ADSelfService Plus

ManageEngine ADSelfService Plusは、Windows Active Directory(AD)のアカウントロック解除やパスワードリセットの運用をユーザー自身で実行させる、セルフサービス化ソフトウェアです。 Visit:

【MicrosoftのMVP解説!Azure ADの虎の巻】第6回 Azure ADによるクラウドサービスの管理(1)

Reading Time: 1 minutesこの記事の所要時間: 約 6分 今回の記事のポイント ・ SAMLプロトコルを使用したシングルサインオンの仕組みについて解説 ・ クラウドサービスをAzure ADに関連付けるための手順について解説   私はこの連載の最初に「Azure ADを利用する目的はクラウド上のアプリケーションへの認証・認可を一元化することにある」という趣旨の話をしました。現在、多くの企業で抱える課題に、企業で利用するクラウドサービスにアクセスするごとにユーザー名とパスワードを入力しなければならないというものがあります。Azure ADではこうした面倒をなくし、Azure ADで一度認証を行うだけで、それぞれのクラウドサービスにアクセスするときに毎度ユーザー名とパスワードを入力しなくてもよい、という解決策を提供してくれるという話でした。 では、現在お使いのクラウドサービスをAzure ADに関連付けるには、どうしたらよいでしょうか?IaaS, PaaS, SaaSの3種類のクラウドサービスのうち、どれを利用するかによって関連付けの方法は異なるのですが、ここではSaaSのケースを取り上げて具体的な関連付けの方法について解説します。 SaaSのクラウドサービスをAzure ADに関連付ける場合、シングルサインオン用のプロトコルであるSAMLと呼ばれるプロトコルが利用できます。SAMLプロトコルでは、ユーザー名とパスワードをクラウドサービスに提示する代わりにAzure ADが発行するトークンと呼ばれるデータを提示することでクラウドサービスへの認証・認可を済ませる、ということを行います。その結果、Azure ADに既にサインインしていれば、クラウドサービスへのサインインが要らなくなる、つまり「シングルサインオン」が実現するのです。 では、SAMLプロトコルを使ってAzure ADとクラウドサービスを関連付け、クラウドサービスへのシングルサインオンを実現するための手順を見てみたいと思います。設定方法はクラウドサービスによって多少異なりますが、ここでは例として「Dropbox for...

ADSelfService Plus , セキュリティ , 一般 1 min read

【MicrosoftのMVP解説!Azure ADの虎の巻】第1回 AzureADを利用する意味

Reading Time: 1 minutesこの記事の所要時間: 約 5分 今回の記事のポイント ・ オンプレミスとクラウドにおける認証・認可の仕組みについて解説   このたびZoho Japanさんからご依頼をいただき、Azure Active Directoryのコラムを提供させていただくことになった、国井と申します。普段はマイクロソフト製品やサービスを中心としたトレーニングサービスを提供していることもあり、今回のような機会をいただきました。Active Directoryのコラムと交互に提供していきますので、Active Directoryのコラムを提供する新井ともどもよろしくお願いいたします。 私自身、集合研修と言われるトレーニングを提供させていただくことが多いのですが、直接お客様とお会いする中で、最近「オンプレミスからクラウドへの移行を行いたい」とのご相談をよくいただきます。オンプレミスには業務アプリケーションをはじめ、様々なアプリケーションやデータ、そしてサーバーが存在します。これらのリソースをクラウドへ移行することになっても、オンプレミスのときと同じようにユーザー名・パスワードのような本人確認(認証)の仕組みを用意し、特定のユーザーだけが適切なリソースに対してのみアクセスできるような仕組み(認可)を提供しなければなりません。このような認証と認可の仕組みを利用する場合、次のようなパターンが考えられます。 認証・認可の仕組みをオンプレミスに用意し、 オンプレミスとクラウドのリソースにアクセスするときに認証・認可が実現できるようにする 認証・認可の仕組みをクラウドに用意し、 オンプレミスとクラウドのリソースにアクセスするときに認証・認可が実現できるようにする 認証・認可の仕組みをオンプレミスとクラウドの両方に用意し、 オンプレミスとクラウドのリソースにアクセスするときに認証・認可が実現できるようにする パターン1の認証・認可の仕組みをオンプレミスに用意する場合、多くの企業でActive Directoryを利用してきたと思います。Active Directoryは社内のサーバーにアクセスするときの認証・認可の仕組みとして役立ちましたが、Kerberos(ケルベロス)と呼ばれる、特殊なプロトコルを利用して通信するため、インターネット経由で通信を行うクラウドサービスの認証・認可は少し苦手です。 Microsoft Azureの場合、Azure...

ADSelfService Plus 1 min read

解説!アカウントロックアウトポリシー/ロック解除法(Active Directory管理Tips)

Reading Time: 1 minutesこの記事の所要時間: 約 3分 パスワードクラックとして、昔から使用される手法の一例として「辞書攻撃」や「総当たり攻撃」が挙げられます。これは、コンピューターを使用して、考えられるパスワードを次々と試し、正解を探し出すという攻撃方法です。 近年では、顔認証、ICカード認証、指紋認証、携帯ベースのPhoneFactorなどの二要素認証がパスワードクラックへの対策とされています。これらの技術は、システム全体への変更が必要であるため導入の敷居が高かったり、設備への投資が必要となりますが、簡単で短期間でできる対策の1つとして、同一アカウントを使用して複数回ログオンに失敗した場合、一定期間ログオンができなくなる「アカウント ロックアウト」の設定が有効です。アカウント ロックアウトの設定は、グループポリシーの「アカウント ポリシー」から設定することが可能です。 < アカウント ロックアウトポリシーの設定手順 > [ コンピューターの構成 ] – [ Windowsの設定 ] – [ セキュリティの設定 ] – [...

ADSelfService Plus 1 min read

Active Directoryのユーザーアカウント作成とは?【連載:ADについて学ぼう~導入編(1)~】

Reading Time: 1 minutesこの記事の所要時間: 約 6分 Active Directoryの代表的なオブジェクトには、「ユーザーアカウント」「グループアカウント」「コンピューターアカウント」などがありますが、今回の記事では、まず初めに作成するであろう「ユーザーアカウント」について、以下の3つの作成方法をご紹介していきたいと思います。 ■■□―――――――――――――――――――□■■ 1.Microsoftが提供している管理ツールを使用 2.コマンドラインを使用 3.弊社製品の「ADManager Plus」を使用 ■■□―――――――――――――――――――□■■ 1.Microsoftが提供している管理ツールを使用 ユーザーアカウントを作成する際に、おそらく最も多くの方が使用している方法が、Microsoft提供の管理ツールなのではないでしょうか。なお、使用可能な管理ツールには、従来からある[ユーザーとコンピューター]と、Windows Server2012R2から追加された[管理センター]の2つがあります。 1-1. [ユーザーとコンピューター]を使用した場合 [コントロール パネル] -> [管理ツール] から、[Active Directory ユーザーとコンピューター] を起動します。そして、ユーザーを作成するOUを右クリックすると、[新規作成] ->...

ADAudit Plus , ADManager Plus , ADSelfService Plus 1 min read

【なんか遅い!】なぜパスワードのリセットに時間がかかるのか?

Reading Time: 1 minutesこの記事の所要時間: 約 5分 急いでいる時、あるいは外出中に限ってパスワードの有効期限が切れてしまい、PCへのログインや VPN接続ができないといった経験はないでしょうか。 また、そんな急いでいる社員にせかされて、サーバーにログインしてリセット対応するといった経験は ないでしょうか。 本ブログでは、エンドユーザー(社員)から依頼のあるActive Directoryのパスワードリセット要求に対して なぜ対応に時間がかかってしまうのか問題点を確認した上で、ManageEngine ADSelfService Plus、ADManager Plusを使用した場合のパスワードリセットにかかる時間について紹介いたします。 Active Directoryのパスワードリセットは管理者権限やリセット権限が付与されたユーザーでのみ実行 できる処理です。一般のエンドユーザー(社員)権限では自己解決できないため、Eメール、電話、 紙ベースでの申請・問い合わせがおこなわれます。この問い合わせこそ、もっとも時間がかかります。 もちろん、リセット後にエンドユーザーに新しいパスワードをお伝えする必要がある点でも時間がかかる でしょう。 もう1点が、実際にリセットを実行するヘルプデスク担当者や管理者のおこなうリセット作業の時間です。 ドメインコントローラーにアクセスし、Active Directoryが提供するコンソールから実行する場合はそれなりに 時間がかかります。以下の実行手順の場合、2分弱の時間を要します。 【Active Directoryユーザーとコンピューター(ADUC)のコンソールの場合】...

ADManager Plus , ADSelfService Plus 1 min read

連載:ADについて学ぼう ≪目次≫

Reading Time: 1 minutesこの記事の所要時間: 約 0分 連載:ADについて学ぼう~基礎編~ 基礎編(1) Active Directoryとは? 基礎編(2) Active Directoryの認証の仕組み 基礎編(3) Active Directoryの基本構成 基礎編(4) サイトとは何か? -サイトの必要性をご紹介- 基礎編(5) Active DirectoryにおけるDNSの役割 基礎編(6) グループポリシーとは? 基礎編(7) アカウントポリシーの構成 基礎編(8) グループアカウントの種類と運用方法 基礎編(9) セキュリティ監査のためのグループポリシーの設定 連載:ADについて学ぼう~導入編~ 導入編(1) 新しいユーザーアカウントの作成 連載:ADについて学ぼう~応用編~ 応用編(1) OUの委任 -権限委任で管理者の負担を軽減しよう!- 応用編(2) ダイナミックアクセス制御と設定方法 応用編(3) FSMOの役割 応用編(4) FSMOの確認方法 応用編(5) ACLによるアクセス権限のコントロール

ADAudit Plus , ADManager Plus , ADSelfService Plus , 一般 1 min read

Active Directoryの監査ポリシーとは?【連載:ADについて学ぼう~基礎編(9)~】

Reading Time: 1 minutesこの記事の所要時間: 約 3分 今までの投稿を見返してみると、Active Directoryの設定の中で最も基本的かつ重要な設定である「監査ポリシー」についてあまり触れていなかったことに気が付いたので、今回の記事では「監査ポリシー」についてご紹介していきたいと思います。 標的型攻撃といった高度な攻撃手法が横行する現代において、攻撃の兆候をいち早く察知し、攻撃を阻止することが求められています。そのための手段の一つとして、Windowsに標準搭載されているイベントビューアーの確認が挙げられます。 イベントビューアーはコントロールパネルの「管理ツール」から、あるいはコマンドプロンプトから”eventvwr“と実行して起動しますこのイベントビューアーに残されているログの中でも「セキュリティログ」と呼ばれるログをこまめに確認することが大切になります。 セキュリティログにはユーザーのログオンログオフの記録やオブジェクトに対するアクセス履歴などが記録されるのですが、すべてのログが最初から記録されているというわけではありません。管理者がどのログを記録するのかを、予め設定する必要があるのです。(すべてを記録するよう設定してしまうと、大量のログが出力されサイズが大きくなるのはもちろん、重要なログを見落としてしまう可能性が高くなります。) そしてどのログを記録するのかを決定するのが、今回ご紹介する「監査ポリシー」なのです! 監査ポリシーを設定するには、グループポリシー管理エディターを開き設定を行いたいGPOを右クリックして「編集」を実行後、以下のように移動してください。 「コンピューターの構成」-「ポリシー」-「Windowsの設定」-「セキュリティの設定」- 「ローカル ポリシー」-「監査ポリシー」 ※グループポリシー管理エディターを開くにはコマンドプロンプトから以下のコマンドを実行してください。 ≪ドメインコントローラーの場合≫ gpmc.msc ≪メンバーサーバーの場合≫ gpedit.msc 監査ポリシーには以下の9つの項目があります: 例えばログオンイベントに関するログを記録したい場合、「アカウント ログオン イベントの監査」をクリック後[これらのポリシーの設定を定義する]チェックボックスを選択して、[成功]と[失敗]にチェックを入れます。 そうすることで、アカウントのログオンの成功/失敗時に監査エントリが生成されます。 またWindows Server 2008以降からは、より細かい設定が可能な「監査ポリシーの詳細な構成」が設定可能です。監査ポリシーの詳細な構成を開くには、GPOを右クリックして「編集」を実行後、以下のように移動してください。 「コンピューターの構成」-「ポリシー」-「Windowsの設定」-「セキュリティの設定」- 「監査ポリシーの詳細な構成」-「監査ポリシー」...

ADAudit Plus , ADManager Plus , ADSelfService Plus 1 min read

Active DirectoryのFSMOとは?[2]【連載:ADについて学ぼう~応用編(4)~】

Reading Time: 1 minutesこの記事の所要時間: 約 2分 前回の連載「第十二回 FSMOの役割」ではFSMOの役割についてご紹介しましたが、今回はそれぞれのFSMOの確認方法、さらに強制移動の方法をご紹介したいと思います! スキーママスターの確認と転送 ドメイン名前付けマスターの確認と転送 RIDマスター/PDCエミュレーター/インフラストラクチャマスターの確認と転送 操作マスターの役割の強制移動 <スキーママスターの確認と転送> 1.[Active Directory スキーマ]を起動します。 2.左側のウィンドウから[Active Directory スキーマ]を右クリックして、[操作マスター]をクリックします。 3.表示されているサーバーが現在スキーママスタの役割を持つサーバーです。 4.スキーママスターの役割を転送するには[変更]をクリックします。 注意! Active Directory スキーマ スナップインを使用するには、”Schmmgmt.dll”ファイルを登録する必要がある場合があります。 登録するにはコマンドプロンプトを開き、以下のコマンドを実行します: regsvr32 schmmgmt.dll...

ADAudit Plus , ADManager Plus , ADSelfService Plus 1 min read

Active DirectoryのFSMOとは?【連載:ADについて学ぼう~応用編(3)~】

Reading Time: 1 minutesこの記事の所要時間: 約 4分 ドメインやフォレスト内には、いくつかの特別な役割を持ったドメインコントローラーが存在しており、このようなドメインコントローラーは、「FSMO」や「操作マスター」と呼ばれます。 *FSMO = Flexible Single Master Operation ではなぜそのようなドメインコントローラーが必要なのでしょうか? 例えば、複数のドメインコントローラーが存在するドメインで特定のユーザーのパスワードが変更された場合、全てのドメインコントローラーに変更情報が行きわたるまでに時間が掛かる場合があります。すると、変更情報がまだ届いていないドメインコントローラーからユーザーがログオンしようとした場合、パスワードが間違っていると判断され、ユーザーがログオンできないという状態になってしまいます。 このような状況を防ぐため、Active Directoryではパスワードが変更された際、まず特別な役割を持つドメインコントローラーに情報を伝えます。そして、ドメインコントローラーとユーザーの入力した認証情報が異なる場合、特別な役割をもつドメインコントローラーに問い合わせを行うことで、ユーザーがログインできる、という仕組みなのです。 ■ 操作マスターの種類と役割 では具体的に特別な役割をもつドメインコントローラーというのが何なのか、ご紹介していきます。 操作マスターには5つの種類があり、さらに以下の2つに分けられます。 1. フォレスト全体で1台必要なもの 2. ドメインごとに1台必要なもの < スキーママスター >...

ADAudit Plus , ADManager Plus , ADSelfService Plus 1 min read

Active Directoryのダイナミックアクセス制御とは?【連載:ADについて学ぼう~応用編(2)~】

Reading Time: 1 minutesこの記事の所要時間: 約 6分 前回の、「連載:ADについて学ぼう(10)」ではアクセス制御についてご紹介しましたが今回はWindows Server2012から導入された「ダイナミックアクセス制御」をご紹介していきたいと思います! アクセス制御を設定するには、以下の手順が必要だったかと思います。 ・セキュリティグループAを作成 ・セキュリティグループAにメンバーを追加 ・共有フォルダに対してセキュリティグループAのアクセス許可設定を設定 しかしここでさらに、複数部署の課長クラス以上のみにアクセス許可を与える場合はどうでしょう。新しくセキュリティグループを設定するという手段もありますが、毎回セキュリティグループを作成して設定を行っていては、管理が大変になってしまいます。 そこでWindows Server2012の新機能である「ダイナミックアクセス制御」を使用するにより、従来の制御方法に加えて属性によるアクセス制御の設定が可能になります。 ●ダイナミックアクセス制御の設定● 今回は例として、 部署:技術部 and 営業部 and 総務部 役職:課長 and 課長 に対するアクセス許可の設定を行いたいと思います。 ≪クレームタイプの作成≫ ダイナミックアクセス制御に使用するActive...

ADAudit Plus , ADManager Plus , ADSelfService Plus 1 min read