[EMS] Azure Active Directoryの Webinar 公開中

みなさま、いつも Device & Mobility Team Blog をご覧いただきありがとうございます。 Azure Active Directoryの開発チームメンバーがWebinarを実施しています。 以下よりアクセスできますのでぜひご確認ください! https://aka.ms/azureadwebinar (ショートURLにしました)

0

[EMS]Azure AD セルフパスワードリセットの本人確認について

いつも Device & Mobility Team Blog をご覧いただきありがとうございます。EMS 担当の鈴木です。 本日はAzure ADのセルフパスワードリセットの本人確認手段の設定方法について紹介します。 Azure ADのセルフパスワードリセット機能は、最近ヘルプデスクの負荷軽減手段としてよく活用されています。しかし電話番号やメールアドレスの設定がユーザーに徹底できないことから導入をためらわれているユーザーも多いのではないでしょうか。 ここではその問題を解消するため、本人確認手段の設定方法の詳細をご紹介いたします。 Azure ADのセルフパスワードリセット機能の本人確認方法には以下の手段があります。   この中で会社電話と携帯電話は管理者がAzure ADの管理画面から設定できます。さらにAzure ADとオンプレのActive Directoryが同期していればActive Directoryの情報を反映できます。Active Directory属性の電話番号(telephoneNumber)と携帯電話(mobile)がそれぞれAzureADの会社電話、携帯電話に同期されます。この時に注意点ですが、電話番号が国際電話番号の形式(日本なら+81 から始まる番号表記)で表記されている必要があります。ここのフォーマットが異なるとAzureADに同期されません。 また、電子メールにはAzure ADのユーザープリンシパルネーム(UPN)がデフォルトで設定されます さらに上記のうち携帯電話はAzureADでより優先される番号を別属性で設定できます。また電子メールも別属性で複数追加で設定できます。これがユーザーが個別で設定できる値となります。この値を設定してもオンプレのActive DirectoryやAzure ADには影響がありません。 まとめると以下の表になります。 すでにオンプレのADで電話番号などを利用されている方もいらっしゃると思いますが、上記の展開規則を前提に、デフォルトで設定する値、エンドユーザーに入力してもらう値を決定してください。 会社電話、携帯電話が管理者で設定できる場合はユーザーに追加の設定をお願いする必要はありません。しかし同期が利用できない場合はユーザーに設定を促す必要があります。それがこちらの設定です。 下記を設定すると次回ログオン時に本人確認の設定を促す画面にリダイレクトされます。   セルフパスワードリセットはユーザーがどこにいても自分のIDを自分で管理できるソリューションです。そのメ リットは、管理者負担軽減だけでなく、ユーザーがいつでもどこでも、自分のIDを安全に管理できることです。ぜひご利用をご検討ください。

0

[EMS] Azure Active Directoryのレポートと通知機能で監視強化

みなさま、いつも Device & Mobility Team Blog をご覧いただきありがとうございます。EMS 担当の鈴木です。 本日はAzure ActiveDirectoryのレポート機能と通知機能の活用を紹介します。 参考元はこのドキュメントです。 https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-view-access-usage-reports   IDの不正な利用を監視する クラウドサービスを利用するときサービスで利用するIDは非常に重要です。 例えば、Office 365をご利用している皆様は、IDが危険にさらされていないかどうかをどのように確認していますか。 Azure Active Directory では「異常なアクティビティ レポート」を提供しています。 さらに Azure Active Directory Premium をお持ちの場合、そのレポートがより強力になり提供されます。 このレポートを見ていただくだけで、ユーザーが危険にさらされていないか確認することができます。 AzureActive Directoryのレポートのエディション(一部) レポート 無料 基本 プレミアム 異常アクティビティ レポート 不明なソースからのサインイン ✓ ✓ ✓ 複数のエラー後のサインイン ✓ ✓ ✓ 複数の地域からのサインイン ✓ ✓ ✓ 不審なアクティビティのある IP アドレスからのサインイン ✓ 感染している可能性があるデバイスからのサインイン ✓…

0

[EMS] EMSの評価ガイド公開

いつも Device & Mobility Team Blog をご覧いただきありがとうございます。EMS 担当の鈴木です。 本日は、最近公開されましたEnterprise Mobility + Securityのドキュメントを紹介します。 ドキュメントは以下よりダウンロードできます https://www.microsoft.com/ja-jp/cloud-platform/products-Enterprise-Mobility-Suite.aspx   EMS評価ガイド EMSの主要な機能をStep By Stepで評価するための評価ガイドが公開されました。 EMSはクラウド時代に必要とされるセキュリティ機能を網羅していますのでこの機会にぜひ実際に触ってお試しください。 Enterprise Mobility + Security スタートアップ ガイド Enterprise Mobility + Security 評価ガイド SPE 手順書シリーズ SPE 手順書シリーズ 01 Azure Active Directory の導入 SPE 手順書シリーズ 02 不正アクセスの防止と安全なクラウドへのアクセス SPE 手順書シリーズ 03 デバイス管理とメール セキュリティ SPE 手順書シリーズ 04 Azure Active Directory…

0

[EMS]EMSのアップデート

みなさま、いつも Device & Mobility Team Blog をご覧いただきありがとうございます。EMS担当の鈴木です。しばらく更新が滞っておりましたが、こちらのBlogを再開させていただきます。最近、EMSは大きく進化しました。本日は現在のEMSの製品構成を一度おさらいしておきたいと思います。 Enterprise Mobility + Security EMSはEnterprise Mobility SuiteからEnterprise Mobility + Security に名称が変更されました。またエディションもEMS E3とEMS E5の2種類になりました。リリース情報は以下で紹介しています。 https://blogs.technet.microsoft.com/mpn_japan/2016/10/09/new-ems-and-spe-e5-launches-from-october-2016/ EMS E3 EMS E3 はいままでEnterprise Mobility Suiteとして提供してきたものと同等になります。 それぞれの製品の特長は以下の通りです Azure Active Directory Premium P1 クラウドベースの認証基盤です。マイクロソフトのSaaSサービス全般の認証基盤だけでなく、3rd PartyのSaaSアプリの認証基盤、社内アプリの公開を実現します。また社内のADと連携してID管理を行うことができます。最近では管理するSaaSアプリへのアクセスを管理する条件付きアクセスや多要素認証の機能を実装し、よりセキュリティを重視した認証基盤になっています。 Intune モバイルデバイスの管理(MDM)や、モバイルデバイス上のアプリケーション管理(MAM)の機能を提供します。特にMAMは情報漏洩の対策として、ユーザーの生産性を落とさずに利用することが可能です。また、MAMはIntuneで管理されてなくても利用することができるため、BYODでの利用も可能です。 Azure Information Protection P1 以前はAzure Rights Management Serviceと呼ばれていましたが、新しく Azure Information Protection としてリニューアルされました。IRMによる暗号化のほか、文書へのラベル付けもできるようになりました。また Azure Information Protection のクライアントが提供されラベル付けや暗号化がワンクリックで実現できるようになりました。 Advanced…

0

[EMS] 社内の Web サイトに社外からアクセスしたいなぁ・・・。それも簡単で安全に。

そんな都合のよい機能なんてあるわけな・・・あるんです!!どうも、Enterprise Mobility Suite (EMS) 担当の成田です。今回は、社内でお使いの Web サイトを社外からご利用いただくことができる機能 (Azure Active Directory Application Proxy、以降 AADAP) をご紹介します。本機能は Azure Active Directory の特定エディション (Premium または Basic) でご利用いただくことができます。もちろん EMS にも含まれます。Azure Active Directory のエディションの違いについては下記をご確認ください。(ページ内では “アプリケーション プロキシ” と記載されている機能です。)Azure Active Directory のエディションhttps://azure.microsoft.com/ja-jp/documentation/articles/active-directory-editions/●概要AADAP とは、ずばり、社内の Web サイトを社外から安全に利用するための機能です!クラウドやモバイルを活用した働き方の変化に伴い、「いつでも」「どこでも」「どんなデバイスからでも」業務を行える環境が求められています。インターネット越しに社内リソースにアクセスしたい場合、Office 365 をはじめとする SaaS アプリを利用する場合は問題ないとして、社内の Web サイトについても社外から利用したいといったニーズも多いのではないでしょうか。社内で利用している Web サイトを社外から利用する場合、一般的には VPN や SSL-VPN のリバース プロキシを DMZ に配置することをご検討いただくことも多いと思いますが、その場合はネットワーク構成の変更や追加コストが発生します。Azure Active Directory Premium や…

0

[EMS] DaaS をつかってみよう!Azure RemoteApp を今すぐ無償評価

みなさま、いつも Device & Mobility Team Blog をご覧いただきありがとうございます。戸嶋です。 本日は、今すぐ評価環境が展開できる、Azure RemoteApp についてご紹介します。 Azure RemoteAppは、日頃、業務で利用しているアプリケーションを、クラウド上に展開し、 DaaS(Desktop as a Service)として活用できるサービスです。一番簡易なテンプレートイメージを選択すれば、1時間ほどでOffice 365 ProPlus のパッケージや各種ブラウザ(IE 11 やChrome, Firefox)を Azure RemoteApp としてストリーミング配信し利用開始できます♪ さらに、Azure RemoteApp では、IT管理者のみなさまの手を煩わせてしまう更新プログラム・パッチの配布をMicrosoft が全部承らせていただきますので、常に最新版のアプリケーションを、セキュアに活用できるのがポイントです。   ■ Azure RemoteApp の3つの展開モデル Azure RemoteAppは、企業様の利用シーンやニーズにあわせて、3つの展開モデルを提供しています。 a) クラウド展開モデル(簡易作成) b) クラウド展開モデル(VNETで構成) c) ハイブリッド展開モデル ▼クラウド展開モデルの概要図 注意: 展開モデルはAzure RemoteApp コレクションを作成するタイミングで指定します。後から変更はできません。 それぞれの展開のモデルの違いは、こちらの日本語Blogをご参照ください。 参考:Azure RemoteAppの展開モデルの違いを知る 前編 http://blogs.technet.com/b/mskk-cloudos/archive/2016/01/05/azureremoteapp02.aspx 後編 http://blogs.technet.com/b/mskk-cloudos/archive/2016/01/22/azureremoteapp03.aspx  …

0

[EMS] 進化する 企業内 多要素認証基盤! Azure AD Premium 多要素認証(Multi-Factor Authentication /略語MFA)

みなさま、いつも Device & Mobility Team Blog をご覧いただきありがとうございます。戸嶋です。 本日は、Azure Active Directory Premium で利用できる多要素認証(MFA)についてご紹介します。   Office 365 をはじめとしたクラウドサービスを活用する上で、ユーザーIDが中央集約されることによるパスワードの管理は今まで以上に重要度を増しており、ユーザーIDが正しい使われ方をしていること、正しく素早く本人確認を実施する必要があります。システムのセキュリティレベルを向上しつつ、ユーザー・そして管理者の生産性を維持してきたいですよね。   多要素認証自体は最近のクラウドサービスでも馴染みあるものになっており、みなさまも日頃からプライベートでもご活用されていらっしゃると思います。ご存知の通り非常にわかりやすいしくみで、IDとパスワードによる第一段階目の認証に併せて、もう一段階認証を加えることにより、認証フェーズでのセキュリティを強化することができるのがメリットです。ユーザーが知っているもの(パスワードやひみつの質問)、ユーザーが所持しているもの(携帯電話などの身近に持っており複製できない信頼できる端末)、ユーザー自身(生体認証)を組み合わせて本人確認を行います。 ユーザーのパスワードを解除する技術は日に日に進化を続け巧妙さを増している昨今、実際に個人のMicrosoft アカウントやGoogle アカウント、Instagram のアカウントが、何者かにより不正アクセスの試行が為されていたことをメール通知で知り、急いでパスワードを変える、なんて経験をされた方も、少なくないのではないでしょうか。(…実際、わたしも最近そんなことがありました。アクセスされる前に気づくことができてよかったです。便利かつセキュアな世の中に感謝ですね。) ユーザーIDがいつの間にか使いまわされる、大事なデータが漏えいしてしまう…。想像しただけでも非常に恐ろしい自体です。 そんな事態になる前に、定期的なパスワードの変更に加え、 認証フェーズでのセキュリティを強化していきましょう!     ■ どのようなシステムでMicrosoft の多要素認証サービスを利用できるの? 認証のシステムでいうと、大きく分けて オンプレミスのActive Directory と Azure Active Directory いずれでも多要素認証を利用できます。 上図、左側にかかれている、社内の IIS や RDS の認証で多要素認証を用いたい場合は、オンプレミスのMulti-Factor Authentication Server を構築していただきます。社内の Web サーバーをインターネットで利用できるようにする仕組み「Web Application Proxy」については過去の記事([EMS] 社内の Web サイトに社外からアクセスしたいなぁ・・・。それも簡単で安全に。)にも記載があります。 また、右側にかかれている、特にAzure の多要素認証(クラウドサービス)をご利用になられる場合は、対象のユーザーがAzure…

0

[EMS] IT サポート部門の皆様へ。パスワードリセット作業からの解放

Enterprise Mobility Suite (EMS) 担当の山野です。Azure Active Directory Premium には、パスワードを管理する機能が充実していますが、今回は、その中からユーザー自身が自分のパスワードをリセットできる機能を紹介します。特に、Office 365 を利用中のお客様にはおすすめの機能です。 パスワードは重要ですので、容易に推測されないよう複雑にし、かつ定期的に変更するべきなのですが、世の中ではパスワードを忘れてしまった・・なんてことがよく起こります。 その場合、パスワードをリセットすることになるのですが、多くの組織においては、パスワードリセットは IT サポート部門の仕事のようです。一説によると、組織の IT 支出の 20% を占めるとも言われております。パスワードリセット作業はサポート部門の本業ではありません。忘れたユーザー自身でやってもらいましょう。 しかし、第三者がなりすまして勝手にパスワードをリセットされては困りますので、Azure Active Directory では、本人確認をしたうえで実行可能となります。本人確認の方法として、電話、連絡用の電子メール、秘密の質問といった項目から選択することができます。 Office 365 で多くのお客様が利用しているように、Azure Active Directory では、ADFS のフェデレーションサービスを使って、社内の Active Directory で認証させることも可能です。この場合、フェデレーションユーザーは Azure Active Directory にパスワードを保持していません。パスワードは社内の Active Directory に存在しています。 では、パスワードリセット機能は使えないのでしょうか? 実は、ADFS 環境のフェデレーションユーザーに対してもパスワードリセットは可能です。パスワードの書き戻し設定 (ライトバック) を使うことで、Azure Active Directory から社内の Active Directory のパスワードをリセットできます。 パスワードの書き戻し設定には、同期ツールとして Azure AD Connect…

0

[EMS] Azure AD Connect Health による ADFS と Azure AD Connect の稼働状況監視と分析

皆様、こんにちは。認証・デバイス管理・セキュリティ担当の橘です。 今回は Azure AD Connect Health についてご紹介します。 Azure AD Connect Health は Azure Active Directory Premium で提供される機能です。 ■Azure AD Connect Health:クラウド内のオンプレミスの ID インフラストラクチャと同期サービスの監視 https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-aadconnect-health/Azure AD Connect Health が提供するポータル画面を利用することで、管理者は ADFS 2.0/3.0 や Web Application Proxy (ADFS Proxy)、Azure AD Connect の稼働状況を監視し分析することが出来ます。 ・ADFSや Azure AD Connect が正常稼働しているかどうか・ADFS や Azure AD Connect に対してどのような負荷(認証トラフィック)が発生しているか・ADFS や Azure AD Connect が正常に稼働するためにどのような設定や対処が必要か 例えば、ADFS…

0