Azure AD の管理単位 (Administrative Units – プレビュー) で実現するユーザー管理権限の委譲

こんにちは、コラボレーション担当の和田です。 組織内やグループ内のシームレスな情報共有やコラボレーション、コミュニケーションを目的に、1 つのテナント (シングル テナント) をグローバルで展開したり、1 つのテナントを複数のグループ会社でご利用になる場合、テナント全体に関わるような構成設定については本社で一元的に管理しつつ、ユーザーの管理だけは各地域や各関連会社の担当者に権限を委任したいというケースがあると思います。 Office 365 を使用して生産性をあげて、機動的な働き方に革新していくには、エンド ユーザーにとってもシステム運用者にとっても、組織全体・グループ全体でシングル テナントで構成することが、利便性も管理性も向上するため、最大限のメリットを得ることができます。Office 365 ではリージョナル DNS の仕組みが採用されていますので、例えばデータセンターが日本にあっても、日本以外の地域からアクセスする場合には、最寄りのマイクロソフト データセンター経由で高速アクセスできるようになっていますので、ネットワークの懸念も解消できるこのメリットも最大限活かしたいところです。また、今後提供予定のマルチジオ(Multi-Geo)機能を利用すると、シングル テナントで構成しつつ、Exchange のユーザー メールボックスや OneDrive for Business のユーザー データを、各地域のデータセンターに格納できるようになりますので、シングル テナントの利便性はそのままに、データ レジデンシーを確保しつつ、ガバナンスを維持することができます。テナントを分散してしまうと、テナント間で必要なアドレス帳同期や各種機能連携を行うためには、追加の構成が必要だったり管理負荷が増大してしまったりするので、管理者としては出来れば避けたいと思います。また、今後施行される GDPR においても、個人データがどこにあるか確実に把握して管理・保護・報告することが求められますので、データ保管場所の把握や対処、アクセス ログ・監査ログの確認など、1つの管理画面で全体を管理できるようにしておくことは非常に重要になってくると思います。 今までの Office 365 では、サービスや役割毎に管理権限を分けることは出来ましたが、冒頭にお話ししたような権限の委譲を行いたいと思った際、以下のようなことが課題として挙がり、仕方なく複数テナント構成を選ばざるを得ない場合がありました。 各拠点の担当者には、担当外となる別拠点のユーザーの管理ができないようにしたい 各拠点の管理者には、管理できるユーザーのみを Office 365 管理センター上に表示したい (担当範囲ではない別拠点のユーザー オブジェクトは表示されないようにしたい) アクセスはできないとしても、不必要な管理メニューも表示されてしまう (設定メニューやセキュリティ/コンプライアンス センター、各サービスの管理センター 等) Azure AD 側では長らくパブリック プレビューとして提供されている管理単位 (Administrative Units) 機能ですが、先月この機能が Office 365 にもプレビューとして拡張され、すべてのテナントでご利用可能になりました。現時点ではまだ提供されている機能は少ないのですが、グローバル展開している組織や大規模な組織では、今後確実に利用したい機能のひとつになっていくと思います。…


“シームレス SSO” と “パススルー認証” の一般提供開始

こんにちは、コラボレーション担当の和田です。 以前のブログで、まだパブリック プレビューの段階ではありましたが、Azure AD Connect を使用した新しいシングル サインオンとユーザー認証、アクセス制御の方法をご紹介しました。   TITLE: Azure AD Connect のシングル サインオン & パススルー認証 (プレビュー) によるクラウド完結のユーザー認証インフラの実現 URL: https://blogs.technet.microsoft.com/office365-tech-japan/2017/03/08/aadconnect-sso-and-pass-through-authentication/   先月 US で開催された Microsoft Ignite 2017 で正式にアナウンスされ、Azure AD Connect のシームレス SSO 機能と、パススルー認証機能がようやく一般提供開始 (GA) されました。これにより、いよいよクラウド完結によるユーザー認証基盤の実現が進んでいきます。一般的に求められるであろうシングル サインオン要件とアクセス制御要件については、Azure AD Connect + EMS (Azure AD Premium, Intune) で実現できるようになりましたので、今後はこの構成に集約されていくと思います。シームレス SSO とパススルー認証は無償の機能ですので、別途 Azure AD の有償エディション ライセンスは必要ありません。 ここでは、現時点での制約事項と、複数用意されている Office 365 の…


Outlook のレガシー認証ブロック (テナント制限に関連する ADAL 認証の強制)

こんにちは、コラボレーション担当の和田です。 以前のブログで、フォワード プロキシ サーバーと Azure AD を使用した、自社テナント以外へのアクセス制限をご紹介しました。   TITLE: 自社テナント以外へのアクセス制御 – “テナントの制限” 機能 (Tenant Restrictions) URL: https://blogs.technet.microsoft.com/office365-tech-japan/2017/02/06/tenant-restrictions/   この機能は、現在のところ、ブラウザーでは完全に機能しますが、Outlook と Skype のリッチ クライアント アプリではレガシー認証が利用可能であり、ADAL が無効なテナントに接続しようとすると ADAL 認証を迂回してしまうため、完全には制御できませんでした。Outlook の場合は、既定以外の Exchange アカウントの追加を禁止したり、自社テナント以外の自動検出(Autodiscover)URL へのアクセスをブロックするなどの対処が必要でした。   ※ 2017 年 9 月現在、新規に作成されるテナントについては、Exchange Online 及び Skype for Business Online も既定で ADAL が有効になるように変更されています   概要 これに対応するため、Outlook 2016 にオプション機能が追加され、レジストリ キーで ADAL 認証を強制できるようになりました。このレジストリ キーが構成された…


自社テナント以外へのアクセス制御 – “テナントの制限” 機能 (Tenant Restrictions)

2017/03/13 : プロキシ サーバーに追加する HTTP ヘッダーの情報を更新いたしました。 こんにちは、プロダクティビティ担当の和田です。 セキュリティ要件が厳しい組織や業界の場合、Office 365 の利用開始を検討する際、Firewall やプロキシ サーバーでアクセス リスト (ACL) の変更を行い、ホワイトリストに Office 365 で使用するドメイン名や URL を追加して、接続許可の対処をしなければならない場合があります。その際、Office 365 で使用される接続先 URL は全世界共通であるため、自社テナントへの接続を許可すると、他社のテナントや社員が個人契約したテナント、試用版で作成した評価テナントなど、すべての Office 365 テナントへ接続が行えるようになってしまうため、一部のお客様ではこれがセキュリティ リスクとして捉えられてしまうケースがありました。 これに対応するため、Azure Active Directory の機能拡張を行い、「テナントの制限」 (Tenant Restrictions) 機能が一般提供開始されました。(昨年の Tech Summit 2016 ではお伝えできませんでしたが、ようやくリリースされました!) 尚、本設定は Azure Active Directory を認証基盤として使用する全てのサービスに影響しますので、Office 365 以外にも、例えば以下のようなものも同時に制限対象となります。 Azure 管理ポータル/Azure AD 管理センター Dynamics 365 Windows Defender ATP…