[EMS] Azure Active Directoryの Webinar 公開中

みなさま、いつも Device & Mobility Team Blog をご覧いただきありがとうございます。 Azure Active Directoryの開発チームメンバーがWebinarを実施しています。 以下よりアクセスできますのでぜひご確認ください! https://aka.ms/azureadwebinar (ショートURLにしました)

0

[EMS] レガシー認証をブロックする機能がついに Azure AD に実装されました(プレビュー)

こんにちは 松井です。 本日はついに実装されたレガシー認証ブロック機能(Preview)について紹介します。 まずはじめに、レガシー認証が何かというと、以下のようなクライアントからのアクセスを指します。 POP3, IMAP4, SMTP を利用するメールクライアント 先進認証(modern authN)を利用しない Office クライアント(Office 2010 と 先進認証を有効化していない Office 2013) これらのクライアントは、サービス仲介型の古い認証フローを利用し、インタラクティブな認証が行えないため、不正アクセス攻撃に対して有効な多要素認証が利用できないという問題があります。 以前からOffice 365に対しても多くみられる攻撃のパスワードスプレー攻撃やブルートフォース攻撃はこのようなレガシー認証プロトコルを対象とされることもあるため、もし今現在もレガシー認証プロトコルを利用してインターネット経由で認証が行える環境を利用されているのであれば、それらをブロックすることを強く推奨します。   「そうなの?うちの会社は大丈夫なの?」と、思われた方もいらっしゃると思いますが、おそらく AD FS や、Exchange で対策をされているのではないでしょうか、今回紹介差し上げる機能は  AD FS の力を借りず、Azure AD の Web UI から簡単にレガシー認証をブロックする設定を施すことができるようになりました。   では、早速設定をしてみましょう。 Azure ポータルにアクセスし、Azure Active Directory の 条件付きアクセスを選択。 [割り当て]の[ユーザーとグループ]を選択し、対象のセキュリティ グループか、ユーザーを選択。(注意:この機能はプレビュー中であることもあり、適用対象を限定してテストを実施することを強く推奨します、加えてこの記事の最後に記載するその他の注意点をご確認ください) [割り当て]の[クラウド アプリ]を選択しテスト対象のアプリを選択(Office 365 Exchange/SharePoint/Skype for Businessなど)。 [割り当て]の[条件]から[クライアント アプリ(プレビュー)]を選択し”モバイル アプリとデスクトップ クライアント”と”他のクライアント”を選択。この選択をすることで、POP/IMAP/SMTPに加えてレガシー認証を利用する Office…

0

[SPE] Azure AD が ガートナーの 2017年 Access Management 分野において “リーダー” であると評価されました!

みなさんこんにちは、 松井です。 ガートナー社の最新のレポート「2017年 アクセス制御 (AM)のマジック クアドラント 」において、Azure Active Directory のビジョンの完成度の高さが評価され、レポートのクアドラントで “リーダー” に位置づけられました! この AM マジック クアドラント (MQ) は、昨年ガートナー社が公開した Identity and Access Management as a Service (IDaaS)  MQ の進化版であり、IDaaS MQ に続き “リーダー”の位置づけは2つ目です。 Source : Gartner (June 2017) ガートナーのこのレポートはマイクロソフトを通じてこちらで入手可能です。 IDaaS 製品は SaaS や従来の Web アプリケーションの ID 連携を行うだけでなく、ユーザーの状況に応じた アクセス制御 ( Azure AD では条件付きアクセス) 機能を追加して進化してきています。 この分野においてマイクロソフトは、Azure AD が含まれるスイート パッケージを用いることで、マーケットのトレンドである…

0

[EMS]オンラインライセンスの自動的割り当て

みなさま、いつも Device & Mobility Team Blog をご覧いただきありがとうございます。EMS 担当の鈴木です。 本日は現在パブリックプレビュー中のグループに対するライセンスの自動割り当て機能をご紹介します。 いままでOffice 365やEMSのライセンスの割り当てはPowerShellなどを利用して設定していたかと思います。これではユーザーの登録ごとにPowerShellを動かす必要があり管理者の負担になっていました。これからは管理者は何もしなくても自動的にライセンス割り当てができるようになります。 多くのお客様は、Azure ADとオンプレADを連携していると思いますので、オンプレADで特定のグループにユーザーを登録するだけで、Azure ADを操作しなくてもライセンス割り当てができるようにもなります。 では、設定方法を見ていきたいと思います。 設定はAzureAD新ポータルで行います。この機能はAzureADの新ポータルでのみ動作します。 まずライセンスを割り当てるグループを作成しておきます。このグループはオンプレのADから同期して作成しておいても良いです。今回は「O365 User」というグループにOffice 365のライセンスを割り当てます。 メニューからAzureADを選択し、「ライセンス」を選択します。 ラインセンスブレードから「すべての製品」を選択し、割り当てを行うライセンスを選択し「割り当て」をクリックします。 ライセンス割り当てブレードから「ユーザーとグループ」を選択し、ユーザーとグループブレードから割り当てを行うグループを選択し「選択」ボタンを押します。 その後ライセンス割り当てブレードの「割り当て」ボタンを押します。 これでグループにユーザーが割り当てられると自動的にライセンスも割り当てられます。またグループから外れると自動的にライセンスがはく奪されます。 この機能は今後数か月かけて公開を予定していますので、ぜひご利用いただき運用の自動化を図ってください。 またこの機能はAzure AD Premiumの追加コストなしで利用できる予定です。  

0

[EMS]Azure AD セルフパスワードリセットの本人確認について

いつも Device & Mobility Team Blog をご覧いただきありがとうございます。EMS 担当の鈴木です。 本日はAzure ADのセルフパスワードリセットの本人確認手段の設定方法について紹介します。 Azure ADのセルフパスワードリセット機能は、最近ヘルプデスクの負荷軽減手段としてよく活用されています。しかし電話番号やメールアドレスの設定がユーザーに徹底できないことから導入をためらわれているユーザーも多いのではないでしょうか。 ここではその問題を解消するため、本人確認手段の設定方法の詳細をご紹介いたします。 Azure ADのセルフパスワードリセット機能の本人確認方法には以下の手段があります。   この中で会社電話と携帯電話は管理者がAzure ADの管理画面から設定できます。さらにAzure ADとオンプレのActive Directoryが同期していればActive Directoryの情報を反映できます。Active Directory属性の電話番号(telephoneNumber)と携帯電話(mobile)がそれぞれAzureADの会社電話、携帯電話に同期されます。この時に注意点ですが、電話番号が国際電話番号の形式(日本なら+81 から始まる番号表記)で表記されている必要があります。ここのフォーマットが異なるとAzureADに同期されません。 また、電子メールにはAzure ADのユーザープリンシパルネーム(UPN)がデフォルトで設定されます さらに上記のうち携帯電話はAzureADでより優先される番号を別属性で設定できます。また電子メールも別属性で複数追加で設定できます。これがユーザーが個別で設定できる値となります。この値を設定してもオンプレのActive DirectoryやAzure ADには影響がありません。 まとめると以下の表になります。 すでにオンプレのADで電話番号などを利用されている方もいらっしゃると思いますが、上記の展開規則を前提に、デフォルトで設定する値、エンドユーザーに入力してもらう値を決定してください。 会社電話、携帯電話が管理者で設定できる場合はユーザーに追加の設定をお願いする必要はありません。しかし同期が利用できない場合はユーザーに設定を促す必要があります。それがこちらの設定です。 下記を設定すると次回ログオン時に本人確認の設定を促す画面にリダイレクトされます。   セルフパスワードリセットはユーザーがどこにいても自分のIDを自分で管理できるソリューションです。そのメ リットは、管理者負担軽減だけでなく、ユーザーがいつでもどこでも、自分のIDを安全に管理できることです。ぜひご利用をご検討ください。

0

[EMS] Azure AD 環境の証明書ベースの認証

みなさま、いつも Device & Mobility Team Blog をご覧いただきありがとうございます。EMS 担当の鈴木です。 昨年12月に今までプレビュー機能であったフェデレーション環境での証明書ベースの認証機能が一般公開されました。 [元の記事] #AzureAD Certificate Based Authentication is Generally Available! https://blogs.technet.microsoft.com/enterprisemobility/2016/12/14/azuread-certificate-based-authentication-is-generally-available/ この発表では以下の2つの内容が発表されました 1. フェデレーション環境において、iOS,Android環境のOffice アプリでフェデレーションサーバへの証明書認証がサポートされます。対象アプリは以下になります。 2. Exchange OnlineにExchange Active Syncでアクセスする際にも証明書ベースでの認証ができるようになりました。これらはモバイルデバイスの対応アプリ(iOSの標準メールなど)が対象になります。 詳細の設定は以下に記載があります iOS https://docs.microsoft.com/en-us/azure/active-directory/active-directory-certificate-based-authentication-ios#getting-started Android https://docs.microsoft.com/en-us/azure/active-directory/active-directory-certificate-based-authentication-android#getting-started

0