制御

第10回 クラウドサービスへのアクセス制御(2)【MicrosoftのMVP解説!Azure ADの虎の巻】

Reading Time: 1 minutesこの記事の所要時間: 約 6分 ◆ 今回の記事のポイント ◆ ・ 会社で支給しているデバイスからクラウドサービスにアクセスした時だけ許可する設定の解説 前回、条件付きアクセスを使って、Azure AD経由でアクセスするクラウドサービスへのアクセス制御を行う方法について解説しました。具体的にはOS種類に基づいてアクセス制御を行う方法を解説しましたが、そのほかにも様々な条件をもとにアクセス制御ができるので、今回はその中でもニーズが高い、会社支給のデバイスからアクセスしたときだけを許可する、という設定についてみていきます。 前回のおさらいですが、条件付きアクセスではユーザー/グループ、クラウドアプリ、条件をそれぞれ設定し、すべての条件に合致した場合に拒否する、または条件付きで許可する、という設定を行うものでした。前回は「WindowsまたはiOS以外のOSからのアクセスを拒否する」という設定を行いましたが、その場合、条件で「WindowsまたはiOS以外のOS」、許可/拒否の項目で「拒否」という設定を行いました。 条件付きアクセスのおさらいを踏まえて今回は「会社で支給しているデバイスからアクセスした時だけ許可する」という設定を行います。このような条件を設定する場合、最初に「会社支給のデバイス」を定義しなければなりません。条件付きアクセスでは、次の2つの方法で「会社支給のデバイス」を定義できます。 ・ Microsoft Intuneに登録されているデバイス ・ オンプレミスのActive Directoryドメインに参加しているデバイス どちらの場合も個人所有のデバイスであれば、これらの条件に当てはまることはないと思います。ですので、会社支給のデバイスとしましょう、と定義しています。これらの設定は条件付きアクセスの許可/拒否を設定する画面から[アクセス権の付与]を選択して行います。 Microsoft Intuneに登録されているデバイスであればアクセスを許可する場合は[デバイスは準拠しているとしてマーク済みである必要があります]を選択し、オンプレミスのActive Directoryドメインに参加しているデバイスであればアクセスを許可する場合は[ハイブリッド Azure AD 参加済みのデバイスが必要]を選択します。...

ADAudit Plus , セキュリティ , 一般 1 min read

Active Directoryの委任とは?権限委任で管理者の負担を軽減しよう!【連載:ADについて学ぼう~応用編(1)~】

Reading Time: 1 minutesこの記事の所要時間: 約 4分 【目次】 連載:ADについて学ぼう ドメイン内には多くのOUが存在しており、さらに各OUには多くのユーザーやグループといったオブジェクトが存在しています。そんなOUに対する管理変更(パスワードリセットやユーザー作成や削除など)を、ドメイン管理者が全て行っている場合、ドメイン管理者の負担は大変大きくなりがちです。 そこで、Active Directoryの機能の一つである「制御の委任」を行うことにより、OU単位で、特定の管理作業だけを任せることができるようになります。これにより、Active Directory内の管理作業を分担することが出来るため、ドメイン管理者の負担を軽減することが可能です。 今回はセキュリティ管理者にとって、特に負担が大きくなりがちな「パスワードリセット」の権限委任を例に、委任の設定方法をご紹介していきたいと思います。 1.「Active Directoryユーザーとコンピュータ」を起動します。 2.制御の委任を行うOUを右クリックして、「制御の委任」を選択します。 3.「オブジェクト制御の委任ウィザード」が起動します。 4.[追加]ボタンをクリックして、権限委任を行うユーザーまたはグループを選択します。 5.委任するタスクの種類を以下の2つから選択します: (今回は[委任するカスタムタスクを作成する]を選択します。) [次の共通タスクを委任する] 制御を委任できる共通タスクは次の通りです。 ・ ユーザー アカウントの作成、削除、および管理 ・ ユーザーのパスワードをリセットして次回ログオン時にパスワードの変更を要求する ・...

ADAudit Plus , ADManager Plus , ADSelfService Plus 1 min read