第12回 Azure ADのアクセスログ管理【MicrosoftのMVP解説!Azure ADの虎の巻】

Reading Time: 1 minutesこの記事の所要時間: 約 5分 ◆ 今回の記事のポイント ◆ ・ 「誰が」「いつ」「どのクラウドサービス」にアクセスしたのかを監査するためのアクセスログの参照方法 Azure ADとクラウドサービスを関連付けて、ユーザーにAzure ADを経由してアクセスさせれば、誰が、いつ、どのクラウドサービスにアクセスしたか?をAzure ADでまとめて参照できるようになります。このようなログは不正アクセスの検出に役立つだけでなく、様々な法令に基づいて証跡を保持しなければならないようなケースにおいても有効です。今回は、Azure ADのログの参照方法や保持方法について解説します。 Azure ADでは、管理作業のログとユーザーによるアクセスログを別々に記録し、それぞれAzure管理ポータルの[Azure Active Directory]より確認できます。管理作業のログはAzure管理ポータルの[Azure Active Directory]-[監査ログ]、アクセスログは[Azure Active Directory]-[サインイン]よりそれぞれ参照します。 [監査ログ]では、管理作業のジャンルやその操作の結果(成功・失敗)、対象となるユーザーなどを選択し、フィルターできます。例えば、別のAzure ADディレクトリに作られたユーザーをゲストユーザーとして登録したユーザーに対する操作であれば、「Invited Users」というサービス名を選択すれば、該当のログだけが表示されます。特定のログはクリックすると、その詳細を参照でき、日付、アクティビティの種類(どのような操作を行ったか)、状態(成功・失敗)などを確認できます。万が一、不正アクセスが疑われるような事象があった場合、監査ログを参照することで、その事象の確認ができるようになります。ちなみに、下の画面ではゲストユーザーを削除したことを表しています。 一方、[サインイン]ログではAzure...

ADAudit Plus , クラウドサービス , セキュリティ , 一般 1 min read

第12回 オブジェクトの復元【MicrosoftのMVP解説!Active Directoryのハウツー読本】

Reading Time: 1 minutesこの記事の所要時間: 約 5分 ◆ 今回の記事のポイント ◆ ・ オブジェクトの復元方法について解説 前回までのコラムでは、オブジェクトの作成や管理について解説しました。オブジェクトの管理をおこなう中で、誤ってオブジェクトを削除してしまうことは、よくある話です。今回のコラムでは、そのようなケースでのオブジェクトの復元について解説します。 ■ オブジェクトのSIDとは 第7回のコラムでも少しだけ解説しましたが、ユーザーなどのオブジェクトは作成された時点で、作成の操作をおこなったドメインコントローラーからSIDと呼ばれる内部的な番号が割り当てられます。この番号はオブジェクト毎に固有であり、他のオブジェクトと重複することはありません。Active DirectoryおよびWindows OSでは、どのユーザーがサインインしたかのなどの識別だけでなく、アクセス許可や権限の設定にもSIDが使用されます。オブジェクトのSIDはシステムによって自動的に割り当てられる番号であるため、私たちが指定するものではありませんが、管理ツールから確認することは可能です。Active Directoryユーザーとコンピューターの管理ツールでオブジェクトのSIDを確認する場合は、[表示]メニューから[拡張機能]をオンにした上で、オブジェクトのプロパティを開き、[属性エディター]タブの[objectSid]という属性を参照します。 オブジェクトが存在し続ける限り、そのオブジェクトのSIDが変わることはありません。しかし、ユーザーなどのオブジェクトを削除し、誤った操作であることに気づいて慌てて同じユーザー名で再度作成したとしても、以前とは異なるSIDが割り当てられます。つまり、表面的な名前は同じでも、異なるユーザーとして扱われることになります。したがって、ユーザープロファイルも以前とは違うものとなり、アクセス許可や権限の設定も再度おこなう必要があります。 ■ オブジェクトの復元方法 オブジェクトを誤って削除してしまった場合における復元方法は、Active Directoryのごみ箱という機能を有効にしているかどうかによって大きく異なります。Active Directoryのごみ箱という機能は、その名の通り、「Windowsのデスクトップ画面にあるごみ箱」に相当するActive Directoryの機能です。 ・Active Directoryのごみ箱が無効な場合 → バックアップデータから復元後、Authoritative Restoreを実行...

ADAudit Plus , ADManager Plus , ADSelfService Plus , セキュリティ , 一般 1 min read

第11回 オブジェクトの監査管理【MicrosoftのMVP解説!Active Directoryのハウツー読本】

Reading Time: 1 minutesこの記事の所要時間: 約 5分 ◆ 今回の記事のポイント ◆ ・ グループポリシーによる監査の有効化方法について解説 ・ イベントログの確認方法について解説 前回のコラムでは、GUIやCUIの管理ツールを用いたオブジェクトの作成および管理について解説しました。今回は、オブジェクトの監査について解説します。 ■ オブジェクトの監査とは オブジェクトの監査とは、Active Directoryのオブジェクトに対する操作を記録することです。小規模な環境であれば1人の管理者によって全てのオブジェクトの管理をおこなうことも可能ですが、ある程度以上の規模の場合には複数人の管理者で管理することも少なくありません。このような場合、特定のユーザーに対して必要最低限の管理権限を与えて運用します。しかし、複数人で管理することで、設定ミスやインシデントが起きる可能性は高くなることが考えられます。監査の設定をおこない、「誰が」「いつ」「どのオブジェクトに対して」「どのような」操作をおこなったのかを記録することで、設定ミスの早期発見やインシデントが起きてしまった際にどのようなことがおこなわれたかを把握するのに役立ちます。 ユーザーの作成や変更のようなActive Directoryのオブジェクトの監査をおこなうためには、以下の2つの設定が必要です。 グループポリシーによる監査の有効化 監査対象のオブジェクトに対する監査設定 この2つの設定を適切に構成することにより、Active Directoryへの書き込みやプロパティの変更などを監視し、操作の内容をイベントログとして出力できます。 ■ グループポリシーによる監査の有効化 グループポリシーには、監査を有効化するためのポリシー設定が用意されています。監査をおこなうには、そのポリシー設定を構成し、ドメインコントローラーに対してグループポリシーを適用する必要があります。Active Directoryのオブジェクトの監査をおこなうためには、次のいずれかのポリシー設定を構成します。ドメインコントローラー以外のコンピューターには適用する必要がないため、ポリシーの編集時はDefault...

ADAudit Plus , セキュリティ , 一般 1 min read

第11回 クラウドサービスへのアクセス制御(3)【MicrosoftのMVP解説!Azure ADの虎の巻】

Reading Time: 1 minutesこの記事の所要時間: 約 5分 ◆ 今回の記事のポイント ◆ ・ 多要素認証を活用したクラウドサービスへのアクセス制御方法を解説 ・ 条件付きアクセスを使用したより高度なアクセス制御方法を解説 前回と前々回で、条件付きアクセスを使って、Azure AD経由でアクセスするクラウドサービスへのアクセス制御を行う方法について解説しました。OS種類や場所、ドメインに参加しているか、などデバイスの状態に基づいてアクセス制御できることを確認しました。今回は、もうひとつの条件付きアクセスを制御する方法として、多要素認証を活用したアクセス制御方法についてみていきます。 多要素認証とは、複数の認証要素を利用して本人確認を行う方法で、通常使われるユーザー名とパスワードに加えて「別の要素」を利用して本人確認を行います。「別の要素」として利用する方法には、主に次の方法があります。 ・電話をかけてもらって応答する方法 ・SMSのメッセージを送ってもらってメッセージに書かれた番号をサインイン画面に打ち込む方法 ・Microsoft Authenticatorアプリに通知を送ってもらい、その通知に応答する方法 Microsoft AuthenticatorとはiOS, Android用のアプリで、それぞれのストアからダウンロードできるので、事前にユーザーのスマートフォン/タブレットにインストールしておいて利用します。インストール後に多要素認証を行うユーザーを登録すると、次回から多要素認証が必要なタイミングで下の図のような通知が表示されます。 多要素認証を利用するときは本来、Azure管理ポータルの[Azure Active Directory] – [ユーザー]...

クラウドサービス , 一般 1 min read

第10回 CUIによるオブジェクト管理【MicrosoftのMVP解説!Active Directoryのハウツー読本】

Reading Time: 1 minutesこの記事の所要時間: 約 6分 ◆ 今回の記事のポイント ◆ ・ CUIによるオブジェクトの管理方法について解説 前回までのコラムでは、オブジェクトを管理するために「Active Directoryユーザーとコンピューター」や「Active Directory管理センター」というGUIツールを紹介しました。今回は、CUIによるオブジェクト管理について解説します。 ■ 識別名とCUI管理ツール コマンドラインツールやWindows PowerShellなどのCUIを活用することで、複数のオブジェクトに対する一括操作を容易におこなうことができ、大量のオブジェクトを効率よく管理できます。CUIを使用してActive Directoryのオブジェクトを操作するためには、識別名(DN:Distinguished Name)と呼ばれる情報を理解しておく必要があります。 識別名とは、操作の対象となる「オブジェクトの場所を示す情報」です。識別名は、ディレクトリの階層の下から上の順に左からカンマ(,)で区切って記載します。また、その記載方法は、それぞれのオブジェクトの種類をCN(Common Name)、OU(Organizational Unit)、DC(Domain Component)で表し、オブジェクトの名前を指定します。たとえば、図のようなディレクトリの階層がある場合、このOUの配下にあるUserAの識別名は以下のようになります。 識別名を理解することにより、CUIの各種管理ツールを使用してオブジェクトの管理が可能になります。ドメインコントローラーをインストールすると、「Active Directoryユーザーとコンピューター」のようなGUIの管理ツールの他に、以下のようなCUIの管理ツールも一緒にインストールされます。 ・DSコマンド(Dsadd.exe、Dsmod.exe、Dsmove.exe) ・Csvde.exe...

ADManager Plus , セキュリティ , 一般 1 min read

第10回 クラウドサービスへのアクセス制御(2)【MicrosoftのMVP解説!Azure ADの虎の巻】

Reading Time: 1 minutesこの記事の所要時間: 約 6分 ◆ 今回の記事のポイント ◆ ・ 会社で支給しているデバイスからクラウドサービスにアクセスした時だけ許可する設定の解説 前回、条件付きアクセスを使って、Azure AD経由でアクセスするクラウドサービスへのアクセス制御を行う方法について解説しました。具体的にはOS種類に基づいてアクセス制御を行う方法を解説しましたが、そのほかにも様々な条件をもとにアクセス制御ができるので、今回はその中でもニーズが高い、会社支給のデバイスからアクセスしたときだけを許可する、という設定についてみていきます。 前回のおさらいですが、条件付きアクセスではユーザー/グループ、クラウドアプリ、条件をそれぞれ設定し、すべての条件に合致した場合に拒否する、または条件付きで許可する、という設定を行うものでした。前回は「WindowsまたはiOS以外のOSからのアクセスを拒否する」という設定を行いましたが、その場合、条件で「WindowsまたはiOS以外のOS」、許可/拒否の項目で「拒否」という設定を行いました。 条件付きアクセスのおさらいを踏まえて今回は「会社で支給しているデバイスからアクセスした時だけ許可する」という設定を行います。このような条件を設定する場合、最初に「会社支給のデバイス」を定義しなければなりません。条件付きアクセスでは、次の2つの方法で「会社支給のデバイス」を定義できます。 ・ Microsoft Intuneに登録されているデバイス ・ オンプレミスのActive Directoryドメインに参加しているデバイス どちらの場合も個人所有のデバイスであれば、これらの条件に当てはまることはないと思います。ですので、会社支給のデバイスとしましょう、と定義しています。これらの設定は条件付きアクセスの許可/拒否を設定する画面から[アクセス権の付与]を選択して行います。 Microsoft Intuneに登録されているデバイスであればアクセスを許可する場合は[デバイスは準拠しているとしてマーク済みである必要があります]を選択し、オンプレミスのActive Directoryドメインに参加しているデバイスであればアクセスを許可する場合は[ハイブリッド Azure AD 参加済みのデバイスが必要]を選択します。...

ADAudit Plus , セキュリティ , 一般 1 min read

第9回 オブジェクトの管理(2)【MicrosoftのMVP解説!Active Directoryのハウツー読本】

Reading Time: 1 minutesこの記事の所要時間: 約 5分 ◆ 今回の記事のポイント ◆ ・ Active Directoryデータベース内で管理されているオブジェクト「コンピューター」と「グループ」について解説 前回のコラムでは、Active Directoryデータベース内で管理されるオブジェクトのうち、OUとユーザーという2種類のオブジェクトの管理方法について解説しました。今回は、それ以外の代表的なオブジェクトである、コンピューターとグループについて解説します。 ■ コンピューター コンピューターとは、ドメインに参加しているコンピューター自体を認証するためのオブジェクトで、コンピューターアカウントとも呼ばれます。ドメインに参加するコンピューターは、起動時にコンピューターアカウントを使用して、ログオンをおこなっています。私たちからは見えていませんが、コンピューターを起動してユーザー認証がおこなわれる前に、コンピューター自体の認証がおこなわれているのです。 そして、コンピューターアカウントにもパスワードが設定されており、コンピューターアカウントの名前とパスワードを使用した認証がおこなわれています。コンピューターアカウントのパスワードは、私たちが決めるものではなく、Active Directoryによって生成されます。ドメインに参加した時点で、コンピューター名からコンピューターアカウントの作成および関連付けがおこなわれ、パスワードが生成されてドメインコントローラーからそのコンピューターに通知されます。また、ユーザーアカウントのパスワードと同じように、このパスワードは定期的に変更されます。既定では30日に1度のタイミングで変更され、このような動作をおこなうことで、コンピューター名を偽装してドメインへアクセスがおこなわれることを防いでいます。 コンピューターアカウントのプロセスはバックグラウンドでその都度おこなわれているため、そのコンピューターを定期的に起動して使用していれば、特別な管理は必要ありません。ただし、長期間使用しないコンピューターがある場合には、不正利用できないようにコンピューターアカウントを無効にして、ドメインの認証を禁止します。また、コンピューターアカウントにはパスワードが設定されているため、古いActive Directoryデータベースを復元した場合や、クライアントコンピューターのディスクイメージを復元した場合などでは、クライアントコンピューターとコンピューターアカウントのパスワードの不一致が起き、認証に失敗することがあります。コンピューターアカウントの認証に失敗しても、ユーザーの画面はユーザー認証の画面が表示されますが、ユーザー名とパスワードを正しく入力しても、以下のエラーでサインインできない状況になります。 このような状況になった場合は、コンピューターアカウントのリセットが必要です。リセットの方法はいくつかありますが最も一般的なのは、Active Directoryユーザーとコンピューターの管理ツールからコンピューターアカウントのリセットをおこなった上で、コンピューターのドメイン参加をやり直す方法です。 ■ グループ グループは、リソースへのアクセス許可の管理を効率的におこなうことを目的として使用されるオブジェクトで、グループアカウントとも呼ばれます。たとえば、同じアクセス許可や権限を複数のユーザーに割り当てたい場合、個々のユーザーに対してその割り当てをおこなうのは非効率であり、後でそれをまとめて変更したい場合も面倒です。グループを作成し、複数のユーザーなどをそのグループのメンバーとして設定すれば、グループの単位でアクセス許可や権限の割り当てがおこなえます。 グループ自体に設定するパラメーターの1つに、スコープがあります。スコープは、所属するメンバーとグループの使用範囲を決定するパラメーターであり、スコープの選択肢としては3種類があります。つまり、どのスコープでグループを作成するかによって、どのようなものを含められるかが異なるというわけです。3つのスコープのそれぞれに含めることができるオブジェクトは以下の通りです。 グループの作成を無計画におこなってしまうと、却って管理が煩雑化してしまいます。マイクロソフトが推奨するグループ作成および管理方針の1つにID-G-DL-A(またはID-G-U-DL-A)があります。これはID(Identities:ユーザーやコンピューター)をG(Global...

ADManager Plus , セキュリティ , 一般 1 min read

第9回 クラウドサービスへのアクセス制御(1)【MicrosoftのMVP解説!Azure ADの虎の巻】

Reading Time: 1 minutesこの記事の所要時間: 約 3分 ◆ 今回の記事のポイント ◆ ・ 条件をクリアしたユーザーのみがクラウドサービスにアクセスできる「条件付きアクセス」機能の解説 第6回から第8回まででAzure ADと様々なクラウドサービスを関連付け、Azure ADにサインインするだけでクラウドサービスへのアクセスが実現するシングルサインオンの設定について解説をしました。このとき、アクセス許可の割り当てはユーザーまたはグループの単位で設定できることを紹介しました(OpenID Connect/OAuth2.0を使う場合は[承諾]ボタンを押せばアクセス許可の割り当てすら不要でした)。 ところが、クラウドサービスへのアクセス制御となると、いつでも、どこからでもアクセスできてしまうというセキュリティ上の課題があるため、単純にユーザー名とパスワードが正しければ無条件にアクセスしても良い、などとすることはできないでしょう。 こうした課題に対応するため、Azure ADではクラウドサービスへのアクセスに追加の条件を設定し、その条件をクリアしたユーザーだけがアクセスできるように制御する「条件付きアクセス」と呼ばれる機能を提供しています。 条件付きアクセスでは、クライアントがどこからアクセスしているか?や、クライアントデバイスのOSが何であるか?など、ユーザーアカウントを利用するデバイスの状態をベースにアクセス制御を行います。 具体的な処理フローは次の通りです。 条件付きアクセスでは、設定を適用するユーザーとグループ、クラウドアプリ(クラウドサービス)を最初に決定し、その後、クラウドサービスへのアクセス条件と許可/拒否を設定します。 それでは、具体的な設定方法を確認していきましょう。 条件付きアクセスの設定は、Azure管理ポータルの[Azure Active Directory]から[条件付きアクセス]をクリックして行います。[条件付きアクセス]画面では[新しいポリシー]をクリックして、ルールを作成します。 ポリシー作成画面では、最初にポリシーの名前、対象となるユーザー/グループ、クラウドアプリを選択します。ここでは、前回紹介したWebアプリケーションへのアクセスに条件付きアクセスを使ってアクセス制御設定をします。 続いて、ポリシーでは条件を設定します。ここでは「WindowsまたはiOS以外のすべてのOS」という条件を設定します。OS種類の設定は[条件]-[デバイスプラットフォーム]を利用します。条件設定画面では、対象外に設定したルールは対象に設定したルールよりも優先されるため、 対象:任意のデバイス...

クラウドサービス , セキュリティ , 一般 1 min read

第8回 Azure ADによるクラウドサービスの管理(3)【MicrosoftのMVP解説!Azure ADの虎の巻】

Reading Time: 1 minutesこの記事の所要時間: 約 4分 ◆ 今回の記事のポイント ◆ ・ PaaS型クラウドサービスとの間でSSOを実現する方法について解説 前回、前々回とAzure ADとSaaS型クラウドサービスの関連付けを行い、Azure ADにサインインするだけでクラウドサービスへのアクセスが実現するシングルサインオンの設定について解説をしました。一方、認証基盤をAzure ADに一本化させていこうとすると、自社開発のWebアプリケーションもクラウドサービスで実行させるのであればAzure ADで認証させたいというニーズも出てくることでしょう。そこで、今回はAzure ADとWebアプリケーションの関連付けを行い、PaaS型クラウドサービスとの間でシングルサインオンを実現する方法について解説します。 Webアプリケーションを実装するためのPaaS型クラウドサービスは世の中に色々ありますが、Microsoft Azureを利用すると、Azure ADとの関連付けが非常に簡単にできるので、ここではMicrosoft AzureのWebホスティングサービス(Azure App Service)とAzure ADを関連付けていきます。 Azure App Serviceではアプリを追加すると、Webアプリケーションにアクセスする際に利用する認証サービスを選択できるようになっています。 認証サービスにはAzure...

セキュリティ , 一般 1 min read

第8回 オブジェクトの管理(1)【MicrosoftのMVP解説!Active Directoryのハウツー読本】

Reading Time: 1 minutesこの記事の所要時間: 約 5分 ◆ 今回の記事のポイント ◆ ・ Active Directoryデータベース内で管理されているオブジェクト「OU」と「ユーザー」について解説 これまでのコラムでは、Active Directoryのデータベースやドメインコントローラーについて解説してきました。今回から2回にわたって、Active Directoryデータベース内で管理する「オブジェクト」について解説します。 ■ オブジェクト オブジェクトとは、Active Directoryデータベース内に登録されるアカウントやリソースの総称です。Active Directoryデータベースには様々な情報を登録し、その情報を利用することができますが、それらは総称してオブジェクトと呼ばれます。Active Directoryデータベースに登録する代表的なオブジェクトには、以下のようなものがあります。 ・ OU ・ ユーザー ・ コンピューター ・...

ADManager Plus , セキュリティ , 一般 1 min read