11/30までにAzure AD管理者がやっておくべきこと：条件付きアクセスの設定移行

November 5, 2017, 2:30 pm

≫ Next: [Office365＋AD FS管理者向け] Azure ADのエンドポイント追加による可用性の向上

≪ Previous: jwt.msとjwt.io。JWTオンライン・デコーダを比べてみる

$

0

0

こんにちは、富士榮です。

いよいよ今月末（11月30日）でAzureクラシックポータル（旧ポータル）が廃止されます。

公式アナウンス）Marching into the future of the Azure AD admin experience: retiring the Azure AD classic portal
https://cloudblogs.microsoft.com/enterprisemobility/2017/09/18/marching-into-the-future-of-the-azure-ad-admin-experience-retiring-the-azure-classic-portal/

Azure ADの管理機能も「ほぼ」新ポータルへ移行されたのですが、旧ポータルでアプリケーション単位で設定をしてきた条件付きアクセスの設定が新ポータルの条件付きアクセスでは触れず、メンテナンスは新・旧でバラバラに行う必要がありました。

この状態で旧ポータルを廃止されるとかなり困ったことになるのですが、先日ようやくマイグレーションパス（というか緩和措置？）が発表されました。

公式アナウンス）This one is important: Time to migrate your v1.0 Conditional Access policies to v2.0!
https://cloudblogs.microsoft.com/enterprisemobility/2017/10/23/this-one-is-important-time-to-migrate-your-v1-0-conditional-access-policies-to-v2-0/

簡単に言うと、旧ポータルの条件付きアクセス（v1.0）を新ポータルの条件付きアクセス（v2.0）でも見えるようになる（だけ）の機能の発表です。

11月30日の廃止の1か月前のアナウンスというタイトな感じなので、早くやっておかないとハマりそうな感じ満載です。（しかもPreview機能という・・・このまま永遠にPreviewなんだと思いますが）

ということで、早速試してみます。

◆旧ポータルの状態の確認

まずは旧ポータルで現状を確認しましょう。アプリケーションの構成から条件付きアクセスの確認をすることが出来ます。そういえばネットワークの場所ベースとデバイスベースが独立したメニューになっていたんですね。この画面も見納めかと思うと画面ショットを撮りまくっておきたい気分になります。

◆新ポータルから旧ポリシーを確認する

既に皆さんの新ポータルから旧ポリシーが確認出来るようになっていますので、見てみましょう。Active Directoryを開き、条件付きアクセスを見ると、Classic Policies（Preview）というメニューが追加されています。

メニューを開くと、

• [アプリケーション名] MFA and location policy（場所ベースの場合）
• [アプリケーション名] Device policy（デバイスベースの場合）

という形でポリシーが見えるようになっています。

ポリシーを選択するとどのようなポリシーだったのか、内容の確認ができます。

では、早速移行してみます。

◆信頼済みIPリストの移行

まず、旧ポリシーでは信頼済みIPとして多要素認証の管理画面で指定したネットワークリスト（上限50個）しか指定できませんでした。
もちろん新ポータルでも多要素認証で指定したネットワークリストも使えますが、数の上限があるのと、一覧で書くしかないので使い勝手があまりよくありませんので、せっかくなのでこの機会にNamed Locationsを使いましょう。こちらを使えば、ネットワークに名前を付けることが出来るので、例えば事務所のロケーション毎にネットワークアドレス群に名前を付けて管理することが可能です。

もちろん、この画面からConfigure MFA trusted IPsをクリックすれば多要素認証のネットワークリストを確認・設定することが可能ですので、こちらから設定を移行しましょう。

新規Named Locationを追加するとネットワークに付ける名前、指定方法（IPレンジか、国や地域）、信頼済みIPとして扱うかどうか、実際のネットワークリストの指定を行うことが出来ます。ここへ多要素認証の信頼済みIPリストを移行しておきましょう。

◆ポリシーの移行（作り直し）

条件となるネットワークの移行が終わったら、旧ポリシーを参考に新ポリシーを作成します。
設定すべき項目は以下の通りです。

• ポリシー名 : 任意の名前
• 対象のユーザ・グループ : ポリシーの適用対象、除外対象ユーザ・グループの指定
• 対象のアプリケーション : ポリシーの適用対象、除外対象アプリケーションの指定
• 適用条件 : ポリシーの適用条件（ネットワーク、デバイス状態）
• アクセスコントロール : 条件にマッチした場合のアクションの指定（多要素認証の要求やアクセスのブロック）
• セッション : 現状はまだPreviewですが、一部のアプリケーション（SharePoint Online）における制限やCloud App Securityと連携したコントロールが出来ます。

まずは、適用対象のユーザとグループです。

よく使うポリシーとしてInclude（適用対象）に全員を入れておいて、Exclude（除外対象）に一部のグループを入れておいて一時的に多要素認証のデバイス（スマホなど）を忘れた人を救済する、というポリシーです。

次にアプリケーションです。
旧ポータルではアプリケーション単位にポリシーを作成する必要がありましたが、新ポータルでは全体に適用する共通ポリシーや一部の選択したアプリケーションへ適用するポリシーを作成することも可能になりましたので、この機会にポリシーの見直しをしても良いかも知れません。

次に適用条件です。
今回は移行元がネットワークの場所ベースの条件付きアクセスだったので、Locations設定でInclude（適用対象）をすべて、Exclude（除外対象）を信頼済みネットワークとして指定します。（ここでAll trusted locationsとすると多要素認証の信頼済みIPリストと、信頼済みとするにチェックを入れたNamed locationの両方のorをとったものが対象となります）

後はアクセスコントロールです。
条件にマッチした場合に多要素認証を要求する場合は、Grant accessにしてRequire multi-factor authenticationを指定しておけば大丈夫です。

最後に、ポリシーをEnableにして保存すれば適用が開始されます。

◆旧ポリシーを無効化し、動作確認を行う

ここで重要な注意点です。
新ポータルからは旧ポータルで作成したポリシーを無効にすることしかできません。失敗しても再度有効化しようとすると旧ポータルへアクセスして有効化しないといけません。
つまり、12月1日以降に新ポータルで無効化した旧ポリシーは二度と有効化することが出来ない、ということなのでリカバリーが出来る状態での動作確認は11月30日までしか出来ない、ということです。

しっかり計画を立てておきましょう。

新ポータルから旧ポリシーを無効化するには、先ほどのメニューより旧ポータルを選び、Disableをクリックするだけです。

後は動作確認として、適用条件に合致した・合致しない状態でアプリケーションへアクセスし、望んだ状態になるかどうか確認してください。

ということで、管理者の皆さんは急いでテスト～移行しておきましょう。

---

[Office365＋AD FS管理者向け] Azure ADのエンドポイント追加による可用性の向上

November 7, 2017, 2:30 pm

≫ Next: Tech Summit で使った Azure AD B2C + LINE チュートリアル

≪ Previous: 11/30までにAzure AD管理者がやっておくべきこと：条件付きアクセスの設定移行

$

0

0

こんにちは、富士榮です。

Azure AD単体（要はクラウド認証）でOffice365を使っている人には関係ありませんが、AD FSやサードパーティのIdPを使ってOffice365やAzure AD連携されたアプリケーションを使っている人は、近々エンドポイント追加の作業が必要になりそうです。

公式アナウンス）New Azure Active Directory resilience features: action required
https://cloudblogs.microsoft.com/enterprisemobility/2017/10/27/new-azure-active-directory-resilience-features-action-required/

正式なアナウンスは追ってあるようですが、要するに可用性を向上するためにAzure ADのACS（Assertion Consumer Service）のエンドポイントが増えたので、AD FSとかサードパーティのIdPでOffice365やAzure ADを使っている人は対応してね、ということらしいです。
※ちなみに、Azure AD ConnectでAD FSを構成している人は自動的に構成が変更されるみたいです。

こちらが変更までのAD FSの構成です。

手動で追加する場合はPowerShellで一括で登録することもできますし、この画面で追加しても大丈夫です。
一括追加のスクリプトは以下の通りです。

$rp = Get-AdfsRelyingPartyTrust -Identifier urn:federation:MicrosoftOnline
$endpoints = New-Object System.Collections.ArrayList
if ( $rp.AdditionalWSFedEndpoint ) { $rp.AdditionalWSFedEndpoint | %{$endpoints.add($_)} }
$endpoints.add("https://stamp2.login.microsoftonline.com/login.srf")
$endpoints.add("https://ccs.login.microsoftonline.com/ccs/login.srf")
$endpoints.add("https://ccs-sdf.login.microsoftonline.com/ccs/login.srf")
set-adfsrelyingpartytrust -targetname $rp.Name -AdditionalWSFedEndpoint $endpoints

結果、こんな感じになります。

尚、Azure ADと外部IdPを連携する際のsp-metadataを見るとまだ上記のエンドポイントは記載されていないのですが、今後は追加されてくるのかも知れませんね。

参考）Azure ADのsp-metadata
https://nexus.microsoftonline-p.com/federationmetadata/saml20/federationmetadata.xml

Tech Summit で使った Azure AD B2C + LINE チュートリアル

November 9, 2017, 2:10 pm

≫ Next: Firefoxの更新でSAML Tracerアドオンが利用不可に・・・

≪ Previous: [Office365＋AD FS管理者向け] Azure ADのエンドポイント追加による可用性の向上

$

0

0

こんにちは、富士榮です。

Tech Summitが終わりましたね。
私は先に告知させていただいた通り、Azure Active Directory B2C と LINE の連携の話をさせていただきました。

[告知] Tech Summit 2017で Azure AD B2C＋LINE、Yahoo! ID辺りの話をします
http://idmlab.eidentity.jp/2017/10/tech-summit-2017-azure-ad-b2clineyahoo.html


セッションの動画公開は行わない予定ですが、資料は来週以降に公開されるそうなので、その時はまたお知らせしますが、ここではセッション内でお見せしたデモ環境をご自身で作っていただくためのチュートリアルを紹介します。

Azure AD B2C + LINE連携 / チュートリアル
https://github.com/fujie/ts2017

置いてあるのは、
・手順：readme.md
・ポリシーテンプレート：policy_template_base.xml、policy_template_susi.xml
・テスト用アプリケーション：test.php
です。

基本的には手順に従って作業をしてもらえればとりあえずLINEでテストアプリケーションへログインできるようになりますので、一度試してみてください。

Firefoxの更新でSAML Tracerアドオンが利用不可に・・・

November 21, 2017, 8:33 am

≫ Next: LINEログインとBotの自動リンク機能が一般公開

≪ Previous: Tech Summit で使った Azure AD B2C + LINE チュートリアル

$

0

0

こんにちは、富士榮です。

Firefoxのバージョンが上がりましたね。スクリーンショットが撮れたりするのは良いんですが、SAML Tracerなどのアドオンが使えなくなってしまったのは全国3000万のSAMLerの皆さんには受け入れがたい事実です。

仕方がないので別のアドオンを探してみると、SAML Message Decoderというモノがあったので早速入れてみます。

インストールすると、メニューバーにアドオンが追加されるので、早速SAMLを使っているサイトへアクセスします。
アイコンを右クリックするとExport messagesというメニューが出てくるので、ここをクリックしてトレースデータをExportするようです。
SAML Tracerのようにリアルタイムでトレースが見れないのが非常に残念です。

Exportしたファイルはjson形式で保存されるのでエディタなどで開くと確かにメッセージが表示されています。。。

決して見やすいとは言えないですね。。。
SAML Tracerのバージョンアップに期待しておきましょう。

LINEログインとBotの自動リンク機能が一般公開

November 21, 2017, 2:30 pm

≫ Next: [AD FS]ログイン画面をAzure ADの新UIライクにカスタマイズする

≪ Previous: Firefoxの更新でSAML Tracerアドオンが利用不可に・・・

$

0

0

こんにちは、富士榮です。

先日のLINE Developer Dayで発表されたLINEログインとBotの自動リンク機能がいよいよ一般公開されました。
また、同時にBotとユーザの友だち関係が取得できるAPIも同時に公開されているため、従来Webhookでfollow/unfollowのイベントを取得して保存して状態を管理しておかなければならなかったのがリアルタイムに状態把握が出来るようになり、Bot開発者はとっても楽になりました。

LINEログインチャネルにボットをリンクできるようになりました
https://developers.line.me/ja/news/#link-your-bot-to-your-line-login-channel-2017-11-21

それぞれ動作イメージです。

◆LINEログインとBotの自動リンク

基本は以前紹介したエントリと変わりませんが、DeveloperコンソールからリンクするBotを自分で設定できるようになりました。

チャネル内にLINEログインとMessaging APIを作成、LINEログインのチャネル設定からリンクするBot（Messaging API）を設定します。

この設定をして、LINEログインをすると認可画面でBotを友だち追加する許可が表示されます。

尚、この機能を使うには、前提事項がありますので、注意が必要です。

• LINEログインのversion 2.1を使うこと
• アプリケーションタイプがWebであること
• 同一プロバイダ内にBotがあること

◆友だち関係の状態を取得する

もう一つが、最新の友だち関係の状態を取得するAPIです。
2つ方法があります。

• 認可コードを取得する際にCallback URLへcodeとともに返ってくる「friendship_status_changed」の値を見る（状態の変化の有無の確認）
• 状態取得用API（Social API）エンドポイントをGETする

2つ目のSocial APIエンドポイントへアクセスして状態確認をするのが一番任意のタイミングで確認できるので便利かも知れません。

Social API
https://api.line.me/friendship/v1/status

クエリ方法は単純でAuthronizationヘッダにaccess_tokenをつけてGETするだけです。
trueが返ってくれば友だち、falseだと友だちではないかBlockしている状態です。

さてさて、早速Azure AD B2Cとの連携モジュールを少し改修して便利にしていかなきゃ、と思います。

[AD FS]ログイン画面をAzure ADの新UIライクにカスタマイズする

November 26, 2017, 8:12 am

≫ Next: [Azure AD B2B]アプリケーション管理者によるゲストユーザの招待

≪ Previous: LINEログインとBotの自動リンク機能が一般公開

$

0

0

こんにちは、富士榮です。

Azure Active Directoryのサインイン画面が新しいUIに変わったのに、AD FSはいつまでも昔のままというのは微妙だよね、ということでAD FSのログインUIをAzure ADに合わせるカスタムCSSが公開されています。

Using an Azure AD UX Web Theme in Active Directory Federation Services
https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/operations/azure-ux-web-theme-in-ad-fs

早速試した先人のblog
https://msfreaks.wordpress.com/2017/11/19/adfs-new-sign-in-experience-added/

このドキュメントに従いgithubよりCSSをダウンロードし、AD FSのカスタムテーマを設定してみたいと思います。（Windows Server 2016のAD FS用、とありますが、2012R2でもちゃんと動いています。他のバージョンは試してませんが）

まずは旧UIです。お馴染みですね。

ちなみに、bingの画像をとってきて自動的にログイン画面の背景に使う、というスクリプトが公開されているので、こちらを使っています。

Automated Bing Wallpaper for ADFS 3.0 Themes
https://gallery.technet.microsoft.com/Automated-Bing-Wallpaper-c34136eb

先の手順に従ってカスタムテーマを設定していきます。
まずは、DefaultテーマのExportを行います。ちなみにこの手順が先のサイトでは省略されているのですが、必ず必要なので実施をしてください。この手順を飛ばすとonLoad.jsがないので背景が設定されません。

Export-AdfsWebTheme -Name Default -DirectoryPath C:\Style\default

次に、カスタムテーマを作成します。
必要なCSSや画像がダウンロード済みなことを確認し、以下を実行します。

New-AdfsWebTheme -Name custom -StyleSheet @{path="c:\style\ThemeCenterBrand.css"} -Illustration @{path="C:\Style\bing.png"} -AdditionalFileResource @{Uri='/adfs/portal/script/onload.js';path="c:\style\default\script\onload.js"}

後は、テーマを有効化すればOKです。

Set-AdfsWebConfig -ActiveThemeName custom

こんな感じになります。

ロゴなんかも変えるとこんなこともできますね。
カークとラーズが隠れてしまってますが・・・

[Azure AD B2B]アプリケーション管理者によるゲストユーザの招待

November 28, 2017, 2:30 pm

≫ Next: 疑似指紋とWindows Helloを対決させてみた

≪ Previous: [AD FS]ログイン画面をAzure ADの新UIライクにカスタマイズする

$

0

0

こんにちは、富士榮です。

Azure Active Directoryには無印（いわゆるAzure AD）の他に、

• 組織外のユーザ向けのAzure AD B2B
• コンシューマ向けのAzure AD B2C

と言われるオプションというか機能があります。

Azure AD B2CについてはTech Summitなどでお話しさせていただいたり、このブログでも取り上げてきたLINEやYahoo! JAPANなどのIDを使ったサービスへのログインの話ですが、今回はAzure AD B2Bの話です。

実はOffice365を使っている方は以前からAzure AD B2Bの機能を使っていました。いわゆる外部共有（招待）の機能の事です。

この機能を使うと組織のディレクトリ内に存在しない人を招待してゲストユーザとしてディレクトリへ登録し、組織のリソース（アプリケーションなど）へアクセスさせることが可能になります。

注意して使わないと危ないよ、という話は以前書かせていただいた通りですので、一読いただけるとよいと思います。

Office365管理者は要対応。外部共有により不要なアクセス権が付与される
http://idmlab.eidentity.jp/2017/01/office365.html

本日は、Office365ではないアプリケーションを外部ユーザへ共有したい、という場合のAzure AD B2Bの使い方を紹介したいと思います。

具体的には、

• 外部のコンサルや開発ベンダのアカウントをアプリケーションを使わせたい
• アプリケーションのSSOを構成するとAzure ADで全員を認証しないといけなくなってしまい、全ユーザがAzure AD上に登録されている必要がある
• 外部ユーザのID管理を管理者が行うのは面倒なので、責任範囲を明確にする意味でも当該のアプリケーションの管理者に権限委譲をしたい（Azure ADの管理者権限は渡さずに）

というようなケースを想定した使い方です。

早速やってみたいと思います。

◆必要なステップ

全体の流れとして、以下のステップで準備を行う必要があります。

1. [全体]招待するユーザを入れるためのセキュリティ・グループの作成
2. [全体]セルフサービスグループ管理の有効化
3. [アプリケーション単位]セルフサービスアクセス要求の有効化
4. [アプリケーション単位]セキュリティ・グループの割り当て

後は、アプリケーション管理者でアクセスパネルから外部ユーザを招待するとメールで招待が行き、外部ユーザがサインアップしてアプリケーションが使えるようになります。

◆設定してみる

では、早速やってみましょう。

１．[全体]招待するユーザを入れるためのセキュリティ・グループの作成

手動でメンバ管理を行うグループを作成します。

２．[全体]セルフサービスグループ管理の有効化

次に、ディレクトリのセルフサービス設定で、グループ管理を有効化します。（無効の場合は有効にします）

３．[アプリケーション単位]セルフサービスアクセス要求の有効化

次はゲストに使わせたいアプリケーションの設定で、セルフサービスアクセス要求と承認の設定を行います。ここで承認者として設定した人がアプリケーション管理者となり、ゲストを招待することが出来るようになります。

４．[アプリケーション単位]セキュリティ・グループの割り当て

後は、３で指定したグループをアプリケーションへ割り当てます。

これで準備は完了です。割とシンプルですね。

◆招待しゲストにアクセスさせる

では、早速動かしてみましょう。

まずは、アプリケーション管理者でアクセスパネル（https://myapps.microsoft.com）を開き、ゲストに使わせたいアプリケーションを選択して「アプリの管理」を開きます。

するとアプリケーションへユーザを追加することが出来るようになっているので、「＋」をクリックしてゲストを招待します。

外部ユーザのメールアドレスを入力すると招待メールの文面を入れる画面が自動的に出てきますので、何かメッセージを入れて招待を行います。

これで外部ユーザには招待メールが届きます。

「はじめに」というリンクをクリックするとサインアップ画面へ遷移します。

パスワード、表示名、国を指定してゲストユーザ登録を完了します。

メールへ確認コードが飛んでくるので確認画面で入力してアカウント確認を行います。

登録が完了すると登録したパスワードで認証が走り、アクセスパネルが表示され、アプリケーションが利用できるようになります。

今回は、アプリケーション管理者により外部ユーザをAzure AD上に招待することにより少なくとも認証は全員Azure ADを使う様に構成することが出来ました。このことで条件付きアクセスなど、アプリケーション利用ポリシーをAzure ADで一括で管理することが出来るので、セキュリティ面でも安心できると思います。

ちなみに、管理者によりゲストユーザを作成したり招待することも可能ですし、APIを使って一括で外部のディレクトリからユーザを引き込む、というようなことも可能です。（大規模なM&Aや業務提携などの場合はカスタムアプリケーションを作って自動同期をするように構成することが多いようです）

疑似指紋とWindows Helloを対決させてみた

November 30, 2017, 2:30 pm

≫ Next: [Azure AD B2B]ゲストユーザに使用条件（Terms of Use）への同意を求める

≪ Previous: [Azure AD B2B]アプリケーション管理者によるゲストユーザの招待

$

0

0

こんにちは、富士榮です。

まもなく冬がやってくる、ということで疑似指紋が話題ですね。

これからの季節にピッタリ！手袋をしたままiPhoneで指紋認証ができる「疑似指紋 Diper ID」が便利 - Engadget日本語版

http://japanese.engadget.com/2017/11/24/iphone-diper-id/ 

話題になるのと同時に当然ですが、なんだか香ばしい感じもしますが・・・。ポイントは3万パターン（も？しか？）あることと、あくまで疑似指紋なので自分の指紋のコピーを作るわけじゃない、というあたりらしいです。

ということでとりあえず近所のロフトで買ってきました。

1パッケージに3枚入っていて1580円（税別）という微妙な値付けです。

Touch IDに特化した、とありますが今回はWindows Helloを対決してみたいと思います。

試してみたのは、

• Surface Pro4の指紋センサー付きType Coverキーボード
• マウスコンピュータのUSB指紋リーダー

の2つです。

マウスコンピュータのやつはこれですね。

結論から言うと、ダメでした。

指紋センサー付きType CoverではWindows Helloへの指紋登録までは何とか出来るのですが、いざログインしてみようとすると上手く認識をしてくれませんし、マウスコンピュータの方は指紋登録の段階でうまく認識してくれませんでした。
もしかして単純に向きが悪かっただけなのかも知れませんが、iPhoneのTouch IDでは全然問題なく使えるので、やはり「Touch IDに特化」というのはあながち嘘ではないのかも知れません。


とりあえず対決の記録を残しておきます。

まずは開封の儀です。
開封すると台紙に3枚の疑似指紋シールが入っています。

でっぱりがある方を先端にして手袋などに張り付けます。

まずは、Surface Pro4＋Type Coverです。
Windows Helloの設定で指紋を登録していきます。認識率はあまり良くないものの何度もリトライしつつ指紋登録を完了することが出来ました。

登録が出来たので、早速ログインをしてみます。

うーむ。全然認識してくれずリトライ回数オーバーです。

次にマウスコンピュータの指紋センサーです。
こちらはUSBタイプでPCの横に飛び出る感じになりますので、ここをタッチしてみます。

全く反応しません・・・・

素手だとちゃんと反応するので、センサーが悪いわけじゃなさそうです。

と、言うことで疑似指紋 vs Windows Helloの対決結果は「Windows Helloの圧勝！」ということでした。残念。

---

[Azure AD B2B]ゲストユーザに使用条件（Terms of Use）への同意を求める

December 3, 2017, 2:30 pm

≫ Next: [告知]AXIES（大学ICT推進協議会）年次大会でAzure AD B2Cの話をします

≪ Previous: 疑似指紋とWindows Helloを対決させてみた

$

0

0

こんにちは、富士榮です。

前回はAzure AD B2Bを使って外部ユーザを招待し、組織のアプリケーションを利用させる方法を紹介しました。

しかし、ゲストユーザを招待する際に、利用規約や使用条件などへの同意を取得したいケースが多々あると思います。

そこで、今回は現在Preview版が公開されている条件付きアクセスのTOU（Terms of Use）を使い、ゲストユーザがアプリケーションへアクセスする前に使用条件へ同意を求める、ということを実現していきます。

手順は以下の通りです。

1. Terms of Useを定義する
2. 自動的に条件付きアクセスのポリシーが生成されるので、適用対象をゲストユーザに絞る
3. ゲストを招待、アプリケーションへアクセスさせる

◆設定してみる

早速やってみましょう。

まずは、条件付きアクセスの設定を開くとTerms of Useの設定が出来るようになっていますので、開きます。

Newをクリックして使用条件を定義します。

名称、表示名、使用条件として表示するドキュメント（PDF）、言語を設定します。また、ちゃんとドキュメントを表示させないと先に進まない様にするための設定、および自動的に条件付きアクセスのポリシーを作成させるための設定を行います。

尚、自動的にポリシー作成をさせるとゲスト以外を含む全ユーザ、全アプリケーションに対するポリシーがいきなり有効な状態で出来上がってしまうので、要注意です。ポリシーは自動作成はせずに手動の方が良いかも知れません。

ここでは自動で出来上がったポリシーを見ていきます。

条件の部分で先ほど作成したTOUが出てきています。

全員に適用されてしまっていたので、ゲストユーザだけに適用する様に変更します。All Guestという動的グループを作成してゲストユーザだけがメンバ登録されるようにしてあるので、こちらを使います。

これで、ゲストユーザだけがTOUに同意しないとアプリケーションにアクセスできない様になりました。

◆アクセスしてみる

前回の手順に則り、外部ユーザでサインアップしアプリケーションへアクセスしようとするとTOUが表示されます。

TOUを展開すると先ほどアップロードしたPDFが表示されます。

尚、一回同意すると同意済みとしてマークされるので、次回以降は同意は求められることはありません。

また同意状況については監査ログから確認することが出来ます。

Azure AD B2Bと条件付きアクセスを上手く使って外部ユーザの管理をしっかりしていきましょう。

[告知]AXIES（大学ICT推進協議会）年次大会でAzure AD B2Cの話をします

December 4, 2017, 2:30 pm

≫ Next: FirefoxにSAML Tracerが復活

≪ Previous: [Azure AD B2B]ゲストユーザに使用条件（Terms of Use）への同意を求める

$

0

0

こんにちは、富士榮です。

またまた登録締め切りが過ぎてしまった話なのですが、広島で来週12/13～15に開催されるAXIES（大学ICT推進協議会）の2017年度年次大会の認証連携部会の企画セッションで大学におけるSNS IDの活用についてお話しさせていただきます。（私は12/13が出番です）

AXIES年次大会
https://axies.jp/ja/conf/conf2017

セッションテーマは、「認証システムの利用対象者拡張：在学生・在職教職員を越えて」ということで、SNSを上手く使って在学生、教職員以外の入学候補生や保護者、卒業生などに対してどのように大学がシステムやサービスの提供をしていくか？についてAzure AD B2C + LINEを例に解説させていただく予定です。

一緒に登壇するのが、慶応義塾大学の細川先生、信州大学の鈴木先生、東京大学（今回は学認の顔みたいですが）の佐藤先生という錚々たるメンバなので緊張しまくりです・・・

これで年内は最後の登壇となりますが、既に年明けのイベント登壇予定が3つ決まっているという。。。まだまだハードな日々は続きそうです。

FirefoxにSAML Tracerが復活

December 5, 2017, 2:30 pm

≫ Next: [告知]JASA定例研究会でID管理システム導入チェックリストについてお話します

≪ Previous: [告知]AXIES（大学ICT推進協議会）年次大会でAzure AD B2Cの話をします

$

0

0

こんにちは、富士榮です。

先日のFirefoxの更新で使えなくなっていたSAML Tracerが12/3に更新され、新しいFirefoxでも使えるようになりました。祝！復活！

更新されると、ブラウザのメニューバーにアイコンが出るようになりました。

アドオンを確認すると12/3に更新されたことがわかります。

これでSAMLのトレース・デバッグも楽々です。一安心。

[告知]JASA定例研究会でID管理システム導入チェックリストについてお話します

December 14, 2017, 2:30 pm

≫ Next: 疑似指紋とWindows Helloを対決させてみた ～パート２

≪ Previous: FirefoxにSAML Tracerが復活

$

0

0

こんにちは、富士榮です。

年明け2018年1月18日に開催されるJASA定例研究会（月例セミナ）で、先日JNSAのID管理WGでリリースしたID管理システム導入チェックリストについて解説させていただきます。

JASA定例研究会）
　エンタープライズにおけるID管理のあるべき姿
　～ID管理システム導入チェックリストを活用した体系的管理～
　http://www.jasa.jp/seminar/monthly_seminar.html?year=2017&seminar_id=37


内容としては、ID管理WGのリーダー宮川さんよりエンタープライズにおけるID管理のあるべき姿についてお話いただき、私からチェックリストを作成した背景、目的、使い方などについて詳しく解説させていただこうと思います。

私も皆様のご意見をいただきながらチェックリストを上手く育てていきたいと思いますので、是非ともご参加いただき、意見交換などが出来ればと思っています。

疑似指紋とWindows Helloを対決させてみた ～パート２

December 16, 2017, 4:26 am

≫ Next: [告知]JNSA／クロスボーダー時代のアイデンティティ管理セミナーが開催されます

≪ Previous: [告知]JASA定例研究会でID管理システム導入チェックリストについてお話します

$

0

0

こんにちは、富士榮です。

先日、疑似指紋でWindows Helloの指紋認証を突破できるか？を試してみて結果惨敗したんですが、別の指紋認証デバイスを入手したので、再度対決させてみました。

結果、「突破できました！！！」

今回試したのは、PQI JapanのMy Lockeyです。FIDOのUAFにも対応している優れモノです。以下の画像をクリックするとAmazonの商品ページへ飛びます。

Amazonで4290円で売っています。

大きさなどはMouse Computerのヤツより若干大きいくらいですが、仕上げはMy Lockeyの方が高級感があります。

感度はMy Lockeyの方が格段にいいです。

Macbook Airに挿すとこんな感じです。指紋認証するときにMagsafeがかなりの確率で外れます。

まぁ、良し悪しはおいておいて、指紋がない人とかには有効なんじゃないでしょうか。

[告知]JNSA／クロスボーダー時代のアイデンティティ管理セミナーが開催されます

January 4, 2018, 2:30 pm

≫ Next: [Azure AD/Intune]PCのログイン画面からパスワードをリセットする

≪ Previous: 疑似指紋とWindows Helloを対決させてみた ～パート２

$

0

0

あけましておめでとうございます。富士榮です。

今年も年初よりID関連セミナ三昧、ということで先日告知させていただいたJASAの定例研究会に引き続き、JNSA（日本ネットワークセキュリティ協会）のセミナです。

＊＊＊すみません。昨日で定員に達してしまい、申し込みは締め切られてしまいました。。最近告知する時には定員に達しているパターンが多いですね。どうしても参加したい！！という方はこっそり言ってください。＊＊＊
今回のテーマはクロスボーダーということで、エンタープライズと個人、国と国、企業と企業など様々なボーダーを跨いだ働き方が求められる今日におけるアイデンティティ管理の在り方についてJNSAのID管理ワーキンググループのメンバを中心＋デロイトの北野さんと情報セキュリティ大学院大学の湯淺先生をお招きして幅広い視点で情報をお届けさせていただこうと思います。

申込URL：
　http://www.jnsa.org/seminar/2018/0126/index.html
開催日時：
　2018年1月26日（金）14:00～18:00
開催場所：
　NTTデータショールーム＠豊洲


GDPRやマイナンバー、Tカード、SNS ID、そしてBlock Chainなど広く深く？話がされますので、ぜひお越しください。
（私はSNS IDの話とパネルで登場する予定です）

ではでは。

[Azure AD/Intune]PCのログイン画面からパスワードをリセットする

January 9, 2018, 2:30 pm

≫ Next: [Azure AD/Intune]ログイン画面からPINをリセットする

≪ Previous: [告知]JNSA／クロスボーダー時代のアイデンティティ管理セミナーが開催されます

$

0

0

こんにちは、富士榮です。

Azure ADドメインに参加したWindows 10 Fall Creators Update（Build 1709）のPCではログイン画面からパスワードをリセットすることが出来るようになっています。

公式Blogでのアナウンス
　Resetting passwords on Azure AD-joined devices is much easier with the latest Windows update
　https://cloudblogs.microsoft.com/enterprisemobility/2017/11/20/resetting-passwords-on-azure-ad-joined-devices-is-much-easier-with-the-latest-windows-update/

ちょっと時間がたってしまいましたが、動かしてみました。

◆必要な物、準備事項

• デバイス
• Azure AD参加したWindows 10 Fall Creator Updateが動作しているPC
• ライセンス
• 該当ユーザにAzure AD Premium P1以上のライセンスが割り当たっていること（オンプレミスADへのパスワード書き戻しを行う場合）
• 該当ユーザにIntuneのライセンスが割り当たっていること（GPOやPowerShellで対象PCのレジストリを直接操作してもOKですが、Intuneがあると便利です。本ポストではIntuneを使ってポリシーを配布する方法を紹介します）
• 設定
• Intuneでパスワードリセット用のプロファイルを構成していること
• Azure AD上でパスワードリセットを有効化していること

早速やってみます。

◆Intuneでデバイス構成プロファイルを作成する

Azure PortalからIntune、Device ConfigurationからProfilesを開き、Create profileをより新規プロファイルを作成します。

プラットフォームにWindows 10 or later、プロファイルタイプにCustomを選択し、OMA-URIを追加していきます。

追加するOMA-URIの情報は以下の通りです。

• OMA-URI : ./Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset
• Data type : Integer
• Value : 1

◆Azure ADでパスワードリセットを有効化する

次はAzure ADを開き、Password resetを構成します。具体的にはリセットさせたいユーザを含むセキュリティ・グループに対して割り当てを行います。

（デフォルトでSSPRSecurityGroupUsersというグループが出来ていると思うので、対象ユーザをこのグループに入れます）

◆リセットする

構成が上手くいくとWindows 10 PCのログイン画面にパスワードリセットのリンクが表示されます。（もちろんAzure AD参加、Intuneへのデバイス登録がされていることが前提です）

このリンクから以下の様にパスワードリセットを進めることが出来ます。

SMSへリセット用のワンタイムコードの送信

SMSで送られてきた確認コードを入力

場合によって2つ目の確認手段を求められるので、メールにも確認コードを送信

同じく確認コードを入力して、新しいパスワードを登録

リセットが完了するので、新しいパスワードでPCへログイン

オンプレだけで構成されている環境の場合はMIM（Microsoft Identity Manager）のパスワードリセットエージェントを配布～インストールする必要があったので、クラウドベースもしくはハイブリッド環境だとかなり楽に管理が出来ますね。

---

[Azure AD/Intune]ログイン画面からPINをリセットする

January 11, 2018, 2:30 pm

≫ Next: [Azure AD/Intune]ログイン画面からPINをリセットする（モバイル編）

≪ Previous: [Azure AD/Intune]PCのログイン画面からパスワードをリセットする

$

0

0

こんにちは、富士榮です。

前回はAzure AD JoinしているWindows 10 PCのパスワードをログイン画面からリセットする方法を紹介しましたが、今回はPINをリセットする方法です。

まぁ、パスワードでログインすればいいじゃないか、という話もあるにはあるのですが、PINを忘れてしまうとログイン後、PINの削除＝Windows Hello関連の設定のクリアをしてからPINの再設定、Windows Hello関連（顔とか指紋）の再登録という手順になるので、確かにPINだけでリセット出来るととても便利です。

こちらもパスワードリセットとほぼ同じ方法で設定をすることになるので、今回は差分となる部分を紹介します。

◆必要な物、準備事項

• デバイス
• Azure AD参加したWindows 10 Creator Updateが動作しているPC（パスワードと違ってCreator Update/1703からこの機能は使えるとドキュメント上は書いてあります。が、私の環境ではFall Creator Updateでないと動きませんでした）
• ライセンス
• 該当ユーザにIntuneのライセンスが割り当たっていること（GPOやPowerShellで対象PCのレジストリを直接操作してもOKですが、Intuneがあると便利です。本ポストではIntuneを使ってポリシーを配布する方法を紹介します）
• 設定
• IntuneでPINリセット用のプロファイルを構成していること

早速やってみます。

◆Intuneでデバイス構成プロファイルを作成する

前回同様、Azure PortalからIntune、Device ConfigurationからProfilesを開き、Create profileをより新規プロファイルを作成します。

ほぼパスワードリセットの時と作成するプロファイルは同じなのですが、設定するOMA-URIだけが以下のものとなります。

./Device/Vendor/MSFT/PassportForWork/[Tenand Id]/Policies/EnablePinRecovery

このTenant IdはAzure ADのプロパティから取得できるテナントIDです。

これで完了です。パスワードリセットよりも簡単です。

◆リセットする

構成が上手くいくとWindows 10 PCのログイン画面にPINリセットのリンクが表示されます。（もちろんAzure AD参加、Intuneへのデバイス登録がされていることが前提です）

このリンクから以下の様にPINリセットを進めることが出来ます。

パスワードでログインし、多要素認証を行います。

警告が表示されます。PINはデバイス単位なので、当然リセットはデバイス毎に行う必要があります。（忘れた奴だけやればOKですが）

新しいPINを登録します。

完了すると新しいPINでログインできるようになります。

前回のパスワードリセットを含め、ログイン画面から出来ることが増えているので、ヘルプデスクの負荷を下げるには、Windows 10+Azure AD/Intuneの組み合わせは良いと思います。

[Azure AD/Intune]ログイン画面からPINをリセットする（モバイル編）

January 14, 2018, 2:30 pm

≫ Next: [告知]統合認証シンポジウム@佐賀大学で大学におけるSNSの活用について話します

≪ Previous: [Azure AD/Intune]ログイン画面からPINをリセットする

$

0

0

こんにちは、富士榮です。

前回はAzure AD JoinしているWindows 10 PCのPINをログイン画面からリセットする方法を紹介しましたが、今回は今更ながらですがWindows 10 MobileのPINをリセットする方法です。

今更ではありますが、最近Lumia 950を滅多に起動しなくなり、PINを忘れてFactoryリセット、、、という繰り返しをしていたので、最初からこの方法を実装しておけばよかった・・・と後悔したので。。

さて、やり方ですが実装方法は前回とほぼ同じですが、リセットの方法が若干異なります。（管理者がIntuneの管理画面からリセットします）

ということで早速。

◆必要な物、準備事項

• デバイス
• Azure AD参加したWindows 10 Creator Updateが動作しているデバイス（Creator Update/1703からこの機能は使えるとドキュメント上は書いてあります。が、私の環境が既にFall Creator Update/1709だったので1709でしか試していません）
• ライセンス
• 該当ユーザにIntuneのライセンスが割り当たっていること
• 設定
• IntuneでPINリセット用のプロファイルを構成していること

◆Intuneでデバイス構成プロファイルを作成する

ここはPC用と同じプロファイルが使えるので、前回紹介したものをそのまま使います。
尚、ドキュメント上はMicrosoft PIN Reset Service IntegrationとMicrosoft PIN Reset ClientをAzure AD上にプロビジョニングしておかないとダメ、とありますがどうやらこの手順は無くても動きそうです。（どうしても動きがおかしい場合は試してみても良いかも知れませんが）

念のため、Microsoft PIN Reset Service IntegrationとMicrosoft PIN Reset Clientのプロビジョニング方法です。

- Microsoft PIN Reset Service Integration

Intuneテナントの管理者でこのURLにアクセスし、ディレクトリへのアクセス権限を与えます。

承諾すると、エラーが出ますがこれでOKです。

- Microsoft PIN Reset Client

同じくIntune管理者でアクセスします。

こちらもエラーが出ますがOKです。
（カスタムスキームだったので、Azure AD Joinした端末へIntune管理者でログインしたり、Windows 10 Mobileからアクセスしてみましたが、結果は同じだったのであまり関係ないのかも知れません）

エラーは出るものの、上記2つを実行することでAzure AD上にサービスがプロビジョニングされます。私の環境ではあっても無くてもPINリセットは実行できたので無くてもOKかも知れません。

◆リセットする

モバイルの場合はPCとは異なり、ログイン画面から自分自身でPINをリセットすることはできず、あくまでIntune管理者へリセットを依頼することになります。

- 管理者によるリセット要求

Intuneの管理画面で対象のデバイスを選択、Overviewの一番右上のドロップダウンよりReset passcodeを選択します。

確認画面が出てリセット要求が行われます

しばらく（5分～10分くらい）して画面をリロードすると新しいPIN（テンポラリPIN）が表示されます。（7日間表示されるので、この間に利用者へ通知してリセットさせるという方式です）

- 利用者側の操作

管理者がPINのリセット要求を行うと一時的に端末がロックされます。

完了を押すと管理者から聞いたテンポラリPINコードを入力する画面が出てきますので、入力します。
（尚、不具合だと思うのですが、管理者側で発行したテンポラリPINコードにモバイルのキーボードで入力できない文字記号が含まれることがありました。その場合は再度管理者にテンポラリPINコードを発行してもらう必要があります）

入力が完了すると、自身で使うPINを登録することが出来るようになります。ここで設定したPINが以降デバイスのロック解除を行うPINとなります。

上手くいけばデバイスを使えるようになります。

もうWindows 10 Mobileを使うことも減ってくるとは思いますが、PINを忘れるたびにリセットして写真やデータが消える、ということもなくなるので使用頻度が減ってきた今がPINリセットを実装しておくべき時なのかも知れません。

[告知]統合認証シンポジウム@佐賀大学で大学におけるSNSの活用について話します

January 17, 2018, 2:30 pm

≫ Next: [Azure AD]条件付きアクセスのポリシー適用状態を確認する「What If機能」

≪ Previous: [Azure AD/Intune]ログイン画面からPINをリセットする（モバイル編）

$

0

0

こんにちは、富士榮です。

昨年に引き続き今年も佐賀大学で開催される統合認証シンポジウムに登壇させていただくことになりました。

第11回統合認証シンポジウム
https://www.cc.saga-u.ac.jp/ias/#gsc.tab=0

日時：2018年3月1日（木）13:30～17:30
場所：佐賀大学教養教育大講義室


思えばLINEとAzure AD B2Cを組み合わせて学生や保護者などへのリーチャビリティの高いコミュニケーション基盤とそれを支えるID基盤のアイデアは昨年度の統合認証シンポジウムの後の宴会の場で産まれたものでした。最初は半分酔っ払いの思いつきでしたが、色々やってみると応用の範囲が思いのほか広くビジネスになってしまうのが面白いところです。

と、言うことで昨年度はエンタープライズID管理のトレンドの話をしましたが、今年は大学におけるSNS IDの活用についてお話しします。
他にも著名な先生方が大学における業務改善のお話しをしてくださったり、お馴染み日本マイクロソフトの中田さんがOffice365の多要素認証についてお話ししてくださるそうですので、大学だけでなく一般企業においても有益な内容になると思います。

既に申込みも始まっていますので、是非お申込みください。

[Azure AD]条件付きアクセスのポリシー適用状態を確認する「What If機能」

January 21, 2018, 2:30 pm

≫ Next: 第1期 LINE API Expert に認定されました！

≪ Previous: [告知]統合認証シンポジウム@佐賀大学で大学におけるSNSの活用について話します

$

0

0

こんにちは、富士榮です。

Azure Active Directory（Azure AD）の条件付きアクセス機能を使うとアクセス元のネットワークやデバイス、クライアントアプリケーションの種類により、アプリケーションへのアクセスを制御（ブロックしたり多要素認証を要求したり）することが出来ます。

実際の案件で条件付きアクセスがどうやって使われているのか？については昨年のde:codeで紹介させていただきましたので、見てみてください。

[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際 from de:code 2017

ただ、この条件付きアクセスですがテストをするのが結構面倒なんです。当たり前ですが、すべてのアクセス元のネットワーク、デバイス、クライアントの種類を網羅的に準備することは中々現実的ではないので。

ということで先日新しくリリースされた条件付きアクセスのポリシーの適用状況をシミュレーションしてくれるテスト機能「What If」を使ってみます。


使い方は非常に簡単で、Azure ADの条件付きアクセスの設定画面からポリシー一覧を確認すると「What If」というボタンがあります。

これをクリックするとユーザ、対象のアプリケーションなどシミュレーションしたい条件を設定することが出来ます。

まず、ユーザを選びます。

次に対象アプリケーションを選びます。（すべてのアプリ、でもOKです）

後はアクセス元のネットワークアドレスとデバイスの種類、クライアントアプリケーションの種類を選択して、「What If」をクリックします。

すると適用されるポリシー一覧が表示されます。
この場合は多要素認証を適用するポリシーが出てきましたので、この条件だと多要素認証を要求されることがわかります。

逆に適用されないポリシー一覧も確認できます。その際に適用されない理由も含めて確認が出来るので、非常に便利です。

条件付きアクセス・ポリシーのネットワークアドレスの変更など構成変更をする際、事前にテストが出来るのでとっても便利です。

第1期 LINE API Expert に認定されました！

February 1, 2018, 2:30 pm

≫ Next: Article 0

≪ Previous: [Azure AD]条件付きアクセスのポリシー適用状態を確認する「What If機能」

$

0

0

こんにちは、富士榮です。

LINEさんが新しく始めたLINE API Expertに第1期生として認定されました。
主にLINE Login周り＋Bot少々ですね。

LINEさんのプレス

LINEが提供するAPIなどの技術普及促進プログラム「LINE API Expert」、初の認定となる4カ国22名のメンバーを発表
https://linecorp.com/ja/pr/news/ja/2018/2030

今回は砂金さんが書いたLINE Engineering Blog

LINE API Expert第一期メンバーを発表します
https://engineering.linecorp.com/ja/blog/detail/248

今回は4か国22名が認定され、日本はそのうち5名、Loginは私だけ・・・やっぱりBot（Messaging API）の方がメジャーですもんね。（しかし錚々たるメンバー...）


この前の9月に本職でプレス発表させていただいたAzure AD B2C + SNS連携のB2C向けID＋メッセージング基盤を開発するにあたり春先からLINE Loginを触らせていただいていていますが、秋のLINE Developer Dayで発表されたOpenID Connect対応など、どんどん進化していっているので非常に面白いプラットフォームになってきていると思います。

B2Cシナリオ以外にも組織の中へ自分のIDをどうやって持ち込むか、というBring Own Your Identity（BYOID）のシナリオも今後増えてくると予想しているので、Microsoft MVPとしてAzure ADなどのIDプラットフォームに加えてLINE APIについても引き続き情報発信などしていければ、と思います。