Office 365 と Azure AD、Intune、Azure RMS の関係について

ここ数年の Office 365 の機能拡張で、Rights Management 機能やモバイル管理機能などなどが追加され、ますます使い勝手がよくなった Office 365 ですが、Intune や Azure Rights Management などとの違いがいまいちわかりずらいというご指摘もいただきます。 そこで、今回はこの部分をさらっとサマッておきたいと思います。 まずは Office 365 の各エディションの違いから。 以下の通り Office 365 には様々なエディションが用意されているわけですが、セキュリティや管理にフォーカスしてみると、さほど違いがないことがわかります。違いがあるとすれば、Information Rights Management(IRM)です。E3 と E4 は標準でサポートされていますが、その他のエディションでは別途 Azure Rights Management を購入する必要があります。 Office 365 が持つ多要素認証機能、モバイル管理機能、IRM(データの暗号化や権限管理)機能というのは、実は別のサービスの一部を間借りしています。 多要素認証は Azure Active Directory Premium。モバイル管理は Microsoft Intune、IRM は Azure Rights Management。図にすると、以下のようになります。 Office 365 だけでも相当なことができますが、その裏には実に多くのテクノロジーが控えていることがわかります。 ■ Office 365 と Azure Active…

0

(取り急ぎ)x64 システムで Insider Preview October Update を適用したら PROCESS1_INITIALIZATION_FAILED で起動できない

※ Insider Preview に参加されている方のお話しですので、その他の方はひとまず安心してください ※ MS 公式情報ではございません。死ぬほど困っている人だけ見てください Windows 10 の October Update を適用したら PROCESS1_INITIALIZATION_FAILED が発生したというかたはいらっしゃいませんか? 実は私もです。かなり焦りました。死ぬかと思いました。 で、公式では無いのですが以下の情報がありました。 Update Windows 10 Insider Preview October Update for x64-based Systems (KB3105208)https://www.reddit.com/r/Windows10/comments/3ptrt9/update_windows_10_insider_preview_october_update/ BIOS設定で Secure Boot を無効にする 起動するとUpdateのセットアップが完了 再起動して、BIOS 設定に移動し、Secure Boot を有効にする 以上で解決できます。 余談ですが MS 社員の多くは Insider Preview に参加しているので、月曜日は社内大混乱になるのではないかと心配しています。

0

KCD(Kerberos Constrained Delegation) を理解する (2)

前回からの続きです。 KCD(Kerberos Constrained Delegation) を理解する (1)http://blogs.technet.com/b/junichia/archive/2015/10/20/3656083.aspx 今回は SPN(サービス プリンシパル ネーム)について。SPN は KCD はもとより、Kerberos そのものを理解するうえでとても重要なので、ぜひ理解しておきましょう。これも長くなりそうだな。。。 Kerberos では「プリンシパル名」を使用してユーザーやコンピューターを識別します。プリンシパル名には2種類あります。 ユーザープリンシパル名(UPN) サービスプリンシパル名(SPN) UPN はユーザーアカウントに対して設定できるものですが、SPN はユーザーアカウントおよびコンピューターアカウントのいずれにも設定できます。SPN も UPN も、フォレスト内で一意でなければなりません。一意に識別して認証するわけですから、当然ですね。SPN が一意でなかったり設定されていなければ、サービスを呼び出すこともできなくなります。 ご存知の通り、「サービス」は必ず何らかのアカウントの配下で動作します。言い換えると、サービスは、SPN が設定されたアカウントの配下で動作するということです。サービスアカウントという特別なユーザーアカウントがありますが、これは SPN が設定された”ユーザー”アカウントのことです。Network Service や Local System、Local Service といったサービスアカウントが、サービスアカウントの既定値としてよく使わることはご存知の通りです。 以下は、とあるコンピューターに登録されているサービスの一覧です。CIFS や DHCP といった文字列が見えるかと思いますが、これは「サービスの種類」です。SPN には、必ず サービスの種類 が含まれます。 ところで、SPN って見たことありますか? 以下のような文字列で表現されます。URL のように見えますが、HTTP の後にはコロンが入っていませんので注意してください。 HTTP/www.contoso.com CIFS/fs.contoso.com MSSQLSvc/sqlsrvr.contoso.com:1433 SPN を登録できるのは、基本的にはドメインのシステム管理権限をもったユーザーですが、例外として System アカウントはコンピューターアカウントに対して SPN…

0

KCD(Kerberos Constrained Delegation) を理解する (1)

Azure アプリケーションプロキシーや Windows Server Web Application Proxy では、KCD(Kerberos Constrained Delegation)という機能を使用して、オンプレミス Active Directory との SSO を実現しています。 KDC(Key Destribution Center:キー配布センター)ではありません。KCD です。3文字略語が多くてイヤになりますね。 で、KCD ってなんのこっちゃわかります? あらためて聞かれると、「とあるサービスに、特定の別のサービスに対するアクセス権限を委任してごにょごにょ。まぁ、細かいことは気にすんな。」な感じになってしまって、きっちり説明する自信がありません。 そんな中、以下のホワイトペーパーがリリースされました。 Understanding Kerberos Constrained Delegation for Azure Active Directory Application Proxy Deployments with Integrated Windows Authenticationhttps://aka.ms/KCDPaper 投稿元は本社の Azure Application Proxy ブログです。 All you want to know about Kerberos Constrained Delegation (KCD)http://blogs.technet.com/b/applicationproxyblog/archive/2015/09/21/all-you-want-to-know-about-kerberos-constrained-delegation-kcd.aspx ホワイトペーパー全体を翻訳するのはアレなので、ざっくり理解できる程度にサマっておきたいと思います。 Kerberos…

0

Azure AD 対応アプリを作ったらギャラリーに登録して世界へ!

Azure AD してますか? さて、ドメインコントローラー機能が実装(Preview)されるなど、動きの激しい Azure AD 界隈ですが、Azure AD 対応の SaaS アプリを開発して一儲けしようと考えている ISV の方も多いでしょう。 Azure AD につなげれば、自動的に Office 365 と SSO できるようになりますし、Azure AD に DropBox や Salesforce をつなげていれば、それらとも SSO できるようになります。素敵ですね。 最近よく「ギャラリーに登録するにはどうしたらよいのですか?」というご質問をいただきます。 ギャラリーとは、Azure AD 公式アプリとして認定されたアプリケーションが掲載されているところです。 https://azure.microsoft.com/ja-jp/marketplace/active-directory/ Azure AD の管理権限を持っている方であれば、以下の画面からアプリを追加できます。 Azure AD に対応させれば、ちょっとした設定だけでAzure AD を IdP として登録できるだけでなく、Azure AD でユーザー管理、アクセス制御、そして多要素認証も吸収してくれますから、SaaS 側に面倒な IdM 機能を実装しなくても済みます。 で、ギャラリーに登録する方法なのですが、以下のページで「Active Directory と統合する方法について説明し、一覧として示します」という変な日本語をクリックしてください。 https://azure.microsoft.com/ja-jp/marketplace/active-directory/ すると、以下のようなメールフォームが開きます。ここに必要事項を記入して(すんません、英語になりますが。。。)提出すればOKです。 審査に通過することが前提ですが、ギャラリーに登録されれば胸を張って「Azure…

0

Azure アプリケーションプロキシー(パススルー)でリモートデスクトップを公開する

2015年10月14日付で、本社の Application Proxy Blog に以下の記事が公開されました。 Publishing Remote Desktop with Azure Active Directory Application Proxyhttp://blogs.technet.com/b/applicationproxyblog/archive/2015/10/14/publishing-remote-desktop-with-azure-active-directory-application-proxy.aspx インフラの設計に大きく影響を与える、重要な機能向上です。 一言でいえば、社内のリモートデスクトップサービスを、Azure アプリケーションプロキシー (パススルー)を使用して社外に公開できるようになったということです。 (参考)Windows Server 2012 R2 Web Application Proxy を使用したRDS(リモートデスクトップサービス)の外部公開については以下を参照してください。Publishing Applications with SharePoint, Exchange and RDGhttps://technet.microsoft.com/en-US/library/dn765486(WS.11).aspx リモートデスクトップ環境を構築する場合、およそ以下のような構成になります。RD Web Access は RDS へのポータル画面です。WEBサービスなので、当然 HTTPS 通信です。実際にRD Session Host や Remote App に接続する際には RDP を使用することになりますが、インターネット上は HTTPS で通信を行い、RD Gateway がプロトコル変換をしてくれます。 今回の機能強化により、MSTSC と RD…

0

Azure プレミアムストレージを使用する仮想マシンの、データストレージ性能について

Azure 仮想マシンに接続されたデータディスクへのアクセスの性能は、通常、仮想マシン側の各種上限に依存します。 仮想マシンのサイズhttps://azure.microsoft.com/ja-jp/documentation/articles/virtual-machines-size-specs/ 例えば、A1 であれば最大 2 つのデータディスクを追加できます。1つ当たりのディスクは 500 IOPS で、1 I/O あたり 8 KB のデータを処理します。仮想マシンに 2 本のディスクを接続し、ストレージプール機能によってストライプ構成を設定すれば 500 * 2 = 1000 IOPS の性能が得られることになります。理論上は。 性能に依存する因子はほかにもあります。 ご存知の通り、Azure 仮想マシンと外部データディスクの間はネットワーク通信です。オンプレミスのサーバーのようにローカルに接続され、内部バスで通信するわけではありません。よって、途中のネットワーク帯域が仮想マシンのディスク性能に大きく影響します。が、A シリーズには「仮想マシン」と「ストレージ間」のネットワーク帯域について言及はありません。すなわち、よく言う「ベストエフォート」ということになります。 もっと早いストレージがほしい!という要求にこたえるべく登場したのが プレミアムストレージ というものです。ハードディスクではなく SSD が使用されます。 プレミアムストレージは、DS シリーズまたは GS シリーズで使用することができ、OS 用のディスクにも適用することが可能です。 プレミアムディスクのメリットは SSD が使えるということだけではありません。 1つ目は I/O ごとのデータ転送量が 256 KB と大幅に向上しています。256KBのデータを1回で処理できるわけです。一方、DSやGSシリーズ以外では 8KB ですから、32 回の IO が発生します。 仮想マシンとデータストレージ間の通信にも QoS が適用されます。具体的な数字はサイズによってことなりますが、例えば、DS1…

0

[AD Blog]Azure Authenticator が iOS Touch ID をサポート

本社の Active Directory Team Blog に、2015年10月7日付でこんな記事が投稿されました。 Azure Authenticator now supports iOS Touch ID! http://blogs.technet.com/b/ad/archive/2015/10/07/azure-authenticator-now-supports-ios-touch-id.aspx iPhone 5s 以降を使っている方でしたらご存知かも知れませんが、私は 5 なので Touch ID をよく知りません。。。ってことで調べてみたら、あー指紋認証のことか。なるほど。 https://support.apple.com/ja-jp/HT201371 で、Blog記事によれば、Azure Authenticator で Touch ID が使えるようになったとのこと。 Azure Authenticator とは、iTunes や Google Play、Windows Store からダウンロードできる多要素認証アプリです。Azure Active Directory の多要素認証プロバイダーに対応しています。 Azure 多要素認証(Azure Multi-Factor Authentication)アプリをを使用すると、追加要素の入力時に以下のような画面が表示されます。これをパスするには、PINコードを入力しなければなりません。 でも、せっかく Touch ID が使えるならば指紋で応答したいですよね。それが可能になったということです。 セットアップは非常に簡単で、アプリにユーザーアカウントを登録する際、デバイスが Touch ID に対応していると自動的に以下のように Touch ID のセットアップ画面が表示されるとのこと。…

0