Windows 10 の OOBE 初期画面で、[SHIFT]+[F10] するとコマンドプロンプト起動

短いエントリーですが、今更ながらあまりにも驚いたいので書いておきます。 Windows マニアならば誰でも知っているショートカットキー [Shift] + [F10]。 当然、「コンテキストメニュー」の表示です。 私の 70 になる母親だって知ってます。確か、親父の遺言にも書いてありました。そのせいで3人兄弟の間でもめた記憶さえあるような気がしないでもありません。 が、この操作を OOBE でやったらどうなるか知ってました!? あ、その前に。 OOBE って、そもそも何の略か知ってますか? Out of Box Experience です。 PC を買ってきて、箱を開け、電源を入れて最初に実行される。。。という意味で、OOBE と呼ばれています。以下のような画面です。おなじみですね。 インフラ担当エンジニアならば、1日に1回は見る画面です。システムの入れ替え時期ならば、1日に10回以上見ることでしょう。みなさん、何が書いてあるかすべて暗記しているくらいです。 で、この画面が起動したら、「簡易設定」か「設定のカスタマイズ」のどちらかを選ぶもんだとばかり思っているわけじゃないですか。 少なくとも私はそうでした。 25年来の Windows ユーザーですから。 Windows 10 Enterprise の場合、この次の画面に来るのは「Azure AD に参加」か「Active Directory ドメインに参加」するかを迫ってくる画面です。 以下の投稿でも書いた通り、Azure AD に参加しようとしても、自己署名証明書を使用しているテスト環境の場合、ルート証明書のエラーで参加できないという残念な結果になります。 自己署名証明書を使用している AD FS + Azure AD のハイブリッド環境に Windows 10 を参加させるにはhttp://blogs.technet.com/b/junichia/archive/2015/08/14/3653282.aspx しかし驚くことに、OOBE セットアップ画面で証明書をインストールする手段があったんです。 それが、[SHIFT] +…

0

15分で理解する Intune による Windows 10 のデバイス管理機能

2015年11月2日現在、Microsoft Intune のアップデートが世界中で進められています。このアップデートによって Windows 10 の Enterprise Data Protection が可能になる予定ですが、ひとまず、現時点でどのような管理が行えるかについて ソフィアネットワークの国井さんがデモ動画にまとめてくださいました。 この10本のショートビデオだけ見ておけば、Intune の全体が理解できてお勧めです。新機能の検証前に、現機能の総復習をしておきましょう ! 国井さんの Channel9 サイト 1. Microsoft Intune の概要と Windows 10 デバイスの登録 (1) 2. Microsoft Intune の概要と Windows 10 デバイスの登録 (2) 3. 特殊な Windows 10 デバイスの登録方法とインベントリ参照 4. デバイスのセキュリティ ポリシーの実装 5. Windows 10 カスタム ポリシー/コンプライアンス ポリシーの実装 6. Windows 10 デバイスのための電子メール プロファイルの配信 7. 条件付きアクセスによるコンテンツ アクセス制限…

0

(取り急ぎ)x64 システムで Insider Preview October Update を適用したら PROCESS1_INITIALIZATION_FAILED で起動できない

※ Insider Preview に参加されている方のお話しですので、その他の方はひとまず安心してください ※ MS 公式情報ではございません。死ぬほど困っている人だけ見てください Windows 10 の October Update を適用したら PROCESS1_INITIALIZATION_FAILED が発生したというかたはいらっしゃいませんか? 実は私もです。かなり焦りました。死ぬかと思いました。 で、公式では無いのですが以下の情報がありました。 Update Windows 10 Insider Preview October Update for x64-based Systems (KB3105208)https://www.reddit.com/r/Windows10/comments/3ptrt9/update_windows_10_insider_preview_october_update/ BIOS設定で Secure Boot を無効にする 起動するとUpdateのセットアップが完了 再起動して、BIOS 設定に移動し、Secure Boot を有効にする 以上で解決できます。 余談ですが MS 社員の多くは Insider Preview に参加しているので、月曜日は社内大混乱になるのではないかと心配しています。

0

Microsoft Passport の利点と現在の欠点、そして回避方法

Azure Active Directory に Windows 10 を「参加」(Azure AD Join)させることで、規定では Microsoft Passport が活性化され、Azure AD から発行された PRT(プライマリ リフレッシュ トークン)を使用して、Azure AD に接続されたクラウドアプリケーション群に対するシングルサインオンが実現できます。 Microsoft Passport とは ?http://blogs.technet.com/b/junichia/archive/2015/08/17/3653348.aspx これはとても素晴らしい機能なのですが、既にオンプレミス Active Directory を展開済の環境では、ちょっと困ったこともあります。というのは、Microsoft Passport を使い始めるとオンプレミス Active Directory を介さなくなるのです。当たり前と言えば当たり前ですが。。。具体的にはどういうことか。。? 以下の手書きの汚い図を、薄目でご覧ください。これは Microsoft Passport を使用した場合の、クラウドアプリにアクセスするまでの流れです。PRT をAzure AD に提示することでアクセストークンが発行されるので、Office 365 をはじめとするAzure AD アプリには完全な SSO が実現できます。ユーザーID(UPN)を提示する必要さえもありません。 さて、こうなると困るのはオンプレミスのアプリです。ファイルサーバーとか WEB サーバーとか。オンプレミス Active Directory に参加しているデバイスならば、AD から発行された TGT(Ticket Granting Ticket)を提示することで、サービスへのアクセスチケットが発行されるため、オンプレミス内では完全な…

1

Windows 10 から Hybrid Identity を使用して Azure AD 参加する場合の留意点

今回はちょっとした「回避ネタ」です。 オンプレミス Active Directory と、Azure Active Directory のハイブリッドアイデンティティが構成されている環境で、Windows 10 を Azure AD に参加させる場合、ちょっとだけ注意しなければならない点があります。 それは AD FS による認証方式です。 以下の画面をご覧ください。AD FS の設定画面を見慣れている方にはおなじみです。AD FS プロキシー等を経由して外部から認証要求を受け取ったときは、規定で「フォーム認証」画面を表示します。逆に、社内ネットワークからアクセスしてきたときには、規定で「Windows 認証」を使用します。 いうまでもありませんが、フォーム認証の画面とは以下のようなものです。 Windows 認証時に表示される画面は、以下のようなポップアップです。 イントラネット側が「Windows 認証」に設定されているのは、言うまでもなく IWA(統合 Windows 認証)を使用できるようにするためです。つまり、ドメインに参加済みで、ドメインのアカウントでサインインしていれば、このポップアップは表示されません。 通常はこのままでよいのですが、社内ネットワークから Azure AD に参加しようとすると問題が起きます。というのも、どうやら Azure AD に参加するためのアプリケーションは Windows 認証に対応していないようで、このままだとエラーが発生します。 そこで、設定を以下のように「フォーム認証」を有効にしておいてください。これにより、「フォーム認証」が使用され、問題なく Azure AD への参加プロセスを実行することができます。 上記の状態であっても、Internet Explorer 等 Windows 統合認証をサポートしているブラウザからアクセスがあった場合には「Windows 認証」が使用されます。 これが正しい対応かどうかちょっと不明なのですが、ひとまず上記でトラブルは回避可能です。

0

Microsoft Passport とは ?

既に、本社の Active Directory チームにより以下の投稿がBLOGに掲載されていますのでご存知の方も多いかと思います。 Microsoft Passport and Azure AD: Eliminating passwords one device at a time!http://blogs.technet.com/b/ad/archive/2015/07/21/microsoft-passport-and-azure-ad-eliminating-passwords-one-device-at-a-time.aspx Windows 10 には Microsoft Passport という機能が実装されました。この機能により、サーバーに保存されたパスワードを使わずに、ローカルコンピューターに保存された(ローカルでしか使えない)「PIN」を使用して認証することができるようになりました。この機能は、Microsoft Account や Azure Active Directory で認証するときに加え、現在Preview提供中のWindows Server 2016で構築された Active Directory ドメインにサインインするときにも使用することができます。 この Windows 10 に実装された Microsoft Passport の仕組みは、FIDO(Fast IDentity Online, フィドー)アライアンスが策定中の FIDO 2.0 にもサブミットされ、仕様への組み込みに向けて検討されています。 Passport がパスワードと比べて何が安全かといえば、PINとデバイスの組み合わせによって認証できるため、例えば海外の得体の知らない第三者にパスワードがバレてのっとられる危険性を軽減することができます。つまりスマートカードを使用した認証同様の効果を、より安価なコストで実現することができるようになるわけです。もちろん、複雑で類推しずらいパスワードを定期的に変更している方にとっては「なんと生ぬるい!」ものに見えるかもしれませんが、不正侵入の70%近くがセキュリティパッチの適用不足と安直なパスワードが原因になっているという現状を鑑みれば、こうした方向性はむしろ歓迎すべきものであると言えます。これまでもISVによる個別ソリューションは多々存在していましたが、それらの混在による不整合がもたらす運用面や安全面のデメリットも、FIDO という有力ベンダー共同体が醸し出すある種の権威と統一化されたプロトコルによって解消されるわけですね。 ではここで、Microsoft Passport とはどんなものなのか、具体的に見ていきたいと思います。 Microsoft Passport は…

1

自己署名証明書を使用している AD FS + Azure AD のハイブリッド環境に Windows 10 を参加させるには

既に多くの方がご存知かと思いますが、Windows 10 Pro/Enterprise/Education は、従来の Active Directory ドメインの代わりに、マイクロソフトの IDaaS である Azure Active Directory に参加することができます。これにより、これまで Active Directory ドメインを使用していなかった企業や大学が、”無理に” Active Directory ドメインコントローラーを設置することなく、クラウドを使用してユーザーやクライアントにガバナンスを効かせることができるようになります。 誤解されている方もいらっしゃるかもしれないので念のために書いておくと、オンプレミス Active Directory とAzure Active Directory の両方に参加することはできません。これについては、別の記事で詳しく書きたいと思います。 さて、Azure AD に参加できるという話を聞くと、まずは「ちょっと試してみようか」と思うのが人情です。 方法は簡単です。 Windows 10 をインストールすると、以下のような画面が出てきます。 ここで、「Azure AD に参加する」を選択して「続行」すればサインイン画面が表示されるので、Azure AD に登録されているユーザーとパスワードを指定すれば OK です。 もちろん、オンプレミス AD とのハイブリッド Active Directory(アイデンティティ フェデーレション)を構成している場合でも、問題なく参加することができます。Windows 10 がファイアウォールの外にいても、Web Application Proxy (AD FS Proxy)を構成していれば、以下のように認証要求が社内に転送されるので大丈夫です。 ただし、1点注意があります。AD FSの構成に自己署名証明書を使用している場合、以下のようなエラーが表示されてしまいます。…

1