【重要】Azure Information Protectionが自動的に有効になります。(更新あり)

みなさま、いつも Device & Mobility Team Blog をご覧いただきありがとうございます。 本日は重要なお知らせをお送りします。 (重要)AIPの有効化が7月1日から8月1日に変更されました。これに伴い、弊社のオペレーションの都合上、以前のオプトアウトをしていただいたお客様の設定が変更されている可能性があります。該当するお客様には誠に恐縮ではございますが改めて設定のご確認とオプトアウトへの変更をお願い申し上げます。 この度、「Office 365 メッセージ センター」でご案内させていただいておりますように、お客様環境のセキュリティ強化の一環として、Microsoft Azure Information Protection(以降、AIP)のライセンスをお持ちのお客様の AIP が2018年8月1日に自動的に有効化される可能性があります。これまでも2018年2月以降に作成されたテナントにつきましてはデフォルトで AIP が有効化する変更が行われておりました。今回は2018年2月以前に作成されたテナントにもその設定が反映されます。 AIPのライセンスを保有し、Active Directory Rights Management (AD RMS)の情報保護機能をご利用する場合又は、AIPの設定変更をオプトアウト(すなわち、AIPを有効化しない)する場合は以下の確認と対策を実施していただけますよう、お願いします。 対象のお客様: ・Microsoft 365 、Office 365を含む、AIPのライセンスを保有されAD RMSをご利用のお客様 又は、AIPのライセンスを保有されAIPの有効化を望まないお客様 ・上記かつ、テナントでAzure Information Protectionで保護機能を自動的に有効にする設定が有効になっているお客様 現在の設定の確認: 現在の設定を確認してAzure Information Protectionで保護機能を自動的に有効にするオプションの状態を確認します。 ・全体管理者の役割を備えたユーザーとして Exchange Online PowerShell に接続(※:Exchange Online PowerShellへの接続は参考情報を参照) ・以下のコマンドレットを実行 Get-IRMConfiguration 実行結果が以下のように表示されますので”AutomaticServiceUpdateEnabled”の値をご確認ください。設定がFalseになっていれば、お客様の環境で AIP が自動的に有効化されることはありません。 設定方法: 状態を確認して ”AutomaticServiceUpdateEnabled” が ”True” の場合、現状の設定を維持し、設定変更のオプトアウトを実施するにはPowerShellを利用して以下のコマンドレットの実行が必要です。 Set-IRMConfiguration -AutomaticServiceUpdateEnabled…

0

[EMS] Azure Active Directoryの Webinar 公開中

みなさま、いつも Device & Mobility Team Blog をご覧いただきありがとうございます。 Azure Active Directoryの開発チームメンバーがWebinarを実施しています。 以下よりアクセスできますのでぜひご確認ください! https://aka.ms/azureadwebinar (ショートURLにしました)

0

[EMS] レガシー認証をブロックする機能がついに Azure AD に実装されました(プレビュー)

こんにちは 松井です。 本日はついに実装されたレガシー認証ブロック機能(Preview)について紹介します。 まずはじめに、レガシー認証が何かというと、以下のようなクライアントからのアクセスを指します。 POP3, IMAP4, SMTP を利用するメールクライアント 先進認証(modern authN)を利用しない Office クライアント(Office 2010 と 先進認証を有効化していない Office 2013) これらのクライアントは、サービス仲介型の古い認証フローを利用し、インタラクティブな認証が行えないため、不正アクセス攻撃に対して有効な多要素認証が利用できないという問題があります。 以前からOffice 365に対しても多くみられる攻撃のパスワードスプレー攻撃やブルートフォース攻撃はこのようなレガシー認証プロトコルを対象とされることもあるため、もし今現在もレガシー認証プロトコルを利用してインターネット経由で認証が行える環境を利用されているのであれば、それらをブロックすることを強く推奨します。   「そうなの?うちの会社は大丈夫なの?」と、思われた方もいらっしゃると思いますが、おそらく AD FS や、Exchange で対策をされているのではないでしょうか、今回紹介差し上げる機能は  AD FS の力を借りず、Azure AD の Web UI から簡単にレガシー認証をブロックする設定を施すことができるようになりました。   では、早速設定をしてみましょう。 Azure ポータルにアクセスし、Azure Active Directory の 条件付きアクセスを選択。 [割り当て]の[ユーザーとグループ]を選択し、対象のセキュリティ グループか、ユーザーを選択。(注意:この機能はプレビュー中であることもあり、適用対象を限定してテストを実施することを強く推奨します、加えてこの記事の最後に記載するその他の注意点をご確認ください) [割り当て]の[クラウド アプリ]を選択しテスト対象のアプリを選択(Office 365 Exchange/SharePoint/Skype for Businessなど)。 [割り当て]の[条件]から[クライアント アプリ(プレビュー)]を選択し”モバイル アプリとデスクトップ クライアント”と”他のクライアント”を選択。この選択をすることで、POP/IMAP/SMTPに加えてレガシー認証を利用する Office…

0

[EMS] Azure Active Directoryの Office 365グループの有効期限ポリシー 一般公開

本記事は、米国時間 2018 年 3 月 14 日に公開された Enterprise Mobility + Security Blog で公開された記事の紹介です。 元記事は、Azure AD Expiration Policy for Office 365 Groups is Generally Available です みなさま、いつも Device & Mobility Team Blog をご覧いただきありがとうございます。 これまでパブリックプレビューで公開されていました 「Office 365 グループの有効期限ポリシー」 が一般公開されましたのでご案内します。 この機能を利用するとOffice 365グループに有効期限を設定し、グループの所有者に一定間隔でメールで継続確認を行うことができます。 メールを受け取ったユーザーはメールからワンクリックで延長や削除を選択することができます。 そしてメールに反応せず更新されないグループは自動的に削除されます。 期限が切れて削除されても30日間は復元可能です。 長期間運用したOffice 365には多数のOffice 365 グループが存在し、そのほとんどは管理者から見ると利用されているのかどうかわかりません。 この機能でグループを自動的に実際に利用しているユーザーの判断で管理することができ、全体の運用負荷を下げることが期待できます。 なお、この機能を利用するには、この機能で管理対象となる Office 365 グループ に所属するユーザーすべてにAzure Active Directory Premiumのライセンスが必要です。…

0

[EMS] Azure AD と AD FS のベスト プラクティス: パスワード スプレー攻撃の防御

本記事は、2018 年 3 月 19 日にJapan Azure Identity Support Blogで公開された記事の紹介です。 元記事は、米国時間 2018 年 3 月 5 日に公開された Azure AD and ADFS best practices: Defending against password spray attacks です Japan Azure Identity Support BlogでAzure AD と AD FS に関してパスワードスプレー攻撃を取り上げた情報がまとめられています。 パスワードを用いたログインを採用している限り、第三者がそれを推測しようとすることは避けられません。上記の記事は最近非常に頻繁に行われるようになったパスワード スプレーと呼ばれる攻撃手法と、それに対する防衛のためのベスト プラクティスについて説明しています。 本記事ではパスワードスプレー攻撃を困難にする方法について詳細に説明を行っています。 対処法だけでなく、攻撃シミュレータの紹介、ADFSのバージョンアップを検討する理由等多岐に説明が渡りますので、今後のセキュリティ対策の一助になると思われます。 ぜひ内容をご確認の上、今後のスケジュールに組み込んでいただければと思います。 Japan Azure Identity Support Blog:Azure AD と AD FS のベスト…

0

[SCCM] System Center Configuration Manager CB 評価ガイドアップデート

みなさま、いつも Device & Mobility Team Blog をご覧いただきありがとうございます。セキュリティ製品 担当の鈴木です。 昨年公開しました、System Center Configuration Manager CB 評価ガイド を一部アップデートしました。 以前はSCCM CB 1511をベースにガイドを作成しました。しかし、SCCMは4か月に1回のアップデートが行われるため、今回は作成段階での基準バージョンはありますが全体としてバージョンフリーのガイドとして再編集をしました。今後、細かな修正をかけながら整備を進めてまいります。 お気づきの点などがございましたら、コメントいただけますと幸いです。 公開場所 https://www.microsoft.com/ja-jp/cloud-platform/products-Enterprise-Mobility-Suite.aspx System Center Configuration Manager CB 評価ガイド (アップデート版) ■ダウンロードURL: ・System Center Configuration Manager (CB) 評価ガイド 機能紹介とアーキテクチャ編 Ver. 2 http://download.microsoft.com/download/F/0/D/F0D20D4C-B594-4341-924C-55DFF50FED88/SCCM_Architect_EvalGuide_jp.docx ・System Center Configuration Manager (CB) 評価ガイド 環境構築編 Ver.1.1 http://download.microsoft.com/download/F/0/D/F0D20D4C-B594-4341-924C-55DFF50FED88/SCCM_CB_EvalGuide_jp.docx ・System Center Configuration Manager (CB) 評価ガイド Office…

0

[EMS] グループベースのライセンスによるライセンスの自動付与

みなさま、いつも Device & Mobility Team Blog をご覧いただきありがとうございます。セキュリティ製品 担当の鈴木です。 Office 365 などのライセンスの割り当て。皆様はどのように行っていますでしょうか。 ユーザーが多い場合、PowerShell を利用して自動割り当てを行っている方が大半ではないかと思います。しかし、少し前にAzure AD のセキュリティグループ(以下、グループ)のユーザーにライセンスを自動的に付与する機能が実装され 、 PowerShell のようなバッチ処理を行わなくてもユーザーにライセンスを割り当ていることができるようになりました。 現在 Office 365 を利用している方は、ユーザー管理をAzure AD と同期しているオンプレミス側の Active Directory で行っている人が多いのではないでしょうか。その場合このユーザー管理の仕組みをうまく使うことでライセンス管理を自動化することができます。 オンプレミスのADに「O365 Users」や「EMS Users」などのグループを作成してそこに利用するユーザーをあらかじめ割り当てていたり、それに近い構成になっている場合、そのグループにライセンスの割り当てを行ないます。これにより、PowerShellを利用しなくてもライセンスの割り当てができます。 図にすると以下のような形です。 より複雑に条件に対応した設定を行いたい場合、もう一つ方法があります。 Azure AD の グループには Dynamic Group があります。これはユーザーの属性を利用して動的にグループのユーザーを割り当てる機能です。例えば、Active Directory の拡張プロパティ( extensionAttribute1 など)に ”O365″ , “EMS” などの文字列を入れておき、Azure AD 側のDynamic Groupで「O365 Users」や「EMS Users」などのグループにユーザーを割り当てます。これによって同時に各ライセンスを付与します。 Azure AD の各種機能を利用するとグループというのは重要な要素になります。例えば…

0

[EMS] Intuneのコンプライアンスポリシーの変更

みなさま、いつも Device & Mobility Team Blog をご覧いただきありがとうございます。セキュリティ製品 担当の鈴木です。 本日は2017 年11月に実施されるIntuneのコンプライアンスポリシーの仕様変更について説明します。 Azure Active Directoryで条件付きアクセスのデバイスコンプライアンスの準拠をチェックしている場合影響を受ける可能性があります。影響のある可能性がある環境は次になります。 Azure Active Directoryで条件付きアクセスを設定し、準拠デバイスにアクセス許可を与えており、コンプライアンスチェックの対象になってない端末がある場合 SCCMとIntuneのハイブリッド構成で条件付きアクセスを上記と同様に設定している場合 Office 365のモバイルデバイス管理を利用していて「デバイスがポリシーの要件を満たしていなくてもアクセスできるようにする」というポリシーを利用している場合 Intuneのデバイスコンプライアンスは、デバイスが管理者の指定した設定をクリアしているか確認することができる機能で、デバイスの安全性を確認することができる機能の一つです。 MDM管理されたデバイスはコンプライアンスポリシーをチェックして適合していれば「準拠デバイス」としてAzureADに登録されます。Azure ADの条件付きアクセスで適合済みのデバイスのみのアクセスを許可することでクラウドサービスの安全性を高めることができます。 いままでデバイスコンプライアンスポリシーの対象となっていない端末はすべて「準拠」と認識されていました。これがセキュリティ強化のため、2017年11月のIntuneのアップデートの後は「準拠していない」に変更されます。この変更に伴い、いままで問題なくアクセスできていた端末がアクセスをブロックされる可能性があります。 この問題が発生するかどうかを確認するにはIntuneの管理ポリシーから確認できます。 ここに新しくコンプライアンスポリシーが適用されてない端末の数が表示された場合影響がある可能性があります。この機能は2017年10月のアップデートで提供される予定です。その場合は条件付きアクセスの内容を確認して条件にデバイスコンプライアンスの準拠が設定されている場合はアクセスできない端末が発生しないか確認してください。 もしコンプライアンスポリシーのチェックを行わず登録済みデバイスにアクセスできるようにするには、何も設定されていないブランクのコンプライアンスポリシーを作成してユーザに割り当てるようにします。またこの件に対応できる設定が11月のアップデートとともに提供される予定です。 詳細の方法についてはこちらの記事をご確認ください。 Upcoming Security Enhancements in the Intune Service – your action is required!  

0

Windows Information Protection の動作状況の確認

みなさま、いつも Device & Mobility Team Blog をご覧いただきありがとうございます。セキュリティ製品担当の鈴木です。 今回はショート Tips です。 Windwos Information Protection を有効にしたのだけれども、本当に有効になっているかどうかを確認しづらいという声をよく聞きます。そんな時はタスクマネージャで動作状況がわかります。 Windows 情報保護 (WIP) で実行されているアプリのエンタープライズ コンテキストの確認 https://docs.microsoft.com/ja-jp/windows/threat-protection/windows-information-protection/wip-app-enterprise-context これで適用と動作の状況は一発で確認できますね。ぜひお試しください。

0

[EMS] 重要:Azure Active Directory 旧管理ポータルの廃止

みなさま、いつも Device & Mobility Team Blog をご覧いただきありがとうございます。セキュリティ製品担当の鈴木です。 9月18日にEnterprise Mobility and Security BlogにてAzure Active Directory 旧管理ポータルが11月30日にリタイヤすることが発表されました。 今までのAzureADの管理画面はAzureテナントとの紐づけが別途必要であるなどOffice 365やEMSのみを利用しているお客様からは少々使いにくいイメージもありました。しかし新しいポータルはそのような制約がなく、HTML5ベースなので全ての環境から同一のユーザビリティで管理画面を提供します。 今後、Azure Active Directoryの管理は新しい管理ポータルで実施していくことになります。Azure ADの管理をされている皆様はできるだけ早く新しいポータル画面になれていただくことをお勧めいたします。 現時点では、旧管理ポータルでしか実行できないいくつかのタスクがありますが、これらの機能は11月30日よりも数週間後に新しい管理ポータルに追加される予定です。 もしご要望や不足機能がある場合はフィードバックフォーラムよりご意見ください。 Azureの新しい管理ポータル http://aad.portal.azure.com/   (追記) Azure 旧管理ポータルは2018年1月8日にリタイアが正式に発表されました。 詳細はこちらをご覧ください。

0