Azure AD (Office 365) 上のユーザーをオンプレミス Active Directory ユーザーと紐付ける方法について

hardmatch_1
hardmatch_1

こんにちは、Azure & Identity サポート チームです。 今回は Azure AD (Office 365) 上のユーザーをオンプレミス Active Directory ユーザーと紐付ける方法の一つで、ハードマッチと呼ばれる方法についてご紹介します。 既に Azure AD 上にユーザー アカウントが存在している状態で、そのユーザーを後からオンプレミスの Active Directory (AD) に追加し、同期をおこなうときにその既存のアカウントをそのまま利用したいということがあると思います。 このようなケースではオンプレミス AD で対象となるアカウントのメール アドレス、または UPN 名を一致させた上で同期をおこなうという手法が一般的には取られます (これをソフトマッチと呼びます)。このソフトマッチができない場合 (UPN 名が異なるアカウントを紐づける必要がある場合など) にはハード マッチと呼ばれる方法で直接的に同期時にオブジェクトの一意性を確保する ID 情報 Immutable ID を紐づけます。 Azure AD Connect の既定の構成では、オンプレミス AD の ObjectGUID を Base64 でエンコードした値を Immutable ID (source Anchor) として紐づけています。 以下では既定の構成で…

0

Windows で出力されるセキュリティ イベントの一覧情報について

こんにちは、Windows プラットフォーム サポートの串田です。 今回は、Windows OS で出力されるセキュリティ イベント ログの一覧がまとめられたファイルの取得方法、およびファイルの見方についてご紹介いたします。   近年セキュリティの重要性が一層高まっており、 Windows のセキュリティ ログに出力されるイベントを監視しているお客様も多くいらっしゃると存じます。 しかし、セキュリティ ログに出力されるイベントは多種多様であり、お客様側でイベントを全て把握することは困難です。 お客様からも “監視するイベントを検討したいが、そもそもどんなイベントが出力されるのか、OS によって差異はあるのか” などお問い合わせをいただくことがあります。 このため、弊社でもセキュリティ ログに出力されるイベントをまとめた情報は公開しているのですが、bing や Google で検索しても見つかり難い状況でした。   そこで、AD サポート チームより、現在サポートされている OS のセキュリティ イベントの一覧がまとめられた Excel ファイルが取得可能なサイトを案内させていただきます。 どの監査ポリシーを設定することで出力されるのか、どの OS から記録されるイベントなのかなど英語版ではありますが、情報がまとまっています。 以下にそれぞれ URL と Excel ファイルの見方を記載いたしますので、運用環境に合わせてご取得いただければと思います。   <セキュリティ ログの一覧がまとめられた Excel を公開しているサイト> 現在サポートされている OS 全てのセキュリティ イベント ログがまとめられた Excel が取得可能なサイト Windows security…

0

証明書利用者信頼のセキュア ハッシュ アルゴリズムについて

こんにちは、Windows プラットフォーム サポート担当の竹村です。 今回は、AD FS の証明書利用者信頼のプロパティで設定する、セキュア ハッシュ アルゴリズム についてご案内いたします。 ここで設定する セキュア ハッシュ アルゴリズム は、AD FS が、発行したトークンに署名を行う時のハッシュ アルゴリズムです。 以下、簡単に動作をご説明します。 認証要求が AD FS にリダイレクトされた後、認証に成功すると、AD FS は 証明書利用者信頼 (AD FS と連携しているサービス、アプリケーションを指します。例えば Office 365 などが該当します。) にアクセスするためのトークンを発行します。 この時、AD FS は、トークンに署名を行います。 クライアントは、証明書利用者信頼にアクセスする際にこのトークンを提示し、証明書利用者信頼は受け取ったトークンの署名を検証します。 つまり、間違いなくフェデレーション信頼を結んでいる AD FS がトークンを発行したこと、および改ざんが無いことを確認するために、デジタル署名のしくみを利用しています。 AD FS のプロパティで設定するセキュア ハッシュ アルゴリズムは、この署名を行う(メッセージダイジェストを作成する)時のハッシュ アルゴリズムになります。 Office 365 をご利用の環境で、このハッシュ アルゴリズムが SHA-1 の場合に、ポータルの管理センターで以下のメッセージを着信することがあります。 MC92255 Secure your…

0

Windows Server 2016 のサーバーマネージャーでリンクダウンしている NIC の IP アドレスが表示される

Windows Server 2016 のサーバーマネージャーで、リンクダウンしている NIC の IP アドレスが表示される事象について紹介いたします。   再現手順 : (1) 2 つの NIC のうち、Network1 に静的 IP アドレス 10.1.1.1 を設定します。 Network2 は DHCP 設定のまま LAN ケーブルを接続しない状態 (リンクダウン) にします。 (2) サーバーマネージャーを起動し、[役割と機能の追加] ウィザードを進めます。   (3) [対象サーバーの選択] 画面で、[IP アドレス] に 10.1.1.1 と、リンクダウンしている Network2 に内部的に割り当てられている APIPA (Automatic Private IP Addressing) のアドレス (以下の例では、169.254.187.104) が表示されます。   – Windows Server 2016 の場合…

0

IC カード(スマートカード)を用いたログインについて

こんにちは、プラットフォームサポートです。 今回は、IC カード (スマートカード) を用いたログインについてお知らせいたします。   IC カードを用いてインターネット サイトへのログインや、コンピュータへのログインを行う際、その IC カードの PIN コード (Personal Identification Number: 個人識別番号) を入力し、ログインを行う場合があります。このログインでは、IC カードの紛失や盗難等、不正な IC カードの利用に備え、PIN コード入力の誤りが一定回数以上発生しますと、一時的に IC カードの利用を停止させるようロックする機能が同時に組み込まれていることが一般的です。 ただし、通常の利用では問題は発生いたしませんが、PIN コードを入力する際に改行キー (Enterキー) が押下され続けたり、連続的に入力した場合には、PIN コードの入力が連続的に実行されたと判断され、PIN コード入力の誤りが一定回数以上発生した時と同様に、IC カードのロックやログインエラーに至る場合があります。 技術的な詳細につきましては、下記にてご説明申し上げますが、PIN コード入力時のキー連続押下などにつきましては、想定していない入力であるためご注意ください。   現象の説明 SSL 認証 (注釈 1) 時など、Microsoft Base Smart Card Cryptographic Service Provider (以下 BaseCSP (注釈 2)) が表示するスマートカードの PIN 認証テキスト ボックスにおいてキーを連続押下した場合、当該キーから手を放した場合でも、キーを長押ししていた秒数に応じて Enter…

0

KB3200970 適用後にインターネット接続が失敗する現象と、対処方法について

問題の概要 Windows Update により KB3200970 の更新プログラムを適用後、インターネット接続ができなくなる問題が発生することがあります。 この問題は、Windows 10 バージョン 1607 で KB3200970 を適用して以降、OS 再起動を実施していないコンピューターで発生します。 この問題が発生すると、ネットワーク アダプターの IP アドレスが意図せず APIPA (169.254.x.x の範囲の IP アドレス) となり、ネットワーク通信ができない状態となります。   原因 KB3200970 の更新プログラムを適用して以降、OS 再起動をしていない等、いくつかの条件によって CDPSVC サービスが停止することで、IP アドレスの取得に失敗します。   解決方法 本問題を修正する更新プログラム KB3206632 (2016/12/14 に公開) を適用します。   タイトル : December 13, 2016—KB3206632 (OS Build 14393.576) URL : https://support.microsoft.com/en-us/help/4004227/windows-10-update-kb3206632   更新プログラムの適用方法は、以下をご参照ください。 a. Windows…

0

AD FS の証明書更新手順(トークン署名証明書、トークン暗号化解除証明書)

皆様、こんにちは。Windows プラットフォーム サポート担当の竹村です。 前回に引き続き、本エントリではトークン署名証明書、トークン暗号化解除証明書の更新手順をご紹介いたします。 トークン署名証明書、トークン暗号化解除証明書は AD FS が発行する自己証明書であり、既定では1年に1回自動的に新しい証明書の作成、更新処理が行われます。 これを、自動ロールオーバー機能と呼びます。 自動ロールオーバー機能は、具体的には以下のように動作します。 1. 有効期限が切れる 20 日前に、セカンダリのトークン署名/トークン暗号化解除証明書を作成します。 2. 上記 1 でセカンダリの証明書が作成されてから 5日後に、セカンダリの新しい証明書がプライマリとなり、実際に利用されるようになります。 ※ この 5日間の間に、証明書利用者信頼に新しい証明書を登録する必要があります。 ここでは、これらの証明書を手動で更新する手順をご案内いたします。 また、補足として証明書の有効期限を既定の 1年 から変更する方法についても併せてご紹介いたします。 – 対象リリース Windows Server 2012 R2 (AD FS 3.0) – 更新手順 以下の流れで更新作業を行います。 —————— 手順の概要 —————— 1. セカンダリのトークン署名/トークン暗号化解除証明書を作成 2. 証明書利用者信頼 (Office 365) の証明書情報を更新 3. セカンダリのトークン署名/トークン暗号化解除証明書をプライマリに昇格 4. Active Directory Federation Services…

0

AD FS の証明書更新手順 (SSLサーバー証明書)

皆様、こんにちは。Windows プラットフォーム サポート担当の竹村です。 今回は、比較的多くのお客様からお問合せをいただく、AD FS の証明書更新手順をご紹介します。 本エントリでは SSLサーバー証明書 (サービス通信証明書) の手順をご紹介し、次回にトークン署名証明書、トークン暗号化証明書についてもご案内したいと思います。 – 対象リリース Windows Server 2012 R2 (AD FS 3.0) – 更新手順 以下の流れで更新作業を行います。 —————— 手順の概要 —————— 1. 証明書の取得 2. SSL サーバー証明書、ルート証明書、中間証明書のインストール 3. SSL サーバー証明書のアクセス権設定 4. AD FS のサービス通信証明書へ SSL サーバー証明書を設定 5. AD FS の SSL サーバー証明書を更新 6. WAP サーバーを再構成 それぞれの詳細を後述致します。 —————————————————————- 1. 証明書の取得 —————————————————————- ご利用になる認証機関から SSL…

0

FSMO の役割を転送した後の PDC エミュレーターの時刻同期の設定について

皆様、こんにちは。Windows プラットフォーム サポート担当の畠山です。 今回は、FSMO の役割を転送した後の、 PDC エミュレーターの時刻同期の設定について、ご紹介したいと思います。   1. PDC エミュレーターの時刻同期について ドメイン上の全てのコンピューターは、 Kerberos 認証を行うために、ドメイン コントローラーと同じ時刻である必要があります。 このため、ドメイン環境下の Windows の時刻は、フォレスト ルートにある PDC エミュレーターを基準に、各ドメイン コントローラー、そして各メンバー コンピューターの順に時刻を同期します。 多くの場合は、PDC エミュレーターが正確な時刻を維持するために、信頼する NTP サーバーと時刻を同期するための設定を行います。   2. FSMO の役割を転送する場合の注意 PDC エミュレーターは、FSMO の役割のひとつです。 FSMO の役割を転送する場合は、 PDC エミュレーターも役割を転送しますが、この際、時刻同期の設定は自動的には転送されません。 このため、FSMO 役割を転送した後に、PDC エミュレーター用の時刻同期の設定を手動で実施する必要があります。   設定手順は環境により異なるため、ここでは詳細な手順は割愛させていただきます。 英語の情報となりますが、下記の弊社ブログにて、手順を紹介しておりますので、ご参照いただきますと幸いです。 “It’s Simple!” ? Time Configuration in Active Directory https://blogs.technet.microsoft.com/nepapfe/2013/03/01/its-simple-time-configuration-in-active-directory/   なお、時刻の同期は、前述の通り、PDC…

0

ドメイン コントローラーのコンピューター名の変更における注意事項について

こんにちは。Windows プラットフォーム サポートの馬場です。 今回は、過去に名前変更を行ったことがあるドメイン コントローラーが含まれている、ドメイン環境における注意点についてご案内します。 OS のバージョン アップによるドメイン コントローラーの移行作業等で、ドメイン コントローラーのコンピューター名を変更することがあるかと思います。 以下の公開情報でも紹介されている通り、ドメイン コントローラーのコンピューター名を変更した際に、AD データベースにある SYSVOL の複製を行うための FRS メンバー オブジェクトの名前は、新しい名前に応じて変更されず、元のコンピューター名のままのオブジェクトとなります。 タイトル: Windows Server 2003 ドメイン コントローラの名前を変更するには SYSVOL メンバ オブジェクトの名前を変更する必要がある URL: https://support.microsoft.com/ja-jp/kb/316826 公開情報に記載されている通り、FRS メンバー オブジェクトの名前が元のコンピューター名のままであると、各ドメイン コントローラーは複製を行うメンバーの情報を正しく保持できないため、その後の移行作業等で SYSVOL の複製に失敗するといった影響がでる可能性があります。 そのため、ドメイン コントローラーの名前を変更した後は FRS メンバー オブジェクトの名前を、ADSI エディターを使用して手動で変更する必要があります。(手順は後述) なお上述の KB316826 には記載はありませんが、この事象は、Windows Server 2003 以降の以下の OS でも同様に発生します。 Windows Server 2008 / Windows Server…

0