Azure AD

第12回 Azure ADのアクセスログ管理【MicrosoftのMVP解説!Azure ADの虎の巻】

Reading Time: 1 minutesこの記事の所要時間: 約 5分 ◆ 今回の記事のポイント ◆ ・ 「誰が」「いつ」「どのクラウドサービス」にアクセスしたのかを監査するためのアクセスログの参照方法 Azure ADとクラウドサービスを関連付けて、ユーザーにAzure ADを経由してアクセスさせれば、誰が、いつ、どのクラウドサービスにアクセスしたか?をAzure ADでまとめて参照できるようになります。このようなログは不正アクセスの検出に役立つだけでなく、様々な法令に基づいて証跡を保持しなければならないようなケースにおいても有効です。今回は、Azure ADのログの参照方法や保持方法について解説します。 Azure ADでは、管理作業のログとユーザーによるアクセスログを別々に記録し、それぞれAzure管理ポータルの[Azure Active Directory]より確認できます。管理作業のログはAzure管理ポータルの[Azure Active Directory]-[監査ログ]、アクセスログは[Azure Active Directory]-[サインイン]よりそれぞれ参照します。 [監査ログ]では、管理作業のジャンルやその操作の結果(成功・失敗)、対象となるユーザーなどを選択し、フィルターできます。例えば、別のAzure ADディレクトリに作られたユーザーをゲストユーザーとして登録したユーザーに対する操作であれば、「Invited Users」というサービス名を選択すれば、該当のログだけが表示されます。特定のログはクリックすると、その詳細を参照でき、日付、アクティビティの種類(どのような操作を行ったか)、状態(成功・失敗)などを確認できます。万が一、不正アクセスが疑われるような事象があった場合、監査ログを参照することで、その事象の確認ができるようになります。ちなみに、下の画面ではゲストユーザーを削除したことを表しています。 一方、[サインイン]ログではAzure...

ADAudit Plus , クラウドサービス , セキュリティ , 一般 1 min read

第11回 クラウドサービスへのアクセス制御(3)【MicrosoftのMVP解説!Azure ADの虎の巻】

Reading Time: 1 minutesこの記事の所要時間: 約 5分 ◆ 今回の記事のポイント ◆ ・ 多要素認証を活用したクラウドサービスへのアクセス制御方法を解説 ・ 条件付きアクセスを使用したより高度なアクセス制御方法を解説 前回と前々回で、条件付きアクセスを使って、Azure AD経由でアクセスするクラウドサービスへのアクセス制御を行う方法について解説しました。OS種類や場所、ドメインに参加しているか、などデバイスの状態に基づいてアクセス制御できることを確認しました。今回は、もうひとつの条件付きアクセスを制御する方法として、多要素認証を活用したアクセス制御方法についてみていきます。 多要素認証とは、複数の認証要素を利用して本人確認を行う方法で、通常使われるユーザー名とパスワードに加えて「別の要素」を利用して本人確認を行います。「別の要素」として利用する方法には、主に次の方法があります。 ・電話をかけてもらって応答する方法 ・SMSのメッセージを送ってもらってメッセージに書かれた番号をサインイン画面に打ち込む方法 ・Microsoft Authenticatorアプリに通知を送ってもらい、その通知に応答する方法 Microsoft AuthenticatorとはiOS, Android用のアプリで、それぞれのストアからダウンロードできるので、事前にユーザーのスマートフォン/タブレットにインストールしておいて利用します。インストール後に多要素認証を行うユーザーを登録すると、次回から多要素認証が必要なタイミングで下の図のような通知が表示されます。 多要素認証を利用するときは本来、Azure管理ポータルの[Azure Active Directory] – [ユーザー]...

クラウドサービス , 一般 1 min read

第10回 クラウドサービスへのアクセス制御(2)【MicrosoftのMVP解説!Azure ADの虎の巻】

Reading Time: 1 minutesこの記事の所要時間: 約 6分 ◆ 今回の記事のポイント ◆ ・ 会社で支給しているデバイスからクラウドサービスにアクセスした時だけ許可する設定の解説 前回、条件付きアクセスを使って、Azure AD経由でアクセスするクラウドサービスへのアクセス制御を行う方法について解説しました。具体的にはOS種類に基づいてアクセス制御を行う方法を解説しましたが、そのほかにも様々な条件をもとにアクセス制御ができるので、今回はその中でもニーズが高い、会社支給のデバイスからアクセスしたときだけを許可する、という設定についてみていきます。 前回のおさらいですが、条件付きアクセスではユーザー/グループ、クラウドアプリ、条件をそれぞれ設定し、すべての条件に合致した場合に拒否する、または条件付きで許可する、という設定を行うものでした。前回は「WindowsまたはiOS以外のOSからのアクセスを拒否する」という設定を行いましたが、その場合、条件で「WindowsまたはiOS以外のOS」、許可/拒否の項目で「拒否」という設定を行いました。 条件付きアクセスのおさらいを踏まえて今回は「会社で支給しているデバイスからアクセスした時だけ許可する」という設定を行います。このような条件を設定する場合、最初に「会社支給のデバイス」を定義しなければなりません。条件付きアクセスでは、次の2つの方法で「会社支給のデバイス」を定義できます。 ・ Microsoft Intuneに登録されているデバイス ・ オンプレミスのActive Directoryドメインに参加しているデバイス どちらの場合も個人所有のデバイスであれば、これらの条件に当てはまることはないと思います。ですので、会社支給のデバイスとしましょう、と定義しています。これらの設定は条件付きアクセスの許可/拒否を設定する画面から[アクセス権の付与]を選択して行います。 Microsoft Intuneに登録されているデバイスであればアクセスを許可する場合は[デバイスは準拠しているとしてマーク済みである必要があります]を選択し、オンプレミスのActive Directoryドメインに参加しているデバイスであればアクセスを許可する場合は[ハイブリッド Azure AD 参加済みのデバイスが必要]を選択します。...

ADAudit Plus , セキュリティ , 一般 1 min read

第9回 クラウドサービスへのアクセス制御(1)【MicrosoftのMVP解説!Azure ADの虎の巻】

Reading Time: 1 minutesこの記事の所要時間: 約 3分 ◆ 今回の記事のポイント ◆ ・ 条件をクリアしたユーザーのみがクラウドサービスにアクセスできる「条件付きアクセス」機能の解説 第6回から第8回まででAzure ADと様々なクラウドサービスを関連付け、Azure ADにサインインするだけでクラウドサービスへのアクセスが実現するシングルサインオンの設定について解説をしました。このとき、アクセス許可の割り当てはユーザーまたはグループの単位で設定できることを紹介しました(OpenID Connect/OAuth2.0を使う場合は[承諾]ボタンを押せばアクセス許可の割り当てすら不要でした)。 ところが、クラウドサービスへのアクセス制御となると、いつでも、どこからでもアクセスできてしまうというセキュリティ上の課題があるため、単純にユーザー名とパスワードが正しければ無条件にアクセスしても良い、などとすることはできないでしょう。 こうした課題に対応するため、Azure ADではクラウドサービスへのアクセスに追加の条件を設定し、その条件をクリアしたユーザーだけがアクセスできるように制御する「条件付きアクセス」と呼ばれる機能を提供しています。 条件付きアクセスでは、クライアントがどこからアクセスしているか?や、クライアントデバイスのOSが何であるか?など、ユーザーアカウントを利用するデバイスの状態をベースにアクセス制御を行います。 具体的な処理フローは次の通りです。 条件付きアクセスでは、設定を適用するユーザーとグループ、クラウドアプリ(クラウドサービス)を最初に決定し、その後、クラウドサービスへのアクセス条件と許可/拒否を設定します。 それでは、具体的な設定方法を確認していきましょう。 条件付きアクセスの設定は、Azure管理ポータルの[Azure Active Directory]から[条件付きアクセス]をクリックして行います。[条件付きアクセス]画面では[新しいポリシー]をクリックして、ルールを作成します。 ポリシー作成画面では、最初にポリシーの名前、対象となるユーザー/グループ、クラウドアプリを選択します。ここでは、前回紹介したWebアプリケーションへのアクセスに条件付きアクセスを使ってアクセス制御設定をします。 続いて、ポリシーでは条件を設定します。ここでは「WindowsまたはiOS以外のすべてのOS」という条件を設定します。OS種類の設定は[条件]-[デバイスプラットフォーム]を利用します。条件設定画面では、対象外に設定したルールは対象に設定したルールよりも優先されるため、 対象:任意のデバイス...

クラウドサービス , セキュリティ , 一般 1 min read

第8回 Azure ADによるクラウドサービスの管理(3)【MicrosoftのMVP解説!Azure ADの虎の巻】

Reading Time: 1 minutesこの記事の所要時間: 約 4分 ◆ 今回の記事のポイント ◆ ・ PaaS型クラウドサービスとの間でSSOを実現する方法について解説 前回、前々回とAzure ADとSaaS型クラウドサービスの関連付けを行い、Azure ADにサインインするだけでクラウドサービスへのアクセスが実現するシングルサインオンの設定について解説をしました。一方、認証基盤をAzure ADに一本化させていこうとすると、自社開発のWebアプリケーションもクラウドサービスで実行させるのであればAzure ADで認証させたいというニーズも出てくることでしょう。そこで、今回はAzure ADとWebアプリケーションの関連付けを行い、PaaS型クラウドサービスとの間でシングルサインオンを実現する方法について解説します。 Webアプリケーションを実装するためのPaaS型クラウドサービスは世の中に色々ありますが、Microsoft Azureを利用すると、Azure ADとの関連付けが非常に簡単にできるので、ここではMicrosoft AzureのWebホスティングサービス(Azure App Service)とAzure ADを関連付けていきます。 Azure App Serviceではアプリを追加すると、Webアプリケーションにアクセスする際に利用する認証サービスを選択できるようになっています。 認証サービスにはAzure...

セキュリティ , 一般 1 min read

第7回 Azure ADによるクラウドサービスの管理(2)【MicrosoftのMVP解説!Azure ADの虎の巻】

Reading Time: 1 minutesこの記事の所要時間: 約 5分 ◆ 今回の記事のポイント ◆ ・ SAMLプロトコルを使用しないSaaS型クラウドサービスとの間で、SSOを実現する方法について解説 ・ 例として、TwitterへのSSOを実現する方法について解説 前回はSAMLプロトコルを利用して、Azure ADとSaaS型クラウドサービスの関連付けを行い、Azure ADにサインインするだけでクラウドサービスへのアクセスが実現するシングルサインオンの設定について解説をしました。今回はAzure ADとクラウドサービスの関連付けを行う方法の第2弾として、SAMLプロトコルをサポートしないSaaS型クラウドサービスとの間でシングルサインオンを実現する方法について解説します。 SAMLプロトコルをサポートしないクラウドサービスとの間でシングルサインオンを実現する場合、クラウドサービスにアクセスするためのユーザー名とパスワードをAzure ADにキャッシュさせておき、クラウドサービスにアクセスするタイミングになったときに自動的に提示することで、シングルサインオンを実現します。 では、ユーザー名とパスワードを自動入力することでクラウドサービスへのアクセスがシングルサインオン化する、Azure ADとクラウドサービスの関連付け方法についてみていきます。ここでは例としてTwitterを利用してAzure ADと関連付けします。 クラウドサービスの関連付けはSAMLプロトコルをサポートするクラウドサービスと同様にAzure Active Directory管理センター (https://aad.portal.azure.com/) の[エンタープライズ アプリケーション]を使います。[+新しいアプリケーション]から新しく関連付けるクラウドサービスとしてTwitterを選択すると、TwitterとAzure...

ADAudit Plus , セキュリティ , 一般 1 min read

第6回 Azure ADによるクラウドサービスの管理(1)【MicrosoftのMVP解説!Azure ADの虎の巻】

Reading Time: 1 minutesこの記事の所要時間: 約 6分 ◆ 今回の記事のポイント ◆ ・ SAMLプロトコルを使用したシングルサインオンの仕組みについて解説 ・ クラウドサービスをAzure ADに関連付けるための手順について解説 私はこの連載の最初に「Azure ADを利用する目的はクラウド上のアプリケーションへの認証・認可を一元化することにある」という趣旨の話をしました。現在、多くの企業で抱える課題に、企業で利用するクラウドサービスにアクセスするごとにユーザー名とパスワードを入力しなければならないというものがあります。Azure ADではこうした面倒をなくし、Azure ADで一度認証を行うだけで、それぞれのクラウドサービスにアクセスするときに毎度ユーザー名とパスワードを入力しなくてもよい、という解決策を提供してくれるという話でした。 では、現在お使いのクラウドサービスをAzure ADに関連付けるには、どうしたらよいでしょうか?IaaS, PaaS, SaaSの3種類のクラウドサービスのうち、どれを利用するかによって関連付けの方法は異なるのですが、ここではSaaSのケースを取り上げて具体的な関連付けの方法について解説します。 SaaSのクラウドサービスをAzure ADに関連付ける場合、シングルサインオン用のプロトコルであるSAMLと呼ばれるプロトコルが利用できます。SAMLプロトコルでは、ユーザー名とパスワードをクラウドサービスに提示する代わりにAzure ADが発行するトークンと呼ばれるデータを提示することでクラウドサービスへの認証・認可を済ませる、ということを行います。その結果、Azure ADに既にサインインしていれば、クラウドサービスへのサインインが要らなくなる、つまり「シングルサインオン」が実現するのです。 では、SAMLプロトコルを使ってAzure ADとクラウドサービスを関連付け、クラウドサービスへのシングルサインオンを実現するための手順を見てみたいと思います。設定方法はクラウドサービスによって多少異なりますが、ここでは例として「Dropbox...

ADSelfService Plus , セキュリティ , 一般 1 min read

第5回 Azure ADのユーザー・グループの管理(2)【MicrosoftのMVP解説!Azure ADの虎の巻】

Reading Time: 1 minutesこの記事の所要時間: 約 6分 ◆ 今回の記事のポイント ◆ ・ Azure AD Connectを使用した活用方法について解説 ・ Azure AD Connectを使用してActive DirectoryとAzure ADを同期する際の注意点について解説 ・ Azure AD Connectを使用して同期の設定を行う際のポイントについて解説 前回、Azure ADでユーザーやグループを作成する際、GUIから作成する方法や、Windows PowerShellコマンドレットを使って作成する方法をみてきました。Azure ADでは、これらの方法だけでなく、Azure Active...

ADManager Plus , セキュリティ , 一般 1 min read

第4回 Azure ADのユーザー・グループの管理(1)【MicrosoftのMVP解説!Azure ADの虎の巻】

Reading Time: 1 minutesこの記事の所要時間: 約 7分 ◆ 今回の記事のポイント ◆ ・ PowerShellでAzure ADへ接続する方法について解説 ・ CSVファイルのインポートによるAzure ADアカウントの一括登録方法について解説 ・ CSVファイルのインポートによるグループへの登録方法について解説 前回、Azure ADディレクトリの作成方法についてみてきました。Azure ADのディレクトリが作成できたら、オンプレミスのActive Directoryの時と同じように続いてユーザーとグループを作成します。そこで今回はユーザーとグループを効率よく管理するための方法について見ていきます。 最も簡単なAzure ADのユーザーとグループの作成方法はGUIの画面から作成することです。Office 365の管理画面であるMicrosoft 365 管理センター(https://portal.office.com/)や、Azure AD専用の管理画面であるAzure Active...

ADAudit Plus , セキュリティ , 一般 1 min read

第3回 Azure ADの利用開始【MicrosoftのMVP解説!Azure ADの虎の巻】

Reading Time: 1 minutesこの記事の所要時間: 約 4分 ◆ 今回の記事のポイント ◆ ・ Azure ADにおける「ディレクトリ」の意味について解説 ・ Azure ADディレクトリの作成方法について解説 今回からいよいよAzure Active Directory (Azure AD) の具体的な操作も交えながら、その特徴について見ていきます。 Azure ADでは「ディレクトリ」と呼ばれる単位で管理を行います。オンプレミスで運用するActive Directoryで言うところの「ドメイン」に当たるものだと思ってもらえれば、分かりやすいと思います。Azure ADでは「ドメイン」という言葉は、Azure ADディレクトリに対して設定する、example.comやcotoso.comのような名前のことを指すために、「Azure ADドメイン」ではなく「Azure ADディレクトリ」という呼び方をするようです。しかし、実際にはディレクトリとドメインの言葉は、区別せずに使ってしまうことが多いようです。ですので、そういう違いがあるという認識をしていただいた上で、どちらでも皆さんにとって使いやすい言葉を選択してください。...

ADAudit Plus , クラウドサービス , セキュリティ , 一般 1 min read