN または ProxyAddresses の属性が Azure AD 内で重複するようなユーザー オブジェクトを Azure AD に同期を試みた場合、エラーが発生し、ユーザー オブジェクトを Azure AD に作成することができませんでした。   一例 : Azure AD に、UPN : user01@contoso.com (オリジナルuser01)のユーザーが存在します。 この…

0

[調査に有効な採取情報] ブラウザ経由での Azure AD 認証

こんにちは、Azure & Identity サポート チームの後藤です。 サポートに問い合わせる前に取得しておくと、その後の調査がスムーズに進む可能性がある資料をご紹介します。 今回はブラウザ経由でのアクセス時に Azure AD における認証の問題が疑われるシナリオの場合です。 具体的なシナリオとしては次のような例です。 Azure AD と連携する Box などのサードパーティーの SaaS アプリで SSO をしようとしたがうまく動作しない。 Azure ポータルで設定作業をしたが、雲のマークが出て設定画面がロードされない。 Office 365 にサインインしようとしたが、エラーが出力されサインインできない。 上記のようなシナリオで有効な採取情報、その採取手順をご紹介します。あわせて Azure AD に関する問題全般 でご紹介しました情報の採取も実施ください (PSR 情報は重複していますが、認証に関わる問題の際には本ブログの手順で採取します)。 <採取情報> (a) 問題ステップ記録 (PSR) ツール情報 問題ステップ記録 (以降、PSR) は、クリックした場所の説明や、表示される画面のスクリーン ショット、その日時などを自動的にキャプチャするツールです。 PSR 情報から得られた各オペレーションの実行日時を元に Fiddler トレース、ネットワーク パケットの情報を解析します。 (b) Fiddler トレース Fiddler トレースは、該当端末の HTTP(S) 通信の確認を目的としています。 PSR 情報、ネットワーク パケットと合わせて同じタイミングで取得ください。 (c) ネットワーク パケット ネットワーク パケットは、通信の相手先や HTTP (S) の確立、 TCP レベルの解析を目的としています。 PSR 情報、 Fiddler トレースと合わせて同じタイミングで取得ください。 <取得手順目次> 端末に Fiddler をインストールします PSR 情報、Fiddler トレースの記録及びネットワーク キャプチャの記録を開始します 事象の発生を確認します PSR 情報、Fiddler トレースの記録及びネットワーク キャプチャの記録を停止します <取得手順詳細> ———————————– 端末に Fiddler をインストールします…

0

[調査に有効な採取情報] Azure AD に関する問題全般

こんにちは、Azure & Identity サポート チームの後藤です。   今回は Azure AD に関する問題についてサポートに問い合わせる際に問い合わせに含めることを推奨する情報についてご紹介します。 ここでご紹介する情報は Azure AD が関係するようなお問い合わせでは、大体どのようなケースにおいても調査に必要になる情報となります。   <採取情報> (a) 問題が起きているテナント及び問題に関係しているテナントの Tenant ID かイニシャル ドメイン (******.onmicrosoft.com) *この情報は Azure ポータルから問題の発生しているテナントのユーザーでお問い合わせを発行された場合にはこの情報はサポートにて確認できるので不要です。   (b) 作業対象のユーザーや問題が発生しているユーザーの情報 (UPN, メンバーかゲスト ユーザーか, どのテナントのユーザーか)   (c) 問題ステップ記録 (PSR) ツール情報 問題ステップ記録 (以降、PSR) は、クリックした場所の説明や、表示される画面のスクリーン ショット、その日時などを自動的にキャプチャするツールです。 PSR 情報から得られた各オペレーションの実行日時を元に、後述の各種情報から調査・追跡を行うために採取していただきます。 PSR の取得手順については後述します。   (c) エラー コード 下記のようなエラー コードがあるとサポート エンジニアは同様のエラーが出力された事例の調査ができます。 また、開発エンジニアの確認が必要になるケースでもエラー コードを元に大まかな要因を特定できる可能性があります。…

0