初の日本語版 Azure Active Directory 専門書~脱オンプレミス! クラウド時代の認証基盤 Azure Active Directory 完全解説

Gartner 社から発表された Magic Quadrant(マジック クアドラント) によれば、Azure AD Premium が IDaaS(Identity and Access Management as a Service)部門で Leader 枠に位置づけられています。 Gartner からリリースされているレポート(無償で読めます)によれば、IAM 分野における IDaaS の採用率は 2020 年までに 40% に上るとみられており、今後ますますクラウド上での IAM に注目が集まりそうです。 Gartner による分析では、IAM を大きな 3 つの機能の集合体であるととらえており、これらの機能が B2B や B2C を問わずさまざまなシナリオで動作することが前提となっています。 IGA(Identity and Governance Management) 少なくとも顧客の持つIdentity ストアとの同期が行え、管理用のインターフェースが提供されていて IDaaS から顧客のディレクトリを管理できる ユーザー自身でパスワードをリセット Identityのライフサイクル管理機能 さまざまなシステムへの自動プロビジョニング アクセスのリクエスト(セルフサービス含む) ポリシーの適用により重要なシステムへのアクセスに対するガバナンス Access 少なくとも、Web プロキシやフェデレーションを使用したアプリへの SSO…

0

Azure AD のごみ箱(recycle bin)

ちょっと小ネタを。 Active Directory にゴミ箱機能が実装されたのは Windows Server 2008 R2 からでした。覚えてます? 実は、Azure Active Directory にもゴミ箱があります。 ちょっと以下の画面ショットをご覧ください。これは、Office 365 に用意されている「削除済みのユーザー」というメニューです。 Office 365 上で削除されたユーザーは、いったんここ(ゴミ箱)に移動されます。移動されたユーザーは、30日後に完全に削除されます。逆に言えば、30日未満であればもとのアクティブなユーザーとして復活することが可能です。 ここであることに気づきますよね。 そうです。Office 365 のユーザー管理簿は Azure Active Directory ですから、そもそも Azure Active Directory 自身にゴミ箱機能があるんじゃないか? まさにその通りです。 現在の旧ポータルで提供されている Azure Active Directory の管理画面では、念ながらゴミ箱を参照することはできませんが、PowerShell を使用すれば確認することができます。 まずは、Connect-MSOLService コマンドレットで Azure AD のテナントにログオンしましょう。 次に、Get-MSOLUser  -RetuenDeletedUsers コマンドを入力してみてください。ごみ箱に入っているユーザーを確認することができます。 削除されているユーザーが、「いつ」削除されたかを確認するには SoftDeleteionTimestamp プロパティを参照します。   このユーザーは 30 日後に削除されるわけですが、それがいつなのか?を確認するには SoftDeleteionTimestamp に…

0

Azure Automation の Webhook 機能が超便利。OMS からの Webhook 呼び出しもサポート。KeyVault と連携すれば面倒な URL 管理も楽々!

Azure Automation はご存知ですか? 数ある Azure の機能の中でも、私が一番好きなものです。Automation を使用すると、Windows PowerShell スクリプトを Azure 上で実行することができます。 Azure 上で実行すると何がうれしいかというと、スクリプトを実行する環境を用意しておく必要が無いのです。 普段あまり意識しませんが、スクリプトを実行するためにはいくつかの条件を満たす必要があります。 スクリプトを実行するサーバー、またはクライアントが生きている スクリプトによって処理されるターゲットが生きている ネットワークが生きている スクリプト実行に必要なモジュールがインストールされている など。 こうした面倒な環境をすべてクラウドに任せてしまえるのが Azure Automation です。 Azure Automation の概要は以下の動画でどうぞ。 で、Azure Automation には Webhook 機能も実装されています。Webhook とは何かといえば、WEB の API だと思ってください。 普通スクリプトを実行するには、以下のようにスクリプトファイルを PowerShell のコンソールから入力して実行します。 PS C:> ./hogehoge.ps1 Azure Automation だと、スクリプト(正確には Runbook:ランブック と言います)を選択して「実行ボタン」をクリックすれば実行できます。 Azure Automation 上の Runbook は、「スケジュール」機能を使用してスケジューリングすることもできます。その他、Windows Server の機能を使用してスクリプトをタスクマネージャーに登録しておいて、時間が来たり何らかのイベントが発生したら実行する、なんてこともできますよね。 で、注目していただきたいのは以下の Webhook …

0

IT 業界私的英雄"外"伝 ー 嘘のような未来の始まりです!

2007 年 4 月 21 日に日本のマイクロソフトに入社してからまもなく丸 9 年が経過し、10 年目に突入します。 入社して2か月後、大胆にも System Center の発表イベントに登壇し、System Center Essentials という懐かしい製品を担当しました。 あまりの緊張に自己紹介を忘れ、セッション途中でふと思い出し「あ、こんにちは安納です」と東京ダイナマイト張りの自己紹介を行ったことは、いまでは懐かしい思い出です。ホールの後方で見ていた当時直属の上司 長坂さん、奥主さん、田辺さん(今はなぜか V 社に)がずっこけいてる様子がよく見え、「あー、こんな広い会場でも一番後ろの人の顔まで見えるのか」と感動したものです。 ちなみにこのイベントは、現在は会長の樋口さんの登壇デビューでもあり、そういう意味では樋口会長と私は同期であると言えなくもないです(こ、こえぇぇこと言ってる。。。。気がする。。。)。 はじめてのセミナーは、確か Active Directory でした。あの頃はまだ Windows Server 2003 R2 を使っていたはずです。このセミナーは、高添さん骨折によるピンチヒッターでした。まだ新宿のサザンタワーにオフィスがあった時代です。なつかしいですね。Zoomit の使い方に慣れておらず、注目してほしいところに丸をつけるつもりが塗りつぶしてしまうという Zoomit アルアルもよい思い出かと。 初めての出張も、確か高添さんとじゃなかったかな。この辺の記憶が定かではありませんが、場所は仙台でした。 私は前職の影響で「資料のようなスライド」を作る癖がありました。文字がビッチリ書いてあるような。”読めばわかる”資料です。 一方で、高添さんの資料はシンプルなんです。当時の超馬鹿な私から見れば、「え?それでいいんすか?オヤビン?」って感じです。 で、セミナーが始まり高添さんが話し始めて驚きました。 さっきまで「文字が無くてスカスカですけど?」なスライドに明確な意味が出てくるんですよ。スライドとスライドが物語のようにつながってくるんですよ! なんですかこれ!?この感覚、高添さんのセッションに出たことがある方はわかると思うんですが、「この素材にはこの調味料!」的な組み合わせなんです。 「このスライドにはこの説明しかない!」。逆も真です。「この説明にはこのスライドしかない!」んです。スライドと説明が互いに欲しあっているという(いやらしい言い方だな)。高添さんは物語を語るようにテクノロジーを語ります。まるで一流の紙芝居(ってのがあるのかどうかわかりませんが)を見ているような感覚です。 それまで私はスライドで語ろうとしていました。言葉はスライドの補足だと思っていたんですね。だからビッチリと文字を書きこまざるを得なくなるんです。しかし高添さんは全く逆だったんです。伝えるのはスライドじゃなくて高添自身さんであり、主体はエバンジェリストである高添さん自身であると。聖書に語り部たるエバンジェリストがいるように、これこそが テクニカル エバンジェリストに求められている役割なのであると理解したのです。 今でも、忙しいとついついスライドを主体にしてしまいたくなるのです。何でもかんでも書き込むと楽なんですよねぇ~。読めるからww。でも、スライドを極限までシンプルにすると、ストーリーを組み立てて覚える必要があるので時間もかかるし大変なんです。でも、そのほうが聴き手には響くんです。間違いなく。 これを知れたのは、これから始まる私のエバンジェリスト人生にとって非常に大きな収穫でした。 ちょっと話が変わりますが、入社前は Windows Server Management という分野の MVP でした。今は亡き、柳原さんの推薦によるものです。 今だから言いますが、「オレ、ケッコウ、クワシイ、ナカナカ、イケテル、トミタヤスコ、スキ」と思っていましたヨ。 ほんと恥ずかしい(赤面)。 で、こんなオイラなら…

0

IT 業界私的英雄列伝 ー 国井 傑(すぐる)氏「セレブはね、腹黒さが顔に出ないんですよ(ニッコリ)」。伝説のトレーナー達が語るパネルディスカッション

年齢不詳な人っていますよ。見た目からは年齢が推測しずらい人。 株式会社ソフィアネットワーク 代表取締役副社長 国井さんも、そんな年齢不詳な素敵ジェントルマンの一人です。 いまだに本当の年齢は公表されておらず、トレーナー業界七不思議のひとつと言われています。 国井さんの私生活は分厚いベールに包まれており、誰も知りません。 知ろうとすることは危険です。 ただし、顔つきは常に穏やか。 怒りに無駄なエネルギーを使う代わりに、テクノロジーの習得にすべての精力を注ぐトレーナー業界の重鎮です。 彼は神出鬼没なことでも有名です。 あるときはシャレオツなカフェの一角で。 あるときは、ダークな交際を匂わせる高級料亭。 イタリアン・マ○○○○との交際を裏付けるかのような写真も。 そしてあるときは高級リゾートのプライベートビーチ、およびコテージから。遠くに見える帆船は、彼が Japanese Money で雇った海賊たちでしょう。 そしてまたあるときは、さいたま市。抽選で 500 名に Surface Pro3/4 をプレゼントするとかしないとかという大富豪っぷりです。 ただ、これら一連の写真から推測できる真実があります。 それは、彼は エンタープライズ モビリティの体現者であるということです。 彼は一連の写真を通じて、 安全性が確保された環境であれば、どこであっても自分のデバイスから仕事をすることが許されるのだ! 国井さんの動画ブログ(マイクロソフトのサイト上にあります)Always on the Clock https://channel9.msdn.com/Blogs/Always-on-the-clock-Annex-Suguru-Kunii-Microsoft-MVP-for-Identity–Access-Directory-Services ということを、きっと言いたいのでしょう。 話は変わりますが、数年前まで TEC(The Expert Conference)というカンファレンスがありました。 日本人がゼロの当該カンファレンスに、国井さんは毎年参加し続けたほどのストイックな Geek っぷりです。 私は、何度彼に土下座して資料を拝見させてもらったことか。ちなみに、お金を要求されたことはありません。 お金には全く興味が無いようです。さすがです。そりゃー自然と笑みもこぼれるでしょう。 私も何度か国井さんと TEC に参加したことがあります。ラスベガスとサン・ディエゴでした。 ラスベガスの郊外にある RedRock で開催された際には、国井さんと「エリア 51」に宇宙人を探しに行きました。 エリス51に行ってみたhttp://4travel.jp/travelogue/10563577 総走行距離 1000 キロ!…

0

IT 業界私的英雄列伝 - 祝!独立&Azure MVP!! 真武 信和 氏「AD の管理画面? 見たことない。でもどういう通信してるかは全部知ってる」。僕がなりたかった大人(年下だけど)達によるパネルディスカッション

あぁ、もうあんな感覚はとりもどせないんだなぁーって、しみじみと溜息をついてしまう瞬間ってあるじゃないですか。 初めての告白のときのドキドキとか、初めてのデートで何着ていこうかとか、深夜に電話したらお父さんが出たときの緊張とか、前髪を切りすぎて学校に行きたくない感じとか、前髪が鼻をくすぐるかんじとか、前髪が目に入ってチクチクする感じとか、前髪が風になびく感じとか、髪の毛が多くて鬱陶しい感じとか、髪型がなかなか決まらなくて焦る感じとか、髪なかなか乾かなくて学校に遅刻しちゃうよーって感じとか、その他髪の毛に関することとかいろいろ。いろいろ。髪は長〜い友だちとはよく言ったもんですが、あれれ?意外に早く去って言ったよなぁ。。。とか。 人に対しても似たような感覚を持つことってあります。 才気煥発な若いツバメ(あれ?使い方間違ってる?)に出会ったときなんかそうです。 あー俺ってもうこんな感じにはなれないんだよなぁーって胸がキューンとしてしまいます。 「こうありたかった」自分の理想像をまさに体現している若者に出会ったとき、10 年前の私ならば心を貝のように閉ざして強烈な嫉妬とともに引きこもったでしょう。で、超能力とか幽体離脱とかの練習を始めたはずです。 しかし、さすがに 47 にもなると多少の心の余裕は出てくるもので、逆に応援したくて仕方がなくなるものです。 Identity 系の仕事で知り合う方々は比較的年齢層が高いのですが、ときどき「うわーこの人スゲー」と思わされてしまう若者もちらほらと存在します。 上記写真の真武(またけ)氏も、そんな才気あふれる若者(といっても、30代だけどねw)の一人で、初の出会いは Yahoo! JAPAN で開催された idcon(Identity Conference) だったかと思います。 (注)idcon とは http://idcon.org/ 通称 Nov(ノブ)。 年下好みの女性にもてるであろう彼は、お酒はあまり強くありません。飲むとすぐに顔を赤らめる愛いヤツです。 酔うと AD FS が発行するアサーションについて語り始めたりもする紛れもない純粋 ID 厨ですが、アサーションよりは石原さとみと北川景子のほうがお好きなようです。 飄々とした見た目や言動とは裏腹に(失礼)、セキュリティ畑一筋に生きてきた彼が武器にするテクノロジーは超ガチ。 OpenID Foundation Japan の Evangelist であり、OAuth や OpenID Connect に関連する技術ドキュメントのほとんど全てに彼が関わっています。 試しに検索エンジンで OAuth とか OpenID Connect を検索してみてください。ヒットするプロトコル解説は、たいてい彼です。 あれ?こんなところにもいたwレアジョブ・iKnow!☆開発者が教える英語上達法http://next.rikunabi.com/tech/docs/ct_s03600.jsp?p=002014 彼のスキルセットを手っ取り早く知るには、彼の Blog、OAuth.jp がお勧め。 例えば以下の投稿を見てください。 「OAuth 認証」を定義しよう…

0

IT 業界私的英雄列伝 ー 富士榮 尚寛 氏「フェデレーションが難しい?美しいものほど攻略には苦労するものさ(フッ)」というセッションで Identity にどっぷりつかる

富士榮(ふじえ)さんと初めで出会ったのは MIXI でした。 まだ残っていると思いますが、MIXI 上で Identity Management グループを運営していて、メンバーは富士榮さんを含むたった2名(笑)。ほとんどスレッドなんて立っていない状態でしたが、なんか武骨な雰囲気がよさげで参加申請したのが始まりです。 当時の写真はこんなかんじで、ちょっと付き合いたくない雰囲気を醸し出していました。だって「華羅王(ファラオ)」とか名乗ってるし。中2病に決まってます。 オンラインで何度か会話をしているうちに、なんの因果か飲むことに。場所は新宿の思い出横丁にあるホルモン屋。私のお気に入りの場所の1つでした。 やってきたのは、驚くなかれ大手 SIer の課長様。当時、まだ 33,4 じゃなかったかな。 当初は軽快な大阪弁から繰り出される Identity 話で盛り上がりつつも、酒が進むにつれて次第に彼の野生が顔を出してきました。 変態でした。ドが付くほどの変態でした。それは間違いありませんでした。 MIIS(Microsoft Identity Integration Manager、現 MIM:Microsoft Identity Manager)や Sun Idetity Manager の内部の仕組みや問題点などを的確に、かつ深く語りつつ、そこにどうしても下ネタを交えないと気が済まない人でした。 私は「この人は確かに変態なんだけど、MS MVP にノミネートして広く発信するチャネルを与えないと IT 業界の損失だ」と感じるようになりました。いや、もっと正直に言うと、彼を取り込んで味方につけないと後々面倒かもしれない。そう考えていたのかもしれません。 彼はすでに IdM 実験室 http://idmlab.eidentity.jp/ という blog を運営しており、その中身はといえば、まーそれはそれは詳細な Identity Management に関するノウハウがびっしり。当時の MS の MIIS サポートチームが彼の Blog を参考にするくらい、その筋の方々に愛されているサイトでした。 MS MVP ってスキルだけじゃなれないんです。外部にインフルエンスするスキルも求められるため、そこで多くの人が脱落するのです。が、彼の場合はスキルセットも明確だし、Blog からは幸いにして変態性は伝わらないのでノープロブレムでした。ノミネート1回目にして難なく審査通過。これは、かなり珍しいことだと思います。…

0

IT 業界私的英雄列伝 – 横山 哲也 氏による「Active Directory の正しいとらえ方」講義を聴かずに AD は提案してはいけない

どの業界にも有名人ってのはいるもので、IT 業界も例外ではありません。 会社員でありながら広くメディアに露出し”その筋” の関係者から知られていたり、Twitter や Facebook などでやたらフォロワーが多かったりと、その形態はさまざまです。 IT 関係だと、日経 ITPRO や ITMEDIA などのオンラインメディアで技術解説している人なんてのも、そういう有名人候補の一人です。が、IT 系コラムや IT 業界ウォッチャーに有名人はいても、案外「技術解説」の執筆者は埋もれてしまいがちなんですよね。それも当然で、「技術解説」には色が出しずらいので、読者が執筆者を意識することがあまり無いんですよね。 昔 Nifty Serve というパソコン通信メディアがありました。私も夜11時テレホタイムに突入すると、モデムを起動して電話回線につなぎっぱなしにしたもんです。当然電話回線を占有しますから、家族からはひんしゅくを買うわけです。のちに INS64 が出てきたときは「これがデジタル世界か!」と感動したものですが。 家族からのひんしゅくを買いながらも、なぜにパソ通につなぎたかったか。 それは「情報」が欲しかったからです。情報に飢えていたんです。 当時 IT 系の情報は雑誌や書籍しかありませんでした。「コミュニティ」とか「オフライン」という勉強会みたいな会合に参加すれば、それこそ業界の有名人から直接手ほどきを受けることもできたのだと思いますが、人見知りの私はそんな怖いところに飛び込もうなんて思ったこともありません。 一方、手に入れることができる、”当時の”マイクロソフトのドキュメントは、はっきり言って浅すぎました。ネットサーフィンなんてまだありえませんでしたから、マイクロソフトのサイトからホワイトペーパーを手軽にダウンロードなんてできない時代です。 「やってみたけどわからない。調べたけど情報がない。何とかして知りたい!」という欲求を満たすには「知っている人」に聞くしかなく、知っている人がどこにいるかといえば Nifty Serve の Windows フォーラム 、略して FWIN でした。 ある日のこと、FWIN を巡回していると、なんかやたらキレている人がいるんです。 お会いしたことのない人だけど、とにかくキレまくっていることが容易に察せる文章でした。 その方のハンドルネームは cano さん。このフォーラムでたびたび見かけるお名前です。 彼の投稿は、かならず「cano です」から始まります。 当時、私はそれを「カノ」と読むものばかり思っていましたが、のちに「キャノ」だと知りました。 cano さんの知識の広さと深さはとてつもないものでした。 何をやっている人かは全く知りませんでしたが、とにかく途方もない人材であることは間違いありませんでした。 確か、「名前解決」か何かに関する質問を投稿したことがあるのですが、それに対し適切で詳細な回答をしていただいたことを今でも覚えています。どうやってそんな情報を得るんだろう?とても不思議でしたが、のちにトレーナーの方だということが分かり、すごくあこがれたものです。 回答のお礼に、「CANO さん、ありがとうございます!」と書いたところ、 「CANO ではありません、cano です」と訂正されたときには、ビビりすぎて死ぬかとおもいました。…

0

Active Directory 誕生の歴史と隠された苦労

2016年3月18日、Active Directory & Security Conference 2016 が開催されました。 多くのお客様にお申込みいただきありがとうございました。またキャンセル待ちいただきながらご参加いただけなかった皆様、本当にごめんなさい。 取り急ぎとなりますが、熱が冷めないうちにということでパネルディスカッション一つを以下に公開いたしましたので、是非ご覧ください。 モデレーター Increments 株式会社 及川 卓也 氏 パネリスト: グローバルナレッジネットワーク株式会社  横山哲也 氏 NEC マネジメントパートナー株式会社 吉田 薫 氏 NTT データ先端技術株式会社 小鮒 通成 氏 株式会社ソフィアネットワークの国井 傑 氏 Active Directory が2000年にリリースされてから早くもまる15年が経過しました。その間、市場のニーズを先取りするように Active Directory は進化し続けてきました。このセッションでは、Windows NT から Active Directory への大きな転換期をエンジニアとして過ごしたAD会の重鎮たちに、それぞれの立場から当時の Active Directory に対する衝撃、経験した現場の混乱などをパネルディスカッション形式でお話ししていただきます。モデレーターは、当時マイクロソフトでWindows 開発プロジェクトを担っていた及川卓也氏です。 イベント全体のビデオは以下に随時追加予定です! https://channel9.msdn.com/Blogs/Active-Directory-and-Enterprise-Mobility-for-Japanese

0

3/18 Active Directory 15th 記念カンファレンス 最終セッションリスト

Active Directory 大好きな皆様、おつかれさまです。ずっとヤルヤル詐欺のままだったのですが、とうとう開催が決定しました(といってもずいぶん前なのですが)。 お申し込みは以下から。(現時点で既にキャンセル待ちです。。。が、あと少し席を増やしますので、お見逃しなく。ここ数日で増席設定が完了予定です。) すみません、満席となってしまいました orz  キャンセル待ちは可能ですので、よろしければどうぞ。もしご都合が変わってご参加できない場合はキャンセルいただけると嬉しいです。 https://aka.ms/ad15thpublic/ で、イベントの正式なセッション情報が決定しましたのでお知らせします。 13:00 – 14:00 ◆Room A Azure ADと外部アプリのID連携/SSO Deep Dive MVP for Enterprise Mobility 富士榮 尚寛 氏 Azure ADの最大の特徴である、GoogleやSFDCなどの外部アプリケーションとの ID連携/シングルサインオン機能について、具体的な連携方法やトラブルシュー ティング時に必須となるSAML/OpenID Connectなどのプロトコルの解説、実際の連携時の通信のトレース方法についてデモを交えて解説します。 ◆Room B (仮題)Active Directory ドメイン サービス / Azure Active Directory の価値とは? グローバルナレッジネットワーク株式会社 横山哲也 氏 多くの企業で使用されている Active Directory ですが、その価値を本当に理解して使われているシステムはどれほどあるでしょう?Office 365 を使用するためだけに、仕方なく Active Directory を認証基盤として導入している企業も少なくないはずです。本セッションでは、インフラストラクチャーにおける Active Directory…

0