Latest Posts

ひとり情シスでもできる! クラウド化を乗り切るためのネットワーク管理術とは?無料eBook

Reading Time: 1 minutesこの記事の所要時間: 約 0分 こんにちは、ManageEngineエンジニアの園部です。 本日は、物理環境とクラウド環境が入り乱れるネットワーク環境を簡単に管理する方法を説明する無料eBookのご紹介です。 クラウドサービスは、今や企業にとっても、個人にとっても当たり前の存在となりました。IT部門でも、物理的な資産を必要としないクラウドサービスを活用する動きが広がっています。物理環境とクラウド環境を両方使用している企業も多いことでしょう。 情シスの皆様は、サーバーやデータセンターなどの物理環境と、AWSやAzure、GCPなどのクラウド環境が入り乱れる昨今のネットワーク環境をどのように管理されていますか? 弊社では、“物理環境とクラウド環境それぞれの特長を活かしたネットワーク運用管理”という点に着目し、クラウド時代のネットワーク管理で押さえておくべきポイントと、クラウド・物理がシームレスな管理を実現するための具体的な方法を1冊の本にまとめました。

OpManager 1 min read

Azure SQL Databaseの効率を最大化するために監視すべき4つのポイントとは?

Reading Time: 1 minutesこの記事の所要時間: 約 3分 こんにちは、ManageEngineエンジニアの園部です。本日は、近年人気のクラウドAzureから、Azure SQL Databaseの監視についての話題をお届けします。 近年、企業におけるクラウドサービスの利用率が右肩上がりに上昇しています。多くのインターネットサービス提供企業も、パブリッククラウドプロバイダー事業に注力するようなりました。Microsoftもその中の一つです。RightScaleの最新の調査によると、2017年の間でMicrosoftが提供するクラウドサービスのAzureの普及率が、34%から45%へ上昇しました。 MicrosoftのマネージドクラウドデータベースであるAzure SQL Databaseは、クラウドデータベースの中でも人気が高いサービスです。しかし、先進的なクラウドサービスと言えども、IT運用管理の面やアプリケーション開発の視点から見ると、オンプレミスのデータベースと同様の問題が発生します。 今回は、Azure SQL Databaseを監視する上で注意すべき4つの課題をご紹介します。

Applications Manager 1 min read

プログラミングなしでリクエスト対応フローを簡単に実装!ITSMツールのカスタマイズ機能が便利

Reading Time: 1 minutesこの記事の所要時間: 約 2分 ManageEngineが提供するITSMツール「ServiceDesk Plus」は、リーズナブルな価格帯ながら多彩なカスタマイズ機能を備えています。 簡単なGUI操作でWebフォームの項目を追加したり、承認者の指定やメールの通知設定を行ったり、プログラミングを行わずにどんどんカスタマイズして実際の業務フローを反映できます。 複雑な業務フローをシステムが導いてくれる!ServiceDesk Plusのリクエストライフサイクル機能 とはいえ、次のステータスへ移行する場合の条件や、担当者が実施すべきアクションは業務内容によって千差万別です。「どういう条件の時にステータスを更新すればよいか?」「次のステータスに進むためには何をすべきか?」といった情報をドキュメントに整理して共有/更新していくのは、かなり大変な作業ではないでしょうか。 そんな時、システム側でこれらの情報を指し示し、ユーザーを導いてくれると便利だと思いませんか? 2019年5月31日にリリースされたServiceDesk Plus 10.0では、上記のようなニーズに応える「リクエストライフライクル」機能が追加されました!ドラッグ&ドロップの簡単な作業により、下図のような視覚的な業務フローを構築できます。 上図の例では「新入社員用の貸与PCを用意する」という業務フローを設計しています。ただのフローチャートのように見えますが、裏側ではしっかりとシステムの挙動と連動しています。 この場合、リクエストが送信されてから ・在庫の確認・新規PCの購入申請・決裁者の承認取得・購買手配への移行… といった、いくつもの段階がありますが、それぞれに対してステータス遷移時の「条件」や「アクション」を設定できます。設定された内容が視覚的なフローチャートとして保存されるので、「開発者しかシステムの挙動が分からない…」などの属人化も発生しません。 リクエストの対応画面が、そのままユーザーの道しるべに…! さらに、この「リクエストライフサイクル」機能の便利な点は、ユーザーがリクエストに対応する画面にも「次に実施すべきアクション」が表示されるところです。 例えば、先の例のように「新入社員用の貸与PCを用意する」という業務が開始されたとき、下図のように「在庫あり」「在庫なし」というフローチャート内のアクションが表示されます。 担当者が変わっても、この表示を見れば次にすることが瞬時に分かります。この場合、業務フローとしては「まず在庫を確認」してから「在庫貸与/新規購入」のどちらかを実施するということですね。 次に、「在庫あり」をクリックするとServiceDesk Plus側で必要な処理(申請者に「PCの在庫を取りに来てください」という通知メールを送るなど…)が走り、フローチャートに従って次にすべきアクションが表示されます。 今回の例で言うと、下図のように「在庫情報の更新」というアクションが表示されました。 在庫管理のような地道な作業は、ついつい対応漏れが発生しがちです。対応が属人化されてしまうと、担当者が変わったタイミングで放置されてしまったり、対応者によってムラががあったりと、サービスレベルの統一が難しくなりますので、こういった機能を活用すると良いかも知れません。...

ServiceDesk Plus , ServiceDesk Plus On-Demand 1 min read

第12回 Azure ADのアクセスログ管理【MicrosoftのMVP解説!Azure ADの虎の巻】

Reading Time: 1 minutesこの記事の所要時間: 約 5分 ◆ 今回の記事のポイント ◆ ・ 「誰が」「いつ」「どのクラウドサービス」にアクセスしたのかを監査するためのアクセスログの参照方法 Azure ADとクラウドサービスを関連付けて、ユーザーにAzure ADを経由してアクセスさせれば、誰が、いつ、どのクラウドサービスにアクセスしたか?をAzure ADでまとめて参照できるようになります。このようなログは不正アクセスの検出に役立つだけでなく、様々な法令に基づいて証跡を保持しなければならないようなケースにおいても有効です。今回は、Azure ADのログの参照方法や保持方法について解説します。 Azure ADでは、管理作業のログとユーザーによるアクセスログを別々に記録し、それぞれAzure管理ポータルの[Azure Active Directory]より確認できます。管理作業のログはAzure管理ポータルの[Azure Active Directory]-[監査ログ]、アクセスログは[Azure Active Directory]-[サインイン]よりそれぞれ参照します。 [監査ログ]では、管理作業のジャンルやその操作の結果(成功・失敗)、対象となるユーザーなどを選択し、フィルターできます。例えば、別のAzure ADディレクトリに作られたユーザーをゲストユーザーとして登録したユーザーに対する操作であれば、「Invited Users」というサービス名を選択すれば、該当のログだけが表示されます。特定のログはクリックすると、その詳細を参照でき、日付、アクティビティの種類(どのような操作を行ったか)、状態(成功・失敗)などを確認できます。万が一、不正アクセスが疑われるような事象があった場合、監査ログを参照することで、その事象の確認ができるようになります。ちなみに、下の画面ではゲストユーザーを削除したことを表しています。 一方、[サインイン]ログではAzure...

ADAudit Plus , クラウドサービス , セキュリティ , 一般 1 min read

第12回 オブジェクトの復元【MicrosoftのMVP解説!Active Directoryのハウツー読本】

Reading Time: 1 minutesこの記事の所要時間: 約 5分 ◆ 今回の記事のポイント ◆ ・ オブジェクトの復元方法について解説 前回までのコラムでは、オブジェクトの作成や管理について解説しました。オブジェクトの管理をおこなう中で、誤ってオブジェクトを削除してしまうことは、よくある話です。今回のコラムでは、そのようなケースでのオブジェクトの復元について解説します。 ■ オブジェクトのSIDとは 第7回のコラムでも少しだけ解説しましたが、ユーザーなどのオブジェクトは作成された時点で、作成の操作をおこなったドメインコントローラーからSIDと呼ばれる内部的な番号が割り当てられます。この番号はオブジェクト毎に固有であり、他のオブジェクトと重複することはありません。Active DirectoryおよびWindows OSでは、どのユーザーがサインインしたかのなどの識別だけでなく、アクセス許可や権限の設定にもSIDが使用されます。オブジェクトのSIDはシステムによって自動的に割り当てられる番号であるため、私たちが指定するものではありませんが、管理ツールから確認することは可能です。Active Directoryユーザーとコンピューターの管理ツールでオブジェクトのSIDを確認する場合は、[表示]メニューから[拡張機能]をオンにした上で、オブジェクトのプロパティを開き、[属性エディター]タブの[objectSid]という属性を参照します。 オブジェクトが存在し続ける限り、そのオブジェクトのSIDが変わることはありません。しかし、ユーザーなどのオブジェクトを削除し、誤った操作であることに気づいて慌てて同じユーザー名で再度作成したとしても、以前とは異なるSIDが割り当てられます。つまり、表面的な名前は同じでも、異なるユーザーとして扱われることになります。したがって、ユーザープロファイルも以前とは違うものとなり、アクセス許可や権限の設定も再度おこなう必要があります。 ■ オブジェクトの復元方法 オブジェクトを誤って削除してしまった場合における復元方法は、Active Directoryのごみ箱という機能を有効にしているかどうかによって大きく異なります。Active Directoryのごみ箱という機能は、その名の通り、「Windowsのデスクトップ画面にあるごみ箱」に相当するActive Directoryの機能です。 ・Active Directoryのごみ箱が無効な場合 → バックアップデータから復元後、Authoritative Restoreを実行...

ADAudit Plus , ADManager Plus , ADSelfService Plus , セキュリティ , 一般 1 min read

第11回 オブジェクトの監査管理【MicrosoftのMVP解説!Active Directoryのハウツー読本】

Reading Time: 1 minutesこの記事の所要時間: 約 5分 ◆ 今回の記事のポイント ◆ ・ グループポリシーによる監査の有効化方法について解説 ・ イベントログの確認方法について解説 前回のコラムでは、GUIやCUIの管理ツールを用いたオブジェクトの作成および管理について解説しました。今回は、オブジェクトの監査について解説します。 ■ オブジェクトの監査とは オブジェクトの監査とは、Active Directoryのオブジェクトに対する操作を記録することです。小規模な環境であれば1人の管理者によって全てのオブジェクトの管理をおこなうことも可能ですが、ある程度以上の規模の場合には複数人の管理者で管理することも少なくありません。このような場合、特定のユーザーに対して必要最低限の管理権限を与えて運用します。しかし、複数人で管理することで、設定ミスやインシデントが起きる可能性は高くなることが考えられます。監査の設定をおこない、「誰が」「いつ」「どのオブジェクトに対して」「どのような」操作をおこなったのかを記録することで、設定ミスの早期発見やインシデントが起きてしまった際にどのようなことがおこなわれたかを把握するのに役立ちます。 ユーザーの作成や変更のようなActive Directoryのオブジェクトの監査をおこなうためには、以下の2つの設定が必要です。 グループポリシーによる監査の有効化 監査対象のオブジェクトに対する監査設定 この2つの設定を適切に構成することにより、Active Directoryへの書き込みやプロパティの変更などを監視し、操作の内容をイベントログとして出力できます。 ■ グループポリシーによる監査の有効化 グループポリシーには、監査を有効化するためのポリシー設定が用意されています。監査をおこなうには、そのポリシー設定を構成し、ドメインコントローラーに対してグループポリシーを適用する必要があります。Active Directoryのオブジェクトの監査をおこなうためには、次のいずれかのポリシー設定を構成します。ドメインコントローラー以外のコンピューターには適用する必要がないため、ポリシーの編集時はDefault...

ADAudit Plus , セキュリティ , 一般 1 min read

第11回 クラウドサービスへのアクセス制御(3)【MicrosoftのMVP解説!Azure ADの虎の巻】

Reading Time: 1 minutesこの記事の所要時間: 約 5分 ◆ 今回の記事のポイント ◆ ・ 多要素認証を活用したクラウドサービスへのアクセス制御方法を解説 ・ 条件付きアクセスを使用したより高度なアクセス制御方法を解説 前回と前々回で、条件付きアクセスを使って、Azure AD経由でアクセスするクラウドサービスへのアクセス制御を行う方法について解説しました。OS種類や場所、ドメインに参加しているか、などデバイスの状態に基づいてアクセス制御できることを確認しました。今回は、もうひとつの条件付きアクセスを制御する方法として、多要素認証を活用したアクセス制御方法についてみていきます。 多要素認証とは、複数の認証要素を利用して本人確認を行う方法で、通常使われるユーザー名とパスワードに加えて「別の要素」を利用して本人確認を行います。「別の要素」として利用する方法には、主に次の方法があります。 ・電話をかけてもらって応答する方法 ・SMSのメッセージを送ってもらってメッセージに書かれた番号をサインイン画面に打ち込む方法 ・Microsoft Authenticatorアプリに通知を送ってもらい、その通知に応答する方法 Microsoft AuthenticatorとはiOS, Android用のアプリで、それぞれのストアからダウンロードできるので、事前にユーザーのスマートフォン/タブレットにインストールしておいて利用します。インストール後に多要素認証を行うユーザーを登録すると、次回から多要素認証が必要なタイミングで下の図のような通知が表示されます。 多要素認証を利用するときは本来、Azure管理ポータルの[Azure Active Directory] – [ユーザー]...

クラウドサービス , 一般 1 min read

第10回 CUIによるオブジェクト管理【MicrosoftのMVP解説!Active Directoryのハウツー読本】

Reading Time: 1 minutesこの記事の所要時間: 約 6分 ◆ 今回の記事のポイント ◆ ・ CUIによるオブジェクトの管理方法について解説 前回までのコラムでは、オブジェクトを管理するために「Active Directoryユーザーとコンピューター」や「Active Directory管理センター」というGUIツールを紹介しました。今回は、CUIによるオブジェクト管理について解説します。 ■ 識別名とCUI管理ツール コマンドラインツールやWindows PowerShellなどのCUIを活用することで、複数のオブジェクトに対する一括操作を容易におこなうことができ、大量のオブジェクトを効率よく管理できます。CUIを使用してActive Directoryのオブジェクトを操作するためには、識別名(DN:Distinguished Name)と呼ばれる情報を理解しておく必要があります。 識別名とは、操作の対象となる「オブジェクトの場所を示す情報」です。識別名は、ディレクトリの階層の下から上の順に左からカンマ(,)で区切って記載します。また、その記載方法は、それぞれのオブジェクトの種類をCN(Common Name)、OU(Organizational Unit)、DC(Domain Component)で表し、オブジェクトの名前を指定します。たとえば、図のようなディレクトリの階層がある場合、このOUの配下にあるUserAの識別名は以下のようになります。 識別名を理解することにより、CUIの各種管理ツールを使用してオブジェクトの管理が可能になります。ドメインコントローラーをインストールすると、「Active Directoryユーザーとコンピューター」のようなGUIの管理ツールの他に、以下のようなCUIの管理ツールも一緒にインストールされます。 ・DSコマンド(Dsadd.exe、Dsmod.exe、Dsmove.exe) ・Csvde.exe...

ADManager Plus , セキュリティ , 一般 1 min read

第10回 クラウドサービスへのアクセス制御(2)【MicrosoftのMVP解説!Azure ADの虎の巻】

Reading Time: 1 minutesこの記事の所要時間: 約 6分 ◆ 今回の記事のポイント ◆ ・ 会社で支給しているデバイスからクラウドサービスにアクセスした時だけ許可する設定の解説 前回、条件付きアクセスを使って、Azure AD経由でアクセスするクラウドサービスへのアクセス制御を行う方法について解説しました。具体的にはOS種類に基づいてアクセス制御を行う方法を解説しましたが、そのほかにも様々な条件をもとにアクセス制御ができるので、今回はその中でもニーズが高い、会社支給のデバイスからアクセスしたときだけを許可する、という設定についてみていきます。 前回のおさらいですが、条件付きアクセスではユーザー/グループ、クラウドアプリ、条件をそれぞれ設定し、すべての条件に合致した場合に拒否する、または条件付きで許可する、という設定を行うものでした。前回は「WindowsまたはiOS以外のOSからのアクセスを拒否する」という設定を行いましたが、その場合、条件で「WindowsまたはiOS以外のOS」、許可/拒否の項目で「拒否」という設定を行いました。 条件付きアクセスのおさらいを踏まえて今回は「会社で支給しているデバイスからアクセスした時だけ許可する」という設定を行います。このような条件を設定する場合、最初に「会社支給のデバイス」を定義しなければなりません。条件付きアクセスでは、次の2つの方法で「会社支給のデバイス」を定義できます。 ・ Microsoft Intuneに登録されているデバイス ・ オンプレミスのActive Directoryドメインに参加しているデバイス どちらの場合も個人所有のデバイスであれば、これらの条件に当てはまることはないと思います。ですので、会社支給のデバイスとしましょう、と定義しています。これらの設定は条件付きアクセスの許可/拒否を設定する画面から[アクセス権の付与]を選択して行います。 Microsoft Intuneに登録されているデバイスであればアクセスを許可する場合は[デバイスは準拠しているとしてマーク済みである必要があります]を選択し、オンプレミスのActive Directoryドメインに参加しているデバイスであればアクセスを許可する場合は[ハイブリッド Azure AD 参加済みのデバイスが必要]を選択します。...

ADAudit Plus , セキュリティ , 一般 1 min read

第9回 オブジェクトの管理(2)【MicrosoftのMVP解説!Active Directoryのハウツー読本】

Reading Time: 1 minutesこの記事の所要時間: 約 5分 ◆ 今回の記事のポイント ◆ ・ Active Directoryデータベース内で管理されているオブジェクト「コンピューター」と「グループ」について解説 前回のコラムでは、Active Directoryデータベース内で管理されるオブジェクトのうち、OUとユーザーという2種類のオブジェクトの管理方法について解説しました。今回は、それ以外の代表的なオブジェクトである、コンピューターとグループについて解説します。 ■ コンピューター コンピューターとは、ドメインに参加しているコンピューター自体を認証するためのオブジェクトで、コンピューターアカウントとも呼ばれます。ドメインに参加するコンピューターは、起動時にコンピューターアカウントを使用して、ログオンをおこなっています。私たちからは見えていませんが、コンピューターを起動してユーザー認証がおこなわれる前に、コンピューター自体の認証がおこなわれているのです。 そして、コンピューターアカウントにもパスワードが設定されており、コンピューターアカウントの名前とパスワードを使用した認証がおこなわれています。コンピューターアカウントのパスワードは、私たちが決めるものではなく、Active Directoryによって生成されます。ドメインに参加した時点で、コンピューター名からコンピューターアカウントの作成および関連付けがおこなわれ、パスワードが生成されてドメインコントローラーからそのコンピューターに通知されます。また、ユーザーアカウントのパスワードと同じように、このパスワードは定期的に変更されます。既定では30日に1度のタイミングで変更され、このような動作をおこなうことで、コンピューター名を偽装してドメインへアクセスがおこなわれることを防いでいます。 コンピューターアカウントのプロセスはバックグラウンドでその都度おこなわれているため、そのコンピューターを定期的に起動して使用していれば、特別な管理は必要ありません。ただし、長期間使用しないコンピューターがある場合には、不正利用できないようにコンピューターアカウントを無効にして、ドメインの認証を禁止します。また、コンピューターアカウントにはパスワードが設定されているため、古いActive Directoryデータベースを復元した場合や、クライアントコンピューターのディスクイメージを復元した場合などでは、クライアントコンピューターとコンピューターアカウントのパスワードの不一致が起き、認証に失敗することがあります。コンピューターアカウントの認証に失敗しても、ユーザーの画面はユーザー認証の画面が表示されますが、ユーザー名とパスワードを正しく入力しても、以下のエラーでサインインできない状況になります。 このような状況になった場合は、コンピューターアカウントのリセットが必要です。リセットの方法はいくつかありますが最も一般的なのは、Active Directoryユーザーとコンピューターの管理ツールからコンピューターアカウントのリセットをおこなった上で、コンピューターのドメイン参加をやり直す方法です。 ■ グループ グループは、リソースへのアクセス許可の管理を効率的におこなうことを目的として使用されるオブジェクトで、グループアカウントとも呼ばれます。たとえば、同じアクセス許可や権限を複数のユーザーに割り当てたい場合、個々のユーザーに対してその割り当てをおこなうのは非効率であり、後でそれをまとめて変更したい場合も面倒です。グループを作成し、複数のユーザーなどをそのグループのメンバーとして設定すれば、グループの単位でアクセス許可や権限の割り当てがおこなえます。 グループ自体に設定するパラメーターの1つに、スコープがあります。スコープは、所属するメンバーとグループの使用範囲を決定するパラメーターであり、スコープの選択肢としては3種類があります。つまり、どのスコープでグループを作成するかによって、どのようなものを含められるかが異なるというわけです。3つのスコープのそれぞれに含めることができるオブジェクトは以下の通りです。 グループの作成を無計画におこなってしまうと、却って管理が煩雑化してしまいます。マイクロソフトが推奨するグループ作成および管理方針の1つにID-G-DL-A(またはID-G-U-DL-A)があります。これはID(Identities:ユーザーやコンピューター)をG(Global...

ADManager Plus , セキュリティ , 一般 1 min read