From 81055c7dd01be70384e6698f2b1a764188f69335 Mon Sep 17 00:00:00 2001 From: juntakata Date: Sat, 2 Nov 2024 00:40:09 +0000 Subject: [PATCH] deploy: bf94c109dc8c8162ee286357427bd128b020bc0d --- .../2019adfs/index.html | 4 +- .../about-extranet-lockout/index.html | 10 +- .../ad-fs-auto-rollover/index.html | 4 +- .../adfs-AADSTS50107/index.html | 4 +- .../adfs-cba-ts/index.html | 4 +- .../adfs-crule-ts/index.html | 4 +- .../adfs-federation-metadata/index.html | 4 +- .../adfs-tls12/index.html | 4 +- .../adfs-wap-federation-renew/index.html | 4 +- .../azure-traffic-manager/index.html | 4 +- .../case-of-pdc/index.html | 4 +- .../claim-rule-conditional-access/index.html | 4 +- .../congestion_avoidance_algorithm/index.html | 4 +- .../kmsi-not-shown-wia/index.html | 4 +- .../index.html | 4 +- .../secure-hash/index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../update-ssl-server-certificate/index.html | 4 +- .../update-token-certificate/index.html | 4 +- atom.xml | 44 +- .../aad-notification/index.html | 6 +- .../index.html | 4 +- .../aadc-import-export-config/index.html | 4 +- .../aadc_hardmatch/index.html | 10 +- .../aboutSoftMatching/index.html | 4 +- .../auto-upgrade-issue/index.html | 6 +- .../azure-ad-connect-117490/index.html | 4 +- .../azure-ad-connect-2-3-20/index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../azure-ad-connect-mc125948/index.html | 4 +- .../azure-ad-connect-tls/index.html | 4 +- .../azureadconnect_faq/index.html | 6 +- .../index.html | 6 +- .../cantphsback-aadc/index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../dirsync-adsync-20171231/index.html | 4 +- .../error-code-8344/index.html | 4 +- .../index.html | 4 +- .../how-to-upgrade-details/index.html | 4 +- .../introduction-staging-server/index.html | 6 +- .../index.html | 8 +- .../password-writeback-overview/index.html | 8 +- .../port-used-by-aadc/index.html | 4 +- .../index.html | 4 +- .../seamless-sso/index.html | 4 +- .../upn-hard-match/index.html | 4 +- .../20180406-rca-azure-ad/index.html | 4 +- .../20200928-rca-azure-ad/index.html | 4 +- .../20210318-rca-azure-ad/index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../5-identity-priorities-for-2020/index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../AzureAD-Quota-enhancements/index.html | 4 +- .../index.html | 4 +- .../GuestUser-Inventory/index.html | 8 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../MFA_configuration_scenarios/index.html | 4 +- .../index.html | 4 +- .../index.html | 6 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../User-at-risk-detected/index.html | 4 +- .../index.html | 4 +- .../WorkPlaceJoin/index.html | 4 +- .../index.html | 4 +- .../aad-token-lifetime/index.html | 4 +- .../aadj-link-is-not-displayed/index.html | 4 +- azure-active-directory/aadsts75011/index.html | 4 +- .../index.html | 4 +- azure-active-directory/about-rbac/index.html | 4 +- .../about-staged-rollout/index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../act-fast-by-moving-to-tls-1-2/index.html | 4 +- .../index.html | 4 +- .../add-modify-delete-directory/index.html | 6 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../android-grayed-out/index.html | 4 +- .../announcement-of-otp/index.html | 14 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../app-service-auth-multi-tenant/index.html | 8 +- .../aspdotnet-from-v1-to-v2/index.html | 4 +- .../index.html | 6 +- .../index.html | 4 +- .../authenticator-setup/index.html | 4 +- .../authorization-code-reuse/index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../azure-ad-b2c-fundamentals/index.html | 8 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../azure-ad-consent-framework/index.html | 4 +- .../azure-ad-ds-qa/index.html | 6 +- .../azure-ad-ds-scenario/index.html | 4 +- .../azure-ad-endpoints/index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../azure-ad-graph-api-retirement/index.html | 4 +- .../index.html | 4 +- .../azure-ad-provisioning/index.html | 4 +- .../azure-ad-provisioning2/index.html | 4 +- .../azure-ad-purchase/index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../azure-ad-rename-rollout/index.html | 4 +- .../azure-ad-reporting-api/index.html | 4 +- .../azure-ad-security-defaults/index.html | 4 +- .../azure-ad-sign-in-experience/index.html | 4 +- .../azure-mfa-timing/index.html | 4 +- .../azuread-access-denied/index.html | 4 +- .../azuread-b2b-troubleshooting/index.html | 10 +- .../azuread-clientsecrets-202104/index.html | 4 +- .../azuread-module-retirement1/index.html | 4 +- .../azuread-module-retirement2/index.html | 4 +- .../azuread-module-retirement3/index.html | 4 +- .../azuread-module-retirement4/index.html | 4 +- .../azuread-module-retirement5/index.html | 4 +- .../azuread-module-retirement6/index.html | 4 +- .../azuread-user-group-limitation/index.html | 4 +- .../b2b-invitation/index.html | 4 +- azure-active-directory/b2b-mfa/index.html | 4 +- azure-active-directory/b2bfaq/index.html | 18 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../ca-authentication-strength-ga/index.html | 4 +- .../ca-filter-for-apps/index.html | 4 +- .../ca_client_default/index.html | 8 +- .../cae-overview/index.html | 6 +- .../capolicy-for-csp-account/index.html | 4 +- .../change-mfa-verification-method/index.html | 4 +- .../changed_aad_ip_range/index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../combatting-risky-sign-ins/index.html | 4 +- .../index.html | 4 +- .../company-branding-ga/index.html | 4 +- .../comprehend-account-lockout/index.html | 4 +- .../comprehend-password-policy/index.html | 8 +- .../conditional-access-basic/index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../create-subscription-error/index.html | 4 +- .../credentials-for-psscripts/index.html | 4 +- .../cross-tenant-access-setting-ga/index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../custom-attribute-aadds-preview/index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../device-based-access-control/index.html | 4 +- .../device-object/index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../end-user-passwordless-utopia/index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../enterprise-sso-ga/index.html | 4 +- .../enterpriseapps-multitenantapps/index.html | 8 +- .../entitlement-management-ga/index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../expressroute-support/index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../ga-is-locked-out/index.html | 6 +- .../index.html | 4 +- .../general-information-KeyVault/index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../graph-activity-log-in-preview/index.html | 4 +- .../graph-activity-logs-ga/index.html | 4 +- .../index.html | 4 +- .../haadj-and-upn/index.html | 28 +- .../haadj-re-registration/index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../how-azuread-kerberos-works/index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 6 +- .../index.html | 6 +- .../index.html | 4 +- .../index.html | 4 +- .../how-to-disable-whfb/index.html | 4 +- .../how-to-get-sign-in-logs/index.html | 4 +- .../index.html | 4 +- .../howto-deal-with-aadsts1002016/index.html | 4 +- .../howto-deal-with-throttling/index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../hybrid-pending-device/index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../introducing-ca-for-workload-id/index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../introducing-entra-powershell/index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../ios-accounts/index.html | 4 +- .../ipv6-coming-to-azuread/index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../keep-track-object-deletions/index.html | 4 +- .../lifecycle-workflow/index.html | 4 +- .../lifecycle-workflows-ga/index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../mc705680-20240110/index.html | 4 +- .../member-and-guest-user/index.html | 6 +- .../mfa-reset-2022/index.html | 4 +- azure-active-directory/mfa-reset/index.html | 4 +- .../mfasetupinteg/index.html | 4 +- .../microsoft-authenticator-app/index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 8 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../microsoft-entra-workload-id-ga/index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../migrate-aadgraph-to-msgraph/index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- azure-active-directory/mto-ga/index.html | 4 +- .../nesting-group/index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 6 +- .../new-capolicy-for-csp-account/index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../new-tools-to-block-legacy-auth/index.html | 6 +- .../non-destructive-pin-reset/index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../output-directory-roll-members/index.html | 4 +- .../password-sprey-attack/index.html | 20 +- .../index.html | 4 +- .../pim-for-group-ga/index.html | 4 +- .../pim-overview/index.html | 4 +- .../index.html | 4 +- .../powershell-module/index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../publicpreview-myapps/index.html | 4 +- .../publisher-domain/index.html | 4 +- .../qanda-conditional-access/index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../registerd_device_managemant/index.html | 4 +- .../registration-campaign-qanda/index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- azure-active-directory/review-ca/index.html | 4 +- .../rm64-fsz-info/index.html | 4 +- .../roles-and-administrators/index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../search-sort-and-filter-for-ca/index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../security-default-2022/index.html | 4 +- .../index.html | 4 +- .../step-guide-access-review/index.html | 4 +- .../index.html | 4 +- .../index.html | 12 +- .../subscription-azuread/index.html | 6 +- .../support-q-and-a/index.html | 4 +- .../support-sevA/index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../tenant-restriction/index.html | 4 +- .../index.html | 6 +- .../index.html | 4 +- .../index.html | 4 +- .../token-lifetime-2023/index.html | 4 +- .../troubleshoot-azure-ad/index.html | 4 +- .../troubleshoot-browser-auth/index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../update-B2B-user-address/index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- azure-active-directory/what-is-b2b/index.html | 4 +- .../index.html | 4 +- .../index.html | 4 +- .../what-s-new-in-microsoft-entra/index.html | 4 +- .../index.html | 4 +- .../what-to-do-error-tpm/index.html | 4 +- .../what-to-do-errorcode-135011/index.html | 4 +- .../what-to-do-errorcode-700003/index.html | 4 +- .../index.html" | 4 +- .../whfb-configuration-explanation/index.html | 4 +- .../index.html | 4 +- .../xtap-new-feature/index.html | 4 +- .../your-password-doesnt-matter/index.html | 4 +- azure-active-directory/zero-hype/index.html | 4 +- .../zero-trust-network/index.html | 4 +- index.html | 20 +- page/10/index.html | 20 +- page/11/index.html | 20 +- page/12/index.html | 20 +- page/13/index.html | 20 +- page/14/index.html | 20 +- page/15/index.html | 20 +- page/16/index.html | 20 +- page/17/index.html | 20 +- page/18/index.html | 20 +- page/19/index.html | 20 +- page/2/index.html | 20 +- page/20/index.html | 20 +- page/21/index.html | 20 +- page/22/index.html | 20 +- page/23/index.html | 20 +- page/24/index.html | 20 +- page/25/index.html | 20 +- page/26/index.html | 20 +- page/27/index.html | 20 +- page/28/index.html | 20 +- page/29/index.html | 20 +- page/3/index.html | 20 +- page/30/index.html | 22 +- page/31/index.html | 20 +- page/32/index.html | 20 +- page/33/index.html | 20 +- page/34/index.html | 20 +- page/35/index.html | 20 +- page/36/index.html | 20 +- page/37/index.html | 20 +- page/38/index.html | 20 +- page/39/index.html | 22 +- page/4/index.html | 20 +- page/40/index.html | 20 +- page/41/index.html | 20 +- page/42/index.html | 12 +- page/5/index.html | 20 +- page/6/index.html | 20 +- page/7/index.html | 20 +- page/8/index.html | 20 +- page/9/index.html | 20 +- sitemap.xml | 438 +++++++++--------- 460 files changed, 1572 insertions(+), 1572 deletions(-) diff --git a/active-directory-federation-service/2019adfs/index.html b/active-directory-federation-service/2019adfs/index.html index 59e4e8ca518..afb86aece17 100644 --- a/active-directory-federation-service/2019adfs/index.html +++ b/active-directory-federation-service/2019adfs/index.html @@ -15,7 +15,7 @@ - + @@ -156,7 +156,7 @@

feedback - 共有 + 共有
diff --git a/active-directory-federation-service/about-extranet-lockout/index.html b/active-directory-federation-service/about-extranet-lockout/index.html index 70a1bbfd9c8..ac20c3bb1a6 100644 --- a/active-directory-federation-service/about-extranet-lockout/index.html +++ b/active-directory-federation-service/about-extranet-lockout/index.html @@ -14,7 +14,7 @@ - + @@ -154,7 +154,7 @@

feedback - 共有 + 共有

@@ -226,7 +226,7 @@

user01@contoso.com

+

アカウント名: user01@contoso.com

アカウント ドメイン:

エラー情報:

失敗の原因: ユーザー名を認識できないか、またはパスワードが間違っています。

@@ -259,9 +259,9 @@

user01@contoso.com

+

user01@contoso.com

例外情報:

-

System.IdentityModel.Tokens.SecurityTokenValidationException: user01@contoso.com

+

System.IdentityModel.Tokens.SecurityTokenValidationException: user01@contoso.com

場所 Microsoft.IdentityServer.Service.Tokens.MSISWindowsUserNameSecurityTokenHandler.ValidateToken(SecurityToken token)

上記内容が少しでもお客様の参考となりますと幸いです。
製品動作に関する正式な見解や回答については、お客様環境などを十分に把握したうえでサポート部門より提供させていただきますので、ぜひ弊社サポート サービスをご利用ください。

diff --git a/active-directory-federation-service/ad-fs-auto-rollover/index.html b/active-directory-federation-service/ad-fs-auto-rollover/index.html index 94ebc7a4148..31f89f0de8d 100644 --- a/active-directory-federation-service/ad-fs-auto-rollover/index.html +++ b/active-directory-federation-service/ad-fs-auto-rollover/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

feedback - 共有 + 共有

diff --git a/active-directory-federation-service/adfs-AADSTS50107/index.html b/active-directory-federation-service/adfs-AADSTS50107/index.html index ddf3bbbac35..b446ad3da71 100644 --- a/active-directory-federation-service/adfs-AADSTS50107/index.html +++ b/active-directory-federation-service/adfs-AADSTS50107/index.html @@ -15,7 +15,7 @@ - + @@ -160,7 +160,7 @@

feedback - 共有 + 共有

diff --git a/active-directory-federation-service/adfs-cba-ts/index.html b/active-directory-federation-service/adfs-cba-ts/index.html index 3fbabdb7548..6ec6f13a770 100644 --- a/active-directory-federation-service/adfs-cba-ts/index.html +++ b/active-directory-federation-service/adfs-cba-ts/index.html @@ -18,7 +18,7 @@ - + @@ -162,7 +162,7 @@

feedback - 共有 + 共有

diff --git a/active-directory-federation-service/adfs-crule-ts/index.html b/active-directory-federation-service/adfs-crule-ts/index.html index 9711e933477..ebec3fa4608 100644 --- a/active-directory-federation-service/adfs-crule-ts/index.html +++ b/active-directory-federation-service/adfs-crule-ts/index.html @@ -21,7 +21,7 @@ - + @@ -164,7 +164,7 @@

feedback - 共有 + 共有

diff --git a/active-directory-federation-service/adfs-federation-metadata/index.html b/active-directory-federation-service/adfs-federation-metadata/index.html index a04acae4bfd..41cee224097 100644 --- a/active-directory-federation-service/adfs-federation-metadata/index.html +++ b/active-directory-federation-service/adfs-federation-metadata/index.html @@ -20,7 +20,7 @@ - + @@ -162,7 +162,7 @@

feedback - 共有 + 共有

diff --git a/active-directory-federation-service/adfs-tls12/index.html b/active-directory-federation-service/adfs-tls12/index.html index 92b7e8eea6d..61bab0c086c 100644 --- a/active-directory-federation-service/adfs-tls12/index.html +++ b/active-directory-federation-service/adfs-tls12/index.html @@ -21,7 +21,7 @@ - + @@ -165,7 +165,7 @@

feedback - 共有 + 共有

diff --git a/active-directory-federation-service/adfs-wap-federation-renew/index.html b/active-directory-federation-service/adfs-wap-federation-renew/index.html index 6f3b2e19f8a..757bb6339f3 100644 --- a/active-directory-federation-service/adfs-wap-federation-renew/index.html +++ b/active-directory-federation-service/adfs-wap-federation-renew/index.html @@ -20,7 +20,7 @@ - + @@ -162,7 +162,7 @@

feedback - 共有 + 共有

diff --git a/active-directory-federation-service/azure-traffic-manager/index.html b/active-directory-federation-service/azure-traffic-manager/index.html index 8d0a6176ea1..b4eaf9f673e 100644 --- a/active-directory-federation-service/azure-traffic-manager/index.html +++ b/active-directory-federation-service/azure-traffic-manager/index.html @@ -16,7 +16,7 @@ - + @@ -157,7 +157,7 @@

feedback - 共有 + 共有

diff --git a/active-directory-federation-service/case-of-pdc/index.html b/active-directory-federation-service/case-of-pdc/index.html index 42d5dd5e8cd..1e90ee00bfa 100644 --- a/active-directory-federation-service/case-of-pdc/index.html +++ b/active-directory-federation-service/case-of-pdc/index.html @@ -14,7 +14,7 @@ - + @@ -154,7 +154,7 @@

feedback - 共有 + 共有

diff --git a/active-directory-federation-service/claim-rule-conditional-access/index.html b/active-directory-federation-service/claim-rule-conditional-access/index.html index f9ec5415b48..4fa23b22295 100644 --- a/active-directory-federation-service/claim-rule-conditional-access/index.html +++ b/active-directory-federation-service/claim-rule-conditional-access/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

feedback - 共有 + 共有

diff --git a/active-directory-federation-service/congestion_avoidance_algorithm/index.html b/active-directory-federation-service/congestion_avoidance_algorithm/index.html index 77afa1c29f4..d096f86536f 100644 --- a/active-directory-federation-service/congestion_avoidance_algorithm/index.html +++ b/active-directory-federation-service/congestion_avoidance_algorithm/index.html @@ -14,7 +14,7 @@ - + @@ -157,7 +157,7 @@

feedback - 共有 + 共有

diff --git a/active-directory-federation-service/kmsi-not-shown-wia/index.html b/active-directory-federation-service/kmsi-not-shown-wia/index.html index 8c6fb473bb5..3b25086c5d2 100644 --- a/active-directory-federation-service/kmsi-not-shown-wia/index.html +++ b/active-directory-federation-service/kmsi-not-shown-wia/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

feedback - 共有 + 共有

diff --git a/active-directory-federation-service/migrate-msol-update-federation-domain/index.html b/active-directory-federation-service/migrate-msol-update-federation-domain/index.html index 4e651e600d1..c5b19048a04 100644 --- a/active-directory-federation-service/migrate-msol-update-federation-domain/index.html +++ b/active-directory-federation-service/migrate-msol-update-federation-domain/index.html @@ -15,7 +15,7 @@ - + @@ -156,7 +156,7 @@

feedback - 共有 + 共有

diff --git a/active-directory-federation-service/secure-hash/index.html b/active-directory-federation-service/secure-hash/index.html index 6c412d8b46d..1101d7ecd25 100644 --- a/active-directory-federation-service/secure-hash/index.html +++ b/active-directory-federation-service/secure-hash/index.html @@ -14,7 +14,7 @@ - + @@ -154,7 +154,7 @@

feedback - 共有 + 共有

diff --git a/active-directory-federation-service/update-for-google-chrome-80-same-site/index.html b/active-directory-federation-service/update-for-google-chrome-80-same-site/index.html index 1e5172c893c..95b4f7b4cc5 100644 --- a/active-directory-federation-service/update-for-google-chrome-80-same-site/index.html +++ b/active-directory-federation-service/update-for-google-chrome-80-same-site/index.html @@ -16,7 +16,7 @@ - + @@ -159,7 +159,7 @@

feedback - 共有 + 共有

diff --git a/active-directory-federation-service/update-ssl-server-certificate-2016+/index.html b/active-directory-federation-service/update-ssl-server-certificate-2016+/index.html index 570c6b83acd..7e57cdfea1c 100644 --- a/active-directory-federation-service/update-ssl-server-certificate-2016+/index.html +++ b/active-directory-federation-service/update-ssl-server-certificate-2016+/index.html @@ -14,7 +14,7 @@ - + @@ -154,7 +154,7 @@

feedback - 共有 + 共有

diff --git a/active-directory-federation-service/update-ssl-server-certificate-netsh/index.html b/active-directory-federation-service/update-ssl-server-certificate-netsh/index.html index 97c5c0688c1..c6da3d5c034 100644 --- a/active-directory-federation-service/update-ssl-server-certificate-netsh/index.html +++ b/active-directory-federation-service/update-ssl-server-certificate-netsh/index.html @@ -14,7 +14,7 @@ - + @@ -154,7 +154,7 @@

feedback - 共有 + 共有

diff --git a/active-directory-federation-service/update-ssl-server-certificate/index.html b/active-directory-federation-service/update-ssl-server-certificate/index.html index d0c8f153d5e..df8148493d2 100644 --- a/active-directory-federation-service/update-ssl-server-certificate/index.html +++ b/active-directory-federation-service/update-ssl-server-certificate/index.html @@ -14,7 +14,7 @@ - + @@ -154,7 +154,7 @@

feedback - 共有 + 共有

diff --git a/active-directory-federation-service/update-token-certificate/index.html b/active-directory-federation-service/update-token-certificate/index.html index 373a80bcbca..21c1fcafad1 100644 --- a/active-directory-federation-service/update-token-certificate/index.html +++ b/active-directory-federation-service/update-token-certificate/index.html @@ -14,7 +14,7 @@ - + @@ -154,7 +154,7 @@

feedback - 共有 + 共有

diff --git a/atom.xml b/atom.xml index 31b8da2d88e..91b526b56b7 100644 --- a/atom.xml +++ b/atom.xml @@ -6,7 +6,7 @@ - 2024-11-02T00:23:18.632Z + 2024-11-02T00:39:36.705Z https://jpazureid.github.io/blog/ @@ -21,9 +21,9 @@ https://jpazureid.github.io/blog/azure-active-directory/microsoft-entra-internet-access-now-generally-available/ 2024-11-02T01:00:00.000Z - 2024-11-02T00:23:18.632Z + 2024-11-02T00:39:36.705Z - こんにちは、Azure Identity サポートチームの 姚 (ヨウ) です。

本記事は、2024 年 9 月 18 日に米国の Azure Active Directory Identity Blog で公開された Microsoft Entra Internet Access now generally available - Microsoft Community Hub を意訳したものになります。ご不明点等ございましたらサポート チームまでお問い合わせください。

ハイブリッドな働き方が増すにつれ、ID とネットワークのセキュリティ専門家たちは組織を守るための最前線に立たされています。従来のセットワーク セキュリティのツールでは、統合性、複雑性、スケーラビリティという、どこからでもアクセスが可能という昨今のネットワーク環境の要件を満たせなくなっており、組織はセキュリティ リスクと劣悪なユーザー体験にさらされています。これを解決するために、ネットワーク セキュリティと ID を一体化した保護が必要です。ID とネットワークの制御がセキュリティの制御に高度に組み込まれることで、暗黙的な信頼なく、すべてのユーザー、デバイスおよびアプリケーションに対して、必要な対象に必要最低限の特権が許可されるというゼロ トラストの概念に基づく環境を提供可能となります。

Microsoft Entra Internet Access

2024 年 7 月 11 日に Microsoft Entra Suit の 一般提供を発表 しました。この Microsoft Entra Suit には Security Service Edge (SSE) ソリューションの一部である Microsoft Entra Internet Access が含まれております。Microsoft Entra Internet Access は、ID を中心に据えたセキュア ウェブ ゲートウェイ (SWG) ソリューションにより、すべてのインターネットおよび SaaS アプリケーションやリソースへのアクセスを保護します。これにより、ID およびネットワーク アクセスの制御が単一のゼロ トラスト ポリシー エンジンを通じて統合され、これまでカバーできていなかったセキュリティの抜け穴が解消されるとともに、サイバー脅威のリスクを最小限に抑えることが可能となります。我々のソリューションは、Microsoft Entra ID をシームレスに統合し、複数の場所 (ツールなど) でユーザー、グループおよびアプリケーションを管理する負担を軽減します。ユニバーサル条件付きアクセス、文脈を意識したネットワーク保護およびウェブ コンテンツ フィルターによってユーザー、デバイスおよびアプリケーションを保護しますので、バラバラな複数のネットワーク セキュリティ ツールの管理に悩むことはなくなります。

図 1: ID 中心の SWG を用いてすべてのインターネットと Saas アプリおよびリソースへのアクセスを保護する。

ID とネットワークの統合セキュリティ

Entra ID との強力な統合によって、条件付きアクセスや継続的なアクセス評価 (CAE) をインターネット上のリソースやクラウド アプリケーションなど、Entra ID とフェデレーションしていない 外部の対象にまで拡張 できます。条件付きアクセスとの統合により、組織に合わせてカスタマイズしたネットワーク保護ポリシーを柔軟に適用し、デバイス、ユーザー、場所およびリスク条件を活用しながら、きめ細かい制御を強制することが可能になります。さらに、Microsoft Entra Internet Access はトークン再生攻撃からの防御やデータ流失の制御などの強化されたセキュリティ機能も提供します。

図 2: ネットワーク セキュリティ ポリシーの強制にユーザーやデバイス、場所、リスクという条件付きアクセスの制御を活用する。

一連の流れを意識したネットワーク セキュリティでユーザーを保護

Microsoft Entra Internet Access により ネットワークを対象としたセキュリティ ポリシーを条件付きアクセスと連携させる ことができるようになるため、SWG のポリシーを強制するにあたり、お客様は様々なシナリオに対応できる新たなツール得ることになります。Web カテゴリ フィルター により、事前に用意された ウェブ カテゴリ にもどづいて広範なインターネット アクセス先を許可/ブロックするような構成を実現できます。さらにきめ細かいポリシーを構成したい場合は、完全修飾ドメイン名 (FQDN) フィルターを利用して、特定のエンドポイント用のポリシーを設定したり、既定の Web カテゴリー ポリシーを上書きしたりすることも可能です。

例えば、会計部門のチームに重要な会計アプリケーションへアクセスを許可する一方で、組織のほかの部門からアクセスを制限するようなポリシーを作成できます。また、Entra ID Protection によってユーザー リスクが上昇したメンバーに対しては、動的にユーザーのリスク レベルに対応し、これら重要なリソースへのアクセスを制限するリスクベースのフィルター ポリシーを追加することも可能です。これにより組織に対し、より強力な保護を提供することができます。さらに別の例としては、Microsoft Entra Internet Access、条件付きアクセス、および Entra ID Govermance ワークフローを組み合わせて活用することで、Dropbox に Just-In-Time アクセスを実現し、ほかのすべての外部ストレージ サイトへのアクセスはブロックするいうことも可能です。

今後、TLS インスペクションおよび URL フィルターの機能を追加し、Web フィルター ポリシーでさらにきめ細かい制御ができるようにする予定です。加えて、既知の悪意あるインターネット サイトへのユーザーによるアクセスを防ぐために、脅威インテリジェンス (TI) のフィルターも追加する予定です。

準拠ネットワークのチェックでトークン再生攻撃へ多層防御を提供

新機能である準拠ネットワークの制御により、Microsoft 365 アプリケーションを含め Entra ID とフェデレーションしているインターネット アプリケーションに対し、準拠ネットワークのチェック機能を条件付きアクセスと組み合わせて適用できるため、認証プレーン全体でトークン再生攻撃を防ぐことが可能となります。この機能により、ユーザーがアプリケーションにアクセスする際に、SSE のセキュリティ機能を迂回できないようにできます。送信元 IP を用いた場所に基づく強制には、煩雑な IP 管理に加え、支店ネットワークを経由してアクセスしてくるユーザーとトラフィックの紐づけという固有の問題点がありますが、準拠ネットワークの機能を用いればその欠点も解消可能です。

ユニバーサル テナント制限 (TRv2) による制御でデータ流出を防止

Microsoft Entra Internet Access では OS やブラウザに依存せず、すべての管理対象デバイスで ユニバーサル テナント制限 の制御を有効にできます。テナント制限 v2 は強力なデータ流出防止機能であり、外部の ID およびアプリケーションへアクセス可能/不可能かを許可または拒否リストできめ細かく選定することにより、管理対象デバイスおよびネットワークに対する外部からのアクセスのリスクを管理可能となります。

図 5: ユニバーサル テナント制限

ユーザーの送信元 IP を隠蔽しない

従来のサードパーティ SEE ソリューションはユーザーの送信元 IP を隠し、プロキシー サーバーの IP アドレスだけを見せますが、これでは Entra ID ログの信頼性が低下し、条件付きアクセスの制御においても制御の正確性が損なわれます。我々のソリューションでは、Entra ID の監査ログやリスク評価において可能な限り エンドユーザーの送信元 IP を復元 します。これにより、条件付きアクセス ポリシーで送信元 IP ベースの場所チェックを引き続き利用できますので、後方互換性も維持できます。

グローバル スケールで高速かつ安定したアクセスを提供

弊社はグローバル規模でプロキシを展開しており、インターネットへ流れるトラフィックを最適化するためにユーザーの近くにエンドポイントを展開し、通信に必要なホップ数を削減しています。ユーザーからわずか数ミリ秒の距離にある弊社のグローバル セキュア エッジを経由して、リモートワークをしている従業員や支店とをつなげることができるのです。弊社はインターネット プロバイダーや SaaS サービスと数千のピアリングの接続を保持しており、加えて、Microsoft 365 および Azure のようなサービスには Microsoft WAN 基盤へ直接トラフィックを送ることにより、追加の通信ホップによるパフォーマンス劣化を回避しつつ、全体のユーザー エクスペリエンスを向上させています。

図 7: マイクロソフトのグローバル WAN

製品内のダッシュボードで高度な詳細情報とネットワーク解析情報を得る

弊社が提供する製品内の包括的なレポートとダッシュボードにより、お客様は手軽に詳細情報を確認でき、組織全体のエコシステムを完全に把握可能です。包括的なネットワークとポリシー監視のログを通して展開状況を監視でき、緊急な脅威も特定でき、さらに迅速に問題に対処できます。このダッシュボードでは、ユーザー、デバイスおよび Microsoft の SSE ソリューションを経由した接続先の概要情報を確認可能です。企業内で行われるクロステナント アクセスの状況や、よくアクセスしているネットワーク接続先、その他のポリシーの解析情報も表示しています。

図 8: 製品内のダッシュボード

Microsoft Entra Internet Access のアーキテクチャ概要

Microsoft SSE の [クライアント[(https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-install-windows-client) と リモートネットワーク のアーキテクチャによりネットワーク アクセスとセキュリティが効率されます。デバイスで動作する Global Secure Access クライアントは現在 Windows と Android で利用可能です。MacOS と iOS 用のものは近日に公開されます。拠点間の接続は、ネットワーク デバイスから Microsoft の SSE エッジサービスへの Site-To-Site 接続に基づいて動作します。Microsoft トラフィック はすでに一般公開されていますが、インターネット アクセス プロファイル も近日に追加される予定です。エンドユーザーのデバイスと拠点ネットワーク間の通信モデルは Microsoft の SSE エッジを経由して保護およびトンネリングされています。さらに、弊社は HPE ArubaVersa とパートナー提携を行い、弊社の SSE ソリューションと SD-WAN ソリューションとを統合するべく取り組んでいます。近日には他のパートナーとも追加の提携を行う予定です。

サードパーティの SSE ソリューションとの並列した相互運用

Microsoft の SSE の独自の利点の 1 つは サードパーティの SSE ソリューション と既定で互換性がある点です。これにより必要な通信だけを Microsoft の SSE エッジに流れるようにできます。例えば、Microsoft トラフィック プロファイルを利用して、Microsoft 365 と Entra ID の通信だけを管理し、Microsoft アプリケーションへのアクセスのパフォーマンスを最適化しつつ、他の通信は別のプロバイダーで管理するように構成可能です。トラフィック転送プロファイルの構成はシンプルなので、インターネットおよび Microsoft 365 を含めた SaaS アプリケーションへの通信を正確に制御できます。トラフィック プロファイルはユーザーごとに設定できますので、組織の要件に応じてグループ単位で割り当てることもできます。

図 9: 柔軟な展開オプション

まとめ

Microsoft Entra Internet Access は強力な ID 中心の SWG ソリューションであり、インターネットおよび SaaS アプリケーションへの通信をセキュリティで保護します。ID、エンドポイントおよびネットワークを横断して条件付きアクセスに統合することより、ハイブリッドな職場環境の要件を満たし、高度なサイバー攻撃にも対処できます。この戦略的な取り組みにより、セキュリティの強化だけでなく、ユーザー体験の最適化も実現されます。これこそが、クラウド ファーストの環境への移行をリードていくという Microsoft のコミットメントを示しています。

是非サービスをお試しください

Microosft Entra Internet Access のブログや Microsoft Entra Private Access の Deep Dive にもご注目ください。より詳細については、弊社の直近の Tech Accelerator product deep dives もご覧ください。

利用を開始したい場合は、Microsoft の営業担当に連絡し、トライアルを開始して、一般公開された Microsoft Entra Internet Access と Microsoft Entra Private Access をお試しください。このソリューションをよりよくするために、ご意見がありましたら是非お知らせください。

Anupma Sharma, Principal Group Product Manager

]]> + こんにちは、Azure Identity サポートチームの 姚 (ヨウ) です。

本記事は、2024 年 9 月 18 日に米国の Azure Active Directory Identity Blog で公開された Microsoft Entra Internet Access now generally available - Microsoft Community Hub を意訳したものになります。ご不明点等ございましたらサポート チームまでお問い合わせください。

ハイブリッドな働き方が増すにつれ、ID とネットワークのセキュリティ専門家たちは組織を守るための最前線に立たされています。従来のセットワーク セキュリティのツールでは、統合性、複雑性、スケーラビリティという、どこからでもアクセスが可能という昨今のネットワーク環境の要件を満たせなくなっており、組織はセキュリティ リスクと劣悪なユーザー体験にさらされています。これを解決するために、ネットワーク セキュリティと ID を一体化した保護が必要です。ID とネットワークの制御がセキュリティの制御に高度に組み込まれることで、暗黙的な信頼なく、すべてのユーザー、デバイスおよびアプリケーションに対して、必要な対象に必要最低限の特権が許可されるというゼロ トラストの概念に基づく環境を提供可能となります。

Microsoft Entra Internet Access

2024 年 7 月 11 日に Microsoft Entra Suit の 一般提供を発表 しました。この Microsoft Entra Suit には Security Service Edge (SSE) ソリューションの一部である Microsoft Entra Internet Access が含まれております。Microsoft Entra Internet Access は、ID を中心に据えたセキュア ウェブ ゲートウェイ (SWG) ソリューションにより、すべてのインターネットおよび SaaS アプリケーションやリソースへのアクセスを保護します。これにより、ID およびネットワーク アクセスの制御が単一のゼロ トラスト ポリシー エンジンを通じて統合され、これまでカバーできていなかったセキュリティの抜け穴が解消されるとともに、サイバー脅威のリスクを最小限に抑えることが可能となります。我々のソリューションは、Microsoft Entra ID をシームレスに統合し、複数の場所 (ツールなど) でユーザー、グループおよびアプリケーションを管理する負担を軽減します。ユニバーサル条件付きアクセス、文脈を意識したネットワーク保護およびウェブ コンテンツ フィルターによってユーザー、デバイスおよびアプリケーションを保護しますので、バラバラな複数のネットワーク セキュリティ ツールの管理に悩むことはなくなります。

図 1: ID 中心の SWG を用いてすべてのインターネットと Saas アプリおよびリソースへのアクセスを保護する。

ID とネットワークの統合セキュリティ

Entra ID との強力な統合によって、条件付きアクセスや継続的なアクセス評価 (CAE) をインターネット上のリソースやクラウド アプリケーションなど、Entra ID とフェデレーションしていない 外部の対象にまで拡張 できます。条件付きアクセスとの統合により、組織に合わせてカスタマイズしたネットワーク保護ポリシーを柔軟に適用し、デバイス、ユーザー、場所およびリスク条件を活用しながら、きめ細かい制御を強制することが可能になります。さらに、Microsoft Entra Internet Access はトークン再生攻撃からの防御やデータ流失の制御などの強化されたセキュリティ機能も提供します。

図 2: ネットワーク セキュリティ ポリシーの強制にユーザーやデバイス、場所、リスクという条件付きアクセスの制御を活用する。

一連の流れを意識したネットワーク セキュリティでユーザーを保護

Microsoft Entra Internet Access により ネットワークを対象としたセキュリティ ポリシーを条件付きアクセスと連携させる ことができるようになるため、SWG のポリシーを強制するにあたり、お客様は様々なシナリオに対応できる新たなツール得ることになります。Web カテゴリ フィルター により、事前に用意された ウェブ カテゴリ にもどづいて広範なインターネット アクセス先を許可/ブロックするような構成を実現できます。さらにきめ細かいポリシーを構成したい場合は、完全修飾ドメイン名 (FQDN) フィルターを利用して、特定のエンドポイント用のポリシーを設定したり、既定の Web カテゴリー ポリシーを上書きしたりすることも可能です。

例えば、会計部門のチームに重要な会計アプリケーションへアクセスを許可する一方で、組織のほかの部門からアクセスを制限するようなポリシーを作成できます。また、Entra ID Protection によってユーザー リスクが上昇したメンバーに対しては、動的にユーザーのリスク レベルに対応し、これら重要なリソースへのアクセスを制限するリスクベースのフィルター ポリシーを追加することも可能です。これにより組織に対し、より強力な保護を提供することができます。さらに別の例としては、Microsoft Entra Internet Access、条件付きアクセス、および Entra ID Govermance ワークフローを組み合わせて活用することで、Dropbox に Just-In-Time アクセスを実現し、ほかのすべての外部ストレージ サイトへのアクセスはブロックするいうことも可能です。

今後、TLS インスペクションおよび URL フィルターの機能を追加し、Web フィルター ポリシーでさらにきめ細かい制御ができるようにする予定です。加えて、既知の悪意あるインターネット サイトへのユーザーによるアクセスを防ぐために、脅威インテリジェンス (TI) のフィルターも追加する予定です。

準拠ネットワークのチェックでトークン再生攻撃へ多層防御を提供

新機能である 準拠ネットワーク の制御により、Microsoft 365 アプリケーションを含め Entra ID とフェデレーションしているインターネット アプリケーションに対し、準拠ネットワークのチェック機能を条件付きアクセスと組み合わせて適用できるため、認証プレーン全体でトークン再生攻撃を防ぐことが可能となります。この機能により、ユーザーがアプリケーションにアクセスする際に、SSE のセキュリティ機能を迂回できないようにできます。送信元 IP を用いた場所に基づく強制には、煩雑な IP 管理に加え、支店ネットワークを経由してアクセスしてくるユーザーとトラフィックの紐づけという固有の問題点がありますが、準拠ネットワークの機能を用いればその欠点も解消可能です。

ユニバーサル テナント制限 (TRv2) による制御でデータ流出を防止

Microsoft Entra Internet Access では OS やブラウザに依存せず、すべての管理対象デバイスで ユニバーサル テナント制限 の制御を有効にできます。テナント制限 v2 は強力なデータ流出防止機能であり、外部の ID およびアプリケーションへアクセス可能/不可能かを許可または拒否リストできめ細かく選定することにより、管理対象デバイスおよびネットワークに対する外部からのアクセスのリスクを管理可能となります。

図 5: ユニバーサル テナント制限

ユーザーの送信元 IP を隠蔽しない

従来のサードパーティ SEE ソリューションはユーザーの送信元 IP を隠し、プロキシー サーバーの IP アドレスだけを見せますが、これでは Entra ID ログの信頼性が低下し、条件付きアクセスの制御においても制御の正確性が損なわれます。我々のソリューションでは、Entra ID の監査ログやリスク評価において可能な限り エンドユーザーの送信元 IP を復元 します。これにより、条件付きアクセス ポリシーで送信元 IP ベースの場所チェックを引き続き利用できますので、後方互換性も維持できます。

グローバル スケールで高速かつ安定したアクセスを提供

弊社はグローバル規模でプロキシを展開しており、インターネットへ流れるトラフィックを最適化するためにユーザーの近くにエンドポイントを展開し、通信に必要なホップ数を削減しています。ユーザーからわずか数ミリ秒の距離にある弊社のグローバル セキュア エッジを経由して、リモートワークをしている従業員や支店とをつなげることができるのです。弊社はインターネット プロバイダーや SaaS サービスと数千のピアリングの接続を保持しており、加えて、Microsoft 365 および Azure のようなサービスには Microsoft WAN 基盤へ直接トラフィックを送ることにより、追加の通信ホップによるパフォーマンス劣化を回避しつつ、全体のユーザー エクスペリエンスを向上させています。

図 7: マイクロソフトのグローバル WAN

製品内のダッシュボードで高度な詳細情報とネットワーク解析情報を得る

弊社が提供する製品内の包括的なレポートとダッシュボードにより、お客様は手軽に詳細情報を確認でき、組織全体のエコシステムを完全に把握可能です。包括的なネットワークとポリシー監視のログを通して展開状況を監視でき、緊急な脅威も特定でき、さらに迅速に問題に対処できます。このダッシュボードでは、ユーザー、デバイスおよび Microsoft の SSE ソリューションを経由した接続先の概要情報を確認可能です。企業内で行われるクロステナント アクセスの状況や、よくアクセスしているネットワーク接続先、その他のポリシーの解析情報も表示しています。

図 8: 製品内のダッシュボード

Microsoft Entra Internet Access のアーキテクチャ概要

Microsoft SSE の クライアントリモートネットワーク のアーキテクチャによりネットワーク アクセスとセキュリティが効率されます。デバイスで動作する Global Secure Access クライアントは現在 Windows と Android で利用可能です。MacOS と iOS 用のものは近日に公開されます。拠点間の接続は、ネットワーク デバイスから Microsoft の SSE エッジサービスへの Site-To-Site 接続に基づいて動作します。Microsoft トラフィック はすでに一般公開されていますが、インターネット アクセス プロファイル も近日に追加される予定です。エンドユーザーのデバイスと拠点ネットワーク間の通信モデルは Microsoft の SSE エッジを経由して保護およびトンネリングされています。さらに、弊社は HPE ArubaVersa とパートナー提携を行い、弊社の SSE ソリューションと SD-WAN ソリューションとを統合するべく取り組んでいます。近日には他のパートナーとも追加の提携を行う予定です。

サードパーティの SSE ソリューションとの並列した相互運用

Microsoft の SSE の独自の利点の 1 つは サードパーティの SSE ソリューション と既定で互換性がある点です。これにより必要な通信だけを Microsoft の SSE エッジに流れるようにできます。例えば、Microsoft トラフィック プロファイルを利用して、Microsoft 365 と Entra ID の通信だけを管理し、Microsoft アプリケーションへのアクセスのパフォーマンスを最適化しつつ、他の通信は別のプロバイダーで管理するように構成可能です。トラフィック転送プロファイルの構成はシンプルなので、インターネットおよび Microsoft 365 を含めた SaaS アプリケーションへの通信を正確に制御できます。トラフィック プロファイルはユーザーごとに設定できますので、組織の要件に応じてグループ単位で割り当てることもできます。

図 9: 柔軟な展開オプション

まとめ

Microsoft Entra Internet Access は強力な ID 中心の SWG ソリューションであり、インターネットおよび SaaS アプリケーションへの通信をセキュリティで保護します。ID、エンドポイントおよびネットワークを横断して条件付きアクセスに統合することより、ハイブリッドな職場環境の要件を満たし、高度なサイバー攻撃にも対処できます。この戦略的な取り組みにより、セキュリティの強化だけでなく、ユーザー体験の最適化も実現されます。これこそが、クラウド ファーストの環境への移行をリードていくという Microsoft のコミットメントを示しています。

是非サービスをお試しください

Microosft Entra Internet Access のブログや Microsoft Entra Private Access の Deep Dive にもご注目ください。より詳細については、弊社の直近の Tech Accelerator product deep dives もご覧ください。

利用を開始したい場合は、Microsoft の営業担当に連絡し、トライアルを開始して、一般公開された Microsoft Entra Internet Access と Microsoft Entra Private Access をお試しください。このソリューションをよりよくするために、ご意見がありましたら是非お知らせください。

Anupma Sharma, Principal Group Product Manager

]]> @@ -46,7 +46,7 @@ https://jpazureid.github.io/blog/azure-active-directory/device-object/ 2024-09-25T00:00:00.000Z - 2024-11-02T00:23:18.336Z + 2024-11-02T00:39:36.417Z 1. はじめに

こんにちは、Azure & Identity サポート チームの 西口 です。

今回は Microsoft Entra ID (ME-ID) のデバイス オブジェクトの属性について解説します。ME-ID に登録できるデバイスの概要については、以下のブログを参照ください。

Azure AD 登録 と Azure AD 参加 の違い

ある ME-ID のデバイス オブジェクトの属性情報を確認すると一口に言っても以下のような複数の見方があります。

上記のように、1 つのデバイス オブジェクトを [複数の見方] で把握することが可能ですが、例えば [Microsoft Entra 管理センターから、あるデバイス オブジェクトの情報を参照した時] と [Graph Explorer で同じデバイス オブジェクトの情報を取得した時] で、微妙に表示されている属性名が異なることや表示されている/されていない属性の差があることで、それぞれの見方で得た情報の対応付けで困ったことはありませんか?

上記のようなお悩みを抱えている方に向けて、本ブログはデバイス オブジェクトの代表的な確認方法と、それぞれの方法で参照した属性の対応付けについて紹介します。

2. デバイス オブジェクトとは

ME-ID というディレクトリ上に登録された、種類がデバイスであるオブジェクト レコードのことを意味します。以下の公開情報の Microsoft Graph API のデバイス リソース型の説明にも含まれていますが、デバイス オブジェクトには複数のプロパティ情報が含まれています。

デバイス リソース型 - Microsoft Graph v1.0 | Microsoft Learn

3. デバイス オブジェクトの確認方法

それでは、以下のデバイス オブジェクトの代表的な 3 つの確認方法をご紹介します。

a. Microsoft Entra 管理センターでの確認方法
b. Graph Explorer での確認方法
c. Microsoft Graph PowerShell での確認方法

a. Microsoft Entra 管理センターでの確認方法

Microsoft Entra 管理センターのポータルからデバイス オブジェクトの情報を参照する手順は以下の通りです。

  1. ブラウザーから Microsoft Entra 管理センター にアクセスしてサインインします。
  2. 画面左のメニューより [ID] > [デバイス] > [すべてのデバイス] の順に移動します。
  3. 確認したいデバイス オブジェクトの名前をクリックします。

上記の操作をすると以下のようにデバイス オブジェクトの情報が表示されます。以下の表示結果からは、該当デバイス オブジェクトの複数の属性情報 (名前やデバイス ID など) を把握することができますが、実はこれが該当デバイスの属性情報のすべてではありません。

なお、Microsoft Entra 管理センターからでは確認できない属性は、以降にご案内する b. Graph Explorer や c. Microsoft Graph PowerShell の方法から確認できます。

ME-ID のデバイス オブジェクトの属性の一覧と、上記の [Microsoft Entra 管理センターで確認できるデバイスの属性] との対応付けは、4 章の [デバイス オブジェクト属性の各確認方法で表示される内容の比較表] に記載の表 1 をご確認ください。

b. Graph Explorer での確認方法

Graph Explorer からデバイス オブジェクトの情報を参照する手順は以下の通りです。

  1. ブラウザーから Graph Explorer にアクセスしてサインインします。

  2. 左のブレードの [ID とアクセス] > Azure AD デバイスの一覧を選択します。

  3. Modify permissions から Device.Read.All を同意します。

  4. クエリ として、https://graph.microsoft.com/v1.0/devices/{確認したいデバイスのオブジェクト ID を指定し、Run query をクリックします。

上記の操作をすると以下のようにデバイス オブジェクトの情報が表示されます。以下の表示結果からは、Microsoft Entra 管理センターで確認できるデバイス オブジェクトの属性の数より多くの属性を確認できました。

ご参考: 弊社環境での Graph Explorer でのデバイス オブジェクトの情報取得例

Microsoft Graph API クエリ: https://graph.microsoft.com/v1.0/devices/03305133-d59c-4f4e-b6cb-2ad2c5d1a6f1

出力結果:

ME-ID のデバイス オブジェクトの属性の一覧と、上記の [Graph Explorer で確認できるデバイスの属性] との対応付けは、4 章の [デバイス オブジェクト属性の各確認方法で表示される内容の比較表] に記載の表 1 をご確認ください。

c. Microsoft Graph PowerShell での確認方法

上記の a. および b. はブラウザーを用いて情報が確認できましたが、Microsoft Graph PowerShell でデバイス オブジェクトの情報を取得するには、最初に作業する端末上に PowerShell モジュールのインストールが必要です。インストール方法については以下の参考情報があります。

MSOnline / AzureAD PowerShell から Graph PowerShell SDK への移行について 3_インストール・接続編

Microsoft Graph PowerShell からデバイス オブジェクトの情報を参照する手順は以下の通りです。

  1. Windows のスタートボタンから Windows PowerShell を起動します。

  2. 以下のコマンドを入力し、Microsoft Graph で ME-ID テナントにサインインします。認証画面が表示されるので、サインインしたい ME-ID テナントのユーザーとしてサインインします。

    Connect-MgGraph -Scopes “Device.Read.All”

  3. Get-MgDevice -DeviceId コマンドで確認したいデバイスのオブジェクト ID を入力します。

    Get-MgDevice -DeviceId “オブジェクト ID” | fl

    ※ 少々紛らわしくて恐縮ですが、-DeviceId パラメーターで指定するのは [(デバイス ID ではなく) オブジェクト ID] です。

今回使った Get-MgDevice コマンドの詳細につきましては、英語の公開情報ですが、以下に記載があります。

Get-MgDevice (Microsoft.Graph.Identity.DirectoryManagement) | Microsoft Learn

上記の操作をすると以下のようにデバイス オブジェクトの情報が表示されます。以下の表示結果からは、Microsoft Entra 管理センターより多くの該当デバイス オブジェクトの属性情報を把握することができます。また、OnPremisesSecurityIdentifier については項目に表示されますが、値は入りません。

ご参考: 弊社環境での Microsoft Graph PowerShell でのデバイス オブジェクトの情報取得例

ME-ID のデバイス オブジェクトの属性の一覧と、上記の [Microsoft Graph PowerShell で確認できるデバイスの属性] との対応付けは、4 章の [デバイス オブジェクト属性の各確認方法で表示される内容の比較表] に記載の表 1 をご確認ください。

4. デバイス オブジェクト属性の各確認方法で表示される内容の比較表

上記の 3 つの確認方法で得られた情報を、以下の表 1 にまとめました。N/A の記載は [その項目の表示が存在していない] ことを意味します。Microsoft Entra 管理センターで表示されている属性名と、実際のオブジェクトの属性名では微妙に表記が異なっていることも確認できます。これは、ポータル上でオブジェクトの情報を確認する際に、見えている情報の意味が分かりやすいよう表現を変えている場合があるためです。たとえば、Microsoft Entra 管理センターで見ることができる “準拠している” は、isCompliant に対応していることが以下の表 1 からわかります。また、Microsoft Entra 管理センターから得ることができない情報については、Graph Explorer / Microsoft Graph PowerShell で確認でき、Graph Explorer / Microsoft Graph PowerShell いずれも同じ情報を得られることがわかりました。以下の表 1 を元に、お客様のご用途に合うデバイス オブジェクトの確認方法をご利用ください。

表1. デバイス属性と、Microsoft Entra 管理センター、Graph Explorer、Microsoft Graph PowerShell で確認できる属性の対応表

5. 条件付きアクセスのデバイスのフィルターでデバイス属性を利用する際の比較表

これまで、デバイス オブジェクトの属性情報を確認する複数の方法についてご紹介しました。この複数の視点での情報の見方がどのような場合に役立つのか、という例として、条件付きアクセス ポリシーでデバイス フィルター条件でのアクセス制御を行う際の設定シナリオを元に例をご紹介します。条件付きアクセスのデバイスのフィルターに関しては、以下の公開情報にてご案内しております。

条件付きアクセス ポリシーの条件としてのデバイスのフィルター - Microsoft Entra ID | Microsoft Learn

デバイスのフィルターで利用可能なデバイス属性は複数ありますが、Microsoft Entra 管理センターでデバイス オブジェクトを参照した際は、これまでのご案内の通り一部の属性情報のみが確認可能です。そこで、Microsoft Graph PowerShell や Graph Explorer も併用いただくことで利用したい属性の情報をご確認いただくことが可能です。

以下に [デバイスのフィルターで利用可能な属性] という視点で、抜き出した状態で上記 a. b. c. それぞれの確認方法で取得可能なデバイス オブジェクトの属性情報の対応をおまとめしました。

表2. デバイスのフィルターで利用可能な属性と各確認方法で確認できる属性の対応表

※ mdmAppId は [該当の ME-ID デバイスが MDM 管理されている] 場合、MDM 管理アプリケーションのアプリケーション ID 表示されますので、以下の表 3 に対応表をまとめました。

表3. MDM と mdmAppId の対応表

6. おわりに

本ブログでは、デバイス オブジェクトの属性の代表的な確認方法と、対応付けについてをまとめ、デバイス情報の活用例をご紹介しました。これらの情報を条件付きアクセスのデバイスのフィルターの作成などのシナリオでご活用ください。

なお、2024 年 9 月現在の情報を元に本記事を作成しております。

]]> @@ -75,7 +75,7 @@ https://jpazureid.github.io/blog/azure-active-directory-connect/azure-ad-connect-2-3-20/ 2024-09-18T03:00:00.000Z - 2024-11-02T00:23:17.852Z + 2024-11-02T00:39:35.929Z こんにちは、Azure & Identity サポート チームの野呂です。弊社サポートチームでは、特定の環境において Microsoft Entra Connect 2.3.20 のインストールおよびアップグレードに失敗する、またはアップグレード後に同期に失敗するお問い合わせを多数お寄せいただいております。本記事では、これらの一般的な原因と対処方法をご紹介します。

事象の概要

Microsoft Entra Connect 2.3.20 のインストールおよびアップグレードを試みた際にエラーが出力され、インストールおよびアップグレードに失敗します。もしくは、インストールおよびアップグレードには成功しますが、その後の同期処理に失敗します。これは Microsoft Entra Connect と Microsoft Entra ID の間で TLS 1.2 にて通信を行えていない事が原因です。以下に、問題が発生した場合に出力される可能性のあるエラー例をお伝えします。

インストール時およびアップグレード時のエラー

インストールを試みた際に、インストール ウィザードの構成画面にて、”An error occurred executing Configure AAD Sync task: An error occurred while sending the request.” のエラーが表示されインストールに失敗する事象が確認されております。

インストール時のエラー画面例:

また、アップグレードを試みた際に、インストール ウィザードの資格情報入力画面にて、正しい権限を持つ有効なアカウントを入力したのにも関わらず、エラーが出力される事象が発生するとのお問い合わせを多数お寄せいただいております。

アップグレード時のエラー画面例:

アップグレード後の同期エラー

アップグレード以降の同期サイクルにおいて、Microsoft Entra ID のコネクタにおける Import 処理や Export 処理が、”no-start-ma” や “stopped-extension-dll-exeption”, “stopped-server” などが記録されて失敗する事象を確認しています。

Synchronization Service Manager の例:

システム イベント ログの例:

アプリケーション イベント ログの例:

原因

Microsoft Entra Connect と Microsoft Entra ID の間で TLS 1.2 にて通信を行えていない事がエラー発生の原因です。Microsoft Entra Connect のバージョン 1.2.65.0 以降では、 Microsoft Entra ID との通信に対して TLS 1.2 のみの使用が完全にサポートされております。また、Microsoft Entra Connect 2.3.20 では、導入サーバーにてレジストリにて TLS 1.2 を明示的に有効化することがインストールの要件となっております。

対応方法

Microsoft Entra Connect 2.3.20 のインストールおよびアップグレードを行う前に、導入サーバーにてレジストリに TLS 1.2 を有効化する値を登録して明示的に有効化する必要がございます。以下に、TLS 1.2 のレジストリ登録状況の確認方法と TLS 1.2 のレジストリ登録方法を記載いたします。

TLS 1.2 のレジストリ登録状況の確認方法

まず、Microsoft Entra Connect を導入するサーバーで PowerShell を管理者権限で開き、下記のドキュメントに記載された [TLS 1.2 をチェックするための PowerShell スクリプト] を実行し、TLS 1.2 のレジストリ登録状況を確認します (スクリプトを実行した結果、Value が Not Found となっている場合は、TLS 1.2 用のレジストリが構成されていないと判断可能です)。

Microsoft Entra Connect に対する TLS 1.2 の強制 | TLS 1.2 をチェックするための PowerShell スクリプト

TLS 1.2 が構成されていないことを示す出力の例:

適切な TLS 1.2 構成を示す出力の例:

TLS 1.2 のレジストリ登録方法

まず、下記のドキュメントに記載された [TLS 1.2 を有効にする PowerShell スクリプト] を実行し、レジストリに TLS 1.2 を登録して明示的に有効化します。

Microsoft Entra Connect に対する TLS 1.2 の強制 | TLS 1.2 を有効にする PowerShell スクリプト

次に、導入サーバーを再起動します。これらのレジストリを登録することにより、これまで .NET Framework アプリケーションが TLS 1.2 以外を用いて通信を行っていた場合には TLS 1.2 を用いて通信を行うようになります。一般的には TLS 1.2 が推奨されており、 TLS 1.2 を用いて通信を行うことに問題はございませんが、もし問題が生じた際にはこれらのレジストリを削除頂いた上で、再度再起動頂くことで元の状態に戻すことが可能です。

TLS 1.2 のレジストリを設定後も同期が行えない、インストールが行えない場合には弊社サポートまでお問い合わせください。

]]> @@ -101,7 +101,7 @@ https://jpazureid.github.io/blog/azure-active-directory/migrate-adal-apps-to-msal-with-enhanced-insights/ 2024-08-31T00:00:00.000Z - 2024-11-02T00:23:18.676Z + 2024-11-02T00:39:36.749Z こんにちは、Azure Identity サポート チームの 五十嵐 です。

本記事は、2024 年 7 月 26 日に米国の Microsoft Entra (Azure AD) Blog で公開された Migrate ADAL apps to MSAL with enhanced insights の抄訳です。ご不明点等ございましたらサポート チームまでお問い合わせください。

Microsoft Entra 管理センターのサインイン ワークブックの大幅なアップデートを発表いたします。このツールは、Azure Active Directory Authentication Libraries (ADAL) から Microsoft Authentication Libraries (MSAL) へ移行する組織で有用活用いただけるものです。これらのアップデートは、ADAL を利用するアプリケーションの関連データについて包括的な分析情報を提供することで、ADAL の移行プロセスを最適化することを目的としています。

どうして今回の発表が重要なのか?

弊社は 2020 年 6 月に ADAL の終了を、2023 年 6 月にセキュリティ アップデートのサポート終了を 発表 しました。つまり、ADAL を使用しているアプリケーションは最新のセキュリティ機能を利用できず、将来のセキュリティの脅威に対して脆弱なままとなります。クライアント アプリケーションの認証と認可のセキュリティ態勢と耐障害性を改善するために、ADAL を使用しているアプリケーションを MSAL に移行することを強くお勧めします。

MSAL は、マネージド ID、継続的アクセス評価 (CAE)、パスキー、その他もろもろなど、Microsoft Entra ID の最新のセキュリティ機能をサポートしています。このたび更新されたサインイン ワークブックはこの移行に不可欠なツールであり、移行を実行するにあたって十分な情報に基づいた意思決定に必要な分析情報とデータを提供します。

サインイン ワークブックの新機能は?

サインイン ワークブックは、テナント内で ADAL を使用しているアプリケーションを一元的かつ詳細に表示したいという要望を持つ管理者向けに再設計されています。これらの追加された分析情報により、MSAL への移行を成功させるための ADAL アプリケーションの特定、調査、検証が容易になります。

以下は、最新の機能強化で得られるものの一覧です:

  1. サインイン ログを包括的に集約: ワークブックでは、対話型、非対話型、サービス プリンシパルのサインインを含む、さまざまな種類のサインイン イベントのログが統合されるようになりました。
  2. データの視覚化を強化: ADAL アプリケーション全体のサインインを一覧として確認できるように、新しく集約したメトリクスでレポートを更新しました。特定の分析ニーズにも応えられるよう、ワークブックにはカスタム フィルターとクエリも適用が可能です。このような柔軟性により、ADAL 移行作業にとって最も重要な情報に集中することができます。
  3. Microsoft Entra レコメンデーションとの統合: ADAL から MSAL への推奨事項のページからこのサインイン ワークブックに直接アクセスして、推奨事項の詳細ページに一覧された ADAL アプリケーションのリストを深く掘り下げることができるようになりました。Microsoft Entra ID 用のワークブックを使用するには、P1 ライセンスを持つ Microsoft Entra ID テナントが必要です。

図 1: ADAL アプリのサインイン データ

図 2: アプリのサインイン データ

アプリケーションの更新を計画しましょう

まずは、ワークブックにアクセスして、すべての ADAL アプリケーションと、それらに関連する詳細のリストを取得する ことから始めましょう。移行ガイド では、ADAL を使用するアプリケーションから MSAL を使用するアプリケーションに移行するためのすべての手順について説明しています。

Neha Goel
Senior Product Manager, Microsoft

]]> @@ -126,7 +126,7 @@ https://jpazureid.github.io/blog/azure-active-directory/face-check-is-now-generally-available/ 2024-08-23T00:00:00.000Z - 2024-11-02T00:23:18.384Z + 2024-11-02T00:39:36.461Z こんにちは、Azure Identity サポートチームの 張替 です。

本記事は、2024 年 8 月 12 日に米国の Azure Active Directory Identity Blog で公開された Face Check is now generally available - Microsoft Community Hub を意訳したものになります。ご不明点等ございましたらサポート チームまでお問い合わせください。

今年の始めに、Microsoft Entra Verified ID による顔チェックのパブリック プレビュー を発表しました。この機能はプライバシーを尊重した信頼性の高い本人確認用顔照合機能であり、Microsoft Entra Verified ID の最初のプレミアム機能です。本日、Microsoft Entra Verified ID での顔チェック の一般提供を開始したことを発表できることを嬉しく思います。この顔チェックの機能は、ネットワーク アクセス、ID 保護、ガバナンス、ID 検証機能を組み合わせてゼロ トラスト アクセスを提供する完全な ID ソリューションである Microsoft Entra Suite の一部としても、単体でも提供されます。

規模に応じて高い信頼性の検証を実現

なりすましやアカウント乗っ取りのリスクが高まっています。攻撃者は、攻撃経路の 66% で安全でない認証情報を使用しています。例えば、なりすまし犯はシステムに不正ログインするために、漏洩したパスワードを使用する可能性があります。生成 AI の進歩により、ディープ フェイクのような複雑ななりすまし の手口も増えています。多くの組織では新入社員を定期的にリモートで雇用し、リモートでヘルプ デスクを提供しています。しかし、強力な本人確認なしに、組織はこうしたデジタルの向こう側にいる人が誰であるかをどうやって確認できるでしょうか。なりすましは、CAPTCHA で自転車の数を数えたり、生まれ育った地域の名前を尋ねたりするような一般的な検証方法を簡単に回避してしまいます。企業や消費者に対する詐欺が急増し、なりすましの手口がますます複雑になっているため、本人確認がかつてないほど重要になっています。

Microsoft Entra Verified ID は オープン スタンダード に基づいているため、企業はシンプルな API を使用して様々な資格情報を検証することができます。Verified ID は、業界をリードする本人確認ベンダーと統合されており、192 か国にわたり個人の ID 属性 (例えば運転免許証と実在する人との一致) を検証可能です。現在、何百もの組織が Verified ID を利用して、新規ユーザーをリモートでオンボードし、セルフ サービスによるリカバリを行う際の不正行為を減らしています。たとえば、Verified ID を使用することで、Skype は日本における Skype 電話番号の登録における不正行為を 90% 減らすことができました

Microsoft Entra Verified IDによる顔チェック

Azure AI サービスを活用した顔チェックは、ユーザーのリアルタイムの自撮り写真と、通常はパスポートや運転免許証などの信頼できる情報源から取得した Verified ID の写真を照合することで、より信頼性を提供します。顔チェックは、照合結果のみを共有し、機密性の高い ID データを共有しないため、ユーザーのプライバシーを保護しながら組織の ID 確認を強化することができます。ディープ フェイクを含む様々ななりすまし技術を検出し拒否することができるため、ユーザーの ID を完全に保護することが可能です。

中小企業向けのセキュリティ ソリューション プロバイダーである BEMO は、認証精度を高めるとともに認証時間を短縮し、コストを削減するために、ヘルプデスクに顔チェックを統合 しました。同社は顔チェックと Microsoft Entra Verified ID を併用し、CEO、CIO などの経営幹部や IT 管理者が所有する最も機密性の高いアカウントを保護ししています。

顔チェックは、BEMO の顧客セキュリティの向上とユーザー データのプライバシーの強化に役立つだけでなく、顧客の問題に対処する 効率を 90 % 改善 しました。BEMO のヘルプデスクは、顔チェックを導入する前は 5.5 時間かかっていた手動での本人確認を 30 分で完了できるようになりました。

「セキュリティは何層にも適用することでより高まります。今回の新しい検証機能は、当社がお客様に提供できるもう一つの層となります。これにより弊社がお客様により高い安心感を与えられるようになりました。」 - BEMO、サポート&マネージド サービス チーム リーダー、Jose Castelan 氏

Microsoft Entra Verified ID で顔チェックを使用する方法については、こちらの ビデオ をご覧ください

パートナーと連携して今すぐ利用を開始する

弊社のパートナーは、特定の利用シナリオや、雇用状態、学歴、政府発行 ID (LexisNexis® Risk Solutions、Au10tix、IDEMIA などのパートナー) などの特定の ID 属性の検証において Microsoft Entra Verified ID を用いた顔チェックの実装に専門的なノウハウを有しています。これらのパートナーは、Verified ID の機能を拡張し、お客様のビジネス固有のニーズに対応するさまざまな検証ソリューションを提供しています。

パートナー ギャラリー をご覧になり、パートナーについて、またパートナーが Verified ID の利用開始をどのように支援できるかぜひご確認ください。

Microsoft Entra Verified ID で顔チェックを使い始める

顔チェックは Verified ID のプレミアム機能です。Verified ID テナントをセットアップ した後、顔チェックを有効にして検証を開始するには、2 つの購入方法があります:

  1. Entra Suite の無料トライアル を開始する。このトライアルには、毎月 1 ユーザーにつき 8 回の顔チェックが含まれています。
  2. Verified ID 内で顔チェックを有効 にし、検証ごとに $0.25 を支払う。

詳細については、Microsoft Entra の価格ページ をご覧ください。

次のステップ

Microsoft Entra Verified ID がどのように機能するか 、また組織が現在どのようにこの機能を使用しているのかについて学び、さらに 8 月 14 日に開催される Microsoft Entra Suite Tech Accelerator に参加して、最新の ID 管理とエンドツーエンドのセキュリティ革新について学んでいただけたらと思います。

Microsoft Entra Verified ID 製品責任者 Ankur Patel

]]> @@ -151,7 +151,7 @@ https://jpazureid.github.io/blog/azure-active-directory/MC862873-azure-portal-mfaenforcement-update-grace-period/ 2024-08-21T00:00:00.000Z - 2024-11-02T00:23:18.040Z + 2024-11-02T00:39:36.121Z こんにちは、Azure Identity サポート チームの 五十嵐 です。

Microsoft では Secure Future Initiative の取り組みのひとつとして、ID とシークレットの保護に専念しております。その中の重要なアクションとして、Azure を利用するアカウントの保護を目的に Azure ポータル (および Azure CLI 等) へのアクセスに対して MFA を義務付けることを発表いたしました。これまで、以下のブログでこの取り組みについて説明させていただいております。概要につきましては以下のブログをご参照ください。

Microsoft は Azure ポータル (および Azure CLI 等) を利用するユーザーに MFA を義務付けます | Japan Azure Identity Support Blog (jpazureid.github.io)

Azure ポータル (および Azure CLI 等) の MFA 義務付けに関する更新情報 (2024/6/27) | Japan Azure Identity Support Blog (jpazureid.github.io)

2024 年 8 月 15 日には、グローバル管理者へのメール、Microsoft 365 管理センターのメッセージ センターおよび Azure ポータルでの通知を開始いたしました。
Azure ポータルにおける通知の場合、以下の表記を確認します。

グローバル管理者へのメールは以下のいずれかのタイトルで通知される予定です。

適用対象の詳細と延長申請について追加の情報がございますので、このブログでも内容を補足いたします。
まずは、メッセージ センターで通知した MC862873 の内容について抄訳したものを以下に記載いたします。

MC862873 の抄訳

2024 年 10 月 15 日以降、セキュリティをさらに強化するため、Microsoft はすべてのユーザーが Microsoft Azure ポータル、Microsoft Entra 管理センター、および Microsoft Intune 管理センターにサインインする際に多要素認証の使用を必須とします。
注意: この要件は、Windows 365 Cloud PC などの Intune 管理センターを通じてアクセスされるすべてのサービスにも適用されます。
多要素認証が提供する追加の保護を活用するため、できるだけ早く多要素認証を有効にすることをお勧めします。
詳細については、以下の Azure および管理ポータルのための多要素認証の義務化に関する計画を参照してください。

必須の Microsoft Entra 多要素認証 (MFA) - Microsoft Entra ID | Microsoft Learn

[この変更が組織に与える影響:] この変更後、Azure ポータル、Microsoft Entra 管理センター、および Intune 管理センターにサインインするために、多要素認証を利用する必要があります。

[準備するために必要な手順:] まだ、多要素認証を有効化していない場合は、2024 年 10 月 15 日までに多要素認証を設定して Azure ポータル、Microsoft Entra 管理センター、および Intune 管理センターにアクセスできるようにしてください。
この日までに多要素認証を設定できない場合は、延期するための申請が可能です。
変更が適用された後、事前に多要素認証が設定されていない場合、Azure ポータル、Microsoft Entra 管理センター、または Intune 管理センターにアクセスする際に多要素認証の登録を求められます。
詳細については、Azure および管理ポータルのための MFA の義務化の計画を参照してください。

必須の Microsoft Entra 多要素認証 (MFA) - Microsoft Entra ID | Microsoft Learn

既にテナント全体で MFA を有効化しているお客様は本通知の影響は受けません。
また、この取り組みを待つことなく、条件付きアクセスやセキュリティの既定値群の機能を利用して、多要素認証を有効化いただくこともご検討いただけますと幸いでございます。

Microsoft 管理ポータルに多要素認証を要求する - Microsoft Entra ID | Microsoft Learn

条件付きアクセスですべてのユーザーに対して MFA を必須にする - Microsoft Entra ID | Microsoft Learn

延長申請手順

延長申請を行うためには、申請を行うアカウントに以下の権限が有効化されている必要があります。
グローバル管理者であっても、Azure サブスクリプションに対する権限の昇格を行わない限り、申請をすることはできません。

グローバル管理者を利用してサブスクリプションに対する権限の昇格を行う手順を含め、あらためて以下に手順をまとめさせていただきました。

a. グローバル管理者の権限昇格方法

申請の前提条件である、Azure サブスクリプションに対する権限の昇格を行います。

Azure リソースのアクセス管理
<アクセスしているユーザーの表示名>は、このテナント内のすべての Azure サブスクリプションおよび管理グループへのアクセスを管理できます。

b. 延長申請

https://aka.ms/managemfaforazure

c. 昇格した権限を削除します

申請後、Azure サブスクリプションに対する権限が昇格された状態は不要であるため、削除することを検討ください。
以下の手順で昇格された状態を切り戻します。

Azure リソースのアクセス管理
<アクセスしているユーザーの表示名>は、このテナント内のすべての Azure サブスクリプションおよび管理グループへのアクセスを管理できます。

以上で申請は完了となります。

延長申請や MFA の強制化に関する補足情報を Q & A 形式で記載いたします。参考になりましたら幸いです。

Q. 昇格されたアクセス権とは何ですか?

A.
テナントに紐づく Azure サブスクリプションのすべてを管理するための権限です。
Azure サブスクリプションは Microsoft Entra ID テナントに紐づきますが、サブスクリプションの情報を読み取るためにはサブスクリプションごとに権限が必要です。
Microsoft Entra ID のグローバル管理者であったとしても、サブスクリプションに対する権限がない場合には、Azure リソースを管理することができません。
しかし、特定の管理のためのシナリオに対応するために、グローバル管理者の権限を昇格することで、テナントに紐づいたすべてのサブスクリプションに対するアクセス権を有効化することができます。

昇格されたユーザーはテナントに紐づいたすべてのサブスクリプションにおいて “ユーザー アクセス管理者” の Azure サブスクリプションのロールを持ちます。
“ユーザー アクセス管理者” はサブスクリプションのロールを管理することができるため、あらゆる操作が可能となります。

影響につきまして、権限の昇格を行うのみでは Azure 上のリソースに対する変更は加えられません。
また、権限が付与されるのは操作を行ったグローバル管理者のみとなります。
テナント内のサブスクリプションを利用するユーザーは、サブスクリプションに割り当てられているロールの一覧から、”ユーザー アクセス管理者” のロールを持ったユーザーを確認することが可能です。

今回の延長申請では、この権限の昇格を必要なものとしており、申請を行う場合は事前に操作ください。
なお、申請後は昇格された権限を削除いただいても構いません。申請後のアカウントの状態を確認することはありません。

Entra ID と Azure サブスクリプションの関係につきましては以下のブログをご参考ください。

Azure サブスクリプションと Azure AD の管理者 | Japan Azure Identity Support Blog (jpazureid.github.io)

Q. Azure CLI についても延長できますか?

A.
今回の申請では、以下の “フェーズ 1” の適用に対して延長を申し込むことができます。

必須の Microsoft Entra 多要素認証 (MFA) - Microsoft Entra ID | Microsoft Learn

フェーズ 1: 2024 年後半以降、MFA は Azure portal、Microsoft Entra 管理センター、および Microsoft Intune 管理センターにサインインするのに必要になります。 適用は、世界中のすべてのテナントに徐々に実施されます。
このフェーズは、Azure CLI、Azure PowerShell、Azure mobile app、IaC ツールなどの他の Azure クライアントには影響しません。 

公開情報の “適用範囲” の表に記載されている実施段階が “2024 年後半” となっている以下のアプリケーション (Web サイト) に対する MFA の強制化を延長できます。
以下のアプリケーション以外の弊社が提供するサイトなどへのアクセスは、本通知における MFA 義務付けの適用範囲外となります。

フェーズ 2 である Azure CLI などに対する適用の延長申請に関しては今後の情報をお待ちください。

Q. Microsoft Graph API PowerShell や SharePoint Online, Teams などの管理用 PowerShell コマンドの利用は今回の対象になりますか。また、他のアプリケーションへの利用も影響はありますか。

A.
以下の公開情報の “適用範囲” のアプリケーション一覧に記載のあるアプリケーションに対して制御が適用され、記載されていないアプリケーションに対して制御は適用されません。

必須の Microsoft Entra 多要素認証 (MFA) - Microsoft Entra ID | Microsoft Learn

そのため、Microsoft Graph API PowerShell や SharePoint Online, Teams などの管理用 PowerShell コマンドを利用する際のサインインに対して、本取り組みによる制御は適用されません。

Q. 延長申請を再度実施することは可能でしょうか?

A.
再度延長要求を行うことで継続して期日を延ばすことはできません。
延長申請では、フェーズ 1 の適用を 2025 年 3 月 15 日 まで延長いただけます。

Q. 特定のアカウントだけ無効にできますか?また、MFA を強制化する設定自体の無効化は可能でしょうか?

A.
今回の MFA の義務付けはテナント内のすべてのユーザーに対して適用されます。
特定のユーザーを無効にすることはできません。
また、MFA を強制化する設定を無効にすることもできません。

Q. ライセンスは必要ですか?

A.
MFA の義務付けに関するライセンス要件はありません。
全てのテナントで有効化されます。

Q. 何も対応せずに期日を迎えた場合どうなりますか?

A.
フェーズ 1 では以下のページにアクセスした際に MFA が強制されます。

ユーザーが事前に MFA の方法を登録している場合、登録されている方法を利用して MFA を行います。
MFA の方法を登録していない場合、ユーザーに対して MFA の登録が求められます。

もし、ユーザーが過去に登録した方法を利用できなくなってしまった場合、管理者はリセットすることが可能です。
方法については以下のブログの方法をご参照ください。

MFA 認証方法を 変更 / 再登録 / 追加 したい! | Japan Azure Identity Support Blog (jpazureid.github.io)

]]> @@ -174,7 +174,7 @@ https://jpazureid.github.io/blog/azure-active-directory/connect-command-troubleshooting/ 2024-08-19T03:00:00.000Z - 2024-11-02T00:23:18.300Z + 2024-11-02T00:39:36.381Z こんにちは。Azure & Identity サポート チームの栗井です。

Microsoft Azure の各種リソース操作や情報取得を行う方法として、多くのお客様に、各種 PowerShell モジュール (Azure PowerShell、Microsoft Graph PowerShell SDK、Azure CLI、 etc) をご利用いただいています!本記事では、各種認証用コマンド (az login、Connect-AzAccount、Connect-MgGraph) の実行に失敗する際のトラブルシューティング Tips をご紹介します。

以下では最初に、これらモジュールの扱いと弊社技術サポートからの支援範囲についてお知らせし、そのあと Tips をおまとめいたします。

Azure CLI、Azure PowerShell、Microsoft Graph PowerShell SDK の扱い

いずれのモジュールもオープンソース プロジェクトとして、Github Community による継続的な開発・改良が重ねられ、新しいバージョンがリリースされています。誰でも実装を確認でき問題を報告できるオープンソース プロジェクトであるため、モジュール自体の問題についてはそれぞれ以下の対応するリポジトリから個別に報告いただくのが原則です。

弊社技術サポートからの支援範囲

コマンド実行時に発生する Microsoft Entra ID に対する認証処理に関連する問題については弊社 ID サポート チームから技術支援が可能です。一方で、モジュール自体の動作や実装に依存するご質問、トラブルシューティングについては、これらのモジュールがオープンソース プロジェクトであるという性質上、支援できかねる (もしくは支援範囲が限定的となる) 場合がございます。

支援できかねる (支援範囲が限定的となる) 場合の例は以下のとおりです。

  1. 公開情報 (learn.microsoft.com) 上に記載の無い、モジュールの実装および仕様に関する Q&A
  2. モジュール自体の動作に問題がある判断される事象のトラブルシューティングおよび調査
  3. モジュールの問題修正や機能改善を目的とした実装変更のリクエスト
  4. GitHub issues 上での既知事例の調査
  5. GitHub 上で記載のある英語情報の翻訳や要約作業
  6. モジュールのソースコード解析や仕様確認

弊社サポートでのご支援が困難と判断した際には、GitHub Community への相談 (issue 起票) へ誘導する場合がございますことを、予めご承知おきください。

認証用コマンドのエラー時に考えられる原因

これらのモジュールが提供する認証用コマンドとしては、az login、Connect-AzAccount、Connect-MgGraph などがあります。順に考えられるエラーの原因を挙げていきますのでご確認ください。

考えられる原因 1. 古いモジュールのバージョンを利用している

既存の不具合は、新しいバージョンで改修が行われます。古いバージョンをご利用の環境で事象が発生する場合は、最新バージョンへのアップグレードをお試しください。各モジュールのリリース履歴は以下をご参照ください。

反対に、最新バージョンの動作に何らかの不具合がある場合も考えられます。問題が発生し始めた時期とバージョン アップのタイミングが合致している場合は、以前のバージョンへの切り戻しによる動作確認が有効な切り分けとなりますのでお試しください。

考えられる原因 2. Microsoft Entra 側で認証処理が失敗している

いずれのモジュールも、Microsoft Entra ID による認証処理が行われます。そのため、例えばユーザー認証やサービス プリンシパル認証の処理が失敗している場合には、コマンドの実行も失敗します。Microsoft Entra として認証処理が正常に完了しているかどうかは、Microsoft Entra ID のサインイン ログから確認します。

該当画面: Azure ポータル > Microsoft Entra ID > サインイン ログ

認証コマンドの実行に失敗した時刻近辺のログをサインイン ログで確認します。

3 つ目のサインイン ログにログが出力されていない場合は、以下のような要因が考えられます。

考えられる原因 3. ネットワークに問題がある

コマンド実行時に発生するインターネット宛の通信に何らかの問題があり、コマンドの実行に失敗するパターンです。認証要求が Microsoft Entra ID に到達していないため、Microsoft Entra ID のサインイン ログに記録が残りません。

要因としては様々なものが考えられますが、最もよくあるシナリオは、 クライアントからインターネット宛の通信にプロキシを利用し、プロキシ側でアクセス可能な URL を制限している ケースです。この場合、プロキシを利用せずにインターネットへのダイレクト接続が可能なネットワーク環境でコマンドを実行し、事象が解消されるかどうかお試しください。プロキシ側でコマンド実行時に何らかの URL へのアクセスがブロックされていないかどうか、プロキシ側で記録されるログを確認することも有効です。

考えられる原因 4. その他の理由で失敗している

多くのパターンでは上記 1 ~ 3 のいずれかが該当しますが、その他の原因によってコマンドが失敗する場合もあります。この場合は、上述のとおり、いずれのモジュールも OSS として Github Community による開発が行われているため、GitHub issues より事例を検索ください。事例が無い場合は、issue を Open することでコミュニティに相談することも可能です。認証失敗によりお客様の業務に支障が出ている場合は弊社サポートへのお問い合わせも検討ください。

デバッグ ログを活用しよう

いずれの認証用コマンドにも、デバッグ用のオプションがあります。認証用コマンドの実行時にエラーが出て予期せず認証処理が失敗する場合、このデバッグ出力を確認することが有効です。それぞれ以下のようにして出力が可能です。

Azure CLI の場合:

az login --debug

Azure PowerShell の場合:

Connect-AzAccount -Debug

Microsoft Graph PowerShell の場合:

Connect-MgGraph -Debug

デバッグ ログより、以下のような内容が判明する場合があります。

事象調査にあたって有用な情報採取

弊社サポートより認証コマンド失敗のトラブルシューティング調査を行う際は、事象発生環境における以下の情報採取を依頼する場合がございます。

  1. デバッグ オプションを有効化した状態でのコマンド実行結果
  2. 事象発生時の HTTPS トレース (Fiddler)
  3. 事象発生時のネットワーク トレース (netsh trace)

お問い合わせ起票時にこれらの情報を提供いただけましたら、スムーズなご支援開始が可能ですが、2. および 3. は問題がネットワークに起因する場合にのみ有効です。多くの場合お客様では問題がネットワークに起因するものかの判断がつきにくいため、これら 2. および 3. の採取については弊社サポートから依頼がある場合のみでも構いません。

認証コマンドの実行が失敗する場合は、まずは 1. のデバッグ オプションを有効化した状態でのコマンド実行結果を採取してお問い合わせをご検討ください。その内容に応じて弊社より必要な情報採取を案内いたします。

事例紹介

ここからは弊社サポートによくお問い合わせいただく「あるある事例」をピックアップして紹介します。

management.azure.com への通信が失敗する

該当モジュール: Azure CLI、Azure PowerShell

az login ならびに Connect-AzAccount では、Microsoft Entra ID との認証処理が正常に終了した後に、Azure サブスクリプションの情報を取得して画面に表示します。この時、management.azure.com 宛の HTTPS (443) の通信が発生します。認証処理に必要な URL を全て許可しているにもかかわらず、当 URL へのアクセスを禁止していたことが原因でコマンドが失敗する事例は、お問い合わせいただく中でも指折りの「あるある」事例です。この場合は、お使いのネットワーク プロキシなどで、management.azure.com への通信がブロックされていないかなどをご確認ください。

プロキシを利用して通信する環境で Azure CLI の az login が失敗する

該当モジュール: Azure CLI

この事例に該当する場合、Azure CLI の az login を実行した際に、以下のようなエラーが出力されることが一般的です。

HTTPSConnectionPool(host='login.microsoftonline.com', port=443): Max retries exceeded with url: /organizations/v2.0/.well-known/openid-configuration (Caused by SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: unable to get local issuer certificate (_ssl.c:1006)')))
Certificate verification failed. This typically happens when using Azure CLI behind a proxy that intercepts traffic with a self-signed certificate. Please add this certificate to the trusted CA bundle. More info: https://docs.microsoft.com/cli/azure/use-cli-effectively#work-behind-a-proxy.

このエラーの原因は、Azure CLI によるプロキシの TLS 証明書の検証失敗です。Azuer CLI は Windows の既定の証明書ストアではなく、環境変数 REQUESTS_CA_BUNDLE が指す .pem ファイルを参照して証明書を検証します。.pem ファイル内にプロキシが使用する TLS 証明書のルート証明書が含まれない場合、TLS セッションの確立に失敗してコマンドが失敗します。

プロキシの背後での処理 (learn.microsoft.com)

上記公開情報に記載のとおり、.pem ファイルをご自身で作成いただき、REQUESTS_CA_BUNDLE にそのパスを設定することが有効な対処策です。もしくは別の手段として、既定で参照される .pem ファイル (ファイル パスは上記公開情報を参照) にプロキシが使用する TLS 証明書のルート証明書情報 (Base64 形式) を追記することも有効です。この方法では、既存の .pem ファイルに含まれる CA 証明書情報を引き継いだまま、プロキシの TLS 証明書の検証も可能となります。

Note

Azure CLI コマンド実行時の通信を Fiddler によって採取する際にも、この問題が発生します。これは Fiddler がローカル プロキシとして動作するためです。

TLS 1.0/1.1 を利用しており通信が失敗する

該当モジュール: Azure CLI、Azure PowerShell、Microsoft Graph PowerShell ならびに Microsoft Entra ID 認証を利用するすべてのシナリオ

Microsoft Entra ID は TLS 1.0/1.1 の利用をすでにサポートしておりません。TLS 1.0/1.1 を利用するような古い OS バージョンをお使いの場合は、TLS 1.2 へ切り替えのうえコマンドを実行ください。多くの場合、TLS 1.0/1.1 を利用するような古い環境は Windows Update も適用されていない場合がありますので、最新の更新を適用することを強くお勧めします。

参考情報: Azure AD への認証が失敗する (エラー コード AADSTS1002016) 際の対処策について

異なるテナントに対してサインインしようとしていた

該当モジュール: Azure CLI、Azure PowerShell、Microsoft Graph PowerShell

これは認証に使用しているアカウントが、B2B ゲスト招待を利用している場合の事例です。一例として、あるユーザーが、自身がメンバーとして所属している「テナント A」に加え、ゲスト ユーザーとして招待している「テナント B」にも存在していたとします。ユーザーは、「テナント B」に対してのアクセスを試みていたものの、認証コマンドの実行時は自身がメンバーとして所属している「テナント A」に対しての認証試行が発生しており、意図したテナントにサインインできていなかったということが生じえます。

この場合、コマンドのオプションでアクセス先のテナントを明示的に指定して認証することが有効です。

Azure CLI の場合:

az login --tenant "YOUR_TENANT_ID"

Azure PowerShell の場合:

Connect-AzAccount -Tenant "YOUR_TENANT_ID"

Microsoft Graph PowerShell の場合:

Connect-MgGraph -TenantId "YOUR_TENANT_ID"

認証キャッシュによる影響

該当モジュール: Azure CLI、Azure PowerShell、Microsoft Graph PowerShell

以前にモジュールを利用した際の認証キャッシュが残存することで、認証コマンドの実行に影響を及ぼす場合があります。認証時の挙動が不安定な場合は認証キャッシュの削除が有効です。

Azure CLI の場合:

az account clear

Azure PowerShell の場合:

Clear-AzContext

Microsoft Graph PowerShell には、認証キャッシュを削除するコマンドがありません。その代わりに、Get-MgContext コマンドを実行することでサインイン済みのアカウント情報を取得可能です。このコマンドを利用して何らかの認証セッションが意図せず残っていないかを確かめます。もし何らかのアカウント情報が表示される場合は、サインアウト用のコマンド Disconnect-MgGraph を実行ください。

Note

いずれのモジュールをご利用の場合も、必要な操作が完了した後は、サインアウト コマンドを実行しましょう。これは次回利用時に不要な認証キャッシュが残存することによる影響や、誤操作および悪用のリスクを防ぐためです。

Azure CLI の場合: az logout

Azure PowerShell の場合: Disconnect-AzAccount

Microsoft Graph PowerShell の場合: Disconnect-MgGraph

]]> @@ -197,7 +197,7 @@ https://jpazureid.github.io/blog/azure-active-directory/public-preview-microsoft-entra-id-fido2-provisioning-apis/ 2024-08-09T01:00:00.000Z - 2024-11-02T00:23:18.776Z + 2024-11-02T00:39:36.849Z こんにちは、Azure Identity サポート チームの 高田 です。

本記事は、2024 年 8 月 7 日に米国の Microsoft Entra (Azure AD) Blog で公開された Public preview: Microsoft Entra ID FIDO2 provisioning APIs の抄訳です。ご不明点等ございましたらサポート チームまでお問い合わせください。

本日は、ユーザーに代わり管理者が FIDO2 セキュリティ キー (パスキー) のプロビジョニング を行い従業員をオンボードする新しい方法を発表いたします。

お客様は、フィッシングに対抗する手段としてパスキーを活用いただいておりますが、セキュリティ キーの登録をユーザー自身で行う必要があるという点に懸念を示すお客様もございました。本日 Microsoft は、組織がユーザーに代わってこのプロビジョニングを実施できるようにし、初日から安全でシームレスな認証を提供できるようにする、新しい Microsoft Entra ID FIDO2 プロビジョニング API を発表いたします。

お客様は、これまでどおり既定の構成でセキュリティ キーをユーザーに展開したり、ユーザーが独自のセキュリティ キーを持ち込んで自身で登録したりすることを引き続きご利用いただけますが、この API を使用すると、キーをユーザー用に事前にプロビジョニングできるため、ユーザーはより簡単にキーを使い始めることが可能となります。

フィッシング耐性のある認証を採用することは非常に重要であり、攻撃者は MFA が有効化されたユーザーを攻撃の対象とするため、AitM (Adversary-in-the-Middle) フィッシング攻撃やソーシャル エンジニアリング攻撃を続けています。パスキー、証明書ベースの認証 (CBA)、Windows Hello for Business など、フィッシング耐性のある認証方法は、これらの攻撃からユーザーを保護するための最良の方法です。

フィッシング耐性のある認証は、大統領令 14028 の重要な要件でもあり、すべての政府の職員、請負業者、パートナーにフィッシング耐性のある認証を義務付けています。連邦政府のほとんどのお客様は、コンプライアンスを達成するために既存のスマートカード システムを使用していますが、パスキーは、安全にサインインするためにより良い方法を模索しているお客様に対し、安全な認証手段を提供します。本日の管理者によるプロビジョニングのリリースにより、ユーザーのオンボーディング プロセスが簡素化されます。

Microsoft Entra ID FIDO2 プロビジョニング API を使用すると、組織は独自の管理者用プロビジョニング クライアントを開発したり、この API を統合した多くの資格情報管理システム (CMS) のプロバイダーと提携したりが可能です。

Microsoft Entra のシニア プロダクト マネージャーである Tim Larson より、フィッシング耐性のある多要素認証 (MFA) への移行に有効なこの新機能について説明いたします。

Alex Weinert

みなさんこんにちは。

Microsoft Entra のプロダクト マネジメント チームの Tim と申します。Entra ID の新しいパスキー (FIDO2) のプロビジョニング機能をご紹介できることを嬉しく思います。

5 月に、Microsoft Entra ID でのパスキーのサポートを広げ、Microsoft Authenticator でのデバイスに紐づくパスキーのサポートについてお話しました。パスキーに関してより多くの機能を提供するという取り組みの一環として、パスキー (FIDO2) の資格情報 API を強化 し、ユーザーのセキュリティ キーのオンボーディングをより便利にしました。

具体的な動作

パスキー (FIDO2) の資格情報 API の機能強化により、Entra ID に WebAuthn の作成オプションを要求し、返されたデータを使用してユーザーに代わってパスキーの資格情報を作成および登録できるようになりました。

このプロセスをわかりやすくしますと、ユーザーに代わってセキュリティ キーを登録するには主に 3 つの手順が必要です。

  1. ユーザー用に creationOptions オプションを要求する: Entra ID は、クライアントがパスキー (FIDO2) の資格情報をプロビジョニングするために必要なデータを返します。これには、ユーザー情報、証明書利用者、資格情報ポリシーの要件、アルゴリズムなどの情報が含まれます。
  2. creationOptions を使用してパスキー (FIDO2) の資格情報をプロビジョニングする: creationOptions を使用して、Client to Authenticator Protocol (CTAP) をサポートするクライアントまたはスクリプトを使用して、資格情報をプロビジョニングします。この手順では、セキュリティ キーを挿入し、PIN を設定する必要があります。
  3. プロビジョニングされた資格情報を Entra ID に登録する: プロビジョニング プロセスからの出力を利用して、対象となるユーザーのパスキー (FIDO2) の資格情報を登録するために必要なデータを Entra ID に提供します。

独自のアプリを構築するか CMS ベンダーの製品を使用する

上記のツールを提供することに加え、Microsoft は CMS 分野の主要ベンダー 10 社と協力して、新しい FIDO2 プロビジョニング API をこれらベンダーと統合するべく取り組んでいました。これらのベンダーは、新しい API をテストし、十分な知識を持っていますので、お客様が独自に統合を進めることが難しい場合は、これらのベンダーがプロビジョニングを支援可能です。

このパートナーシップは、お客様に安全で相互運用可能なエコシステムを提供するという当社のコミットメントを表すものです。これらのベンダーは、さまざまな CMS ソリューションを提供しており、それぞれが独自の知見と専門知識を有しています。これらベンダーが関わることで、API が堅牢で汎用性が高く、実運用に耐えるものであるということが確認できました。

パブリック プレビューの開始にあたり、これらのベンダーがサポートを約束し、API を各プラットフォームに統合したことをうれしく思います。このコラボレーションは、セキュリティ環境を強化するだけでなく、さまざまな業界でのシームレスな採用への道を開きます。

次のステップ

このパブリック プレビューは、パスキーへの取り組みの 1 ステップであり、今後さらにパスキー (FIDO2) のプロビジョニング機能を提供すべく準備を進めています。Entra 管理センターにプロビジョニング機能を組み込んで、ヘルプ デスクやその他の管理者がユーザーの FIDO2 セキュリティ キーを直接プロビジョニングできるようになることもご期待ください。

ここで説明するすべての詳細については、組織でのパスキー (FIDO2) を有効にする方法 に加え、Microsoft Graph API のドキュメント を確認ください。また、ご希望の CMS プロバイダーに連絡して、Microsoft Entra ID FIDO2 プロビジョニング API との統合についても詳細をご確認ください。

Tim Larson

]]> @@ -220,7 +220,7 @@ https://jpazureid.github.io/blog/azure-active-directory/microsoft-security-service-edge-now-generally-available/ 2024-08-07T00:00:00.000Z - 2024-11-02T00:23:18.672Z + 2024-11-02T00:39:36.745Z こんにちは、Azure Identity サポート チームの 五十嵐 です。

本記事は、2024 年 7 月 11 日に米国の Microsoft Entra (Azure AD) Blog で公開された Microsoft Security Service Edge now generally available の抄訳です。ご不明点等ございましたらサポート チームまでお問い合わせください。

本日、弊社は ID およびネットワーク アクセス制御を統合し、クラウドまたはオンプレミスのアプリケーションやリソースにあらゆる場所から安全にアクセスできる Microsoft Entra Suite の一般提供を 発表 しました。Microsoft Entra Suite により、最小特権のアクセスを一貫して適用しつつ、従業員のユーザー体験を向上させながら、ガバナンス要件を達成可能となります。

現在、企業にはセキュリティに注力する十分な理由があります。生成 AI の大規模言語モデルが、スケーラビリティの向上、効率化、コスト削減といったあらゆるメリットを我々に提供する一方で、こうした利点は、悪意のある攻撃者が高度な技術を悪用してマルウェアを作成したり、ネットワークの脆弱性を狙ったり、フィッシング攻撃を発生させたりして、組織のデータと評判をより高いリスクにさらすことも可能にしています。

ID ソリューションとネットワーク アクセス ソリューションが連携せずに単独で運用されると、複雑性が増すと共にポリシーに一貫性がなくなり、個別のソリューション間で全体性を欠いた状態が生まれます。その結果、意図せずセキュリティ態勢がバラバラの状態となり、攻撃者に悪用されうる脆弱性が生じることで、ビジネスの継続性が阻害され、ユーザー体験が損なわれる可能性があります。

ID とネットワーク セキュリティを個別に管理するだけではすべてのアクセス シナリオを保護できるわけではないため、ユーザーやリソースがどこにあろうと、進化する脅威に対抗し、重要な資産を保護するための包括的な戦略を採用する必要性が浮き彫りになっているのです。

統合型セキュリティの提案: 戦略的取り組み

Microsoft Entra Suite の一般提供開始と併せ、Microsoft の Security Service Edge (SSE) ソリューションである、Microsoft Entra Private Access および Microsoft Entra Internet Access の一般提供の開始も 発表 しました。この 2 つの製品は、セキュリティに特化した SaaS の CASB (Microsoft Defender for Cloud apps) と組み合わせることで、Microsoft の Security Service Edge ソリューションを構成します。これは、クラウドで提供される ID 中心のネットワーク モデルであり、アクセス保護の仕組みを変革するものです。

Microsoft の SSE ソリューションは、オンプレミスかクラウドかを問わず、すべてのアプリケーションとリソースに条件付きアクセスと継続的アクセス評価を拡張し、セキュリティ保護における抜け穴をなくすよう実現します。

図 1: ID 中心のセキュリティ サービス エッジ (SSE) ソリューションにより、どこからでも、あらゆるアプリやリソースに安全にアクセスできます。

ここでは、Microsoft の SSE ソリューションが組織にもたらす主な利点について詳しく説明します。

ID とネットワーク アクセスが独立して動作することによるセキュリティの抜け穴の排除

Microsoft の SSE ソリューションでは、ID ソリューションとネットワーク アクセス ソリューションが連携して動作します。これら別々の要素を統合することで、新たな脅威に直面する中で、お客様のセキュリティ担当チームが組織のセキュリティ態勢を強化可能となるのです。アプリケーションごとにどのツールが有効かを決めたり、ID チームとネットワーク チームが作成したポリシーをどのように橋渡しするかを決めたりする必要はもうありません。このソリューションにより、あらゆるアプリケーション、リソース、アクセス先に対して、管理しやすく統一された ID 中心のアプローチでアクセスを保護することができます。複雑でバラバラなセキュリティ管理によってユーザーの生産性を犠牲にすることはありません。

グローバル規模でアクセスをよりシンプルにしエンドユーザー体験を向上

Microsoft の SSE ソリューションは、世界最大級のグローバル プライベート ネットワークの 1 つである Microsoft のグローバル ワイド エリア ネットワーク から提供されます。このネットワークは、61 の Azure リージョンにまたがる Microsoft の データセンター を、185 以上のグローバル ネットワーク接続拠点 と、世界中に戦略的に配置された膨大な数の SSE エッジ ロケーションで接続しています。これにより、ユーザーとデバイスがパブリック リソースおよびプライベート リソースにシームレスかつ安全に接続できるようになり、従業員に高速で一貫性のあるハイブリッドな業務体験が提供されることで、成果や生産性を高めることができます。

他の SSE やネットワーク ソリューションとの柔軟な並行展開オプションを提供

Microsoft Entra Private Access と Microsoft Entra Internet Access は、それ単体または他の SSE ソリューションと並行して導入できます。Global Secure Access クライアント は、ユーザーのエンドポイント デバイスでネットワーク トラフィックを制御し、特定の トラフィックの種類 を Microsoft の SSE ソリューションにルーティングする機能を提供します。WindowsAndroid オペレーティング システム用のクライアントは現在一般提供されており、iOS と Mac オペレーティング システム用はパブリック プレビュー版となっています。柔軟に設定が可能なため、お客様が構成した転送プロファイルに基づいて、Global Secure Access クライアントが Private Access、Internet Access および Microsoft のトラフィックを取得して処理可能です。

例えば、プライベート アクセス プロファイルを構成することで、どこでもサードパーティの従来の VPN を ID 中心の ZTNA (ゼロ トラスト ネットワーク アクセス) ソリューションに置き換え可能です。また、Microsoft プロファイルを構成して、Microsoft アプリケーションのパフォーマンスを向上させながら、プライベート トラフィックとインターネット トラフィックをお好みの SSE ソリューションで保護することもできます。

Microsoft Entra Private Access の詳細

Microsoft Entra Private Access は、ID を中心とした ZTNA ソリューションで、ユーザがどこにいようがすべてのプライベート アプリとリソースに安全にアクセスできるようにします。Private Access では、従来の VPN を ZTNA に置き換えることで、プライベート リソースへの完全なネットワーク アクセスを提供することなく、ユーザーをあらゆるプライベート リソースやアプリケーションに安全に接続することができます。このソリューションは、アプリごとにきめ細かく構成が可能であり、さらに柔軟に最小特権のアクセス ポリシーを適用しながら、サイバー空間上の脅威から組織を保護しつつ、攻撃者の横展開を防ぐゼロ トラストの原則を採用しています。Microsoft のグローバル プライベート ネットワークを使用することで、セキュリティと生産性のバランスが取れた、高速でシームレスなアクセス体験をユーザーに提供できます。

図 2: ID を中心としたゼロ トラスト ネットワーク アクセス (ZTNA) により、どこにいるユーザーでも、すべてのプライベート アプリとリソースに安全にアクセスできます。

ここでは、Microsoft Entra Private Access の主な使用例について詳しく説明します。

従来の VPN を ID 中心の ZTNA ソリューションに置き換える

Microsoft Entra Private Access を使用すると、従来の VPN を簡単に廃止し、ID 中心の ZTNA ソリューションにアップグレードが可能です。これにより、攻撃対象領域を減らしつつ、攻撃者の横展開を防ぎ、IT チームにとって不必要な運用の複雑さを取り除くことができます。従来の VPN とは異なり、Microsoft Entra Private Access は、リモートかローカルかを問わず、すべてのハイブリッド ユーザーにネットワークへの最小特権のアクセスを許可し、オンプレミスまたはクラウド上のレガシー アプリ、カスタム アプリ、最新のアプリ、またはプライベート アプリへのアクセスを保護します。

すべてのプライベート リソースに条件付きアクセスを強制

セキュリティ態勢を強化し、攻撃対象領域を最小限に抑えるには、プライベート アプリケーションやリソースに変更を加えることなく、多要素認証 (MFA) などの堅牢な 条件付きアクセス 制御を実装することが極めて重要です。また、最新の認証に対応していない可能性のあるレガシー アプリケーションや独自のアプリケーションを含め、すべてのプライベート リソースとアプリケーションでシームレスに シングル サインオン (SSO) を有効にすることもできます。

グローバル規模で迅速かつ容易なアクセスを実現

オンプレミス、プライベート データセンター、クラウドを問わず、Microsoft の広大なエッジ ネットワークを活用することでプライベート アプリケーションやリソースへの高速かつ容易なアクセスが提供され、従業員の生産性が向上します。ユーザーは、最も近い世界規模の POP (Points-of-Presence) を介した最適化されたトラフィック ルーティングの恩恵を受けますので、高速なハイブリッドワーク体験を遅延なく受けられます。

Microsoft Entra Internet Access の詳細

Microsoft Entra Internet Access は、SaaS アプリケーションとインターネット トラフィックを対象とした ID 中心の Secure Web Gateway (SWG) です。これは、企業のすべてのアクセス制御を一箇所に集約できる、業界初の真に ID 中心の SWG ソリューションです。これにより、複数のセキュリティ ソリューションを使用することで生じるセキュリティの抜け穴をなくすと同時に、悪意のあるインターネット トラフィックや安全でないコンテンツ、コンプライアンス違反のコンテンツ、およびオープン インターネットからのその他の脅威から企業を保護します。Microsoft Entra Private Access やその他の Microsoft Entra ID の機能と組み合わせることで、すべてのインターネット リソースと SaaS アプリのアクセス ポリシーを統一して適用することが可能です。

図 3: ID 中心の Secure Web Gateway (SWG) により、すべてのインターネットおよび SaaS アプリとリソースへの安全なアクセスを実現

インターネット上の脅威から組織を保護

Microsoft Entra Internet Access は、企業のユーザーが望ましくないオンライン コンテンツにアクセスしないように制限する、堅牢な Web コンテンツ フィルタリング オプションを提供しています。Web カテゴリ フィルタリング を使用すると、法的責任、高帯域、生産性の損失、一般的なブラウジング、およびセキュリティの脅威 (マルウェア、危険な Web サイト、スパム サイトなど) のサイトを含む、事前に用意された Web カテゴリ に基づいて、インターネットの膨大な接続先を簡単に許可またはブロックすることができます。より詳細な制御を行うには、完全修飾ドメイン名 (FQDN) のフィルタリングを使用して、特定のエンドポイントを許可またはブロックするポリシーを作成したり、Web カテゴリ ポリシーを上書きしたりすることも可能です。

条件付きアクセスの豊富な機能をインターネット セキュリティに拡張

現代のビジネスでは、さまざまなシナリオに対応する汎用性の高いフィルタリング ポリシーが求められています。Microsoft Entra Internet Access は、ユーザーやデバイス、リスク、および場所の情報を活用して、SWG ポリシーに条件付きアクセスの制御を適用し、関連するインターネット接続先へのアクセスを許可またはブロックする機能を提供します。Internet Access は、ネットワークと ID のアクセス制御を 1 つのポリシー エンジンに統合し、Microsoft Entra ID と連携していない外部接続先やクラウド サービスも含め、すべての外部接続先やクラウド サービスに 条件付きアクセス (および将来的には継続的アクセス評価) を適用できるようにします。さらに、Entra ID との密な統合により、トークンの窃取防止ソース IP の復元ユニバーサル テナント制限 によるデータ流出防止などの重要な機能も提供します。

グローバル規模で高速かつ一貫性のあるアクセスを提供

ユーザーとプライベート WAN の近くに POP を配置し、グローバルなネットワーク エッジ を通じて高速かつスムーズなアクセスを提供することで、ユーザーの生産性を高めることが可能です。インターネット プロバイダーと多数のピアリング契約を活用していますので、最高のパフォーマンスと信頼性を提供します。ホップ数を最小限に抑え、すべての Microsoft サービスのトラフィック ルーティングを最適化しています。サードパーティの SSE プロバイダーのソリューションと並列でアクセスの構成が可能ですので、それらと組み合わせて Microsoft アプリケーションの最適なトラフィック管理を実装いただけます。

まとめ

組織は、すべてのアプリケーションとリソースへのアクセスを保護するために、よりシンプルで柔軟なアプローチを必要としています。これらの機能により、重要な資産がどこにあろうとそれらを保護いただけます。Microsoft の SSE ソリューションである Microsoft Entra Internet および Private Access 製品は、本日より一般提供を開始します。このソリューションは、ID セキュリティ制御とアクセス ガバナンスをネットワークにまで拡張することで、悪質ある攻撃者が機密データにアクセスすることを困難にします。

これらの機能により、ユーザーが必要なリソースにのみアクセスできるという先進のセキュリティ環境が実現され、業務も効率化されると期待されます。条件付きアクセスにより、きめ細かな ID ポリシーとネットワーク アクセス ポリシーが統合され、重大なセキュリティの抜け穴が解消され、運用の複雑さも軽減されます。Microsoft が提供するグローバルなプライベート広域ネットワークは、シームレスで効率的なハイブリッドワーク体験を保証します。また、Microsoft の広範なセキュリティ ポートフォリオ、およびパートナー エコシステムとの統合により、セキュリティ環境全体でゼロ トラストの原則の導入がサポートされ、全体的な保護が強化されます。

2024 年 7 月 31 日に開催予定の Zero Trust spotlight にぜひご登録ください。この会では、Microsoft の専門家によりこれらの発表についてより深く解説がなされる予定です。また製品の詳細ブログや、2024 年 8 月 14 日に開催予定の Tech Accelerator での製品の詳細セッション にもご期待ください。これらのイベントでは、Microsoft の SSE ソリューションとその 2 つのコア製品である Microsoft Entra Private Access と Microsoft Entra Internet Access が、どのようにして組織のデジタル資産全体を保護していくかというそのアプローチをお見せできると存じます。

Microsoft の営業担当者に連絡して試用版をお試しいただき、Microsoft Entra Private Access と Microsoft Entra Internet Access にぜひ触れていただきたく思います。このソリューションをより良いものにするために、皆様のご意見をお聞かせください。

Sinead O’Donovan
Vice President of Product Management, Identity and Network Access at Microsoft

]]> @@ -245,7 +245,7 @@ https://jpazureid.github.io/blog/azure-active-directory/user-insights-analyze-customer-identity-data/ 2024-08-05T00:00:00.000Z - 2024-11-02T00:23:18.896Z + 2024-11-02T00:39:36.969Z こんにちは、Azure Identity サポートチームの 張替 です。
本記事は、2024 年 6 月 25 日に米国の Azure Active Directory Identity Blog で公開された User insights: Analyze customer identity data を意訳したものになります。ご不明点等ございましたらサポート チームまでお問い合わせください。

本日、Microsoft Entra External ID における [使用状況と分析情報] の 一般提供 を発表できることを嬉しく思います。

2023 年 10 月にパブリック プレビューが開始された [使用状況と分析情報] は、管理者や開発者が顧客の行動、好み、課題について、より深い洞察を得ることができる強力なツールです。このツールは、月間アクティブユーザー数 (MAU) や日次のアクティブ ユーザー数 (DAU)、新規追加ユーザー数、リクエスト数、認証数、多要素認証 (MFA) の種類別利用状況、MFA の成功率対失敗率などの主要な指標を提供します。また、時間の範囲、オペレーティング システム、国、およびアプリケーション ID によってデータをフィルタリングおよびセグメント化することもできます。[使用状況と分析情報] では、以下のことが可能です:

[使用状況と分析情報] にアクセスするには、Microsoft Entra External ID の外部テナントが必要です。テナントの準備ができたら、Microsoft 管理センター でダッシュボードにアクセスするか、Microsoft Graph API を介して生のデータにアクセスできます。本日発表する機能は、プレビュー版のお客様からの直接のフィードバックに基づいており、大きな価値を提供するものです。無料トライアルはこちら (here) からお申し込みください。

Excel へデータをエクスポートしてオフラインで分析する

Microsoft Excel へのエクスポート機能を利用することで、ダッシュボードから生データに容易にアクセス可能となります。データをカンマ区切り値 (CSV) 形式でエクスポートできますので、Excel やその他の CSV エディターでデータをシームレスにインポートおよび操作できるようになりました。これにより、お客様はデータをオフラインで使用し、独自の分析や操作を行うことができます。

図 1: 認証データの Microsoft Excel へのエクスポート

さまざまなユーザー セグメントに対応するよう ID 管理ソリューションを最適化

言語および ID プロバイダー別にデータをフィルタリングして、ユーザーの嗜好や行動に関する詳細な洞察を得ることもできます。例えば、ユーザーの間でどの言語が最も人気で、アプリケーションや地域によってどのように異なるかを確認できます。また、どの ID プロバイダーが認証に最も使用されているか、それらがユーザー体験やサービスの継続利用にどのような影響を与えるかも確認できます。これらのフィルターは、さまざまなユーザー セグメントに合わせて ID 管理ソリューションを調整し、最適化するのに有効です。

図 2: ID プロバイダーまたは言語ごとの認証データの分析

MFA の失敗に関する分析情報からユーザー体験とセキュリティを向上

MFA 失敗のグラフを用いて、MFA が原因で失敗したサインイン試行の数と、失敗した理由を確認できます。3 つのカテゴリ別に内訳を確認できます:

この内訳を用いることで、MFA 失敗の一般的な原因を理解し、リソースを絞り込んで、アプリケーションのユーザー体験とセキュリティを向上させることができます。

図 3: 毎月の MFA 失敗の分析情報

ユーザーの維持、エンゲージメント、満足度に関する潜在的な問題の特定

非アクティブ ユーザーとは、一定期間サインインしていないユーザーのことです。アプリケーションの日次および月次の非アクティブ ユーザー数、および経時的な傾向を確認できます。この指標は、ユーザー エンゲージメントを監視し、ユーザー体験を改善できるエリアを特定したり、ユーザーの再エンゲージメントのために何らかのインセンティブを提供したりするのに有効です。

図 4: アクティブ ユーザー、非アクティブ ユーザー、新規ユーザーの時系列推移

ぜひ今日からこの機能を活用ください

[使用状況と分析情報] のデータを確認するには、Microsoft Entra External ID 外部テナント と、実際の顧客のサインインまたはサインアップ データを持つアプリケーションが必要です。クイック スタート ガイド を使用して、試用版テナントを作成し、Microsoft 管理センター で [使用状況と分析情報] にアクセスするか、Microsoft Graph API を介して生データにアクセスください。この新機能へのアクセス方法や、ユーザーアクティビティの表示、クエリ、分析方法については、ドキュメント をご覧ください。

Microsoft Entra ポートフォリオの他の機能の詳細やテストについては、開発者センター をご覧ください。また、Identity ブログ の E メール通知に登録すれば、Identity の最新情報を入手可能です。加えて、YouTube をフォローして、概要、チュートリアル、ディープ ダイブのビデオもご覧ください。

]]> @@ -269,7 +269,7 @@ https://jpazureid.github.io/blog/azure-active-directory/introducing-entra-powershell/ 2024-07-31T01:00:00.000Z - 2024-11-02T00:23:18.532Z + 2024-11-02T00:39:36.605Z こんにちは! Azure ID チームの小出です。

今回は、2024 年 6 月 27 日に米国の Microsoft Entra (Azure AD) Blog で公開された Introducing the Microsoft Entra PowerShell module を分かりやすく日本語におまとめしなおしたものになります。ご不明点などございましたらお気軽にサポートへお問い合わせをいただけますと幸いです。

はじめに

Microsoft Entra PowerShell モジュールのパブリック プレビューが開始されました。このモジュールは、Microsoft Entra 製品の合理的な管理と自動化のために設計された、高品質でシナリオに特化した新しい PowerShell モジュールです。

2021 年、今後の PowerShell への投資はすべて Microsoft Graph PowerShell SDK で行うと発表しました。これにより、MSOL や AzureAD モジュールといった以前の古いモジュールは非推奨となり、以前日本語のブログでもシリーズとしてご案内いたしました MSOnline / AzureAD PowerShell から Graph PowerShell SDK への移行について 1_概要 でも、 Microsoft Graph PowerShell SDK への移行について案内いたしました。

今回パブリック プレビューが開始された新しい Microsoft Entra PowerShell は、Microsoft Entra を利用したお客様のエクスペリエンスを向上させ、自動化を強化するモジュールとなっています。

Microsoft Entra PowerShell とは?

Microsoft Entra PowerShell モジュールは、管理者が Microsoft Entra をプログラムで管理し、自動化するためのコマンド ライン ツールです。ユーザー、グループ、アプリケーション、サービス プリンシパル、ポリシーなど Entra ID に関するリソースを効率的に管理するコマンドが含まれています。このモジュールは、Microsoft Graph PowerShell SDK をベースにしており、Microsoft Graph PowerShell SDK のすべてのコマンドレットと完全に相互運用が可能です。シンプルで、ドキュメントもよくまとめられていますので、これらのコマンドで複雑な操作を実行できます。具体的なコマンドの使用例などを下記にてご紹介しておりますので併せてご確認ください。

サポートされる PowerShell のバージョン

Microsoft Entra PowerShell は、PowerShell バージョン 5.1 とバージョン 7 以降をサポートしています。Microsoft Entra PowerShell モジュールでは、Windows、Linux、macOS を含むすべてのプラットフォームで PowerShell バージョン 7 以上を使用することをお勧めします。

Microsoft Entra PowerShell の利点

Microsoft Entra PowerShell には、下記 4 つの利点があります。

1. ユーザビリティと品質の重視

Microsoft Entra PowerShell は、人間からも読みやすいパラメーター、わかりやすくまとめられたパラメーターのグループ、インライン ドキュメント、パイプラインなど PowerShell の基本となる機能を提供します。

2. AzureAD モジュールとの下位互換性

Microsoft Entra PowerShell は、以前利用されていた AzureAD モジュールと下位互換性があります。このため、最近発表された AzureAD モジュールの非推奨(Important update: Deprecation of Azure AD PowerShell and MSOnline PowerShell modules)に伴う移行作業も効率よく行えます。

3. 柔軟できめ細かな権限付与

Microsoft Graph PowerShell SDK と同様に、Microsoft Entra PowerShell では、アプリケーションに付与したい権限に対して「管理者の同意」を利用します。また、アプリケーションの権限割り当てを可能な限り細かく制御できるよう、独自のアプリケーション ID の指定もサポートしています。認証においては、証明書、サービス プリンシパル、マネージド ID も利用可能です。

4. オープン ソース

Microsoft Entra PowerShell モジュールはオープン ソースです。コミュニティからの貢献によって優れた PowerShell エクスペリエンスを作成し、皆と共有することができます。オープンソースは、コラボレーションを促進し、革新的なビジネス ソリューションの開発を促進します。Microsoft のカスタマイズをもとに、ニーズに合わせて変更することができます。

インストール

以下のコマンドを実行して、PowerShell ギャラリーから Microsoft Entra PowerShell をインストールします。Graph API や Microsoft Graph PowerShell SDK と同様に、v1.0 と beta があるので、どちらのモジュールをインストールするか決定のうえ、下記いずれかのコマンドを実行ください。

# V1.0 をインストールしたい場合:
Install-Module Microsoft.Graph.Entra -AllowPrerelease -Repository PSGallery -Force
# Beta をインストールしたい場合:
Install-Module Microsoft.Graph.Entra.Beta -AllowPrerelease -Repository PSGallery -Force

認証(サインイン)

Connect-Entra コマンドを使用して、委任されたアクセス (対話型) またはアプリケーションのみのアクセス (非対話型) で Microsoft Entra ID にサインインします。

Connect-Entra -TenantId 'your-tenant-id' -Scopes 'User.Read.All'

独自の登録アプリケーション、サービス プリンシパル、マネージド ID、およびその他の認証方法を使用する詳細な例については、Connect-Entra コマンドのドキュメント 内の例文を参照ください。

利用可能なコマンドの検索

コマンドを使用すると、Microsoft Entra PowerShell モジュールで使用可能なすべてのコマンドを一覧表示できます。

Get-Command -Module Microsoft.Graph.Entra

ヘルプの取得

Get-Help コマンドは、構文、パラメータ、コマンドレットの説明、使用例など、特定のコマンドに関する詳細情報を表示します。たとえば、Get-EntraUser コマンドの詳細を知るには、次のコマンドを実行します:

Get-Help Get-EntraUser -Full

基本的なコマンド

下記のように、基本的なコマンドの表記の違いとして、 Microsoft Graph PowerShell SDK には Mg がつきますが、 Microsoft Entra Powershell には Entra の文字がつく特徴があります。

Microsoft Graph PowerShell SDKMicrosoft Entra PowerShell
Get-MgUserGet-EntraUser
Get-MgGroupGet-EntraGroup
Get-MgGroupMemberGet-EntraGroupMember

AzureAD PowerShell モジュールからの移行

Enable-EntraAzureADAlias コマンドを使用すると、Microsoft Entra PowerShell を使用して、既存の AzureAD PowerShell スクリプトを最小限の変更で実行できます。たとえば、次の例では、Get-AzureADUser コマンドを利用したスクリプトを実行しています。以前は Get-AzureADUser に対応する Microsoft Graph PowerShell SDK (この場合 Get-MgUser) コマンドを探し、そのコマンドに合うようにコマンドのパラメーターなどを変更するなどスクリプトに大きな改変が必要でした。今回のモジュールでは、Enable-EntraAzureADAlias を先に実行することで、以前のコマンドをそのままに、新しいモジュールで実行できるようになっています。

Import-Module -Name Microsoft.Graph.Entra
Connect-Entra #Replaces Connect-AzureAD for auth
Enable-EntraAzureADAlias #enable aliasing 
Get-AzureADUser -Top 1

よくある質問 (FAQ)

Q. Microsoft Graph PowerShell SDK と Microsoft Entra PowerShell モジュールの違いは何ですか?

A. Microsoft Entra PowerShell は、Microsoft Graph PowerShell SDK への投資拡大の一環で作成された新しいモジュールです。Microsoft Graph PowerShell SDK と比較すると、上述のとおりパイプラインが利用できるようになったり、以前の AzureAD 関連のコマンド群からの移行が容易になったなど、より Entra ID のリソースを効率よく管理できるようになりました。

加えて、認可、接続管理、エラー処理、API カバレッジなど、Microsoft Graph PowerShell SDK の利点はすべて維持されているため、Microsoft Graph PowerShell SDK から必ず移行しなければならないわけではありません。Microsoft Entra PowerShell は Microsoft Graph PowerShell SDK をベースにしているため、どちらのモジュールを利用することもできます。

Q. Microsoft Entra PowerShell モジュールは Microsoft Graph PowerShell と互換性がありますか?

A. はい、互換性があり、どちらのモジュールも連携して動作します。すでに Microsoft Graph PowerShell モジュールを使用している場合は、必ずしも切り替える必要はありません。Entra リソースに Microsoft Entra PowerShell モジュール コマンドレットを使用するか、Microsoft Graph PowerShell SDK コマンドレットを使用するかは、お客様の好みでお選びいただけます。お客様の利用されたいコマンドに応じてモジュールを選択ください。

Q. 非推奨の AzureAD または MSOnline モジュールから移行する必要があります。Microsoft Entra PowerShell を待つべきですか?

A. いいえ、Microsoft Entra PowerShell を待たず、できるだけ早く移行を開始ください。レガシーの AzureAD および MSOnline PowerShell モジュールは非推奨であり、3 月 30 日以降に引退 (動作停止) する予定です。Microsoft Entra PowerShell の目標の 1 つは、Enable-EntraAzureADAlias を設定することで、Azure AD PowerShell からの移行をより迅速に行うことです。Microsoft Entra PowerShell は、AzureAD PowerShell を使用していたスクリプトの簡易移行をサポートしており、98% 以上の互換性があります。

まだ以前の AzureAD モジュールを利用しているお客様においては、Microsoft Entra PowerShell モジュールを利用する方が移行が容易になりますので、 Microsfot Entra PowerShell をご利用いただくことも検討いただけます。ただし、Microsoft Entra PowerShell はまだプレビュー段階のため、予告なくコマンドの動作が変更される場合がある点、本番環境での利用は推奨されない点などはあらかじめご理解ください。本モジュールをプレビューで利用されることに懸念がある場合や本番および運用環境での利用については、 Microsoft Entra PowerShell の更新を待つのではなく、すでに一般公開されている Microsoft Graph PowerShell SDK への移行を今すぐ実施することをお勧めいたします。どちらのモジュールも、最新の Microsoft Graph API を使用しているため、Microsoft Entra PowerShell の一般公開を待つ必要はありません。

まとめると下記の通りになります。

検証環境やテスト環境の場合: 現在プレビューが開始された Microsoft Entra PowerShell に移行できます。

運用環境の場合: スクリプトを Microsoft Graph PowerShell SDK に移行するか、一般提供開始後に Microsoft Entra PowerShell モジュールに移行することをお勧めします。ただし、一般公開日時は現状未定であるため、早めに Microsoft Graph PowerShell SDK への移行を開始することをお勧めします (Microsoft Entra PowerShell は Microsoft Graph PowerShell SDK を強化するものであり、Microsoft Graph PowerShell SDK を置き換えるものではないため、Microsoft Graph PowerShell SDK のスクリプトに更新した後、再度 Microsoft Entra PowerShell に更新する必要はありません)。

Q. Microsoft Graph PowerShell スクリプトを Microsoft Entra PowerShell に更新する必要がありますか?

A. いいえ、必ずしも更新する必要はありません。Microsoft Entra PowerShell は Microsoft Graph PowerShell ソリューションの一部であり、2 つのモジュールは相互運用可能です。両方のモジュールを並行してインストールすることができます。お客様環境の要望および各コマンドの動作を確認のうえ、より利用しやすいモジュールのコマンドを利用ください。

Q. Microsoft Entra PowerShell は将来もっと多くのリソースをサポートするようになりますか?

A. はい。より多くのリソースとシナリオのサポートについて、今後時間をかけて拡大していきます。特権 ID 管理 (PIM)、エンタイトルメント管理、テナント構成設定、ユーザごとの多要素認証(MFA)などの新しいコマンドレットが今後追加されていく予定です。また、既存のコマンドレットについても、パラメーターの追加、詳細なヘルプ、直感的な名前の追加などの機能強化を行います。継続的な更新については GitHub リポジトリをチェックください。

Q. Microsoft Entra PowerShell は AzureAD や MSOnline モジュールのように、事前に許可されたアプリを使用しますか?

A. いいえ。Microsoft Entra PowerShell の権限は事前に許可されておらず、ユーザーは必要なアプリケーションの権限をリクエストする必要があります。このきめ細かさにより、アプリケーションは必要な権限のみを持つことができ、リソース管理のきめ細かな制御が可能になります。アプリケーションの権限の柔軟性ときめ細かさを最大化するには、Entra PowerShell で独自のアプリケーション ID を使用することをお勧めします。テナント内で PowerShell の用途ごとに異なるアプリケーションを作成することで、特定のシナリオで付与されるアプリケーション権限を厳密に制御できます。Microsoft Entra PowerShell で独自のアプリケーション ID を使用するには、Connect-Entra コマンドレットを使用します:

Connect-Entra -ClientId 'YOUR_APP_ID' -TenantId 'YOUR_TENANT_ID'

Q. Microsoft Entra PowerShell は初めてですが何から始めればいいですか?

A. まずは Microsoft Entra PowerShell モジュールのインストール方法、認証方法、特定のシナリオに使用するコマンドレットの確認方法、ハウツー ガイドなど、公開されているドキュメント を参照ください。インストールやサインインのコマンドは、上記でもご案内しているので、まずは PowerShell ギャラリーからインストールを実施ください。

Q. フィードバックはどのように提供したらいいですか?

A. フィードバックを提供するには、GitHub リポジトリの issues セクションにアクセスください。フィードバック、提案、遭遇した問題などを新しい課題として作成ください。

Q. このモジュールをより発展させていくにあたりユーザーはどのような貢献ができますか?

A. バグ レポートの提出、新機能の提案、シナリオやサンプルの改善など、コミュニティからの貢献を歓迎します。まずは GitHub リポジトリにアクセスし、コントリビューション ガイドラインをご確認の上、変更を加えたプル リクエストを作成ください。

参考情報

]]> @@ -294,7 +294,7 @@ https://jpazureid.github.io/blog/azure-active-directory/introducing-entra-id-governance/ 2024-07-31T00:00:00.000Z - 2024-11-02T00:23:18.532Z + 2024-11-02T00:39:36.605Z こんにちは! Azure ID チームの小出です。

今回は、2024 年 6 月 19 日に米国の Microsoft Entra (Azure AD) Blog で公開された Microsoft Entra ID Governance licensing clarifications - Microsoft Community Hub を分かりやすく日本語におまとめしなおしたものになります。ご不明点などございましたらお気軽にサポートへお問い合わせをいただけますと幸いです。

はじめに

ここ数週間で、Microsoft Entra External ID と Microsoft Entra ID マルチテナント コラボレーションの一般提供を発表しました。ライセンスに関して、より詳細な情報を知りたいというご要望をいただきましたので、これら 2 つのシナリオについて、さらに明確に説明したいと思います。

1 人 1 ライセンス

マルチテナント組織 (MTO) 機能の一般公開にあたり、マルチテナント組織 (MTO) が一般公開されました! の中で、Microsoft Entra ID P1 ライセンスは、マルチテナント組織の従業員 1 人につき 1 つだけ必要であると記載しましたが、この記載について詳細を案内します。

「マルチテナント組織」という用語には、2 つ以上のテナントを所有し運営する組織と、これらのテナント間のユーザーのコラボレーション体験を向上させる一連の機能という 2 つの意味があります。複数のテナントを所有し、運営している組織では、それらのテナント全体で従業員 1 人につき 1 つの Entra ID ライセンスが必要です。同じ考え方が Entra ID Governance にも当てはまります。組織は、これらのテナント全体でユーザーの ID を管理するために、1 人につき 1 ライセンスあれば十分です。

このシナリオを説明するために、ZT Tires と Tailspin Toys という二つの組織を所有する Contoso 社という組織を考えてみます。

Contoso という組織は、複数のテナントを管理していて、それぞれ Contoso テナント、 ZT Tires、Tailspin Toys というテナントを持っています。Contoso 社は、Entra ID Governance のライフサイクル ワークフローを使用して、Mallory というユーザーのアカウントをオンボードし、業務に必要なリソースへのアクセス権を付与します。Mallory のアカウントは、ZT Tires の ERP アプリへのエンタイトルメント管理を含むアクセス パッケージを使用して、Tailspin Toys の在庫管理アプリへのアクセスを要求します。このユーザーは、Contoso テナントで Entra ID Governance ライセンスを持っているため、Mallory の ID は ZT Tires テナントと Tailspin Toys テナントで追加の Microsoft Entra ID Governance ライセンスを購入することなくガバナンス機能を利用できます。

補足: まとめると、上記シナリオとなる場合、各テナントで必要なライセンスはそれぞれ下記になります。

組織ライセンスの必要性
Contosoライフサイクル ワークフローを利用する人数分の ID Governance ライセンスを用意する
ZT Tires追加のライセンスは不要
Tailspin Toys追加のライセンスは不要

同じ組織内で管理しているテナントのどこかに、人数分の Microsoft Entra Premium P1 / P2 / ID Governance ライセンスが用意されていれば、「1人 1 ライセンス」の法則にしたがい、他のテナントで人数分のライセンスを用意する必要はありません。ただし、テナントにライセンスが 1 つも紐づいていないと有料機能の設定が行えないため、ほかのテナント(上記例では ZT Tires と Tailspin Toys テナント)でも有料機能を利用する場合には、最低 1 つライセンスを購入し紐づける必要はあります。

Microsoft Entra External ID における Entra ID Governance

もう一つの発表は、Entra External ID についてです。この機能は、お客様とビジネス上のコラボレーション相手が安全にアプリケーションへのアクセスをおこなえるようにする Microsoft のソリューションです。11 月のブログ で、Entra External ID の B2B シナリオにおいて Microsoft Entra ID Governance ライセンスを利用してビジネス ゲストの ID を管理するためのライセンス モデルについて述べ、価格設定がアクティブに管理される ID 1 つにつき月額 $0.75 であることを紹介しました。ビジネス ゲストの ID を管理するための従量制 (使用量ベース) の価格設定は、従業員の ID を管理するための既存のライセンスベースの価格設定モデルとは異なるモデルであるため、詳細を共有したいと思います。

Entra External ID のビジネスゲスト ID は、その ID がアクティブに利用されている月であれば、その ID に対してガバナンスの操作が何回行われたとしても、0.75 ドルの請求が 1 回発生します。たとえば、次のようになります:

Contoso 社の従業員である Gerhart は、Woodgrove Bank という別の企業の Pradeep と協力して、Contoso の四半期財務諸表を作成しています。Contoso 社は、Woodgrove Bank などのビジネス パートナー向けに Entra External ID を導入しています。4 月に Pradeep は、Gerhart が四半期報告書類を保存している Contoso の Microsoft Teams にアクセスしますが、彼の Entra External ID には ID ガバナンスのアクションが実行されていないため、料金は発生しません。

5 月に、Pradeep が Contoso の会計システムへのエンタイトルメント管理を含むアクセス パッケージを受け取り、Pradeep の Contoso 社の在庫管理データベースへの既存のアクセス状況と、四半期報告文書を含むチームへのアクセス状況を Gerhart がレビューしたとします。Entra External ID の Pradeep の ID に ID ガバナンスの操作が実行されたため、Contoso は 0.75 ドルの課金を発生させます。その月に ID ガバナンスの操作が 3 回行われても、請求は 1 回のみ適用される(アクションごとの追加料金は発生しない)ことに注意ください。

補足: まとめると、上記シナリオとなる場合、ライセンスの課金は下記のようになります。

課金の有無
4 月課金されない
5 月0.75 ドル

4 月の段階では、Pradeep は Contoso 社のテナントにアクセスしていますが、ID Governance ライセンスが必要な機能にはアクセスしていないため課金されません。5 月に Pradeep がアクセス パッケージを受け取ったことで ID Governance ライセンスが必要な操作としてカウントされたため、Contoso 側では外部ユーザーが ID Governance の機能を利用したと判断し、0.75 ドルが課金されます。ただし、5 月の間にほかのアクセス パッケージを受け取るなど ID Governance の操作が複数があっても、重ねて 0.75 ドルが課金されるのではなく、月に 1 度のみカウントされます。月が変わり、6 月に再度アクセス パッケージを受け取るなどのアクションがあれば、そのユーザーの利用分として再度 0.75 ドルが課金されます。

Microsoft Entra ID Governance ライセンスの詳細については、ライセンスの基礎のページを参照ください。

Microsoft Entra ID ガバナンス ライセンスの基礎 - Microsoft Entra ID Governance | Microsoft Learn

]]> @@ -319,7 +319,7 @@ https://jpazureid.github.io/blog/azure-active-directory/azure-ad-graph-api-retirement/ 2024-07-29T00:00:00.000Z - 2024-11-02T00:23:18.152Z + 2024-11-02T00:39:36.233Z こんにちは、Azure Identity サポート チームの 中村 です。

本記事は、2024 年 7 月 1 日に米国の Microsoft Entra Blog で公開された June 2024 update on Azure AD Graph API retirement - Microsoft Community Hub を意訳したものになります。ご不明点等ございましたらサポート チームまでお問い合わせください。

1 年前、私たちは Azure AD Graph API サービスの非推奨化に関する 3 年間の通知期間が完了したという最新情報を共有しました。Azure AD Graph API サービスは、現在、リタイアメント サイクルに入っており、リタイアメント (停止) は段階的に行っていく予定です。このリタイアメント サイクルの最初の段階では、新しく作成されたアプリケーションは、Azure AD Graph APIへのリクエストに対してエラー(HTTP 403)を受け取るようになる予定です。この最初の段階の日付は 2024 年 6 月 30 日から 2024 年 8 月 31 日に変更されており、この最初の段階では 2024 年 8 月 31 日以降に作成されたアプリケーションのみが影響を受ける予定です。2025 年 1 月 31 日以降は、Azure AD Graph の延長アクセスを許可するように設定されていない限り、新規および既存のすべてのアプリケーションで、Azure AD Graph API へのリクエストがエラーになります。

お客様の環境で、まだ Azure AD Graph API を使用しているソフトウェアを開発または配布している場合は、中断を避けるために、Azure AD Graph API の廃止に向けて今すぐ対処する必要があります。以下に記載しておりますとおり、アプリケーションを Microsoft Graph に移行するか (強く推奨)、拡張機能用にアプリケーションを構成し、お客様が変更に備えられるようにする必要があります。Azure AD Graph API を使用するベンダーから提供されたアプリケーションを使用している場合は、ソフトウェア ベンダーと協力して、Microsoft Graph API に移行したバージョンに更新ください。

お客様環境では、Microsoft Graph への移行が完全に完了していないアプリケーションがあるかと思います。authenticationBehaviors プロパティ を通じて、2025 年 6 月 30 日までアプリケーションが Azure AD Graph API を使用できるようにするオプション設定を提供しています。Azure AD Graph は 2025 年 6 月 30 日以降に完全に廃止され、アプリケーションの設定にかかわらず、この時点で API へのリクエストは機能しなくなります。

テナント内で Azure AD Graph API を使用しているアプリケーションを探すにはどのようにすればよいですか?

Microsoft Entra の推奨設定機能 は、テナントが安全で健全な状態にあることを確認するための推奨事項を提供するのと同時に、Entra ID で利用可能な機能の価値を最大化するのに役立ちます。

お客様のテナントで Azure AD Graph API をアクティブに使用しているアプリケーションとサービス プリンシパルに関する情報を表示する 2 つの Entra 推奨事項が用意されています。これらの新しい推奨事項は、影響を受けるアプリケーションとサービス プリンシパルを特定し、Microsoft Graph に移行する取り組みを支援します。

図 1: Azure AD Graph 移行に関する Microsoft Entra 推奨事項

詳細は、Microsoft Graph API への移行に関する推奨事項 を参照ください。

Azure AD Graph アクセスの拡張機能のためのアプリケーションの構成

お客様環境で作成されたアプリケーションに、2025 年 6 月 30 日まで Azure AD Graph API にアクセスするための拡張機能を持たせるには、作成後にアプリケーションの構成を変更する必要があります。この構成の変更は authenticationBehaviors インターフェイスを介して行われます。blockAzureADGraphAccess フラグを false に設定することで、新しく作成されたアプリケーションは、廃止サイクルが進むまで Azure AD Graph API を引き続き使用することができます。

Note

この最初の段階では、2024 年 8 月 31 日以降に作成されたアプリケーションのみが影響を受けます。既存のアプリケーションは、authenticationBehaviors プロパティが構成されていない場合でも、Azure AD Graph API を引き続き使用できます。この変更がロールアウトされますと、テストのために blockAzureADGraphAccess を true に設定したり、既存のアプリケーションで Azure AD Graph API を使用しないようにしたりすることもできます。

Microsoft Graph REST API の例

シングル アプリケーションの authenticationBehaviors プロパティを読み取ります。

GET https://graph.microsoft.com/beta/applications/afe88638-df6f-4d2a-905e-40f2a2d451bf/authenticationBehaviors

authenticationBehaviors プロパティを設定して、新しいアプリケーションに拡張 Azure AD Graph アクセスを許可します。

PATCH https://graph.microsoft.com/beta/applications/afe88638-df6f-4d2a-905e-40f2a2d451bf/authenticationBehaviors  
Content-Type: application/json 
{ 
    "blockAzureADGraphAccess": false 
}

Microsoft Graph PowerShell の例

シングル アプリケーションの authenticationBehaviors プロパティを読み取ります。

Import-Module Microsoft.Graph.Beta.Applications 

Connect-MgGraph -Scopes "Application.Read.All" 
Get-MgBetaApplication -ApplicationId afe88638-df6f-4d2a-905e-40f2a2d451bf -Property "id,displayName,appId,authenticationBehaviors"

authenticationBehaviors プロパティを設定して、新しいアプリケーションに拡張 Azure AD Graph アクセスを許可します。

Import-Module Microsoft.Graph.Beta.Applications  

Connect-MgGraph -Scopes "Application.ReadWrite.All"

$params = @{  
    authenticationBehaviors = @{  
        blockAzureADGraphAccess = $false
    }  
}  

Update-MgBetaApplication -ApplicationId $applicationId -BodyParameter $params

2024 年 8 月 31 日以降 Azure AD Graph を使用するアプリケーションはどうなりますか?

Azure AD Graph API を使用し、この日付より前に作成された既存のアプリケーションは、廃止サイクルのこの段階では影響を受けません。

2024 年 8 月 31 日以降に作成されたアプリケーションでは、アプリケーションの authenticationBehaviors のプロパティで blockAzureADGraphAccess 属性が false に設定されていない限り、Azure AD Graph API に要求を行うときにエラーが発生します。

2025 年 1 月 31 日以降 Azure AD Graph を使用するアプリケーションはどうなりますか?

2025 年 1 月 31 日以降、アプリケーションの authenticationBehaviors プロパティで blockAzureADGraphAccess 属性が false に設定されていない限り、新規および既存のすべてのアプリケーションで、Azure AD Graph API へのリクエスト時にエラーが発生します。

2025 年 6 月 30 日以降 Azure AD Graph を使用するアプリケーションはどうなりますか?

2025 年 6 月 30 日以降、Azure AD Graph API はどのアプリケーションでも使用できなくなり、アプリケーションの authenticationBehaviors 構成に関係なく、Azure AD Graph API への要求はエラーを受け取ります。

Azure AD Graph の現在のサポート

Azure AD Graph API は廃止サイクルにあり、セキュリティ関連の修正プログラム以外の SLA やメンテナンスのコミットメントはありません。

Microsoft Graph について

Microsoft Graph は、現在利用が推奨される API です。Microsoft Graph は、Entra と Microsoft Teams や Microsoft Intune のような Microsoft 365 サービスにアクセスするための単一の統合エンドポイントを提供します。すべての新機能は、Microsoft Graph を通じてのみ利用できます。また、Microsoft Graph は Azure AD Graph よりも安全性と柔軟性があります。

Microsoft Graph は、Azure AD Graph で利用可能であったすべての機能と、ID の保護や認証方法などの新しい API を備えています。クライアント ライブラリは、再試行処理、セキュア リダイレクト、透過的認証、ペイロード圧縮などの機能を既定でサポートしています。

Azure AD と Microsoft Online PowerShell モジュールはどうなりますか?

2024 年 3 月 30 日をもって、AzureAD、AzureAD Preview、Microsoft Online (MSOL) の PowerShell モジュールは非推奨となっており、セキュリティ修正のみのサポートとなっております。これらのモジュールは、2025 年 3 月 30 日以降に廃止され、動作しなくなります。これらを Microsoft Graph PowerShell に移行する必要があります。詳細については、こちらの更新情報をご確認ください。

利用可能なツール

]]> @@ -344,7 +344,7 @@ https://jpazureid.github.io/blog/azure-active-directory/microsoft-entra-suite-now-generally-available/ 2024-07-25T00:00:00.000Z - 2024-11-02T00:23:18.664Z + 2024-11-02T00:39:36.737Z こんにちは、Azure Identity サポート チームの 夏木 です。

本記事は、2024 年 7 月 11 日に米国の Microsoft Entra (Azure AD) Blog で公開された Microsoft Entra Suite now generally available の抄訳です。ご不明点等ございましたらサポート チームまでお問い合わせください。

本日、弊社は Microsoft Entra Suite の一般提供開始を 発表 しました。これは、業界で最も包括的な従業員向けの安全なアクセス ソリューションです。Microsoft Entra Suite は、最も包括的なゼロ トラスト ユーザー アクセス ソリューションを提供し、ID、エンドポイント、プライベートおよびパブリック ネットワークにまたがるアクセス ポリシー エンジンの統合を可能にします。

Microsoft Entra Suite とは?

Microsoft Entra Suite は、従業員が安全にアクセスするための完全なクラウドベースのソリューションを提供します。これは、ID とネットワーク アクセスを統合し、あらゆる場所からクラウドまたはオンプレミスのアプリケーションやリソースへの従業員のアクセスを保護し、一貫して最小特権アクセスを適用し、従業員体験を向上させるというものです。

この新しい製品は、AI 時代における ユニバーサル トラスト ファブリック として機能し、信頼できる ID をどこからでもあらゆるものと安全に接続できる Microsoft Entra 製品のビジョンを実現するものです。最近のブログ投稿では、このようなトラスト ファブリックを組織に作成するための 4 つの段階 についても紹介しました。これは、ゼロ トラストの基本的な適用から始まり、従業員のアクセス保護、顧客やパートナーのアクセス保護、そしてあらゆるクラウドのアクセス保護にまで拡張していくというものです。Microsoft Entra Suite は、そのうちの第 2 段階である従業員の安全なアクセスのための完全なツールセットを提供します。

Microsoft Entra Suite に含まれる製品は以下のとおりです:

Microsoft Entra Suite に含まれる製品

Microsoft Entra Suite で次のことが可能になります:

以下の Microsoft Entra Suite の紹介ビデオをご覧ください:

How to secure access for your workforce with Microsoft Entra Suite

ID とネットワークの条件付きアクセス ポリシーを統一

1 つのポータルでまとめてポリシーを管理するだけで、ID とネットワークの両方のアクセス制御を構成できます。条件付きアクセスは、アクセス要求がどこから来るかに関係なくあらゆるアクセス要求を評価し、リアルタイムのリスク評価を行い、不正アクセスに対する保護を強化します。

すべてのリソースおよびアプリにアクセスするすべてのユーザーに対して最小特権アクセスを確保

新入社員が組織に加わる日から、すべての役割の変更を経て、退職する時までのアクセス ライフサイクルを自動化できます。従業員がどれほど長く、多面的なキャリアを歩んでいても、Microsoft Entra ID ガバナンスは従業員が必要とするアプリケーションやリソースに適切にアクセスできるようにし、侵害が発生した場合にも攻撃者が組織内で横断的に活動できないようにします。

オフィス内およびリモートワーカー両方のユーザー体験を向上

従業員がより迅速で簡単なオンボーディング体験、パスワードレス認証による迅速で安全なサインイン、すべてのアプリケーションのシングル サインオン、優れたパフォーマンスを享受できるようにします。セルフサービス ポータルを使用すると、従業員は関連するパッケージへのアクセス要求、承認とアクセスレビューの管理、要求と承認の履歴を表示できます。Microsoft Entra Verified ID の Face Check は、従業員 ID のリアルタイム検証を可能にし、リモート オンボーディングとパスワードレス アカウントのセルフサービス リカバリを効率化します。

複数のベンダーによりセキュリティ ツールを管理する複雑さとコストを削減

従来のオンプレミスのセキュリティ ソリューションは、最新のクラウドファーストや AI ファーストの環境のニーズに対応できないため、企業はクラウドから資産を保護および管理する方法を模索しています。Microsoft Entra Suite を使用することで、従来の仮想プライベート ネットワーク (VPN) やオンプレミスの Secure Web Gateway (SWG)、オンプレミスの ID ガバナンスなど、複数のオンプレミスのセキュリティ ツールを廃止できます。

Microsoft Entra Suite は、現在、ユーザーあたり月額 12 ドルで提供されています。利用には、Microsoft Entra P1 ライセンスが前提条件として必要です。詳細については、Microsoft Entra Suite の価格ページ を参照ください。

今後のイベントにご参加ください!

2024 年 7 月 31 日に開催される Zero Trust spotlight では、Microsoft の専門家が Microsoft Entra Suite の一部である Entra Internet Access および Entra Private Access の一般提供開始についても触れる予定です。今回の発表やその他の発表について深く掘り下げる予定となっています。さらに、2024 年 8 月 14 日に開催される Tech Accelerator に登録 し、Microsoft Entra Suite、Private Access および Internet Access の製品についての詳細をご確認ください。

詳しく知る

Microsoft Entra Suite の提供は、よりシームレスで堅牢な安全なアクセス体験を提供し続け、あらゆる場所で働く従業員の生産性を高めるという当社のコミットメントにおける重要なマイルストーンです。詳細は公式発表からご覧ください。

Microsoft Entra Suite のトライアルページ にアクセスして、ぜひ製品をお試しください。

Irina Nechaeva, General Manager, Identity and Network Access Product Marketing

]]> @@ -369,7 +369,7 @@ https://jpazureid.github.io/blog/azure-active-directory/whats-new-in-microsoft-entra%E2%80%93june2024/ 2024-07-25T00:00:00.000Z - 2024-11-02T00:23:18.928Z + 2024-11-02T00:39:37.001Z こんにちは、Azure Identity サポート チームの 夏木 です。

本記事は、2024 年 7 月 1 日に米国の Microsoft Entra (Azure AD) Blog で公開された What’s new in Microsoft Entra – June 2024 の抄訳です。ご不明点等ございましたらサポート チームまでお問い合わせください。

Microsoft Entra 管理センターの「新機能」を紹介しているページ では、Microsoft Entra の Identity およびネットワーク アクセス ポートフォリオ全体にわたるロードマップや変更アナウンスを一元的に表示しているため、最新のアップデートや実行可能なインサイトを通じてセキュリティ態勢を強化するための情報を得ることができます。

Microsoft Entra のブログでは、四半期ごとに新機能のリリース情報や変更アナウンスをお届けしています。本日の投稿では、2024 年 4 月から 6 月にかけてのアップデートを取り上げています。Microsoft Entra 製品ごとに整理されているので、それぞれの開発環境に関連する内容をすぐに確認できます。

新しいリリース

変更点のアナウンス

Entra ID のセキュリティ アップデートによるパッチが適用されていない古い Windows を実行しているクライアントへの影響

[対応が必要な場合があります]

Entra ID へのサインインにおいて、パッチの適用されていない古いバージョンの Windows を使用する場合、旧式の Key Derivation Function v1 (KDFv1) を利用することはサポートされなくなります。このアップデートが展開されると、非サポートおよびパッチが適用されていない Windows 10 および 11 クライアントは Entra ID にサインインできなくなります。世界的に見て、Entra ID にサインインする Windows クライアントの 99% 以上が、必要なセキュリティ パッチを適用しています。

必要なアクション:

2021 年 7 月以降のセキュリティ パッチが適用された Windows デバイスの場合、アクションは不要です。

2021 年 7 月以降のセキュリティ更新プログラムが適用されていない Windows デバイスの場合、最新のサポートされている Windows バージョンに更新してください。

現在サポートされているすべての Windows バージョンには必要なパッチが含まれています。Windows をセキュリティ更新プログラムで最新の状態に保つことをお勧めします。

背景: 2021 年 7 月に発行されたセキュリティ アップデート (CVE-2021-33781) では、クライアント内のプライマリ リフレッシュ トークンのセキュアな保存に関する脆弱性が修正されました。パッチ適用後、Windows クライアントはより強力な KDFv2 アルゴリズムを使用するようになりました。それ以降にリリースされたすべての Windows バージョンにはこのアップデートが含まれており、トークンを安全に処理します。

少数の Windows デバイスがまだ更新されておらず、古い v1 キー派生関数を使用しています。システムのセキュリティを向上させるため、KDFv1 アルゴリズムを使用しているパッチ未適用のデバイスは、プライマリ リフレッシュ トークンを使用して Entra ID にサインインできなくなります。

この変更が展開された場合、サポートされていない Windows デバイスのユーザー エクスペリエンスはどうなりますか?

2021 年 7 月以降のパッチが適用されていない Windows デバイスのユーザーは、Entra ID ユーザー アカウントでサインインに失敗する可能性があります。サインイン ログに表示されるエラー コードは「AADSTS5000611: Symmetric Key Derivation Function version ‘KDFV1’ is invalid. Update the device for the latest updates.」です。上記状況に該当する場合、このエラーから診断できます。

エンタープライズにおける Apple デバイスのセキュリティ強化 - 2026 年 6 月開始

[対応が必要な場合があります]

デバイス ID は、Entra ID の基本概念の 1 つであり、デバイスのコンプライアンス ポリシー、アプリの保護ポリシー、PRT ベースの SSO など、複数の Entra ID および MDM/MAM セキュリティ機能を可能にします。セキュリティを強化するために、Entra ID はデバイス ID キーを Apple の Secure Enclave ハードウェアにhることをサポートする作業を行いました。これにより、以前のキーチェーン ベースのメカニズムが置き換わります。

2026 年 6 月以降、新しい Entra ID 登録はすべて Secure Enclave にバインドされます。その結果、すべての顧客は Microsoft Enterprise SSO プラグインを採用する必要があり、一部のアプリは新しい Secure Enclave ベースのデバイス アイデンティティを採用するためにコード変更を行う必要があるかもしれません。

オプトインしてフィードバックを提供ください

Entra が新しいデバイス登録において既定で Secure Enclave を有効にする前に、learn.microsoft.com のドキュメントを使用して早期にテストを行うことをお勧めします。これにより、アプリや MDM ベンダーにコード変更を依頼する必要がある互換性の問題を特定できます。問題の報告、質問、懸念事項については、サポート チケットを開くか、Microsoft アカウント チームに連絡ください。

2024 年 9 月 23 日までに Microsoft Entra Connect の最新バージョンにアップグレードください

[対応が必要な場合があります]

2023 年 9 月以降、Microsoft Entra Connect Sync と Microsoft Entra Connect Health を最新ビルドに自動アップグレードしています。これには、予防的なセキュリティ関連のサービス変更が含まれます。自動アップグレードをオプトアウトしたか、自動アップグレードに失敗した顧客に対しては、2024 年 9 月 23 日までに最新バージョンにアップグレードすることを強くお勧めします。

この日までに最新バージョンにアップグレードすることで、サービス変更が有効になったときに以下の機能の中断を避けることができます:

サービス推奨バージョンサービス変更によって影響を受ける機能
Microsoft Entra Connect Sync2.3.2.0 以上自動アップグレードが機能しなくなります。同期は影響を受けません。
Microsoft Entra Connect Health agent for Sync4.5.2487.0 以上次の アラート のサブセットが影響を受けます:
- 認証失敗のため Microsoft Entra ID への接続に失敗
- 高い CPU 使用率が検出されました
- 高いメモリ消費が検出されました
- パスワード ハッシュ同期が停止しました
- Microsoft Entra ID へのエクスポートが停止しました。偶発的な削除の閾値に達しました
- 過去 120 分間でパスワード ハッシュ同期のハートビートがスキップされました
- 無効な暗号化キーのため Microsoft Entra Sync サービスを開始できません
- Microsoft Entra Sync サービスが実行されていません : Windows サービス アカウントのクレデンシャルの期限が切れました
Microsoft Entra Connect Health agent for ADDS4.5.2487.0 以上全てのアラートが影響を受けます
Microsoft Entra Connect Health agent for ADFS4.5.2487.0 以上全てのアラートが影響を受けます

注意: 2024 年 9 月 23 日までにアップグレードできない場合でも、その後、推奨バージョンに手動でアップグレードすることで、上記の機能を完全に回復させることができます。

アップグレードに関するガイダンスについては、当社の ドキュメント をご参照ください。

重要なアップデート: Azure AD Graph の廃止

[対応が必要な場合があります]

2023 年 6 月時点で、Azure AD Graph API サービスは段階的に廃止されるサイクルに入っており、段階的に停止(シャットダウン)されます。この廃止サイクルの最初の段階では、新しく作成されたアプリケーションが Azure AD Graph API (https://graph.windows.net) へのリクエストに対してエラー (HTTP 403) を受け取ります。最初の段階の日付を 2023 年 6 月 30 日から 2024 年 8 月 31 日 に変更しました。したがって、 2024 年 8 月 31 日以降に作成されたアプリケーションのみが影響を受けます。Azure AD Graph サービスの廃止サイクルの第 2 段階は 2025 年 1 月 31 日 以降に開始されます。この時点で、Azure AD Graph API を使用しているすべてのアプリケーションが AAD Graph サービスへのリクエストでエラーを受け取ります。Azure AD Graph は 2025 年 6 月 30 日 以降完全に廃止され(動作を停止し)ます。

一部のアプリケーションが Microsoft Graph への移行を完全に完了していないことは理解しています。そのため、アプリケーションが 2025 年 3 月 30 日まで Azure AD Graph API を使用し続けることができるオプション設定(authenticationBehaviors 設定を通じて)を提供しています。Azure AD Graph API を使用し続けているソフトウェアを開発または配布している場合は、停止を回避するためにすぐに対応する必要があります。アプリケーションを Microsoft Graph に移行する (強く推奨) か、拡張のための設定を行い、お客様が変更に備えていることを確認ください。

Azure AD Graph API を使用しているアプリケーションを特定するために、テナント内で Azure AD Graph API を積極的に使用しているアプリケーションとサービス プリンシパルに関する情報を提供する 2 つの Entra 推奨事項 を提供しています。

詳細については、以下の参考資料をご覧ください:

重要なアップデート: AzureAD および MSOnline PowerShell の廃止

[対応が必要な場合があります]

2024 年 3 月 30 日時点で、レガシー Azure AD PowerShell、Azure AD PowerShell Preview、および MS Online モジュールは 非推奨 となります。これらのモジュールは 2025 年 3 月 30 日まで 動作を続けます が、その後は廃止され、動作を停止します。Microsoft Graph PowerShell SDK がこれらのモジュールの代替となりますので、できるだけ早くスクリプトを Microsoft Graph PowerShell SDK に移行ください。

注意: 4 月の更新情報で示されたように、「レガシー認証」を使用する MS Online は 2024 年 6 月 30 日以降数週間で動作を停止します。レガシー認証は通常、バージョン 1.1.166.0 以前のバージョンに関連し、Microsoft Online サインイン アシスタント パッケージをインストールした MS Online PowerShell に関連します。バージョン 1.1.166.0 以前の MS Online またはレガシー認証を使用している場合は、直ちに Microsoft Graph PowerShell SDK へ移行するか、MS Online バージョンを最新バージョン(1.1.183.81)に更新ください。

テナント内で Azure AD PowerShell の使用を特定するために、Entra 推奨事項 である Migrate Service Principals from the retiring Azure AD Graph APIs to Microsoft Graph を使用できます。この推奨事項は、テナント内で Azure AD Graph API を使用しているベンダーアプリケーションを示し、AzureAD PowerShell も含まれます。

弊社は、Entra の管理のための PowerShell エクスペリエンスに多大な新規投資と将来の投資を行っています。Microsoft Entra PowerShell モジュールのパブリック プレビュー が最近開始されました。この新しいモジュールは Microsoft Graph PowerShell SDK の一部であり、すべてのコマンドレットと完全に互換性があります。これにより、簡単でよく文書化されたコマンドで複雑な操作を実行できます。このモジュールは、非推奨となる AzureAD モジュールからの移行を簡素化するための後方互換オプションも提供しています。また、一部のお客様が MSOnline からユーザーごとの MFA を管理するスクリプトへ完全に移行できていないことも認識しています。Microsoft Graph API では最近、ユーザーごとの MFA 設定を読み取りおよび構成することが 可能 になり、Microsoft Graph PowerShell SDK コマンドレットでの利用もまもなく可能となります。

プライベート プレビュー – QR コード サインイン、フロントライン ワーカー向けの新しい認証方法

[対応が必要な場合があります]

Microsoft Entra ID において、フロントライン ワーカー が QR コードと PIN で認証する新しい簡単な方法を導入します。これにより、シフト中に長い UPN や英数字のパスワードを何度も入力する必要がなくなります。

この機能のプライベート プレビュー リリースは 2024 年 8 月であり、すべてのユーザーが https://login.microsoftonline.com の「サインインオプション」 > 「組織にサインイン」ページに移動すると「QR コードでサインイン」という新しいリンクが表示されます。この「QR コードでサインイン」というリンクは、モバイル デバイス (Android/iOS/iPadOS) のみで表示されます。プライベート プレビューに参加していない場合、プライベート プレビュー中はテナントのユーザーはこの方法でサインインできず、サインインを試みるとエラーメッセージが表示されます。

この機能には「プレビュー」タグが付いており、一般提供されるまでその状態が続きます。お使いの組織はこの機能をテストするために有効化する必要があります。広範なテストはパブリック プレビューで利用可能となり、後日発表します。

プライベート プレビュー中は技術サポートは提供されません。プレビュー中のサポートについての詳細は、こちらをご覧ください:Microsoft Entra ID プレビュー プログラム情報 - Microsoft Entra | Microsoft Learn.

電話設定の変更: カスタム グリーティングと発信者 ID

[対応が必要な場合があります]

2024 年 9 月から、Entra の多要素認証ブレードにある電話設定 (カスタム挨拶メッセージと発信者 ID) が、認証方法ポリシーの音声認証方法の下に移動します。これらの設定にアクセスするには、Entra ID や Azure ポータルを通じてではなく、MS Graph API を通じて行う必要があります。組織でカスタム挨拶メッセージや発信者 ID を使用している場合、新しいエクスペリエンスがリリースされ次第、公開情報 を確認して MS Graph を通じてこれらの設定を管理する方法を確認ください。

ユーザーごとの MFA の MS Graph API サポート

[対応が必要な場合があります]

2024 年 6 月から、ユーザーの状態(強制、有効、無効)を MS Graph API を通じて管理する機能をリリースします。これにより、廃止予定の従来の MS Online PowerShell モジュールが置き換えられます。Microsoft Entra MFA でユーザーを保護するための推奨方法は、ライセンスを持つ組織には条件付きアクセス、ライセンスを持たない組織にはセキュリティ デフォルトを利用することです。新しいエクスペリエンスがリリースされ次第、公開情報 が更新されます。

Azure Multi-Factor Authentication Server

[対応が必要な場合があります]

2024 年 9 月 30 日 から、Azure Multi-Factor Authentication Server のデプロイメントは MFA リクエストに対応しなくなり、組織の認証が失敗する可能性があります。MFA Server の SLA は制限され、Azure ポータルでの MFA アクティビティレポートは利用できなくなります。認証サービスが中断されないようにし、サポートされる状態を維持するために、最新の Azure MFA Serverアップデート に含まれる最新の移行ツールを使用して、ユーザーの認証データをクラウドベースの Azure MFA サービスに移行する 必要があります。詳しくは Azure MFA Server Migration をご覧ください。

Entra Connect Sync のグループ書き戻し V2 (パブリックプレビュー) の廃止 – リマインダー

[対応が必要な場合があります]

Entra Connect Sync における Group Writeback V2 のパブリックプレビューは利用できなくなり、Connect Sync は Active Directory へのクラウド セキュリティ グループのプロビジョニングをサポートしなくなります。

これに代わる機能として、Entra Cloud Sync に「Group Provision to AD」という機能が提供されており、クラウド セキュリティ グループを AD にプロビジョニングするために使用できます。Cloud Sync の拡張機能とその他の新機能が開発されています。

このプレビュー機能を Connect Sync で使用している顧客は、設定を Connect Sync から Cloud Sync に切り替える 必要があります。すべてのハイブリッド同期を Cloud Sync に移行するか、Cloud Sync を並行して実行し、AD へのクラウド セキュリティ グループのプロビジョニングのみを Cloud Sync に移行するかを選択できます。Microsoft 365 グループを AD にプロビジョニングするお客様は、この機能に Group Writeback V1 を使用し続けることができます。

ユーザーごとの MFA 管理構成エクスペリエンスのビジュアルの改善

[対応不要]

サービスの継続的な改善の一環として、ユーザーごとの MFA 管理構成エクスペリエンスを Entra ID の外観に合わせて更新します。この変更にはコア機能の変更は含まれず、視覚的な改善のみが含まれます。2024 年 8 月から、Entra 管理センターおよび Azure ポータルの両方から新しいエクスペリエンスにリダイレクトされます。最初の 30 日間は旧エクスペリエンスに切り替えるためのバナーが表示され、その後は新しいエクスペリエンスのみが使用可能になります。新しいエクスペリエンスをリリース次第、公開情報 を更新します。

Microsoft Entra 条件付き条件付きアクセスにおける「ターゲットリソース」の更新

[対応不要]

2024 年 9 月から、Microsoft Entra 条件付きアクセスの「ターゲットリソース」割り当てが、「クラウド アプリ」と「Global Secure Access」オプションを統合し、「リソース」という新しい名前になります。

お客様は、「Global Secure Access を利用したすべてのインターネット リソース」、「すべてのリソース (旧「すべてのクラウドアプリ」)」、または特定のリソース(旧「特定のアプリ」)をターゲットにすることができます。条件付きアクセス API の一部の Global Secure Access 属性も廃止される予定です。

この変更は 2024 年 9 月に開始され、自動的に実行されます。管理者は特に対応する必要はありません。既存の条件付きアクセス ポリシーの動作には変更はありません。詳しくはこちらをご覧ください。

Entra IDデバイス コード フローの改善

[対応不要]

セキュリティへの継続的なコミットメントの一環として、Entra ID デバイス コード フローの改善を発表します。これらの改善は、より安全で効率的な認証エクスペリエンスを提供することを目的としています。

メッセージングを改善し、デバイス コード フロー内にアプリの詳細を含めることで、ユーザーがセキュリティ脅威をより効果的に認識し対応できるようにしました。特に、ヘッダーとお客様への確認事項の個所を調整し、ユーザーがセキュリティの脅威を認識し、対応するためのより安全で正確なユーザー体験を提供します。これらの変更は、ユーザーがより多くの情報に基づいた意思決定を行い、フィッシング攻撃を防止できるように設計されています。

これらの変更は 2024 年 7 月から段階的に導入され、2024 年 8 月 30 日までに完全に実装される予定です。対応は特に必要ありません。

Microsoft Entra IDガバナンス

新しいリリース

Microsoft Entra External ID

新しいリリース

Microsoft Entra Permissions Management

新しいリリース

Microsoft Entra Verified ID

新しいリリース

お気に入りに追加ください: Microsoft Entra の新着情報

最新情報 を参照して、Microsoft Entra の製品更新情報や知見をぜひご確認ください。この新しいサイトでは、Microsoft Entra 管理センターで Microsoft Entra の ID およびネットワーク アクセス製品全体のロードマップと変更通知を一元的に表示できます。

Microsoft Entraについてさらに詳しく知る

ID への攻撃の防止、最小特権アクセスの確保、アクセス制御の統一、およびオンプレミスおよびクラウド全体で包括的な ID およびネットワーク アクセス ソリューションを使用してユーザー体験を向上ください。

]]> @@ -394,7 +394,7 @@ https://jpazureid.github.io/blog/azure-active-directory/move-to-cloud-authentication-with-the-ad-fs-migration-tool!/ 2024-07-23T00:00:00.000Z - 2024-11-02T00:23:18.688Z + 2024-11-02T00:39:36.761Z こんにちは、Azure Identity サポート チームの 名取 です。

本記事は、2024 年 6 月 26 日に米国の Microsoft Entra Blog で公開された Move to cloud authentication with the AD FS migration tool! を意訳したものになります。ご不明点等ございましたらサポート チームまでお問い合わせください。

この度、Active Directory Federation Service (AD FS) をご利用のお客様のアプリケーションを、Microsoft Entra ID に移行するための 移行ツール が一般公開となりました!お客様は、Microsoft Entra ID に移行可能なアプリケーションを簡単に特定して、それらの AD FS アプリケーションの互換性を評価することができるようになりますので、より高い監視機能とセキュリティ基盤を備えた ID 管理システムに乗り換えが可能となります。

11 月に AD FS Application Migration のパブリック プレビューへの移行を発表し、パートナーやお客様からは高評価をいただきました。クラウドベースのセキュリティへの移行は大変な作業ですが、このツールにより Microsoft Entra ID への移行を非常に効率よく実施することが可能であることが証明されました。

作業の内容が簡素化され、手作業が減少し、(アプリケーションとエンドユーザーの) ダウンタイムが最小限に抑えられたことで、お客様のストレスが軽減されました。またこのツールは、お客様のアプリケーションと Entra ID の互換性をチェックするだけでなく、問題を検知した場合には解決方法も提案します。その後、移行の進捗を監視し、アプリケーションに対して行われた最新の変更内容も反映します。詳細な動作については デモ をご覧いただき、ツールの実際の動作をご確認ください。

AD FS から、より柔軟で即応性のあるクラウドネイティブ ソリューションに移行することで、これまでの古い ID 管理固有の制限を克服できます。

より強固なセキュリティに加え、一元化された管理センターによる可視性と管理性の向上、およびサーバー コストの削減も、最新の ID 管理に移行することで得られるメリットとして挙げられます。さらに、Entra ID の機能である多要素認証 (MFA) と条件付きアクセス ポリシーにより、お客様はより高いセキュリティとコンプライアンスを実現可能です。これらは、ゼロ トラスト の重要な基盤ともなります。

Entra ID のその他の機能は以下のとおりです:

Microsoft Entra についてもっと知りたい場合には、こちら をご覧ください。また、Microsoft Learn から、AD FS アプリケーション移行ガイド も併せてご覧いただけますと幸いです。

ご不明な点等ございましたら、こちら までお寄せください。

Melanie Maynes
Director of Product Marketing

]]> @@ -419,7 +419,7 @@ https://jpazureid.github.io/blog/azure-active-directory/how-to-break-the-token-theft-cyber-attack-chain/ 2024-07-20T00:00:00.000Z - 2024-11-02T00:23:18.428Z + 2024-11-02T00:39:36.505Z こんにちは、Azure Identity サポートチームの 高田 です。

本記事は、2024 年 6 月 20 日に米国の Microsoft Entra Blog で公開された How to break the token theft cyber-attack chain を意訳したものになります。ご不明点等ございましたらサポート チームまでお問い合わせください。

これまで攻撃者がどのようにしてパスワードを突破しようとするかについていくつも記事を書いてきました。ID を危険にさらす最も一般的な攻撃手法であるパスワード攻撃への対処策として効果的なのは、多要素認証 (MFA) を有効にすること です。

しかし、MFA を正しく実施しているお客様が増えるにつれて、攻撃者はパスワードだけでなく、さらに高度な攻撃に踏み込んできています。そのため、トークンの窃取を皮切りとして、より高度な攻撃方法について一連の記事を公開してまいります。この記事では、トークンの基本的な仕組みについての説明から、トークンの窃取攻撃の解説、トークンの窃取を防止および軽減するための対策について説明します。

トークン 入門

トークンの窃取について深く掘り下げる前に、トークンの仕組みを簡単に見直してみましょう。

トークンは、リソースへのアクセスを許可する認証アーティファクトと呼ばれるものです。トークンは、Microsoft Entra ID などの ID プロバイダー (IDP) に対し資格情報を使用してサインインすることで取得できます。IDP はサインインが成功すると、あなたが誰であり、何を許可されているかを記述したトークンを発行します。アプリケーションやサービスにアクセスしたい場合 (以降は単純に「アプリ」と呼びます)、信頼する発行者によって正しく署名されたトークンをリソースに提示することで、そのリソースと通信する許可が得られます。使用しているクライアント デバイス上のソフトウェアが、トークンの処理をすべて裏で行ってくれます。

図 1: 基本的なトークンの流れ

最初に取得するトークンは、セッション トークン と呼ばれ、これは IDP に正常にサインインしたこと、およびどのようにサインインしたかを示します。アプリにサインインする際、そのセッション トークンを アクセス トークン と交換できます。アクセス トークンは、再認証なしで一定時間特定のリソースにアクセスできるものです。例え話で説明すると、遊園地を考えてみましょう。IDP はチケットを発行する場所であり、さまざまなアトラクションで利用できる入場パスのようなものを発行します。ジェット コースターに乗りたい場合、チケットの発行所でシーズン パスを提示し、そのアトラクションに乗るチケットを受け取るようなものです。

遊園地では 1 日券、シーズンパス、または永年パスを購入できるように、各トークンにも通常 1 時間から 24 時間の有効期間があります。12 か月のシーズンパスを使って、特定のアトラクションの 1 日利用券が得られるのと同様に、セッション トークンはアクセス トークンよりも通常ははるかに長い有効期間を持つことが一般的です。さらに、アクセス トークンの寿命は状況により異なる場合があります。例えばジェット コースターのパスは 1 時間の有効期限である一方、観覧車のパスは 1 日間有効という場合もあります。

一般的に、有効期間が長い方がユーザーにとっては便利であり、潜在的な IDP の障害に対しても耐性があります (IDP との通信の往復をする必要がなくなりますし、それによる待ち時間も短縮されます) が、リスクが増します。一方で有効期間が短い場合はよりリスクが低い (IDP がリクエストの整合性をより頻繁にチェックできる) です。継続的アクセス評価 (CAE) などの技術を用いれば、トークンが継続的に評価されるため、CAE が利用できればトークンの有効期間が長くてもリスクはなくなります。トークンが期限切れになるか、継続的アクセス評価によりリスクが見つかった場合、クライアントは IDP に戻され、新規の認証が要求されます。このプロセスは通常ユーザーからは見えませんが、リスクの状況が変化した場合は、組織のポリシーに従って再認証し新しいトークンを取得する必要が生じる場合もあります。注意すべきなのは、ジェット コースターのチケットを取られてしまうと悲しいと思うのですが、シーズン パスを取られてしまう方がよっぽど大変だということです。ジェット コースターのチケットを取られても、攻撃者はジェット コースターに 1 回乗れるだけですが、シーズン パスを盗まれた場合、攻撃者は好きなだけアトラクションに乗ることができてしまいます。同じように、セッション トークンが盗まれると、攻撃者はアクセス トークンを持続的に得られるようになってしまうのです。

トークン窃取に至る流れ

攻撃者はトークンを盗むことであなたになりすまし、その盗まれたトークンが有効な限り、あなたのデータにアクセス可能になります。このためには、攻撃者はトークンが保存されている場所 (クライアント、プロキシ サーバー、または時にはアプリケーションやネットワーク ログ)にアクセスしてトークンを取得し、別の場所からそれを再利用します。

図 2: トークン窃取によるサイバー攻撃

ID における用語例えの用語
ID プロバイダーチケット売り場
セッション トークンシーズン パス
アクセス トークン乗り物用の個別の入場券

攻撃者があなたのセッション トークンを盗む際、これはあなたが遊園地の入場券売り場でシーズン パスを購入した後にスリにあうようなものです。トークンはデジタルなものなので、トークンの窃取はあなたのポケットからシーズン パスを盗み、それをコピーして元に戻すようなものと言えるでしょう。攻撃者は、あなたのセッション トークンのコピーを使用して無制限に新しいアクセス トークンを取得し、あなたのデータを盗み続けることができます。これは、有効な遊園地のパスのコピーを見せて、支払いなしで乗り物に乗り続けるのと同じです。

アクセス トークンを盗む攻撃者は、あなたが列に並んでいる間に、あなたがもつ乗車券を盗むのに似ています。攻撃者は同じコピーとすり替えのトリックを行い、コピーしたトークンを使用してリソースにアクセスします。まるで有効なチケットのコピーを提示して、支払いなしで個々のアトラクションに乗ることができるかのようにです。

どちらの場合も、攻撃者は元のフリーパスもしくはチケットをあなたのポケットにきちんと戻します。あなたは攻撃者があなたに成りすましてアトラクションに乗っていることにさえ気づかないでしょう。あなたのトークンは正常に見えますが、攻撃者はその不正なコピーを使用しているため、何かがおかしいと気付くには時間がかかるはずです。

ここでもう一つ例を示します。

Contoso 社は、すべてのドキュメントを安全なクラウド ストレージ サービスに保存し、従業員がアクセスする際には MFA を使用して ID を確認するようにしています。

ある日、とある従業員が Contoso 社のクラウド ストレージ サービスにサインインして仕事を始めた後、そのユーザーが誤って E メールで送られてきた悪意のある「フィッシング」のリンクをクリックしてしまい、デバイスにマルウェアがインストールされました。悪意のあるコードがユーザーのセッション トークンをコピーし、攻撃者に送信しました。

その後、攻撃者は盗んできたセッション トークン (MFA 済み) を自身のマシンにコピーして悪用することで、Contoso 社の環境に不正にアクセスしました。

そして、攻撃者はアクセス可能なドキュメントを片っ端からダウンロードし、機密性の高いレポートを含む多くのドキュメントをインターネット上に流出させました。

クライアント上に仕込んだマルウェアを使用してトークンを取得することは、攻撃者にとって一般的で簡単な方法の一つです。トークンを窃取する他の方法としては以下のようなものがあります:

トークンの窃取はまだ全ての ID 侵害の 5% 未満ですが、インシデント数は増加しています。マイクロソフトでは、前年比 111% 増の 147,000 件のトークン リプレイ攻撃を検出しています。

トークンの保護

IDP とクライアントは、暗号化されたチャネルを介してのみトークンを送信し、オープンな場所にトークンを保存しないようにして、可能な限り安全にトークンを取り扱うべきです。しかし、上記の例のように攻撃者がデバイスやネットワーク チャネルに侵入すると、攻撃者はトークンを盗み、それが失効するまで使用できてしまいます。

理想的には、トークンはその発行先のデバイスから使用された場合にのみ機能するというのが望ましいです。つまり、攻撃者が制御する異なるデバイスからトークンが再利用された場合、それは拒否されるべきです。

トークン窃取に対する Microsoft の取り組みの中で重要な部分が、デバイスに暗号的に結びつけられたトークンを使用するという点です。これはしばしば トークン バインディング と呼ばれますが、sender constrained tokens (利用者が指定されているトークン) や token proof of possesion (トークンの所有証明) とも呼ばれることがあります。このようなトークンの保護により、トークンの発行先以外のデバイスからのトークンの使用が制限されるため、ネットワーク ベースの攻撃やデバイス上のマルウェアを使用する攻撃など、トークンを窃取しようとする主な攻撃が難しくなります。

Microsoft Entra では、トークン保護の機能を使うことで、トークンをデバイス固有の暗号鍵に結びつけ、登録されたデバイス情報に紐づけます。開発者がトークン保護の機能を利用できるようにアプリケーションを対応させれば、Entra 条件付きアクセス ポリシーを利用して、クライアント アプリケーションがサービスにアクセスする際にトークン保護の機能を強制するようできます。このポリシーが有効になると、トークンが発行された先のデバイスに暗号的に結びついていないトークンが拒否されるようになります。遊園地の例で言えば、これは入場券売り場があなたの顔写真を撮り、あなたの乗車券に印刷して、乗り物に乗る前に係員があなたの顔と写真を照合するようになるようようなものといえます。

図 3: Microsoft Entra におけるトークンの保護

これは、オペレーティング システムのプラットフォーム、ネイティブおよびウェブ アプリケーション、すべてのクラウド サービス、およびさまざまな利用シナリオのトークンにわたるため、大規模な取り組みとなります。このため、特定のシナリオごとに段階的にリリースされる予定です。最初の段階は現在パブリック プレビュー中ですが、Windows デバイス上のネイティブ アプリケーションが Exchange、SharePoint、Teams サービスにアクセスする際にサインイン セッション トークンを保護するというものです。

トークン保護ポリシーは、現在 Windows クライアントでのみ利用可能です。弊社は今後 Azure の管理シナリオおよび Microsoft 365 のリソースにアクセスするウェブ アプリケーションをサポートし、来年にかけてクロスプラットフォームの機能を Mac、iOS、Android、およびその他のクライアントにも拡張していく予定です。

トークン窃取に対抗する実用的な手だて

トークン保護はトークン窃取に対して最も効果的な手段ですが、すべてのアプリケーションがトークン バインディングを使用するようになるには業界としても時間がかかります。しかし、Microsoft はトークン窃取を含む攻撃に対する有効な対策を現在提供しており、今からそれらを使用すればリスクと影響を減らすことが可能です。弊社では、複数の手だてを用いた体系的なアプローチを推奨します:

  1. トークン窃取の成功リスクを減らす。
  2. 窃取されたトークンの悪意のある使用を防ぐ。
  3. 窃取されたトークンを使用した攻撃を検出および調査できるよう準備を整える。

トークン窃取が成功するリスクを減らす

防御の第一線は、まず攻撃者がトークンを盗み取る機会を減らすことです。以下に、そのための確立された取り組みをいくつか紹介します。これは、遊園地にいる間に乗車券や入場券をスリから守ることに相当します。

管理済みおよび準拠済みデバイスを必要とする: デバイス管理を使用し、ユーザーが準拠したデバイスからリソースにアクセスすることを要求する条件付きアクセス ポリシーを定義ください。デバイスからのトークン窃取のリスクを減らすために弊社が推奨する準拠ポリシーとしては以下が挙げられます:

  1. トークンを窃取するマルウェアへの偶発的な感染を防ぐために、Windows ユーザーにはデバイスの管理者ではなく標準ユーザーとして Windows を利用するよう要求し、すべてのデバイスで最新のアンチマルウェアおよびウイルス対策ツールを実行するようにします。
  2. デバイス自体が盗まれた場合にトークンを含むデバイスの内容を保護するため、ストレージの暗号化機能を使用します。
  3. Local Security Authority (LSA) のメモリ上にある Entra ID のトークンを保護するために、LSA 保護を有効にします。LSA 保護は新しいデバイスでは既定で有効になっており、Intune を介して他のデバイスでも有効にすることが可能です。
  4. モバイル デバイスに対する脱獄またはルート化の検出機能を利用します。脱獄されたデバイスは、トークンや暗号化された機密情報が潜在的な攻撃に晒されやすくなります。

Windows ユーザーに対してクレデンシャル ガードをオンにする: ユーザーが Windows 10 以降を実行している場合、Active Directory の資格情報の窃取を防ぐために クレデンシャル ガード を設定できます。これは、仮想化ベースのセキュリティ (VBS) を使用してローカルおよびキャッシュされた資格情報を隔離し、マルウェアではなく特権システム ソフトウェアのみが資格情報にアクセスできるようにするというものです。Windows 11 のバージョン 22H2 からは、要件を満たすデバイスでは既定でクレデンシャル ガードが有効になっています。これにより、Active Directory 認証を使用するハイブリッド参加デバイスがクラウド アプリケーションにアクセスしようとセッションを開始するときにも保護が適用されます。

クレデンシャル ガードを有効にするための手順については、弊社ドキュメント を確認ください。

窃取されたトークンの悪意のある使用を防ぐ

デバイス管理と強力な資格情報の管理により確かにトークン窃取のリスクが減りますが、それらをすべての人が利用できるわけではありません。また、これらも完全な解決策ではありません。防御の次の層は、盗まれたトークンを可能な限り拒否するポリシーを設定し、その攻撃の試行を検知して自動的に対応することにより、窃取されたトークンを攻撃者が継続的に使用するのを防ぐことです。

条件付きアクセスでトークン保護を要求し、トークン保護を使用するアプリやサービスを可能な限り選択する: Microsoft は、トークン保護をサポートするために、アプリ、ID プロバイダー、およびオペレーティング システムを継続的に改善しています。したがって、弊社のアプリやプラットフォームをご利用の場合は、必ず最新バージョンをご使用ください。次に、条件付きアクセスを設定して、サインイン セッションのトークン保護 を適用ください。これによりサインイン セッション トークンが紐づくアプリケーションとデバイスのみがトークンを利用できるようになり、トークンが盗まれて別のデバイスに移動された場合でも、そのトークンが利用できないようになります。

条件付きアクセス ポリシーを作成するための手順については、弊社ドキュメント を確認ください。

リスク ポリシーを作成して環境内のトークン窃取を自動的に阻止する: ユーザーがセッションを開始したりアプリケーションにアクセスしようとしたりすると、ID Protection がユーザーとセッションのリスク要因を評価し、何らかの変化が生じたかを確認します。セッションに中リスクおよび高リスクが検出された場合は、セッションの保護のため、MFA をユーザーに求めるか、再認証を要求する 条件付きアクセス ポリシーを構成ください。これにより、盗まれたセッション トークンを使用して攻撃者がセッションを開始することが困難もしくは不可能となります。

継続的アクセス評価 (CAE) が利用可能な場合は、ID Protection がユーザーまたはサービス プリンシパルのリスクを検出したときにトークンが自動的に無効化されます。これにより、リスクベースの条件付きアクセス ポリシーがリアルタイムに動作して再認証が必要になり、リスクが緩和されます。

リスクベースの条件付きアクセス ポリシーを作成するためのの手順については、ドキュメント をご確認ください。

ネットワーク境界内でのセッションの使用を制限することでトークンの再利用のリスクを減らす: ほとんどの攻撃者は、盗まれたトークンを信頼済みの IP アドレス範囲外から使用します。ポリシーを使用してネットワーク境界を確立することで、未知の場所や既知の悪意のある場所からのアクセスを防ぐことが可能となります。

Entra 条件付きアクセスでネットワークを制限する: 条件付きアクセスには、定義した準拠ネットワークの境界外部からのリクエストをブロックする機能が含まれています。これにより、攻撃者が盗まれた Entra トークンを更新できないようにし、トークンの有効期間を超えて利用できないように制限します。

準拠ネットワークの境界を定義するための手順については、ドキュメント を確認ください。

Microsoft のセキュリティ サービス エッジ (SSE) ソリューション でネットワークをより強固に制御する: 攻撃者が信頼済みネットワークの外でトークンを使用できないようにするため、Entra Internet Access と Entra Private Access は、エンドポイントにインストールされたエージェントに加え、準拠ネットワークのチェック機能 (CAE を介してリアルタイムで強制) を使用して、ユーザーが信頼できるネットワークから接続しているかどうかを確認します。条件付きアクセスで準拠ネットワークのチェックを有効にするための手順については、ドキュメント を確認ください。

Teams、Exchange Online、SharePoint Online などの CAE 対応アプリケーションおよびサービスでは、IP ベースのネームドロケーションの条件付きアクセス ポリシーと準拠ネットワーク ポリシーを継続的に強制し、信頼できるネットワークからのみトークンを使用してサービスにアクセスできるようにします。CAE は、最大限の保護を提供する「場所ポリシーを厳密に適用する」モードも提供しています。この機能を有効にするための手順については、こちらの ドキュメント を確認ください。

継続的アクセス評価を使用してトークンを無効化する: CAE をサポートするサービスに信頼済みの場所からのみアクセスできるようにすることに加えて、CAE は、管理者 (またはユーザー自身) が何らかの操作を実行したときに、アカウントの侵害やトークン窃取を検出し、トークンを無効化することが可能です。操作には、アカウントの無効化、パスワードの変更、リフレッシュ トークンの破棄が含まれます。継続的アクセス評価の詳細については、こちらのドキュメント で確認ください。

窃取されたトークンを使用した攻撃を検出および調査できるよう準備を整える

Entra ID Protection と Microsoft Defender を使用してトークンの窃取を監視する: 脅威アクターがトークンを再利用すると、Entra ID Protection および Microsoft Defender for Cloud Apps が、サインイン イベントにより「異常なトークン」や「見慣れないサインイン プロパティ」などの 検出をトリガー します。Premium 検出 機能により、異常なトークンの有効期間や見慣れない場所から再生されたトークン、または既知の攻撃者パターンに一致するトークン属性などの異常な特性が検出されます。Microsoft Defender for Endpoint (MDE) の生成するシグナルを用いると、プライマリ更新トークンを窃取しようとする試みを検出することも可能です。

トークンの窃取を調査するための手順については、こちらのドキュメント を確認ください。

すべてのデータを Microsoft Sentinel などの Security Information and Event Management (SIEM) の仕組みに集約してトークン窃取の可能性を調査する: トークンの窃取を示す可能性のあるアラートを受け取った場合、Microsoft Sentinel ポータルまたは他の SIEM で調査を進めます。Microsoft Sentinel では、特定のインシデントの重大度、発生時期、関与したエンティティの数、トリガーしたイベント、および MITRE ATT&CK の戦術やテクニックに当てはまるかかどうかなど、重要な詳細が提供されます。その後、調査マップを確認して、潜在的なセキュリティ脅威がどの範囲に及ぶのか、また根本原因は何かを確認していきます。

Sentinel を使用してインシデントを調査するための手順は、こちらのドキュメント を確認ください。

トークン窃取が成功するリスクを減らす窃取されたトークンの悪意ある使用を防ぐ窃取されたトークンを使用した攻撃を検出および調査できるよう準備を整える
管理済みおよび準拠済みデバイスを要求する

Windows デバイスでクレデンシャル ガードを有効にする		条件付きアクセスでトークン保護を要求し、トークン保護を使用するアプリやサービスを可能な限り選択する

リスク ポリシーを作成して環境内のトークン窃取を自動的に阻止する

ネットワーク境界内でのセッションの使用を制限することでトークンの再利用のリスクを減らす

継続的アクセス評価を使用してトークンを無効化する		Entra ID Protection と Microsoft Defender を使用してトークンの窃取を監視する

すべてのデータを Microsoft Sentinel などの Security Information and Event Management (SIEM) の仕組みに集約してトークン窃取の可能性を調査する

皆様がサイバー セキュリティを強化できるようその仕組みを開発する企業として、Microsoft はトークン窃取に対して戦略的に取り組んでいます。トークンの窃取を利用した攻撃へ対抗するために、今後も何らかの進展が得られましたら弊社より随時お知らせします。その間、お客様の環境を守るために、条件付きアクセス ポリシーを構成して可能な限りトークンを保護し、ここで説明した対策を採用ください。

Alex Weinert

]]> @@ -444,7 +444,7 @@ https://jpazureid.github.io/blog/azure-active-directory/evolve-your-ciam-strategy-with-external-id/evolve-your-ciam-strategy-with-external-id/ 2024-07-12T08:00:00.000Z - 2024-11-02T00:23:18.368Z + 2024-11-02T00:39:36.445Z こんにちは、Azure Identity サポートチームの 山下 です。

本記事は、2024 年 6 月 27 日に米国の Azure Active Directory Identity Blog で公開された Evolve your CIAM strategy with External ID を意訳したものになります。ご不明点等ございましたらサポート チームまでお問い合わせください。

次世代の顧客 ID アクセス管理機能を実現するソリューションである、Microsoft Entra External ID一般提供が先月発表されました。External ID は、以下のことを可能にし、顧客 ID アクセス管理(CIAM)を安全かつシンプルにします。



私たちの目標は、ボット攻撃、サインイン詐欺、サインアップ詐欺からクラス最高の保護を提供し、外部ユーザーの道のりをステップごとに監視できるようにすることです。

7 月 16 日の AMA(Ask Me Anything)では、External ID について深く掘り下げます!

一般提供(GA)の発表以来、External ID を使い始めたいというお客様から多くの関心が寄せられています。そこで、2024 年 7 月 16 日午前 9 時(米国太平洋標準時)に開催されるライブ Ask Me Anything ウェビナー をお見逃しなく!
オンラインから登録し、当社の製品エキスパートによる、External ID が外部向けアプリへのセキュアなエンド ツー エンドの ID 体験の実装を数ヶ月から数分に短縮する方法をご紹介するライブ デモにご参加ください。

AMA イベントでは、External ID、Azure AD B2C、Azure AD B2B などに関する FAQ にお答えする時間も設けています。これらに関する FAQ の多くは、公開情報やテナント上の管理ポータルでも確認することが可能です。

以下に便宜上いくつかの FAQ をおまとめしました:

現在 Azure AD B2C を使用していますが、Microsoft Entra External ID のイノベーションをどのように活用できますか?

Microsoft Entra External ID を使用して新しいアプリケーションを構築することで、管理者や開発者は Azure AD B2C の特定のスキルを習得するオーバーヘッドを回避しながら、使い慣れた Microsoft Entra ID の経験を活用することができます。オープン スタンダードを採用した External ID は、あらゆる ID ソリューションと相互運用できるように構築されており、エンド ユーザー体験を犠牲にすることなく、エンタープライズ品質のセキュリティを提供します。詳しくは こちら

Azure AD B2C は、柔軟なユーザー体験を可能にするソリューションとして強力です。
一方で、External ID は、Entra ID の技術スタックに統合され、Entra ID のすべてのイノベーションから有機的に恩恵を受けています。そして、Microsoft Entra の業界をリードするセキュリティとガバナンスを外部ユーザーに拡張するため、導入の容易さとイノベーションの加速を実現するために設計されています。

Azure AD B2C のサポートに変更はありますか?また、既存の Azure AD B2C アプリケーションを Microsoft Entra External ID に移行するにはどうすればよいですか?

Azure AD B2C を現時点でご利用中のお客様は、新しいテナントの作成を含め、サービスを中断することなく Azure AD B2C を引き続きご利用いただくことが可能です。少なくとも 2030 年 5 月まではサポートを継続しますので、既存の B2C アプリケーションを安心して運用くださいませ。

現在、エンド ユーザーの皆様にご迷惑をおかけすることがないよう、既存の Azure AD B2C アプリケーションをExternal ID に移行するためのシームレスな移行手順を開発しています。準備ができ次第、詳細な情報を公開いたしますので、早期プレビューへの参加をご希望の場合は、担当のチームが登録をお手伝いをいたします。
なお、次世代プラットフォームがお客様の機能要件を満たし、移行がお客様のビジネスに適している場合は、既存のアプリケーションを移行することも可能です。詳しくは こちら

現在、Azure AD B2B コラボレーションと B2B 直接接続を使用していますが、これらのエクスペリエンスは変更されましたか?

Azure AD B2B コラボレーションと B2B 直接接続は、External ID B2B コラボレーションと B2B 直接接続 として Microsoft Entra External ID の一部になりました。B2B コラボレーションの機能は以前と変わらず、従業員テナント内の Microsoft Entra 管理センターの同じ場所にあり、すべてのビジネス ゲストを保護し、コラボレーションを合理化し、外部ユーザーへ ID ガバナンス を拡張することで、アクセス リスクを制限することが可能です。

External ID を始めましょう!

新しい External ID プラットフォームを皆様と共有し、エンド ユーザーにシームレスでセキュアな体験を提供できることを嬉しく思います。External ID の詳細と、アプリケーションのセキュリティ保護に役立つ情報についてご興味のある方は、こちら をご覧ください。External ID は無料でお試しいただくことができ、使用した分だけお支払いいただくことができますので、料金についての詳細は こちら をご確認ください。

]]> @@ -469,7 +469,7 @@ https://jpazureid.github.io/blog/azure-active-directory/effective-strategies-for-conducting-mass-password-resets-during-cybersecurity-incidents/ 2024-07-12T00:00:00.000Z - 2024-11-02T00:23:18.348Z + 2024-11-02T00:39:36.425Z こんにちは、Azure Identity サポート チームの 夏木 です。

本記事は、2024 年 6 月 11 日に米国の Microsoft Entra (Azure AD) Blog で公開された Effective strategies for conducting Mass Password Resets during cybersecurity incidents の抄訳です。ご不明点等ございましたらサポート チームまでお問い合わせください。

サイバー セキュリティのインシデントが起こり、特定のアカウントが侵害されたことが分かっているが、攻撃者による影響の全貌は把握できていないという状況を想定してみましょう。Microsoft インシデント レスポンス が推奨する方法の一つとして、パスワードの一括リセットがあります。これにより、ID を再度コントロール下に置くとともに、他のアクセス経路を遮断して、攻撃者が環境内で継続して活動できないようにします。しかし、特に大規模な組織においては、パスワードの一括リセットを実行することは複雑な作業となります。このブログ記事では、パスワードの一括リセットを実行する際の実践的な課題、実行のための準備方法、およびベスト プラクティスについて説明します。

パスワードの一括リセットが必要かの判断

パスワードの一括リセットは常に必要とは限りませんが、それが必要な状況がいつかを理解しておくことが重要です。以下のような状況では、パスワードの一括リセットが最良の選択となります:

組織的な課題とシナリオ

ほとんどの組織にはリモート ユーザーがいます。多くの組織にはハイブリッド ユーザーもおり、完全にリモートワークの組織もあります。これにより、組織ごとにパスワードの一括リセットが必要となる状況や考慮事項が異なります。このセクションでは、これらの要件について考察し、必要に応じて組織がどのように準備し対応すべきかを検討します。考慮すべきシナリオは以下のとおりです:

ドメイン コントローラーに直接アクセスできるオンサイトのユーザー

このシナリオは最もシンプルです。すべてのユーザーが主にオンサイトでドメイン コントローラーと直接通信できる場所にいる場合、ユーザー アカウントに「次回ログオン時にパスワードを変更する」というフラグを設定するだけでパスワード変更を強制できます。ユーザーに期限を設け、その期限までにパスワードを変更するよう通知し、変更しない場合はアカウントが無効化されることを通知します。特定の組織単位 (OU) のユーザーを列挙し、「次回ログオン時にパスワードを変更する」フラグを操作するための PowerShell スクリプトがオンラインで提供されており、組織のヘルプデスクが混乱しないように段階的にパスワード リセットの展開が可能です。ユーザーがオフィスに到着しログオンを試みると、パスワード変更を促すメッセージが表示されます。

Fine Grained Password Policies (FGPP) を使用してパスワードの有効期限を段階的に短縮することや、ドメイン ポリシーの変更を通じてパスワードの有効期限を短縮することによる段階的かつ迅速なパスワード リセットも代替方法として検討できます。ただし、このアプローチの大きな欠点は、パスワード リセットがログオン イベントをトリガーするまで、攻撃者が認証済みセッションを引き続き悪用できる可能性があることです。この方法を検討する際には、資格情報の変更の緊急性とユーザーに猶予期間を与える必要性のバランスを取ることが重要です。多くの組織では従業員の一部がリモートで業務を行っているため、さまざまなシナリオですべてのユーザー アカウントを保護するための手順の一部として、こういった方法も採用を検討ください。

環境にアクセスするために VPN を使用するリモート ユーザー

このシナリオは、ユーザーが主にリモートであるか、リモートとオンサイトのユーザーが混在している場合によくみられます。このシナリオでは、ユーザーはドメイン パスワードとは別の認証メカニズム (例: 証明書ベースの認証) に依存しています。ユーザーが VPN ソリューションを使用して認証されると、ドメイン コントローラーと通信が可能になるため、前述のシナリオと同様に扱うことができます。

リモート ユーザーに対する重要な考慮事項は、管理者主体のパスワード リセットを実行する (管理者がユーザーの資格情報をリセットし、ユーザーは セルフサービス パスワード リセット (SSPR) を使用する) か、ユーザーに自分で資格情報を変更させるかです。

VPN ソリューションがドメイン パスワードを認証の主な要素として使用し、サインイン フロー中のパスワード リセットをサポートしていない場合、このシナリオは実現が困難になります。このようなシナリオでは、インシデント発生前に組織が SSPR を設定 していれば、パスワード リセットの手順ははるかに容易になります。SSPR の機能を持たない組織では、パスワードの一括リセットには手動での対応が必要です。この場合は、ユーザーがヘルプデスクに電話するか、特定の場所に出向いて音声やビデオ、または対面で本人確認を行い、その後パスワードを手動でリセットするという形を取ります。

また、VPN ソリューションがサインイン フロー中のパスワード リセットをサポートしていない場合は、VPN ソリューションの認証元を一時的に Microsoft Entra ID に移行してパスワード リセットでセッションを中断するようにするか、永続的に Microsoft Entra ID に移行して条件付きアクセス ポリシーなどの恩恵を得ることもご検討ください。

主にリモートでハイブリッド (オンプレミス) ID を持つユーザー

ハイブリッド ID を持つ場合、組織の ID (ユーザーおよびコンピューター) は既に Microsoft Entra ID と同期されています。このシナリオでは、パスワードの一括リセットを行うためにドメイン コントローラーに直接通信できる必要はありません。Microsoft Entra ID は、オンプレミスの Active Directory と同様に、ユーザーが次回サインイン時に資格情報をリセットするようにフラグを立てられます。

管理者は Microsoft Graph を使用してユーザー属性を「forceChangePasswordNextSignIn」または「forceChangePasswordNextSignInWithMfa」に設定し、次回サインイン時にユーザーのパスワードをスムーズに変更できるようにすることができます。パスワード ライトバック機能が Microsoft Entra ID で有効になっており、組織のユーザーが SSPR を利用可能な状況の場合、MyAccount ポータルまたは SSPR ポータルを介してパスワードをリセットすることで、新しくリセットされたパスワードがオンプレミスに同期されます。パスワード ライトバックおよび SSPR が既に有効になっていれば、攻撃者を最も早く、最小限の作業で排除できるシナリオになります。ただし、組織によっては SSPR を使用したくない場合もあり、これについては後述します。

サービス アカウントの考慮事項

サービス アカウントはパスワードが無期限であり、過剰に権限を持つ性質があるため、Active Directory 管理者にとって頭痛の種となりがちです。特に問題となるのが、パスワードの一括リセットを実行しなければならない場合に、サービス アカウントに関連するサービスやアプリケーションをマッピングする情報がほとんどない場合です。このため、すべてのサービス アカウントとそれに関連するサービスやアプリケーションを棚卸して整理する必要があります。可能な場合は、サービス アカウントを グループで管理されたサービス アカウント (gMSA) に移行することを検討ください。これにより、サービス アカウントの管理が容易になり、手動で行う負担が削減されます。また、サービス アカウントの特権を「適正化」する絶好の機会でもあります。

特権 ID の考慮事項

すべての特権クラウド アカウントには、フィッシング耐性のある MFA (多要素認証) を導入すべきです。また、Just in Time (JIT) による管理(例: Microsoft Entra ID特権 ID 管理 (PIM))を使用することを強く推奨します。さらに、オンプレミスとクラウドの管理を明確に分離し、各領域に対して別々の ID を使用する必要があります。特権を持つオンプレミスの AD DS グループに属する ID は、Microsoft Entra ID と同期しないようにする必要があります。逆に、すべてのクラウドの特権ロールはクラウド上にだけ存在する ID によって保持し、AD DS から同期されないようにする必要があります。ほとんどの組織では、より高いセキュリティを実現するため、特権資格情報を手動でリセットすることが一般的です。パスワードのリセットがいつ行われたかを PowerShell や Microsoft Graph で確認することが重要です。このようにして確認しない場合は、一部のアカウントが見落とされる可能性が非常に高くなります。

パスワードの一括リセットにおける保証 (Assurance) と制御 (Control) の考慮事項

これまでの説明のように、パスワードの一括リセットを必要とするシナリオは複数あります。これは、組織がパスワードの一括リセットを実行する際に必要な保証 (Assurance) と制御 (Control) のレベルが異なることを意味します。SSPR の仕組みを活用することで必要な保証レベルを確保できる場合、その機能を使用してパスワードの一括リセットを迅速に行うことができます。

一方で、組織が既存の SSPR ソリューションを使用したくない状況もあります。たとえば、高度な攻撃者が組織の SSPR システムを悪用した場合や、AD DS データベースの流出の証拠がある場合です。このようなシナリオでは、攻撃者が SSPR を介して初回アクセスを実現したり、環境に持続的にアクセスしたりする可能性があるため、組織は SSPR を使用してパスワードの一括リセットを強制するということは行わないでしょう。

組織がパスワードの一括リセットに対して高度なレベルの保証と制御を求める場合、残念ながら手動の介入が不可避となります。しかし、事前の準備を行うことで、Microsoft Entra ID の一時アクセス パスなどの機能を条件付きアクセス ポリシーと組み合わせることで、保証と制御の一部を自動化することが可能です。いずれにせよ、高度な保証と制御が必要な場合、ユーザーの物理的な ID を確認して一時アクセス パスを発行するというようなある程度の手動の介入は避けられません。このブログ記事の続編では、これを実現するために使用できる Microsoft Entra ID のさまざまな機能について検討してまいります。

結論と次のステップ

パスワードの一括リセットにはいくつか変わりやすい点や考慮事項があり、万能の解決策はありません。しかし、十分な準備を行うことで、このプロセスを組織にとってより負担が少なく、管理しやすいものにすることができます。

インシデントの対応能力を向上させるための専門的なガイダンスやカスタマイズされたソリューションについては、Microsoft インシデント レスポンスの他のブログを参照することをおすすめします。さらに、高度な ID およびアクセス管理を提供する Microsoft Entra ID の機能を検討し、ID 関連の侵害に対する防御を強化ください。

]]> @@ -494,7 +494,7 @@ https://jpazureid.github.io/blog/azure-active-directory/update-on-mfa-requirements-for-azure-sign-in/ 2024-07-01T00:00:00.000Z - 2024-11-02T00:23:18.880Z + 2024-11-02T00:39:36.953Z こんにちは、Azure Identity サポート チームの 五十嵐 です。

本記事は、2024 年 6 月 27 日に米国の Core Infrastructure and Security Blog で公開された Update on MFA requirements for Azure sign-in の抄訳です。ご不明点等ございましたらサポート チームまでお問い合わせください。

Microsoft が Azure ポータルおよび Azure CLI 等にサインインするユーザーに多要素認証 (MFA) を義務付けるという 発表 について、最新情報をお伝えします。この投稿では、その適用範囲、タイミング、実装の詳細、および準備のためのガイダンスについて説明します。

タイミング

Azure ポータルおよび Azure CLI 等にサインインする際の MFA の義務付けは、段階的に展開されます:

フェーズ 1: 2024 年 7 月から、Azure ポータル のサインイン時のみ MFA の実施が義務付けられ、すべてのテナントに順次展開されます。このフェーズでは、Azure CLIAzure PowerShellIaC ツールなど、他の Azure クライアントには影響を与えません。

フェーズ 2: 2025 年初頭から、Azure Command Line Interface (CLI)、Azure PowerShellInfrastructure as Code (IaC) ツールのサインイン時に MFA の実施が義務付けられ、すべてのテナントに順次展開されます。

両フェーズとも、Microsoft は、お客様のテナントの施行予定日の 60 日前に電子メールおよび Azure Service Notification でグローバル管理者に通知します。この最初の通知をお客様が受け取るまで、お客様のテナントの施行までのカウントダウンは開始されません。さらに、最初の通知からお客様のテナントの実施開始までの間に、定期的にグローバル管理者にリマインダーを送信します。

また、ワークアラウンドが容易に利用できないユースケースで、Azure ポータルおよび Azure CLI 等のサインイン時の MFA 要求に備えるための追加時間 (テナントの施行開始日を超えて) が必要な一部のお客様には、猶予期間を設けます。弊社からの最初の通知には、お客様のテナントに対する施行日が記載され、猶予期間を申請するためのリンクも含まれます。猶予期間の対象となる顧客タイプ、ユースケース、シナリオの詳細については、通知に記載される予定です。

適用範囲

ユーザー アカウント

どのユーザーが今回の変更の影響を受けるのかわかりにくいというフィードバックを得ていますので、改めて対象を明確にしますが、Azure ポータルAzure CLIAzure PowerShell、および Azure Developer CLIBicepTerraformAnsible などの IaC ツールにサインインして CRUD (Create、Read、Update、Delete) 操作を行うすべてのユーザーが MFA 義務化の対象です。Azure ポータル、CLI、PowerShell にサインインしていないが、Azure でホストされているアプリ、Web サイト、サービスにアクセスしているというエンド ユーザーはこの変更の対象ではありません。それ以外に必要となる認証要件は、アプリ、Web サイト、またはサービスの所有者によって管理されます。

オートメーション アカウント

マネージド ID やサービス プリンシパルなどの ワークロード ID は、この変更による影響を受けません。自動化 (スクリプトやその他の自動化タスクを含む) を実行するサービス アカウントとしてユーザー ID を使用している場合、自動化が開始されると、それらのアカウントで MFA を使用する必要があります。当社のガイダンスでは、ユーザー ID を自動化に使用することを推奨しておらず、ユーザー ID を利用して自動化している場合には ワークロード ID に移行する必要があります。

実装

サインイン時の MFA の要求は、Azure によって実装されます。Microsoft Entra ID のサインイン ログ には、MFA 要求のソースとして表示されます。

MFA の要求は、テナントで管理者が設定したアクセス ポリシーの要件に追加されるかたちで行われます。すでに設定しているアクセス ポリシーで MFA の要求が含まれている場合にはこれまでの動作と変更がありません。たとえば、Microsoft の セキュリティの既定値群 を維持することを選択し、現在もセキュリティの既定値群を有効にしている場合、Azure の管理にはすでに MFA が必要であるため、ユーザーの動作に変更はありません。テナントが Microsoft Entra で 条件付きアクセス ポリシー を使用しており、ユーザーが MFA を使用して Azure にサインインする条件付きアクセス ポリシーがすでにある場合、ユーザーには変更はありません。同様に、フィッシングに強い MFA のような、より強力な認証を必要とする Azure をターゲットとした、より制限の厳しい条件付きアクセス ポリシーを既に導入している場合、それらのポリシーは引き続き適用され、ユーザーには変更はありません。

利用可能な MFA の方法

サポートされているすべての MFA メソッド が使用可能であり、この変更の一環として認証方法の機能が変更されることはありません。外部 MFA ソリューションのサポートは、外部認証方法 のパブリック プレビューにあり、MFA 要件を満たすために使用できます。Microsoft Entra ID で外部ソリューションを使用するには、外部認証方法のプレビューに移行する必要があります。

Active Directory Federation Services などのフェデレーション ID プロバイダー (IdP) を使用しており、MFA プロバイダーがこのフェデレーション ID プロバイダーと直接統合されている場合、フェデレーション ID プロバイダーは MFA クレームを送信する必要があります

テナント内で影響を受ける Azure ユーザーの特定

以下のリソースを使用して、Azure に MFA を使用してサインインしているユーザーと MFA を使用せずにサインインしているユーザーを特定できます:

  1. こちらの PowerShell コマンドを使用して、ユーザーとその認証方法のリストをエクスポートします: https://aka.ms/AzMFA
  2. こちらの多要素認証ギャップ ブックを使用します: 多要素認証ギャップ ブック - Microsoft Entra ID | Microsoft Learn
  3. クエリでこれらのアプリケーション ID を使用します:
    1. Azure portal: c44b4083-3bb0-49c1-b47d-974e53cbdf3c
    2. Azure CLI: 04b07795-8ddb-461a-bbee-02f9e1bf7b46
    3. Azure PowerShell: 1950a258-227b-4e31-a9cf-717495945fc2

緊急用アカウントと特別なシナリオ

弊社では break glass (緊急事態) や「緊急アクセス」アカウントに関するご質問を伺いました。これらのアカウントは、長いパスワードだけに頼るのではなく、FIDO2 または 証明書ベースの認証 (MFA として設定されている場合) を使用するように更新することをお勧めします。どちらの方法も MFA の要件を満たします。

さらに、以下のシナリオについては、現在もガイダンスの作成に取り組んでおり、8 月中旬に予定されている次回のブログ記事で取り上げる予定です:

準備のためにできること

クラウド リソースを保護するために、今すぐ MFA を設定することをお勧めします。Microsoft Entra の MFA ウィザード を使用して MFA を設定し、MFA 導入ガイド を参照してユーザーとデータの安全を確保してください。 自動化のためにユーザー ID を使用している場合は、マネージド ID またはサービス プリンシパル への移行プロセスを開始してください。

警告

MFA ウィザードを進めると、テナントで使用する認証方法や条件付きアクセス ポリシーが自動で構成されます。ウィザードでの構成内容については十分に確認の上、実行ください。

Azure ポータルおよび Azure CLI 等のサインイン時に MFA が義務付けられることに関するブログ記事、投稿、およびお客様への直接の通知については引き続き公開し、クラウド リソースの効果的な準備と安全性の確保を支援します。

Naj Shahid / Greg Kinasewitz

]]> diff --git a/azure-active-directory-connect/aad-notification/index.html b/azure-active-directory-connect/aad-notification/index.html index 2463927acd5..df180dfbe83 100644 --- a/azure-active-directory-connect/aad-notification/index.html +++ b/azure-active-directory-connect/aad-notification/index.html @@ -15,7 +15,7 @@ - + @@ -156,14 +156,14 @@

feedback - 共有 + 共有

Note

本記事は Technet Blog の更新停止に伴い https://blogs.technet.microsoft.com/jpazureid/2018/04/18/aad-notification/ の内容を移行したものです。

元の記事の最新の更新情報については、本内容をご参照ください。

Azure Identity サポートの橋本です。

-

日本時間の 4 月 18 日に、一部の Azure AD Connect のご利用者様 (テナント管理者) 宛に、以下のような、”Action required: your sync solution is no longer supported and you need to upgrade to a newer version “ という件名のメールが AAD Notification aad-notification-noreply@azureemail.microsoft.com より配信されました。

+

日本時間の 4 月 18 日に、一部の Azure AD Connect のご利用者様 (テナント管理者) 宛に、以下のような、”Action required: your sync solution is no longer supported and you need to upgrade to a newer version “ という件名のメールが AAD Notification aad-notification-noreply@azureemail.microsoft.com より配信されました。

本メールは弊社システムにより誤って配信されてしまったメールであることが確認できました。

DirSync や ADSync をご利用の場合はアップグレードいただく必要がございますが、Azure AD Connect をすでにご利用の場合は必要ございません。

diff --git a/azure-active-directory-connect/aadc-import-export-config-upgrade/index.html b/azure-active-directory-connect/aadc-import-export-config-upgrade/index.html index 040d3270cdd..8192045526b 100644 --- a/azure-active-directory-connect/aadc-import-export-config-upgrade/index.html +++ b/azure-active-directory-connect/aadc-import-export-config-upgrade/index.html @@ -14,7 +14,7 @@ - + @@ -154,7 +154,7 @@

feedback - 共有 + 共有

diff --git a/azure-active-directory-connect/aadc-import-export-config/index.html b/azure-active-directory-connect/aadc-import-export-config/index.html index 8ba3fcf2633..b5f02625202 100644 --- a/azure-active-directory-connect/aadc-import-export-config/index.html +++ b/azure-active-directory-connect/aadc-import-export-config/index.html @@ -14,7 +14,7 @@ - + @@ -154,7 +154,7 @@

feedback - 共有 + 共有

diff --git a/azure-active-directory-connect/aadc_hardmatch/index.html b/azure-active-directory-connect/aadc_hardmatch/index.html index ab38044418f..f0477579963 100644 --- a/azure-active-directory-connect/aadc_hardmatch/index.html +++ b/azure-active-directory-connect/aadc_hardmatch/index.html @@ -46,7 +46,7 @@ - + @@ -187,7 +187,7 @@

feedback - 共有 + 共有

@@ -204,7 +204,7 @@

③ [ソースアンカー] に属性が表示されます。

ソースアンカーが objectGUID に設定されている場合は、事前に mS-DS-ConsistencyGuid に変更しておく必要があります。

-

・なぜ変更する必要があるの?
objectGUID はオブジェクト (ここではユーザーのこと) ごとに一意の変更不可の値で、別のユーザー (上図でいうと移行先のフォレストの 12345@contoso.com) には同じ値を設定できません。
よって、ハードマッチで切り替えを行うことができません。(ハードマッチについては後述します。)
一方、mS-DS-ConsistencyGUID 属性値は変更が可能なので、移行元の旧同期ユーザー (上図で言うと 12345@contoso.local) で使用している値と同じ値を移行先の新同期ユーザー (上図で言うと移行先のフォレストの 12345@contoso.com) でも保持させることができるため、ハードマッチによる切り替えを行うことができます。

+

・なぜ変更する必要があるの?
objectGUID はオブジェクト (ここではユーザーのこと) ごとに一意の変更不可の値で、別のユーザー (上図でいうと移行先のフォレストの 12345@contoso.com) には同じ値を設定できません。
よって、ハードマッチで切り替えを行うことができません。(ハードマッチについては後述します。)
一方、mS-DS-ConsistencyGUID 属性値は変更が可能なので、移行元の旧同期ユーザー (上図で言うと 12345@contoso.local) で使用している値と同じ値を移行先の新同期ユーザー (上図で言うと移行先のフォレストの 12345@contoso.com) でも保持させることができるため、ハードマッチによる切り替えを行うことができます。

・ソースアンカーを変更するリスクは?
ソースアンカーを変更する場合のリスクを気にされる方も多いと思いますが、AADC は通常 objectGUID の値を Base64 でエンコードし、初回の同期処理で Azure AD の ImmutableID の値にセットします。
つまり、ソースアンカーを mS-DS-ConsistencyGuid に変更しても、ImmutableID の値は元の objectGUID をエンコードした値のまま変わりません。
したがって、同じ ImmutableID の値が mS-DS-ConsistencyGuid に書き戻されるため、既存の同期ユーザーが同期できなくなるといった影響は生じません。

ソースアンカーの変更

では、以下の手順でソースアンカーを mS-DS-ConsistencyGuid に変更します。
既にソースアンカーを mS-DS-ConsistencyGuid または objectGUID 以外に設定されている方は、この項目はスキップして次に進んでください。

① 構成ウィザードを起動し、 [追加のタスク] で [ソースアンカーの構成] を選択し、[次へ] をクリックします。

@@ -229,11 +229,11 @@

Step 3: ソースアンカーの値がコピーされていることを確認する

既存の AD フォレストのユーザーの mS-DS-ConsistencyGuid の値が、新 AD フォレストのユーザーの mS-DS-ConsistencyGuid にコピーされていることを確認します。

もしコピーができていない場合は、以下の手順で値をコピーします。

① contoso.local の サーバー マネージャーで、[ツール] > [Active Directory ユーザーとコンピューター] を開きます。

-

② 同期対象のユーザー (12345@contoso.local) の[属性エディター] で、 mS-DS-ConsistencyGuid を選択し、[編集] をクリックします。

+

② 同期対象のユーザー (12345@contoso.local) の[属性エディター] で、 mS-DS-ConsistencyGuid を選択し、[編集] をクリックします。

③ 値をコピーし、[OK] をクリックします。

④ メモ帳にコピーした値を貼り付けます。

⑤ 移行先フォレストの contoso.com の サーバー マネージャーで、[ツール] > [Active Directory ユーザーとコンピューター] を開きます。

-

⑥ 同期対象のユーザー (12345@contoso.com) の[属性エディター] で、 mS-DS-ConsistencyGuid を選択し、[編集] をクリックします。

+

⑥ 同期対象のユーザー (12345@contoso.com) の[属性エディター] で、 mS-DS-ConsistencyGuid を選択し、[編集] をクリックします。

⑦ 値を入れ、[OK] をクリックします。

⑧ [OK] を押して、プロパティ画面を閉じます。

すべての同期ユーザーが同様に値がコピーされていることを確認します。

diff --git a/azure-active-directory-connect/aboutSoftMatching/index.html b/azure-active-directory-connect/aboutSoftMatching/index.html index 1ab6eaddb7f..a3c40aff451 100644 --- a/azure-active-directory-connect/aboutSoftMatching/index.html +++ b/azure-active-directory-connect/aboutSoftMatching/index.html @@ -25,7 +25,7 @@ - + @@ -169,7 +169,7 @@

feedback - 共有 + 共有

diff --git a/azure-active-directory-connect/auto-upgrade-issue/index.html b/azure-active-directory-connect/auto-upgrade-issue/index.html index cd836951e2b..5e1896bd210 100644 --- a/azure-active-directory-connect/auto-upgrade-issue/index.html +++ b/azure-active-directory-connect/auto-upgrade-issue/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

feedback - 共有 + 共有

@@ -217,7 +217,7 @@

https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnect-version-history

管理者への通知

テナントの管理者に対しては、Azure AD Connect のアップグレード機能に問題があり、最新版へ手動アップグレードすることを促すメールが通知されます。
本メールを受け取った管理者は、本ブログに記載された [対象の確認方法] を参照し、現在の AADC 設定を確認いただきますようお願いいたします。

-

※送信元 : AAD Notification [aad-notification-noreply@azureemail.microsoft.com]

+

※送信元 : AAD Notification [aad-notification-noreply@azureemail.microsoft.com]

2017/6/8 追記

diff --git a/azure-active-directory-connect/azure-ad-connect-117490/index.html b/azure-active-directory-connect/azure-ad-connect-117490/index.html index abe7de919cf..afed6afa10a 100644 --- a/azure-active-directory-connect/azure-ad-connect-117490/index.html +++ b/azure-active-directory-connect/azure-ad-connect-117490/index.html @@ -15,7 +15,7 @@ - + @@ -156,7 +156,7 @@

feedback - 共有 + 共有

diff --git a/azure-active-directory-connect/azure-ad-connect-2-3-20/index.html b/azure-active-directory-connect/azure-ad-connect-2-3-20/index.html index aadd9b7cbea..9b8ea0f87e5 100644 --- a/azure-active-directory-connect/azure-ad-connect-2-3-20/index.html +++ b/azure-active-directory-connect/azure-ad-connect-2-3-20/index.html @@ -21,7 +21,7 @@ - + @@ -164,7 +164,7 @@

feedback - 共有 + 共有

diff --git a/azure-active-directory-connect/azure-ad-connect-AADConnectConfigDocumenter/index.html b/azure-active-directory-connect/azure-ad-connect-AADConnectConfigDocumenter/index.html index a5e1f05943c..8744705b10f 100644 --- a/azure-active-directory-connect/azure-ad-connect-AADConnectConfigDocumenter/index.html +++ b/azure-active-directory-connect/azure-ad-connect-AADConnectConfigDocumenter/index.html @@ -15,7 +15,7 @@ - + @@ -156,7 +156,7 @@

feedback - 共有 + 共有

diff --git a/azure-active-directory-connect/azure-ad-connect-general-information/index.html b/azure-active-directory-connect/azure-ad-connect-general-information/index.html index 7f6e8ed598a..6b8fe991490 100644 --- a/azure-active-directory-connect/azure-ad-connect-general-information/index.html +++ b/azure-active-directory-connect/azure-ad-connect-general-information/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

feedback - 共有 + 共有

diff --git a/azure-active-directory-connect/azure-ad-connect-health-notification/index.html b/azure-active-directory-connect/azure-ad-connect-health-notification/index.html index 98f1774b3d8..c38c9dd9705 100644 --- a/azure-active-directory-connect/azure-ad-connect-health-notification/index.html +++ b/azure-active-directory-connect/azure-ad-connect-health-notification/index.html @@ -16,7 +16,7 @@ - + @@ -157,7 +157,7 @@

feedback - 共有 + 共有

diff --git a/azure-active-directory-connect/azure-ad-connect-mc125948/index.html b/azure-active-directory-connect/azure-ad-connect-mc125948/index.html index baf1096be08..49db86a5e0b 100644 --- a/azure-active-directory-connect/azure-ad-connect-mc125948/index.html +++ b/azure-active-directory-connect/azure-ad-connect-mc125948/index.html @@ -16,7 +16,7 @@ - + @@ -157,7 +157,7 @@

feedback - 共有 + 共有

diff --git a/azure-active-directory-connect/azure-ad-connect-tls/index.html b/azure-active-directory-connect/azure-ad-connect-tls/index.html index bbbb11c89c7..10d89b69765 100644 --- a/azure-active-directory-connect/azure-ad-connect-tls/index.html +++ b/azure-active-directory-connect/azure-ad-connect-tls/index.html @@ -20,7 +20,7 @@ - + @@ -163,7 +163,7 @@

feedback - 共有 + 共有

diff --git a/azure-active-directory-connect/azureadconnect_faq/index.html b/azure-active-directory-connect/azureadconnect_faq/index.html index 85d3d0f089f..ade348517a1 100644 --- a/azure-active-directory-connect/azureadconnect_faq/index.html +++ b/azure-active-directory-connect/azureadconnect_faq/index.html @@ -18,7 +18,7 @@ - + @@ -159,7 +159,7 @@

feedback - 共有 + 共有

@@ -251,7 +251,7 @@

Q. AADC からの同期エラーの通知メールを受信しました。受信者はどこで確認できますか?

A. 同期処理での問題について、以前通知は 2 種類ありましたが、現在は統一されています。下記手順にてご確認ください。

-

Azure AD Connect Health Agent : azure-noreply@microsoft.com

+

Azure AD Connect Health Agent : azure-noreply@microsoft.com

Azure AD Connect Health Agent 通知先設定手順

設定箇所 : [Azure ポータル] - [Azure AD Connect] - [Azure AD Connect Health] - [同期エラー] - [通知設定]

設定項目 : 追加の電子メール受信者

diff --git a/azure-active-directory-connect/basic-points-directory-synchronization/index.html b/azure-active-directory-connect/basic-points-directory-synchronization/index.html index 9f1c46270b2..61db8b2593d 100644 --- a/azure-active-directory-connect/basic-points-directory-synchronization/index.html +++ b/azure-active-directory-connect/basic-points-directory-synchronization/index.html @@ -17,7 +17,7 @@ - + @@ -158,7 +158,7 @@

feedback - 共有 + 共有

@@ -190,7 +190,7 @@

UPNSource (と、この Blog では呼称します)

構成ウィザードの設定項目ではこのような呼称ではないのですが、同期先である AAD 同期ユーザーの UserPrincipalName (UPN、名前) を決定する、同期元オンプレミス AD ユーザーの属性の指定を UPNSource と、この Blog では呼称します。
デフォルトではオンプレミス AD ユーザーの UPN 属性の値が選択され、この値が AAD 同期ユーザー側の UPN の値になります。

オンプレミス AD ユーザーの UPN と AAD ユーザーの UPN を同じ値にすることができないようなご都合があるケースもあるかと思います。
例えば、元々オンプレミス AD のドメイン名を contoso.local としており、これからご利用になる AAD に登録するカスタム ドメインを contoso.com にするようなケースにおいては、オンプレミス AD 側のドメイン名を contoso.com に変えることができない、というような場合です。

-

このような場合においても、オンプレミス AD の [代替 UPN サフィックス] の機能を使用して、contoso.com を代替 UPN として登録してオンプレミス AD ユーザーの UPN を username@contoso.com にすることは可能です。
しかし、オンプレミス AD ユーザーの UPN 値に依存した他のシステムがあり、AD ユーザーの UPN を変えられない、という場合もあるかと思います。

+

このような場合においても、オンプレミス AD の [代替 UPN サフィックス] の機能を使用して、contoso.com を代替 UPN として登録してオンプレミス AD ユーザーの UPN を username@contoso.com にすることは可能です。
しかし、オンプレミス AD ユーザーの UPN 値に依存した他のシステムがあり、AD ユーザーの UPN を変えられない、という場合もあるかと思います。

このようなケースでは、UPNSource の設定として UPN 属性を選択できず、例えば mail 属性などを選択される場合もありますが、このような [UPNSource として UPN 属性以外を選択する] 構成を一般的に [(UPN 以外の属性を UPN の代わりに指定する) 代替 ID 構成] と呼びます。

AADC 構成ウィザードにて、SourceAnchor と UPNSource それぞれの設定値を選択する画面を以下にご紹介します。

SourceAnchor

diff --git a/azure-active-directory-connect/cantphsback-aadc/index.html b/azure-active-directory-connect/cantphsback-aadc/index.html index 8d9baf31d1d..aff5100bc63 100644 --- a/azure-active-directory-connect/cantphsback-aadc/index.html +++ b/azure-active-directory-connect/cantphsback-aadc/index.html @@ -15,7 +15,7 @@ - + @@ -156,7 +156,7 @@

feedback - 共有 + 共有

diff --git a/azure-active-directory-connect/checklist-before-installing-aad-connect/index.html b/azure-active-directory-connect/checklist-before-installing-aad-connect/index.html index de6abbece90..9967c7f0171 100644 --- a/azure-active-directory-connect/checklist-before-installing-aad-connect/index.html +++ b/azure-active-directory-connect/checklist-before-installing-aad-connect/index.html @@ -14,7 +14,7 @@ - + @@ -154,7 +154,7 @@

feedback - 共有 + 共有

diff --git a/azure-active-directory-connect/directory-synchronization-accounts/index.html b/azure-active-directory-connect/directory-synchronization-accounts/index.html index 8da4ca4a388..771ea1a3764 100644 --- a/azure-active-directory-connect/directory-synchronization-accounts/index.html +++ b/azure-active-directory-connect/directory-synchronization-accounts/index.html @@ -17,7 +17,7 @@ - + @@ -161,7 +161,7 @@

feedback - 共有 + 共有

diff --git a/azure-active-directory-connect/dirsync-adsync-20171231/index.html b/azure-active-directory-connect/dirsync-adsync-20171231/index.html index d2f9cb78b1c..3f9311a20aa 100644 --- a/azure-active-directory-connect/dirsync-adsync-20171231/index.html +++ b/azure-active-directory-connect/dirsync-adsync-20171231/index.html @@ -14,7 +14,7 @@ - + @@ -156,7 +156,7 @@

feedback - 共有 + 共有

diff --git a/azure-active-directory-connect/error-code-8344/index.html b/azure-active-directory-connect/error-code-8344/index.html index cd7c579121b..8956039bc2c 100644 --- a/azure-active-directory-connect/error-code-8344/index.html +++ b/azure-active-directory-connect/error-code-8344/index.html @@ -19,7 +19,7 @@ - + @@ -160,7 +160,7 @@

feedback - 共有 + 共有

diff --git a/azure-active-directory-connect/how-to-create-a-custom-aadsync-synchronization-rule/index.html b/azure-active-directory-connect/how-to-create-a-custom-aadsync-synchronization-rule/index.html index c1f3a0ff5c9..82912112a72 100644 --- a/azure-active-directory-connect/how-to-create-a-custom-aadsync-synchronization-rule/index.html +++ b/azure-active-directory-connect/how-to-create-a-custom-aadsync-synchronization-rule/index.html @@ -19,7 +19,7 @@ - + @@ -160,7 +160,7 @@

feedback - 共有 + 共有

diff --git a/azure-active-directory-connect/how-to-upgrade-details/index.html b/azure-active-directory-connect/how-to-upgrade-details/index.html index 5a581b6c74f..da70ed49c4e 100644 --- a/azure-active-directory-connect/how-to-upgrade-details/index.html +++ b/azure-active-directory-connect/how-to-upgrade-details/index.html @@ -15,7 +15,7 @@ - + @@ -156,7 +156,7 @@

feedback - 共有 + 共有

diff --git a/azure-active-directory-connect/introduction-staging-server/index.html b/azure-active-directory-connect/introduction-staging-server/index.html index fc1ebc7b5ea..7be9982e394 100644 --- a/azure-active-directory-connect/introduction-staging-server/index.html +++ b/azure-active-directory-connect/introduction-staging-server/index.html @@ -18,7 +18,7 @@ - + @@ -159,7 +159,7 @@

feedback - 共有 + 共有

@@ -240,7 +240,7 @@

oldmail@contoso.com から newmail@contoso.com に変更している前提です。 +
  • この例では、既存のユーザーの mail 属性を oldmail@contoso.com から newmail@contoso.com に変更している前提です。
  • 最下部にオブジェクト単位の処理数の集計結果があります。

    • なお、サンプル csv の原本も以下からダウンロード可能です。拡張子を .txt から .csv にしてご参照ください。
    AADexportSample

    diff --git a/azure-active-directory-connect/move-attribute-values-between-objects/index.html b/azure-active-directory-connect/move-attribute-values-between-objects/index.html index 53eb14c44ee..94439b03bc7 100644 --- a/azure-active-directory-connect/move-attribute-values-between-objects/index.html +++ b/azure-active-directory-connect/move-attribute-values-between-objects/index.html @@ -16,7 +16,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    @@ -195,9 +195,9 @@

    “次回の同期で新 AD ユーザーの mail 属性値が改めて新 AAD の mail 属性に更新されるのでは?” と考える方もいるかもしれません。
    しかし、次回の同期時には AD からの Import において、AADC の MV 情報は何も更新されないため、AADC は AAD に改めて Export すべき更新が無いと判断します。
    つまり、次回同期でも新 AD ユーザーの mail 属性値は更新されず Null のままとなりオンプレミス AD の情報とも不整合が生じた状態となります。

    この場合の対処としては、オンプレミス AD にて新 AD ユーザーの mail 属性値を変更して同期を行い、再度目的の値に戻して同期を行います。具体的な作業は次のとおりです。

      -
    • 新 AD ユーザーの mail 属性に一時的な値 (username-temp@contoso.com 等) をセットする
      • +
    • 新 AD ユーザーの mail 属性に一時的な値 (username-temp@contoso.com 等) をセットする
    • この状態で一度 AADC による同期を行い、一時的なメール アドレス値を新 AAD ユーザーの mail 属性に反映させる
      • -
    • 改めて新 AD ユーザーの mail 属性に本来セットしたかった値 (username@contoso.com 等) をセットする
      • +
    • 改めて新 AD ユーザーの mail 属性に本来セットしたかった値 (username@contoso.com 等) をセットする
    • 再度 AADC による同期を行い、本来の目的であるメール アドレス値を新 AAD ユーザーの mail 属性に反映させる

    そもそものお話として、上記のような症状が発生することが無いよう削除する情報を先に AAD に同期して、追加する情報は後から同期する運用をぜひ留意いただければ幸いです。
    以下の技術情報でも、AADC のアーキテクチャに関する情報を公開しておりますので、興味を持っていただけた方はぜひ併せてご参照ください。

    diff --git a/azure-active-directory-connect/password-writeback-overview/index.html b/azure-active-directory-connect/password-writeback-overview/index.html index 2d83e3055c4..378798ad681 100644 --- a/azure-active-directory-connect/password-writeback-overview/index.html +++ b/azure-active-directory-connect/password-writeback-overview/index.html @@ -26,7 +26,7 @@ - + @@ -169,7 +169,7 @@

    feedback - 共有 + 共有

    @@ -211,11 +211,11 @@

    ● Azure AD Connect サーバーのアプリケーション イベントログ

    PasswordResetService
    Event ID: 31001
    PasswordResetRequestStart, Details: user1@contoso.com

    +

    ● Azure AD Connect サーバーのアプリケーション イベントログ

    PasswordResetService
    Event ID: 31001
    PasswordResetRequestStart, Details: user1@contoso.com

    ADSync
    Event ID: 405
    Call sync ldap_bind for DomainName=CONTOSO.COM, UserName=MSOL_xxxxxxxxx.

    ADSync
    Event ID: 403
    ImpersonationHelper call LogonUser for DomainName=CONTOSO.COM, UserName=MSOL_xxxxxxxxx.

    ADSync
    Event ID: 405
    Call sync ldap_bind for DomainName=CONTOSO.COM, UserName=MSOL_xxxxxxxxx.

    -

    PasswordResetService
    Event ID: 31002
    TrackingId: xxxxxxxxx-xxxx-xxxxxxxxx-xxxxxxxxx, PasswordResetSuccess, Details: Context: cloudAnchor: User_xxxxxxxxx-xxxxxxxxx, SourceAnchorValue: xxxxxxxxxxxxxxxxxx, UserPrincipalName: user1@contoso.com, unblockUser: True

    +

    PasswordResetService
    Event ID: 31002
    TrackingId: xxxxxxxxx-xxxx-xxxxxxxxx-xxxxxxxxx, PasswordResetSuccess, Details: Context: cloudAnchor: User_xxxxxxxxx-xxxxxxxxx, SourceAnchorValue: xxxxxxxxxxxxxxxxxx, UserPrincipalName: user1@contoso.com, unblockUser: True

    ● Azure AD の監査ログ

    Self-service password reset flow activity progress
    User submitted a new password

    Reset user password

    Update StsRefreshTokenValidFrom Timestamp

    diff --git a/azure-active-directory-connect/port-used-by-aadc/index.html b/azure-active-directory-connect/port-used-by-aadc/index.html index 75367c6b71f..d10aee36057 100644 --- a/azure-active-directory-connect/port-used-by-aadc/index.html +++ b/azure-active-directory-connect/port-used-by-aadc/index.html @@ -20,7 +20,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory-connect/problem-cpu-usage-100-aadc-server/index.html b/azure-active-directory-connect/problem-cpu-usage-100-aadc-server/index.html index 1333be7ea88..fbe4f76e299 100644 --- a/azure-active-directory-connect/problem-cpu-usage-100-aadc-server/index.html +++ b/azure-active-directory-connect/problem-cpu-usage-100-aadc-server/index.html @@ -14,7 +14,7 @@ - + @@ -154,7 +154,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory-connect/seamless-sso/index.html b/azure-active-directory-connect/seamless-sso/index.html index 48d620c69a8..1aef02358fa 100644 --- a/azure-active-directory-connect/seamless-sso/index.html +++ b/azure-active-directory-connect/seamless-sso/index.html @@ -17,7 +17,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory-connect/upn-hard-match/index.html b/azure-active-directory-connect/upn-hard-match/index.html index d6c0d88b557..d72bbbf2ffb 100644 --- a/azure-active-directory-connect/upn-hard-match/index.html +++ b/azure-active-directory-connect/upn-hard-match/index.html @@ -17,7 +17,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/20180406-rca-azure-ad/index.html b/azure-active-directory/20180406-rca-azure-ad/index.html index 08959f13ed5..33e3ef51560 100644 --- a/azure-active-directory/20180406-rca-azure-ad/index.html +++ b/azure-active-directory/20180406-rca-azure-ad/index.html @@ -14,7 +14,7 @@ - + @@ -154,7 +154,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/20200928-rca-azure-ad/index.html b/azure-active-directory/20200928-rca-azure-ad/index.html index ce83ea20979..32562d32992 100644 --- a/azure-active-directory/20200928-rca-azure-ad/index.html +++ b/azure-active-directory/20200928-rca-azure-ad/index.html @@ -14,7 +14,7 @@ - + @@ -154,7 +154,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/20210318-rca-azure-ad/index.html b/azure-active-directory/20210318-rca-azure-ad/index.html index 03d4f0c8a44..1b67cd441b1 100644 --- a/azure-active-directory/20210318-rca-azure-ad/index.html +++ b/azure-active-directory/20210318-rca-azure-ad/index.html @@ -14,7 +14,7 @@ - + @@ -154,7 +154,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/2023-state-of-cloud-permissions-risks-report-now-published/index.html b/azure-active-directory/2023-state-of-cloud-permissions-risks-report-now-published/index.html index 3dfc2d1320e..6370a88a964 100644 --- a/azure-active-directory/2023-state-of-cloud-permissions-risks-report-now-published/index.html +++ b/azure-active-directory/2023-state-of-cloud-permissions-risks-report-now-published/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/3-ways-aad-ca-balances-security-and-productivity/index.html b/azure-active-directory/3-ways-aad-ca-balances-security-and-productivity/index.html index a37058c509f..174ca29eec1 100644 --- a/azure-active-directory/3-ways-aad-ca-balances-security-and-productivity/index.html +++ b/azure-active-directory/3-ways-aad-ca-balances-security-and-productivity/index.html @@ -14,7 +14,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/5-identity-priorities-for-2020/index.html b/azure-active-directory/5-identity-priorities-for-2020/index.html index b60a8fc3b0a..9e7d5fb8b2c 100644 --- a/azure-active-directory/5-identity-priorities-for-2020/index.html +++ b/azure-active-directory/5-identity-priorities-for-2020/index.html @@ -16,7 +16,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/Achieving-ZeroTrust-readiness-in-your-apps1-Why-it-matters/index.html b/azure-active-directory/Achieving-ZeroTrust-readiness-in-your-apps1-Why-it-matters/index.html index bfc56743767..05ab1967f5c 100644 --- a/azure-active-directory/Achieving-ZeroTrust-readiness-in-your-apps1-Why-it-matters/index.html +++ b/azure-active-directory/Achieving-ZeroTrust-readiness-in-your-apps1-Why-it-matters/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/Announcing-a-New-Azure-AD-part-of-Microsoft-Entra-region-in-Japan/index.html b/azure-active-directory/Announcing-a-New-Azure-AD-part-of-Microsoft-Entra-region-in-Japan/index.html index 35fa3405786..bbf7853c583 100644 --- a/azure-active-directory/Announcing-a-New-Azure-AD-part-of-Microsoft-Entra-region-in-Japan/index.html +++ b/azure-active-directory/Announcing-a-New-Azure-AD-part-of-Microsoft-Entra-region-in-Japan/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/AzureAD-Quota-enhancements/index.html b/azure-active-directory/AzureAD-Quota-enhancements/index.html index ef17a26144b..d209c0f22b4 100644 --- a/azure-active-directory/AzureAD-Quota-enhancements/index.html +++ b/azure-active-directory/AzureAD-Quota-enhancements/index.html @@ -17,7 +17,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/CloudKnox-acquisition-whats-available-now-and-whats-coming-soon/index.html b/azure-active-directory/CloudKnox-acquisition-whats-available-now-and-whats-coming-soon/index.html index ecb89de5722..c21094ac128 100644 --- a/azure-active-directory/CloudKnox-acquisition-whats-available-now-and-whats-coming-soon/index.html +++ b/azure-active-directory/CloudKnox-acquisition-whats-available-now-and-whats-coming-soon/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/GuestUser-Inventory/index.html b/azure-active-directory/GuestUser-Inventory/index.html index 5e891350525..97a63fc5603 100644 --- a/azure-active-directory/GuestUser-Inventory/index.html +++ b/azure-active-directory/GuestUser-Inventory/index.html @@ -30,7 +30,7 @@ - + @@ -173,7 +173,7 @@

    feedback - 共有 + 共有

    @@ -309,7 +309,7 @@

    アクセス レビューの作成手順

    アクセス レビューの実施 (セルフ レビュー編)

      -

    1. アクセス レビューが開始されると、レビュー対象者の元に azure-noreply@microsoft.com からメールが届くので、[レビューを開始する(Review Access)] をクリックします。

      +

    2. アクセス レビューが開始されると、レビュー対象者の元に azure-noreply@microsoft.com からメールが届くので、[レビューを開始する(Review Access)] をクリックします。

    3. 以下のような画面が表示されるので、セルフ レビューを実施します。

      @@ -326,7 +326,7 @@

      アクセス レビューの実施 (管理者編)

      上記まではゲスト ユーザー自身にレビューを実施してもらう手順となりますが、もしゲスト ユーザーの数が少ない場合などは管理者が代表してレビューを行うことも可能です。この場合の手順を後述します。

        -

      1. アクセス レビューが開始されると、レビュー対象者の元に azure-noreply@microsoft.com からメールが届くので、[レビューを開始する] をクリックします。

        +

      2. アクセス レビューが開始されると、レビュー対象者の元に azure-noreply@microsoft.com からメールが届くので、[レビューを開始する] をクリックします。

      3. ユーザーの状況を確認します。各ユーザーを選択すると、 [承認する] と [拒否] がクリックできるようになるので、承認もしくは拒否を指定します。

        diff --git a/azure-active-directory/Important-Update-to-deviceRegistrationPolicy-Resource-Type-for-MS-Graph-Beta-API-Version/index.html b/azure-active-directory/Important-Update-to-deviceRegistrationPolicy-Resource-Type-for-MS-Graph-Beta-API-Version/index.html index 84bf1d327ef..36956d70507 100644 --- a/azure-active-directory/Important-Update-to-deviceRegistrationPolicy-Resource-Type-for-MS-Graph-Beta-API-Version/index.html +++ b/azure-active-directory/Important-Update-to-deviceRegistrationPolicy-Resource-Type-for-MS-Graph-Beta-API-Version/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

        feedback - 共有 + 共有

    diff --git a/azure-active-directory/Introducing-More-Granular-Certificate-Based-Authentication-Configuration/index.html b/azure-active-directory/Introducing-More-Granular-Certificate-Based-Authentication-Configuration/index.html index 63d9d7b7346..44732d7c191 100644 --- a/azure-active-directory/Introducing-More-Granular-Certificate-Based-Authentication-Configuration/index.html +++ b/azure-active-directory/Introducing-More-Granular-Certificate-Based-Authentication-Configuration/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/MC862873-azure-portal-mfaenforcement-update-grace-period/index.html b/azure-active-directory/MC862873-azure-portal-mfaenforcement-update-grace-period/index.html index 7f6f37b93b3..cf60c404aa6 100644 --- a/azure-active-directory/MC862873-azure-portal-mfaenforcement-update-grace-period/index.html +++ b/azure-active-directory/MC862873-azure-portal-mfaenforcement-update-grace-period/index.html @@ -19,7 +19,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/MFA_configuration_scenarios/index.html b/azure-active-directory/MFA_configuration_scenarios/index.html index e1ae3ececbc..e6631b8dfb7 100644 --- a/azure-active-directory/MFA_configuration_scenarios/index.html +++ b/azure-active-directory/MFA_configuration_scenarios/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/Microsoft-Entra-ID-Governance-licensing-for-business-guests/index.html b/azure-active-directory/Microsoft-Entra-ID-Governance-licensing-for-business-guests/index.html index 01fb5cb0a86..5b56e90fd12 100644 --- a/azure-active-directory/Microsoft-Entra-ID-Governance-licensing-for-business-guests/index.html +++ b/azure-active-directory/Microsoft-Entra-ID-Governance-licensing-for-business-guests/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/Microsoft-Entra-change-announcements-June-2022-train/index.html b/azure-active-directory/Microsoft-Entra-change-announcements-June-2022-train/index.html index edcee50ca4e..24a1006e1d4 100644 --- a/azure-active-directory/Microsoft-Entra-change-announcements-June-2022-train/index.html +++ b/azure-active-directory/Microsoft-Entra-change-announcements-June-2022-train/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    @@ -189,7 +189,7 @@

    以下に、2022 年 6 月分として発表された機能変更の一覧をご紹介します。

    アプリの構成におけるアクセス許可の最大数

    マイクロソフトでは、直近でアプリ登録にて構成できるアクセス許可の最大数について、弊社が定めた制限が適用されるよう変更しました。この制限を超えたアプリはアクセス許可に対する同意を行うことができず、動作しない状態となります。2022 年 10 月 31日より、”requiredResourceAccess” 属性にすでに 400 以上アクセス許可を構成されているアプリは、この制限値以上のアクセス許可を追加することができなくなる予定です。現在アプリにすでに構成されているアクセス許可は維持されますが、新たにアクセス許可を追加するためには、合計数が弊社にて定められた制限値以下となるよう、アプリの所有者にて既存のアクセス許可を削除する必要があります。この対応を行うことで、お客様がアクセス許可に同意できずアプリが利用できない状態になることを回避可能となります。詳細については、アプリごとの要求されたアクセス許可の制限 および サポートされているアカウントの種類別の検証の相違点 をご参照ください。

    Directory.AccessAsUser.All における管理者の同意について

    2022 年 8 月 31 日より、すべてのサービスにおいて、”Directory.AccessAsUser.All” に対して、既定で管理者の同意を要求するようになります。Azure AD Graph (graph.windows.net) および Microsoft Graph (graph.microsoft.com) のいずれにおいてもアクセス許可が要求された場合は既定で管理者の同意が必要になります。以前は、特定のシナリオでは、既定で本アクセス許可に対して管理者の同意は不要でした。この変更は、新たな同意の要求にのみ影響し、セキュリティを向上させるとともに、”Directory.AccessAsUser.All” の挙動を現在のドキュメントの動作に合わせるものです。詳細については、アクセス許可スコープ をご参照ください。

    -

    グループ メール

    グループ関連のメール送信が、より新しく、向上したサービスに切り替わります。以下のシナリオにおけるグループ関連のメールは従来のままですが、新しいエイリアス (msgroupsteam@microsoft.com) から送信されるようになります:

    +

    グループ メール

    グループ関連のメール送信が、より新しく、向上したサービスに切り替わります。以下のシナリオにおけるグループ関連のメールは従来のままですが、新しいエイリアス (msgroupsteam@microsoft.com) から送信されるようになります:

    • Microsoft 365 グループの有効期限が切れる時
    • ユーザーが Microsoft 365 グループ またはセキュリティ グループへの参加を要求する時
      • diff --git a/azure-active-directory/Microsoft-Entra-change-announcements-November-2022-train/index.html b/azure-active-directory/Microsoft-Entra-change-announcements-November-2022-train/index.html index 0d3b28ce3df..ba30c0f30d6 100644 --- a/azure-active-directory/Microsoft-Entra-change-announcements-November-2022-train/index.html +++ b/azure-active-directory/Microsoft-Entra-change-announcements-November-2022-train/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

      feedback - 共有 + 共有

    diff --git a/azure-active-directory/Microsoft-Entra-change-announcements-September-2022-train/index.html b/azure-active-directory/Microsoft-Entra-change-announcements-September-2022-train/index.html index 93cd67fa5eb..b3d962d762c 100644 --- a/azure-active-directory/Microsoft-Entra-change-announcements-September-2022-train/index.html +++ b/azure-active-directory/Microsoft-Entra-change-announcements-September-2022-train/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/Remediate-User-Risks-in-Microsoft-Entra-ID-Protection-Through-On-premises-Password-Changes/index.html b/azure-active-directory/Remediate-User-Risks-in-Microsoft-Entra-ID-Protection-Through-On-premises-Password-Changes/index.html index 67e092a5ca5..4d331c285cb 100644 --- a/azure-active-directory/Remediate-User-Risks-in-Microsoft-Entra-ID-Protection-Through-On-premises-Password-Changes/index.html +++ b/azure-active-directory/Remediate-User-Risks-in-Microsoft-Entra-ID-Protection-Through-On-premises-Password-Changes/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/User-at-risk-detected/index.html b/azure-active-directory/User-at-risk-detected/index.html index f4ef4c9a118..f1569dbc69e 100644 --- a/azure-active-directory/User-at-risk-detected/index.html +++ b/azure-active-directory/User-at-risk-detected/index.html @@ -17,7 +17,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/Windows-Local-Administrator-Password-Solution-with-Microsoft-Entra-ID-now-Generally-Available!/index.html b/azure-active-directory/Windows-Local-Administrator-Password-Solution-with-Microsoft-Entra-ID-now-Generally-Available!/index.html index 9b8bf09e2a4..804d95e4178 100644 --- a/azure-active-directory/Windows-Local-Administrator-Password-Solution-with-Microsoft-Entra-ID-now-Generally-Available!/index.html +++ b/azure-active-directory/Windows-Local-Administrator-Password-Solution-with-Microsoft-Entra-ID-now-Generally-Available!/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/WorkPlaceJoin/index.html b/azure-active-directory/WorkPlaceJoin/index.html index 2d1aa52f1b3..ffcfe7c2d15 100644 --- a/azure-active-directory/WorkPlaceJoin/index.html +++ b/azure-active-directory/WorkPlaceJoin/index.html @@ -18,7 +18,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/aad-changes-impacting-azurecli-azureps/index.html b/azure-active-directory/aad-changes-impacting-azurecli-azureps/index.html index b8668cab2aa..e8f00df7584 100644 --- a/azure-active-directory/aad-changes-impacting-azurecli-azureps/index.html +++ b/azure-active-directory/aad-changes-impacting-azurecli-azureps/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/aad-token-lifetime/index.html b/azure-active-directory/aad-token-lifetime/index.html index a9c8dbc1a42..e435bd92292 100644 --- a/azure-active-directory/aad-token-lifetime/index.html +++ b/azure-active-directory/aad-token-lifetime/index.html @@ -24,7 +24,7 @@ - + @@ -167,7 +167,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/aadj-link-is-not-displayed/index.html b/azure-active-directory/aadj-link-is-not-displayed/index.html index 68bdf42faa6..0f9ccdc1b6b 100644 --- a/azure-active-directory/aadj-link-is-not-displayed/index.html +++ b/azure-active-directory/aadj-link-is-not-displayed/index.html @@ -22,7 +22,7 @@ - + @@ -166,7 +166,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/aadsts75011/index.html b/azure-active-directory/aadsts75011/index.html index 1f04125373a..d1febb9c60d 100644 --- a/azure-active-directory/aadsts75011/index.html +++ b/azure-active-directory/aadsts75011/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/about-baseline-policy-require-mfa-for-admins/index.html b/azure-active-directory/about-baseline-policy-require-mfa-for-admins/index.html index 83941419344..cd9e4e1710a 100644 --- a/azure-active-directory/about-baseline-policy-require-mfa-for-admins/index.html +++ b/azure-active-directory/about-baseline-policy-require-mfa-for-admins/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/about-rbac/index.html b/azure-active-directory/about-rbac/index.html index b85cfb2893a..7ba34b698d8 100644 --- a/azure-active-directory/about-rbac/index.html +++ b/azure-active-directory/about-rbac/index.html @@ -21,7 +21,7 @@ - + @@ -163,7 +163,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/about-staged-rollout/index.html b/azure-active-directory/about-staged-rollout/index.html index 49c13882bb4..f3872b1cb71 100644 --- a/azure-active-directory/about-staged-rollout/index.html +++ b/azure-active-directory/about-staged-rollout/index.html @@ -18,7 +18,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/access-azure-resources-from-software-workload-in-different/index.html b/azure-active-directory/access-azure-resources-from-software-workload-in-different/index.html index cd0ca7e412d..3ec0b84e8e9 100644 --- a/azure-active-directory/access-azure-resources-from-software-workload-in-different/index.html +++ b/azure-active-directory/access-azure-resources-from-software-workload-in-different/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/access-management-with-access-package/index.html b/azure-active-directory/access-management-with-access-package/index.html index 79dc06bbf90..d70b292874e 100644 --- a/azure-active-directory/access-management-with-access-package/index.html +++ b/azure-active-directory/access-management-with-access-package/index.html @@ -26,7 +26,7 @@ - + @@ -169,7 +169,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/access-package-with-custom-extension/index.html b/azure-active-directory/access-package-with-custom-extension/index.html index 269abec4897..df595a5ad74 100644 --- a/azure-active-directory/access-package-with-custom-extension/index.html +++ b/azure-active-directory/access-package-with-custom-extension/index.html @@ -59,7 +59,7 @@ - + @@ -201,7 +201,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/access-restriction-azure-portal/index.html b/azure-active-directory/access-restriction-azure-portal/index.html index 791c2a676b4..56442a48528 100644 --- a/azure-active-directory/access-restriction-azure-portal/index.html +++ b/azure-active-directory/access-restriction-azure-portal/index.html @@ -18,7 +18,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/achieve-a-least-privilege-model-using-azure-ad-s-new-multi-stage/index.html b/azure-active-directory/achieve-a-least-privilege-model-using-azure-ad-s-new-multi-stage/index.html index d9cc9eb5c54..84941f6a96b 100644 --- a/azure-active-directory/achieve-a-least-privilege-model-using-azure-ad-s-new-multi-stage/index.html +++ b/azure-active-directory/achieve-a-least-privilege-model-using-azure-ad-s-new-multi-stage/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/achieving-zero-trust-readiness-in-your-apps-2-designing-for-least-privilege/index.html b/azure-active-directory/achieving-zero-trust-readiness-in-your-apps-2-designing-for-least-privilege/index.html index 45099318fa1..1f4d717b9e8 100644 --- a/azure-active-directory/achieving-zero-trust-readiness-in-your-apps-2-designing-for-least-privilege/index.html +++ b/azure-active-directory/achieving-zero-trust-readiness-in-your-apps-2-designing-for-least-privilege/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/act-fast-by-moving-to-tls-1-2/index.html b/azure-active-directory/act-fast-by-moving-to-tls-1-2/index.html index f19b9d14dd2..ae5913d1547 100644 --- a/azure-active-directory/act-fast-by-moving-to-tls-1-2/index.html +++ b/azure-active-directory/act-fast-by-moving-to-tls-1-2/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/act-now-turn-on-or-customize-microsoft-managed-conditional-access-policies/index.html b/azure-active-directory/act-now-turn-on-or-customize-microsoft-managed-conditional-access-policies/index.html index b9cff7c65a8..caf37f4c0b9 100644 --- a/azure-active-directory/act-now-turn-on-or-customize-microsoft-managed-conditional-access-policies/index.html +++ b/azure-active-directory/act-now-turn-on-or-customize-microsoft-managed-conditional-access-policies/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/add-modify-delete-directory/index.html b/azure-active-directory/add-modify-delete-directory/index.html index 98477f3b327..d0c55f61582 100644 --- a/azure-active-directory/add-modify-delete-directory/index.html +++ b/azure-active-directory/add-modify-delete-directory/index.html @@ -18,7 +18,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    @@ -250,7 +250,7 @@

    temp@conotoso.onmicrosoft.com

    +

    例) 削除対象のディレクトリ名が contoso.onmicrosoft.com の場合: temp@conotoso.onmicrosoft.com

  • 手順 5. で作成したグローバル管理者のアカウントで https://portal.azure.com にサインインします。

    • diff --git a/azure-active-directory/addressing-data-exfiltration-token-theft-talk/index.html b/azure-active-directory/addressing-data-exfiltration-token-theft-talk/index.html index dbda63659d6..7b7af0a738e 100644 --- a/azure-active-directory/addressing-data-exfiltration-token-theft-talk/index.html +++ b/azure-active-directory/addressing-data-exfiltration-token-theft-talk/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/advances-in-azure-ad-resilience/index.html b/azure-active-directory/advances-in-azure-ad-resilience/index.html index bbaddf36353..493b470b295 100644 --- a/azure-active-directory/advances-in-azure-ad-resilience/index.html +++ b/azure-active-directory/advances-in-azure-ad-resilience/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/advancing-cybersecurity-the-latest-enhancement-in-phishing-resistant-authentication/index.html b/azure-active-directory/advancing-cybersecurity-the-latest-enhancement-in-phishing-resistant-authentication/index.html index 8a603a78fdb..85eb03d47d8 100644 --- a/azure-active-directory/advancing-cybersecurity-the-latest-enhancement-in-phishing-resistant-authentication/index.html +++ b/azure-active-directory/advancing-cybersecurity-the-latest-enhancement-in-phishing-resistant-authentication/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/advancing-modern-strong-authentication/index.html b/azure-active-directory/advancing-modern-strong-authentication/index.html index 4af0cc8f9db..ba3f996722d 100644 --- a/azure-active-directory/advancing-modern-strong-authentication/index.html +++ b/azure-active-directory/advancing-modern-strong-authentication/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/all-your-creds-are-belong-to-us/index.html b/azure-active-directory/all-your-creds-are-belong-to-us/index.html index 8e22042852f..53fd34f35a8 100644 --- a/azure-active-directory/all-your-creds-are-belong-to-us/index.html +++ b/azure-active-directory/all-your-creds-are-belong-to-us/index.html @@ -17,7 +17,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/android-grayed-out/index.html b/azure-active-directory/android-grayed-out/index.html index a49759d0c88..2ae6ef41952 100644 --- a/azure-active-directory/android-grayed-out/index.html +++ b/azure-active-directory/android-grayed-out/index.html @@ -22,7 +22,7 @@ - + @@ -165,7 +165,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/announcement-of-otp/index.html b/azure-active-directory/announcement-of-otp/index.html index 1901f71ac6b..70fb9491c5b 100644 --- a/azure-active-directory/announcement-of-otp/index.html +++ b/azure-active-directory/announcement-of-otp/index.html @@ -17,7 +17,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    @@ -179,18 +179,18 @@

    今回の影響は、フローの 9 において セルフサービスサインアップアカウントが作成される場合においてユーザーのホーム テナントが存在しない場合、あるいは検証済みのテナントではない場合に生じます。

    -

    フロー 9 について abc.onmicrosoft.com というテナントに user1@contoso.com というユーザーを招待しようとしたときを例に説明します。

    +

    フロー 9 について abc.onmicrosoft.com というテナントに user1@contoso.com というユーザーを招待しようとしたときを例に説明します。

    パターン 1 :

    • <前提条件>
    -

    Azure AD にカスタム ドメインとして contoso.com というドメイン名を登録したテナントがすでに存在している。
    contoso.com ドメイン名を登録したテナントには user1@contoso.com は存在しない。

    +

    Azure AD にカスタム ドメインとして contoso.com というドメイン名を登録したテナントがすでに存在している。
    contoso.com ドメイン名を登録したテナントには user1@contoso.com は存在しない。

      -
    • <動作>
      contoso.com が紐づいている Azure AD 上に user1@contoso.com が自動で作成されます。この動作は 2021 年 10 月以降も変わりません。
      • +
    • <動作>
      contoso.com が紐づいている Azure AD 上に user1@contoso.com が自動で作成されます。この動作は 2021 年 10 月以降も変わりません。

    パターン 2 :

      -

    • <前提条件>
      Azure AD にカスタム ドメインとして contoso.com というドメイン名を登録したテナントが存在していない。
      user1@contoso.com は Azure AD のアカウントとして Azure AD のどのテナントにも存在しない。

      +

    • <前提条件>
      Azure AD にカスタム ドメインとして contoso.com というドメイン名を登録したテナントが存在していない。
      user1@contoso.com は Azure AD のアカウントとして Azure AD のどのテナントにも存在しない。

      • -

    • <動作>
      現状は contoso.com が紐づくセルフ サインアップ テナントが自動で作成され、その自動で作成されたテナントに user1@contoso.com が自動で作成されます。2021 年 10 月以降は、このパターンでの自動テナント作成が行われなくなり、結果的にゲスト ユーザーの招待は失敗する見込みです。

      +

    • <動作>
      現状は contoso.com が紐づくセルフ サインアップ テナントが自動で作成され、その自動で作成されたテナントに user1@contoso.com が自動で作成されます。2021 年 10 月以降は、このパターンでの自動テナント作成が行われなくなり、結果的にゲスト ユーザーの招待は失敗する見込みです。

    なお、セルフサービス サインアップとは、電子メール ドメインに基づいた ID がどの Azure AD にも存在しない場合に自動でユーザーが作成されることを指します。
    後述に関連する公開情報もございますので、必要に応じご確認いただけると幸いです。

    diff --git a/azure-active-directory/announcing-account-switching-for-microsoft-365-web-apps/index.html b/azure-active-directory/announcing-account-switching-for-microsoft-365-web-apps/index.html index 6f31cb31cda..932b752a14c 100644 --- a/azure-active-directory/announcing-account-switching-for-microsoft-365-web-apps/index.html +++ b/azure-active-directory/announcing-account-switching-for-microsoft-365-web-apps/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/announcing-general-availability-of-microsoft-entra-external-id/index.html b/azure-active-directory/announcing-general-availability-of-microsoft-entra-external-id/index.html index fa5b5a75145..2434a24125e 100644 --- a/azure-active-directory/announcing-general-availability-of-microsoft-entra-external-id/index.html +++ b/azure-active-directory/announcing-general-availability-of-microsoft-entra-external-id/index.html @@ -19,7 +19,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/announcing-improved-identity-protection-signal-quality-and/index.html b/azure-active-directory/announcing-improved-identity-protection-signal-quality-and/index.html index 7f50da05d30..fb645b4006d 100644 --- a/azure-active-directory/announcing-improved-identity-protection-signal-quality-and/index.html +++ b/azure-active-directory/announcing-improved-identity-protection-signal-quality-and/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/app-service-auth-multi-tenant/index.html b/azure-active-directory/app-service-auth-multi-tenant/index.html index 96a76e267ca..131057ffb07 100644 --- a/azure-active-directory/app-service-auth-multi-tenant/index.html +++ b/azure-active-directory/app-service-auth-multi-tenant/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    @@ -196,7 +196,7 @@

    test@contoso.com +test@contoso.com X-MS-CLIENT-PRINCIPAL-ID @@ -210,7 +210,7 @@

    test@fabrikam.com) を入力して、招待ボタンを押します。 +
  • 招待したい外部校テナントのユーザーの E メール アドレス (test@fabrikam.com) を入力して、招待ボタンを押します。
  • 指定されたユーザーで招待メールが届いているかを確認します。
  • 招待メールを受け取ったユーザーは、メールに従い招待の処理を完了します。
    • diff --git a/azure-active-directory/aspdotnet-from-v1-to-v2/index.html b/azure-active-directory/aspdotnet-from-v1-to-v2/index.html index 489b974c3f7..5560d7e78b9 100644 --- a/azure-active-directory/aspdotnet-from-v1-to-v2/index.html +++ b/azure-active-directory/aspdotnet-from-v1-to-v2/index.html @@ -19,7 +19,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/authentication-strength-choose-the-right-auth-method-for-your/index.html b/azure-active-directory/authentication-strength-choose-the-right-auth-method-for-your/index.html index e1bba6be29f..a2d40704179 100644 --- a/azure-active-directory/authentication-strength-choose-the-right-auth-method-for-your/index.html +++ b/azure-active-directory/authentication-strength-choose-the-right-auth-method-for-your/index.html @@ -17,7 +17,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    @@ -206,7 +206,7 @@

    https://aka.ms/authStrengthExternalUserdocs

    今後の予定

    今後、数週間のうちに、認証方法のポリシーに新しい制御方法を追加し、Azure AD で利用可能な認証方法を一箇所で簡単に管理できるようにする予定です。このアップデートにより、認証方式をよりきめ細やかに管理することが可能になります。たとえば、認証方法を全ユーザーでオン/オフにするのではなく、認証方法のスコープとして特定のグループを指定することができるようになります。これにより、すべてのシナリオで、SMS のような安全性の低い認証方法の使用を管理し、認証強度を使用してシナリオ固有の要件に対応することが可能になります。これらを組み合わせることで、パスワードレスかつフィッシング耐性のある未来へ踏み出すために必要な制御を行えるようになります。

    -

    ぜひ皆様にもお試しいただきたく思います。フィードバックは authstrengthfeedback@microsoft.com、Azure フォーラム、または Twitter で @AzureAD をタグ付けして、意見をお聞かせください。

    +

    ぜひ皆様にもお試しいただきたく思います。フィードバックは authstrengthfeedback@microsoft.com、Azure フォーラム、または Twitter で @AzureAD をタグ付けして、意見をお聞かせください。

    Inbar and Namrata

    diff --git a/azure-active-directory/authenticator-mobile-only-setup/index.html b/azure-active-directory/authenticator-mobile-only-setup/index.html index 5a4be5dd870..96a9008d660 100644 --- a/azure-active-directory/authenticator-mobile-only-setup/index.html +++ b/azure-active-directory/authenticator-mobile-only-setup/index.html @@ -32,7 +32,7 @@ - + @@ -175,7 +175,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/authenticator-setup/index.html b/azure-active-directory/authenticator-setup/index.html index c8948cac0bb..ffac4dc206f 100644 --- a/azure-active-directory/authenticator-setup/index.html +++ b/azure-active-directory/authenticator-setup/index.html @@ -35,7 +35,7 @@ - + @@ -178,7 +178,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/authorization-code-reuse/index.html b/azure-active-directory/authorization-code-reuse/index.html index 44257a349cb..33c0edb78f6 100644 --- a/azure-active-directory/authorization-code-reuse/index.html +++ b/azure-active-directory/authorization-code-reuse/index.html @@ -15,7 +15,7 @@ - + @@ -156,7 +156,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/auto-rollout-of-conditional-access-policies-in-microsoft-entra-id/index.html b/azure-active-directory/auto-rollout-of-conditional-access-policies-in-microsoft-entra-id/index.html index 5982f50803d..f17c5bbb16e 100644 --- a/azure-active-directory/auto-rollout-of-conditional-access-policies-in-microsoft-entra-id/index.html +++ b/azure-active-directory/auto-rollout-of-conditional-access-policies-in-microsoft-entra-id/index.html @@ -14,7 +14,7 @@ - + @@ -154,7 +154,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/autofill-your-addresses-and-payment-info-with-microsoft/index.html b/azure-active-directory/autofill-your-addresses-and-payment-info-with-microsoft/index.html index 2132400ea5e..4ca6de8591f 100644 --- a/azure-active-directory/autofill-your-addresses-and-payment-info-with-microsoft/index.html +++ b/azure-active-directory/autofill-your-addresses-and-payment-info-with-microsoft/index.html @@ -19,7 +19,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/automate-provisioning-and-governance-of-your-on-premises/index.html b/azure-active-directory/automate-provisioning-and-governance-of-your-on-premises/index.html index 748ce4f9c38..fb7873398f7 100644 --- a/azure-active-directory/automate-provisioning-and-governance-of-your-on-premises/index.html +++ b/azure-active-directory/automate-provisioning-and-governance-of-your-on-premises/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azure-ad-b2c-authorization-code-and-refresh-token-size-increase/index.html b/azure-active-directory/azure-ad-b2c-authorization-code-and-refresh-token-size-increase/index.html index 085aa997f38..1c14bc247e5 100644 --- a/azure-active-directory/azure-ad-b2c-authorization-code-and-refresh-token-size-increase/index.html +++ b/azure-active-directory/azure-ad-b2c-authorization-code-and-refresh-token-size-increase/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azure-ad-b2c-fundamentals/index.html b/azure-active-directory/azure-ad-b2c-fundamentals/index.html index 3bda3c3f764..76360296615 100644 --- a/azure-active-directory/azure-ad-b2c-fundamentals/index.html +++ b/azure-active-directory/azure-ad-b2c-fundamentals/index.html @@ -20,7 +20,7 @@ - + @@ -162,7 +162,7 @@

    feedback - 共有 + 共有

    @@ -249,14 +249,14 @@

    admin@contosob2c.onmicrosoft.com など) を作成いただき、グローバル管理者権限を付与することで、このユーザーを管理者としてご利用いただくことも可能です。その場合、直接 Azure AD B2C テナントにアクセスするためテナントの切り替えが不要となるほか、Graph Explorer などで Azure AD B2C テナントに対して API 呼び出しを実施いただくことも可能になります。このため、検証用に Azure AD B2C テナントに対しメンバー ユーザーとして管理ユーザーを作成いただくことをお勧めします。

    +

    なお、Azure ポータルから Azure AD B2C テナントにアクセスしてユーザー (admin@contosob2c.onmicrosoft.com など) を作成いただき、グローバル管理者権限を付与することで、このユーザーを管理者としてご利用いただくことも可能です。その場合、直接 Azure AD B2C テナントにアクセスするためテナントの切り替えが不要となるほか、Graph Explorer などで Azure AD B2C テナントに対して API 呼び出しを実施いただくことも可能になります。このため、検証用に Azure AD B2C テナントに対しメンバー ユーザーとして管理ユーザーを作成いただくことをお勧めします。

    Azure AD B2C のコンシューマー ユーザー アカウントとはなんですか

    Azure AD B2C のサインアップ フローで作成されたアカウントは、コンシューマー ユーザー アカウントと呼ばれます。コンシューマー ユーザー アカウントは、サインアップ フロー以外に Azure ポータル、あるいは Microsoft Graph API を利用して作成することが可能です。

    技術的にはコンシューマー アカウントは、連携している IdP のアカウント情報、またはローカル アカウントのメール アドレスを “ID プロパティ” として保持しています。ID プロパティ (identities 属性) のほか、表示名 (DisplayName) や拡張属性 (extension) を Microsoft Graph API を利用することで編集、またはユーザーの新規作成を行うことが可能です。

    詳細については、以下の公開情報をご確認ください。

    -

    Azure AD B2C の職場アカウント (管理ユーザー) とは何ですか

    Azure AD B2C テナントにはコンシューマー ユーザー以外にも、管理用の Azure AD ユーザーを登録することが可能です。これらの職場アカウント (B2B ゲストユーザーを含む) は管理ユーザーとして Azure AD を直接利用することができ、Azure ポータルにサインインをしユーザーを操作を行う、Microsoft Graph API を呼び出すといったことが可能です。上記の admin@contosob2c.onmicrosoft.com がこの例に該当します。

    +

    Azure AD B2C の職場アカウント (管理ユーザー) とは何ですか

    Azure AD B2C テナントにはコンシューマー ユーザー以外にも、管理用の Azure AD ユーザーを登録することが可能です。これらの職場アカウント (B2B ゲストユーザーを含む) は管理ユーザーとして Azure AD を直接利用することができ、Azure ポータルにサインインをしユーザーを操作を行う、Microsoft Graph API を呼び出すといったことが可能です。上記の admin@contosob2c.onmicrosoft.com がこの例に該当します。

    diff --git a/azure-active-directory/azure-ad-certificate-based-authentication-cba-on-mobile-now/index.html b/azure-active-directory/azure-ad-certificate-based-authentication-cba-on-mobile-now/index.html index 73c70e1d56a..0220c350919 100644 --- a/azure-active-directory/azure-ad-certificate-based-authentication-cba-on-mobile-now/index.html +++ b/azure-active-directory/azure-ad-certificate-based-authentication-cba-on-mobile-now/index.html @@ -21,7 +21,7 @@ - + @@ -162,7 +162,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azure-ad-certificate-based-authentication-cba-on-mobile/index.html b/azure-active-directory/azure-ad-certificate-based-authentication-cba-on-mobile/index.html index 45f7dddb561..f11da3fc6a9 100644 --- a/azure-active-directory/azure-ad-certificate-based-authentication-cba-on-mobile/index.html +++ b/azure-active-directory/azure-ad-certificate-based-authentication-cba-on-mobile/index.html @@ -19,7 +19,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azure-ad-certificate-based-authentication-now-in-public-preview/index.html b/azure-active-directory/azure-ad-certificate-based-authentication-now-in-public-preview/index.html index 9c65124753d..055ae3e8e4c 100644 --- a/azure-active-directory/azure-ad-certificate-based-authentication-now-in-public-preview/index.html +++ b/azure-active-directory/azure-ad-certificate-based-authentication-now-in-public-preview/index.html @@ -17,7 +17,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azure-ad-change-management-simplified/index.html b/azure-active-directory/azure-ad-change-management-simplified/index.html index 2b443a8073d..83066bd41ea 100644 --- a/azure-active-directory/azure-ad-change-management-simplified/index.html +++ b/azure-active-directory/azure-ad-change-management-simplified/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azure-ad-consent-framework-advance/index.html b/azure-active-directory/azure-ad-consent-framework-advance/index.html index ce0409914b6..599b8e3ddad 100644 --- a/azure-active-directory/azure-ad-consent-framework-advance/index.html +++ b/azure-active-directory/azure-ad-consent-framework-advance/index.html @@ -21,7 +21,7 @@ - + @@ -164,7 +164,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azure-ad-consent-framework/index.html b/azure-active-directory/azure-ad-consent-framework/index.html index a072d5c0fbb..d7e00ecbd73 100644 --- a/azure-active-directory/azure-ad-consent-framework/index.html +++ b/azure-active-directory/azure-ad-consent-framework/index.html @@ -33,7 +33,7 @@ - + @@ -176,7 +176,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azure-ad-ds-qa/index.html b/azure-active-directory/azure-ad-ds-qa/index.html index b055634b481..2d2177faa5f 100644 --- a/azure-active-directory/azure-ad-ds-qa/index.html +++ b/azure-active-directory/azure-ad-ds-qa/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    @@ -187,7 +187,7 @@

    以下それぞれの詳細です。

    1. ユーザー名・パスワードが誤っている

    ドメイン参加時に指定したアカウントが Azure AD Domain Services に同期されているアカウントであるか、並びにパスワードが正しいかをご確認ください。
    いずれも問題がない場合には一度 Azure AD 上でパスワードの変更・リセットをご実施ください。

    -

    また、 Azure AD Domain Services に Azure AD から同期したユーザーでサインインを試行する場合には、 NetBIOS 形式 (contoso\user) ではなく、 UPN 形式 (user@contoso.onmicrosoft.com 等) でサインインしてください。
    Azure AD から Azure AD Domain Services に同期したユーザーは Azure AD の UPN と同じ UPN を持ちます。
    NetBIOS 名の場合、名前の長さなどが要因で Azure AD 上のユーザー名と異なる名前が設定されている可能性があります。

    +

    また、 Azure AD Domain Services に Azure AD から同期したユーザーでサインインを試行する場合には、 NetBIOS 形式 (contoso\user) ではなく、 UPN 形式 (user@contoso.onmicrosoft.com 等) でサインインしてください。
    Azure AD から Azure AD Domain Services に同期したユーザーは Azure AD の UPN と同じ UPN を持ちます。
    NetBIOS 名の場合、名前の長さなどが要因で Azure AD 上のユーザー名と異なる名前が設定されている可能性があります。

    Azure AD から Azure AD Domain Services に同期される属性や内容は次のリンクの情報を参照ください。

    属性の同期と Azure AD DS へのマッピング

    2. Azure AD Domain Services を構築する前から Azure AD 上に存在するユーザーを利用している (そしてパスワード ハッシュが Azure AD Domain Services に同期されていない)

    diff --git a/azure-active-directory/azure-ad-ds-scenario/index.html b/azure-active-directory/azure-ad-ds-scenario/index.html index 388847ec718..8c536066fcc 100644 --- a/azure-active-directory/azure-ad-ds-scenario/index.html +++ b/azure-active-directory/azure-ad-ds-scenario/index.html @@ -15,7 +15,7 @@ - + @@ -156,7 +156,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azure-ad-endpoints/index.html b/azure-active-directory/azure-ad-endpoints/index.html index 98b22614a62..a7e6ee4f39b 100644 --- a/azure-active-directory/azure-ad-endpoints/index.html +++ b/azure-active-directory/azure-ad-endpoints/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azure-ad-get-lastSignInDateTime/index.html b/azure-active-directory/azure-ad-get-lastSignInDateTime/index.html index 217a868f13c..94a6d69e51e 100644 --- a/azure-active-directory/azure-ad-get-lastSignInDateTime/index.html +++ b/azure-active-directory/azure-ad-get-lastSignInDateTime/index.html @@ -14,7 +14,7 @@ - + @@ -156,7 +156,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azure-ad-go-local-data-residency-goes-public-preview-in-japan/index.html b/azure-active-directory/azure-ad-go-local-data-residency-goes-public-preview-in-japan/index.html index ce9e1f65ca0..abe607a9d98 100644 --- a/azure-active-directory/azure-ad-go-local-data-residency-goes-public-preview-in-japan/index.html +++ b/azure-active-directory/azure-ad-go-local-data-residency-goes-public-preview-in-japan/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azure-ad-graph-api-retirement/index.html b/azure-active-directory/azure-ad-graph-api-retirement/index.html index 6ff64138c5a..891daf46d5e 100644 --- a/azure-active-directory/azure-ad-graph-api-retirement/index.html +++ b/azure-active-directory/azure-ad-graph-api-retirement/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azure-ad-join-vs-azure-ad-device-registration/index.html b/azure-active-directory/azure-ad-join-vs-azure-ad-device-registration/index.html index 53ab698aa06..38587b4449a 100644 --- a/azure-active-directory/azure-ad-join-vs-azure-ad-device-registration/index.html +++ b/azure-active-directory/azure-ad-join-vs-azure-ad-device-registration/index.html @@ -18,7 +18,7 @@ - + @@ -163,7 +163,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azure-ad-provisioning/index.html b/azure-active-directory/azure-ad-provisioning/index.html index df957001ddd..1311a330fec 100644 --- a/azure-active-directory/azure-ad-provisioning/index.html +++ b/azure-active-directory/azure-ad-provisioning/index.html @@ -19,7 +19,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azure-ad-provisioning2/index.html b/azure-active-directory/azure-ad-provisioning2/index.html index 1831fbded82..5980bd481ee 100644 --- a/azure-active-directory/azure-ad-provisioning2/index.html +++ b/azure-active-directory/azure-ad-provisioning2/index.html @@ -19,7 +19,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azure-ad-purchase/index.html b/azure-active-directory/azure-ad-purchase/index.html index 87e43c92aa5..9a4ae40b3c9 100644 --- a/azure-active-directory/azure-ad-purchase/index.html +++ b/azure-active-directory/azure-ad-purchase/index.html @@ -14,7 +14,7 @@ - + @@ -154,7 +154,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azure-ad-rbac-custom-roles-amp-administrative-units-for-devices/index.html b/azure-active-directory/azure-ad-rbac-custom-roles-amp-administrative-units-for-devices/index.html index d9dd9ea87c2..6a7063fff85 100644 --- a/azure-active-directory/azure-ad-rbac-custom-roles-amp-administrative-units-for-devices/index.html +++ b/azure-active-directory/azure-ad-rbac-custom-roles-amp-administrative-units-for-devices/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azure-ad-rbac-dynamic-administrative-units-now-in-public-preview/index.html b/azure-active-directory/azure-ad-rbac-dynamic-administrative-units-now-in-public-preview/index.html index a11772d3d28..516a44cbb67 100644 --- a/azure-active-directory/azure-ad-rbac-dynamic-administrative-units-now-in-public-preview/index.html +++ b/azure-active-directory/azure-ad-rbac-dynamic-administrative-units-now-in-public-preview/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azure-ad-rename-rollout/index.html b/azure-active-directory/azure-ad-rename-rollout/index.html index 2c4361e9515..b3b5f43acbb 100644 --- a/azure-active-directory/azure-ad-rename-rollout/index.html +++ b/azure-active-directory/azure-ad-rename-rollout/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azure-ad-reporting-api/index.html b/azure-active-directory/azure-ad-reporting-api/index.html index 157a90d1bb3..932dd79727b 100644 --- a/azure-active-directory/azure-ad-reporting-api/index.html +++ b/azure-active-directory/azure-ad-reporting-api/index.html @@ -16,7 +16,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azure-ad-security-defaults/index.html b/azure-active-directory/azure-ad-security-defaults/index.html index 9bcff343e38..b00a5f1b6c7 100644 --- a/azure-active-directory/azure-ad-security-defaults/index.html +++ b/azure-active-directory/azure-ad-security-defaults/index.html @@ -21,7 +21,7 @@ - + @@ -162,7 +162,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azure-ad-sign-in-experience/index.html b/azure-active-directory/azure-ad-sign-in-experience/index.html index b4df69f7e27..d901cbecc25 100644 --- a/azure-active-directory/azure-ad-sign-in-experience/index.html +++ b/azure-active-directory/azure-ad-sign-in-experience/index.html @@ -21,7 +21,7 @@ - + @@ -162,7 +162,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azure-mfa-timing/index.html b/azure-active-directory/azure-mfa-timing/index.html index e59d0001503..1a4286d4e7d 100644 --- a/azure-active-directory/azure-mfa-timing/index.html +++ b/azure-active-directory/azure-mfa-timing/index.html @@ -17,7 +17,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azuread-access-denied/index.html b/azure-active-directory/azuread-access-denied/index.html index 53b969f8da3..8de78e9c6ff 100644 --- a/azure-active-directory/azuread-access-denied/index.html +++ b/azure-active-directory/azuread-access-denied/index.html @@ -16,7 +16,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azuread-b2b-troubleshooting/index.html b/azure-active-directory/azuread-b2b-troubleshooting/index.html index 1c781d75f00..db355066b5f 100644 --- a/azure-active-directory/azuread-b2b-troubleshooting/index.html +++ b/azure-active-directory/azuread-b2b-troubleshooting/index.html @@ -19,7 +19,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    @@ -177,7 +177,7 @@

    招待 E メールは下記のようなメールです。

    -

    アドレス: invites@microsoft.com
    件名: 組織内のアプリケーションにアクセスするための <招待者> さんからの招待

    +

    アドレス: invites@microsoft.com
    件名: 組織内のアプリケーションにアクセスするための <招待者> さんからの招待

    Note

    件名に招待者の名前がない場合、ProxyAddresses 属性に値が入っていないユーザーで招待操作を行ったことが考えられます。この場合、特定のユーザー名の代わりにテナント名が記載されます。

    もし、招待されたユーザーが E メールを利用できない場合や、E メール ボックスの作成前の場合は、招待の再送信後に表示される下記、「招待 URL ※」をコピーして、何らかの手段でその URL を招待されたユーザーにお渡しください。招待されたユーザーは、その URL にブラウザーからアクセスすることで招待の完了作業を進めることができます。

    @@ -191,9 +191,9 @@

    おわりに

    上記内容でもご要望の動作が完了しない場合は、ぜひ弊社サポート サービスをご利用ください。その際は下記の情報を事前にご提供いただけると幸いです。

    • 招待操作を行ったテナント名 (例: xxx.onmicrosoft.com)
      • -
    • 招待操作を行ったユーザー名 (例: xxx@contoso.com)
      • +
    • 招待操作を行ったユーザー名 (例: xxx@contoso.com)
    • 招待操作を行った時刻
      • -
    • 招待されるユーザーの E メールアドレス (例: xxx@fabrikam.com)
      • +
    • 招待されるユーザーの E メールアドレス (例: xxx@fabrikam.com)
    • 問題となっている状況の詳細と画面ショット

    例としては、「招待 E メールが届かない」、「招待 E メールは届くが招待の操作が完了しない」、「招待は完了したが、その後に目的のリソースにアクセスできない」などが挙げられます。それぞれ、上記の情報を添えてお問い合わせを発行いただけますと幸いです。

    diff --git a/azure-active-directory/azuread-clientsecrets-202104/index.html b/azure-active-directory/azuread-clientsecrets-202104/index.html index ee8c5157674..867102ae28f 100644 --- a/azure-active-directory/azuread-clientsecrets-202104/index.html +++ b/azure-active-directory/azuread-clientsecrets-202104/index.html @@ -15,7 +15,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azuread-module-retirement1/index.html b/azure-active-directory/azuread-module-retirement1/index.html index 676ef5f99b3..3e9633c1dc6 100644 --- a/azure-active-directory/azuread-module-retirement1/index.html +++ b/azure-active-directory/azuread-module-retirement1/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azuread-module-retirement2/index.html b/azure-active-directory/azuread-module-retirement2/index.html index d9aa47bab79..941584adcf6 100644 --- a/azure-active-directory/azuread-module-retirement2/index.html +++ b/azure-active-directory/azuread-module-retirement2/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azuread-module-retirement3/index.html b/azure-active-directory/azuread-module-retirement3/index.html index 06fc9f0d9bf..52ee26e8113 100644 --- a/azure-active-directory/azuread-module-retirement3/index.html +++ b/azure-active-directory/azuread-module-retirement3/index.html @@ -17,7 +17,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azuread-module-retirement4/index.html b/azure-active-directory/azuread-module-retirement4/index.html index d3b7ffea078..0ff0816eb71 100644 --- a/azure-active-directory/azuread-module-retirement4/index.html +++ b/azure-active-directory/azuread-module-retirement4/index.html @@ -26,7 +26,7 @@ - + @@ -168,7 +168,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azuread-module-retirement5/index.html b/azure-active-directory/azuread-module-retirement5/index.html index 6d8cfa0328f..3356925753e 100644 --- a/azure-active-directory/azuread-module-retirement5/index.html +++ b/azure-active-directory/azuread-module-retirement5/index.html @@ -25,7 +25,7 @@ - + @@ -167,7 +167,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azuread-module-retirement6/index.html b/azure-active-directory/azuread-module-retirement6/index.html index f8b54bc675c..2ebc18fc724 100644 --- a/azure-active-directory/azuread-module-retirement6/index.html +++ b/azure-active-directory/azuread-module-retirement6/index.html @@ -28,7 +28,7 @@ - + @@ -169,7 +169,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azuread-user-group-limitation/index.html b/azure-active-directory/azuread-user-group-limitation/index.html index 104230b4f22..6ac0da41a54 100644 --- a/azure-active-directory/azuread-user-group-limitation/index.html +++ b/azure-active-directory/azuread-user-group-limitation/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/b2b-invitation/index.html b/azure-active-directory/b2b-invitation/index.html index 7662648a509..4da9f44428c 100644 --- a/azure-active-directory/b2b-invitation/index.html +++ b/azure-active-directory/b2b-invitation/index.html @@ -15,7 +15,7 @@ - + @@ -156,7 +156,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/b2b-mfa/index.html b/azure-active-directory/b2b-mfa/index.html index 500dc755ef1..859b111b8ba 100644 --- a/azure-active-directory/b2b-mfa/index.html +++ b/azure-active-directory/b2b-mfa/index.html @@ -18,7 +18,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/b2bfaq/index.html b/azure-active-directory/b2bfaq/index.html index 22b16f5489a..9f27dad0297 100644 --- a/azure-active-directory/b2bfaq/index.html +++ b/azure-active-directory/b2bfaq/index.html @@ -32,7 +32,7 @@ - + @@ -174,7 +174,7 @@

    feedback - 共有 + 共有

    @@ -193,18 +193,18 @@

    Q. ゲスト ユーザーを 2 人招待したはずなのに、 1 人分しかゲスト ユーザー オブジェクトが作成されませんでした。なぜですか?

    A. ホーム テナント側で招待に使用した 2 つの E メール アドレスが同じ 1 つのアカウントに紐づいているために、 新しいゲスト ユーザー オブジェクトが作成されなかったことが考えられます。

    -

    たとえば、user1@adatum.comuser1_tokyo@adatum.com という二つの異なる E メール アドレスが、どちらも同じユーザー アカウントに紐づいているとします。具体的には、どちらの E メール アドレスに E メールを送信しても同じユーザーに届く状態です。このような状態で、まず user1@adatum.com を招待するとそのテナント上にゲスト ユーザー オブジェクトが作成されます。その後、同じテナント上でさらに user1_tokyo@adatum.com を招待しても、新しいゲスト ユーザー オブジェクトは作成されません。これはこれら二つの E メール アドレスの実体が一つのユーザー オブジェクトであるからです。

    -

    より詳細には、user1@adatum.com のゲスト ユーザーがいる状態で、Azure ポータルの画面から user1_tokyo@adatum.com のアドレスを招待すると、以下のような動作となります (2023/4/28 現在)。

    +

    たとえば、user1@adatum.comuser1_tokyo@adatum.com という二つの異なる E メール アドレスが、どちらも同じユーザー アカウントに紐づいているとします。具体的には、どちらの E メール アドレスに E メールを送信しても同じユーザーに届く状態です。このような状態で、まず user1@adatum.com を招待するとそのテナント上にゲスト ユーザー オブジェクトが作成されます。その後、同じテナント上でさらに user1_tokyo@adatum.com を招待しても、新しいゲスト ユーザー オブジェクトは作成されません。これはこれら二つの E メール アドレスの実体が一つのユーザー オブジェクトであるからです。

    +

    より詳細には、user1@adatum.com のゲスト ユーザーがいる状態で、Azure ポータルの画面から user1_tokyo@adatum.com のアドレスを招待すると、以下のような動作となります (2023/4/28 現在)。

    -

    なお、上記のとおり、この動作はホーム テナント側でユーザー アカウントがどのような状態になっているかで決まります。そのため、アドレスのドメイン名や名前のみで一概に決まるものではございません。例えば、test1@contoso.comtest@contoso.jp という一見似たような E メール アドレスであっても、これらの E メール アドレスがホーム テナントで別々のユーザーに登録されていれば、ゲスト ユーザー オブジェクトは通常どおり 2 つ作成されます。

    +

    なお、上記のとおり、この動作はホーム テナント側でユーザー アカウントがどのような状態になっているかで決まります。そのため、アドレスのドメイン名や名前のみで一概に決まるものではございません。例えば、test1@contoso.comtest@contoso.jp という一見似たような E メール アドレスであっても、これらの E メール アドレスがホーム テナントで別々のユーザーに登録されていれば、ゲスト ユーザー オブジェクトは通常どおり 2 つ作成されます。

    「ホーム テナント側でアカウントが紐づいているかどうか」は、招待するリソース テナント側からのお問い合わせでは確認できないため、招待されるホーム テナントの管理者様に確認を依頼ください。

    Q. 招待したゲスト ユーザーからサインインができないと連絡がありました。対処方法を教えて下さい

    A. ゲスト ユーザーであっても、サインインはホーム ディレクトリにて行われます。そのため、まずはゲスト ユーザーがホーム ディレクトリにサインインができるかを切り分けてください。ホーム ディレクトリにもサインインができない場合には、ホーム ディレクトリ側での対応が必要となりますので招待した側のディレクトリの管理者で対応できません。一方で、ホーム ディレクトリにはサインインができるが、招待したディレクトリにはサインインができない場合には、招待した側のディレクトリにて調査します。

    ゲスト ユーザーのよくある サインインができない問題については、2.招待された側のよくある質問 に記載しています。

    -

    Q. 招待したいユーザーが E メールを受信できないアカウントです。E メールを受信できなければゲスト ユーザーとして招待できませんか?

    A. E メールを受信できないユーザーであっても招待することが可能です。(E メールを受信できないユーザーとは xxx@contso.onmicrosoft.com のような Azure AD 上のユーザーも含みます)。E メールを受信できないアカウントの場合、招待 E メールを受け取ることができないため、直接リンクを利用して招待に承諾します。以下の URL をゲスト ユーザーに送付し、招待への承諾を依頼ください。

    +

    Q. 招待したいユーザーが E メールを受信できないアカウントです。E メールを受信できなければゲスト ユーザーとして招待できませんか?

    A. E メールを受信できないユーザーであっても招待することが可能です。(E メールを受信できないユーザーとは xxx@contso.onmicrosoft.com のような Azure AD 上のユーザーも含みます)。E メールを受信できないアカウントの場合、招待 E メールを受け取ることができないため、直接リンクを利用して招待に承諾します。以下の URL をゲスト ユーザーに送付し、招待への承諾を依頼ください。

    https://portal.azure.com/<招待先ディレクトリのテナントID>

    E メールを利用しない招待については、B2B コラボレーションの招待の利用 - Azure AD | Microsoft Docs を参照ください。(直接リンクによる利用の項に記載があります)

    diff --git a/azure-active-directory/biometrics-keep-your-fingers-close/index.html b/azure-active-directory/biometrics-keep-your-fingers-close/index.html index ac191821947..02a1fad5233 100644 --- a/azure-active-directory/biometrics-keep-your-fingers-close/index.html +++ b/azure-active-directory/biometrics-keep-your-fingers-close/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/build-a-strong-zero-trust-foundation-starting-with-identity-and-endpoint-management/index.html b/azure-active-directory/build-a-strong-zero-trust-foundation-starting-with-identity-and-endpoint-management/index.html index 0119fc7fdfc..3c3dc23ec65 100644 --- a/azure-active-directory/build-a-strong-zero-trust-foundation-starting-with-identity-and-endpoint-management/index.html +++ b/azure-active-directory/build-a-strong-zero-trust-foundation-starting-with-identity-and-endpoint-management/index.html @@ -19,7 +19,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/building-api-first-solutions-that-aid-modern-zero-trust/index.html b/azure-active-directory/building-api-first-solutions-that-aid-modern-zero-trust/index.html index ea08ed449f8..ae5f6df5172 100644 --- a/azure-active-directory/building-api-first-solutions-that-aid-modern-zero-trust/index.html +++ b/azure-active-directory/building-api-first-solutions-that-aid-modern-zero-trust/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/ca-authentication-strength-ga/index.html b/azure-active-directory/ca-authentication-strength-ga/index.html index 98c749f0ea4..330b87d087c 100644 --- a/azure-active-directory/ca-authentication-strength-ga/index.html +++ b/azure-active-directory/ca-authentication-strength-ga/index.html @@ -15,7 +15,7 @@ - + @@ -156,7 +156,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/ca-filter-for-apps/index.html b/azure-active-directory/ca-filter-for-apps/index.html index bfa22bb2da9..460d36ddc48 100644 --- a/azure-active-directory/ca-filter-for-apps/index.html +++ b/azure-active-directory/ca-filter-for-apps/index.html @@ -24,7 +24,7 @@ - + @@ -166,7 +166,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/ca_client_default/index.html b/azure-active-directory/ca_client_default/index.html index ea292c90018..8fcd3f78f5c 100644 --- a/azure-active-directory/ca_client_default/index.html +++ b/azure-active-directory/ca_client_default/index.html @@ -18,7 +18,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    @@ -173,7 +173,7 @@

  • 新しく作成した条件付きアクセスポリシーは、既定でレガシー認証クライアントに適用されます。
  • クライアントアプリという条件において、どのアプリを対象としているかが視覚的にわかりやすくなりました。
    • -

    Conditional Access チームのプログラムマネージャーである Daniel Wood が、これらの変更が組織のセキュリティ確保にどのように役立つかを説明するブログを書いてくれました。
    フィードバックや質問がありましたら、intelligentaccesspm@microsoft.com までご連絡ください。

    +

    Conditional Access チームのプログラムマネージャーである Daniel Wood が、これらの変更が組織のセキュリティ確保にどのように役立つかを説明するブログを書いてくれました。
    フィードバックや質問がありましたら、intelligentaccesspm@microsoft.com までご連絡ください。

    管理者が最新の認証クライアントとレガシ認証クライアントを対象としたポリシーを簡単に作成できるように、管理者の操作性を簡素化しました。
    既定では、クライアントアプリの条件が構成されていない場合、新しく作成する条件付きアクセスポリシーでは、すべてのクライアントアプリが対象になります。
    レガシー認証クライアントからのサインインは、MFA をサポートしておらず、デバイスの状態情報を Azure AD に渡しません。そのため、MFA や準拠デバイスを要求するなどを条件付き アクセス ポリシーのアクセス制御の要件に含めた場合には、レガシー認証はブロックされます。
    レガシー認証を使用しなければならないアカウントがある場合は、明示的に例外をポリシーで設定し、ブロックされないようにすることができます。
    レガシー認証クライアントのみを対象とする条件付きアクセスポリシーを作成する場合は、クライアントアプリの構成の 「はい」、 「いいえ」 を切り替える箇所を 「はい」 に切り替え、Exchange ActiveSync クライアントと他のクライアントを選択したまま、ブラウザーとモバイルアプリとデスクトップクライアントの選択を解除します。

    Client Apps

    @@ -183,7 +183,7 @@

    組織でのクライアントアプリの使用状況を理解しましょう

    新しいポリシーを作成する前に、組織で誰がレガシー認証を使用しているかを理解しておくとよいでしょう。サインイン時に組織で使用されているクライアントアプリとプロトコルを確認するには、「サインイン」ページに移動し、クライアントアプリの種類で結果をフィルタリングします。

    Sign in activity

    -

    フィードバックを共有してください

    今回の変更により、レガシ認証をブロックすることで、管理者が組織のセキュリティを確保しやすくなることを願っています。フィードバックや質問がありましたら、daniel.wood@microsoft.com までご連絡ください。

    +

    フィードバックを共有してください

    今回の変更により、レガシ認証をブロックすることで、管理者が組織のセキュリティを確保しやすくなることを願っています。フィードバックや質問がありましたら、daniel.wood@microsoft.com までご連絡ください。

    diff --git a/azure-active-directory/cae-overview/index.html b/azure-active-directory/cae-overview/index.html index 3eae62e7552..a3fdf22f9e0 100644 --- a/azure-active-directory/cae-overview/index.html +++ b/azure-active-directory/cae-overview/index.html @@ -17,7 +17,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    @@ -169,7 +169,7 @@

    みなさんは CAE (Continuous Access Evaluation: 継続的アクセス評価) という機能をご存知でしょうか。
    2021 年 11 月現在、以下のようなお知らせがあり、目にされた方も多いのではないかと思います。

    • Microsoft 365 管理ポータルのメッセージ センターに MC255540 (Continuous access evaluation on by default) として情報が公開
      • -
    • 送信元 : Microsoft Azure azure-noreply@microsoft.com から TRACKING ID: 5T93-LTG として以下の件名のメールでお知らせ
      -> Continuous access evaluation will be enabled in premium Azure AD tenants beginning on 15 June 2021
      • +
    • 送信元 : Microsoft Azure azure-noreply@microsoft.com から TRACKING ID: 5T93-LTG として以下の件名のメールでお知らせ
      -> Continuous access evaluation will be enabled in premium Azure AD tenants beginning on 15 June 2021
    • Microsoft 365 管理ポータルのメッセージ センターに MC273937 (Update: CAE On By Default) として展開時期が変更となる情報が公開
    • Microsoft 365 管理ポータルのメッセージ センターに MC297566 (Continuous access evaluation feature coming to general availability! ) として一般公開に伴い、CAE の設定が条件付きアクセスポリシーに移行する情報が公開
    diff --git a/azure-active-directory/capolicy-for-csp-account/index.html b/azure-active-directory/capolicy-for-csp-account/index.html index 4aacf49d0df..bd1a48f8a17 100644 --- a/azure-active-directory/capolicy-for-csp-account/index.html +++ b/azure-active-directory/capolicy-for-csp-account/index.html @@ -21,7 +21,7 @@ - + @@ -164,7 +164,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/change-mfa-verification-method/index.html b/azure-active-directory/change-mfa-verification-method/index.html index 756f730ef8f..a65ff201637 100644 --- a/azure-active-directory/change-mfa-verification-method/index.html +++ b/azure-active-directory/change-mfa-verification-method/index.html @@ -19,7 +19,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/changed_aad_ip_range/index.html b/azure-active-directory/changed_aad_ip_range/index.html index d0074749da3..f003535e206 100644 --- a/azure-active-directory/changed_aad_ip_range/index.html +++ b/azure-active-directory/changed_aad_ip_range/index.html @@ -14,7 +14,7 @@ - + @@ -154,7 +154,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/check-out-new-azure-ad-certificate-based-authentication-cba/index.html b/azure-active-directory/check-out-new-azure-ad-certificate-based-authentication-cba/index.html index 07b774bf67f..fb6f54afabd 100644 --- a/azure-active-directory/check-out-new-azure-ad-certificate-based-authentication-cba/index.html +++ b/azure-active-directory/check-out-new-azure-ad-certificate-based-authentication-cba/index.html @@ -27,7 +27,7 @@ - + @@ -169,7 +169,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/cloudknox-permissions-management-is-now-in-public-preview/index.html b/azure-active-directory/cloudknox-permissions-management-is-now-in-public-preview/index.html index 614e3eaea34..31a21a9cdb2 100644 --- a/azure-active-directory/cloudknox-permissions-management-is-now-in-public-preview/index.html +++ b/azure-active-directory/cloudknox-permissions-management-is-now-in-public-preview/index.html @@ -17,7 +17,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/collaborate-more-securely-with-new-cross-tenant-access-settings/index.html b/azure-active-directory/collaborate-more-securely-with-new-cross-tenant-access-settings/index.html index e4187dd133d..519bd6a14c8 100644 --- a/azure-active-directory/collaborate-more-securely-with-new-cross-tenant-access-settings/index.html +++ b/azure-active-directory/collaborate-more-securely-with-new-cross-tenant-access-settings/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/collaborate-securely-across-organizational-boundaries-and-microsoft-clouds/index.html b/azure-active-directory/collaborate-securely-across-organizational-boundaries-and-microsoft-clouds/index.html index 487a99abafc..2cdaf548563 100644 --- a/azure-active-directory/collaborate-securely-across-organizational-boundaries-and-microsoft-clouds/index.html +++ b/azure-active-directory/collaborate-securely-across-organizational-boundaries-and-microsoft-clouds/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/combatting-risky-sign-ins/index.html b/azure-active-directory/combatting-risky-sign-ins/index.html index 656c73c7227..39e4ec9e2a1 100644 --- a/azure-active-directory/combatting-risky-sign-ins/index.html +++ b/azure-active-directory/combatting-risky-sign-ins/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/coming-soon-platform-SSO-for-macOS/index.html b/azure-active-directory/coming-soon-platform-SSO-for-macOS/index.html index 097cf9e2410..dabceae438a 100644 --- a/azure-active-directory/coming-soon-platform-SSO-for-macOS/index.html +++ b/azure-active-directory/coming-soon-platform-SSO-for-macOS/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/company-branding-ga/index.html b/azure-active-directory/company-branding-ga/index.html index f937acdf38b..f52128c4c72 100644 --- a/azure-active-directory/company-branding-ga/index.html +++ b/azure-active-directory/company-branding-ga/index.html @@ -24,7 +24,7 @@ - + @@ -165,7 +165,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/comprehend-account-lockout/index.html b/azure-active-directory/comprehend-account-lockout/index.html index 51664688b86..1ffc321d7bf 100644 --- a/azure-active-directory/comprehend-account-lockout/index.html +++ b/azure-active-directory/comprehend-account-lockout/index.html @@ -26,7 +26,7 @@ - + @@ -167,7 +167,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/comprehend-password-policy/index.html b/azure-active-directory/comprehend-password-policy/index.html index e5085ceb0e3..b2c8ffe3b45 100644 --- a/azure-active-directory/comprehend-password-policy/index.html +++ b/azure-active-directory/comprehend-password-policy/index.html @@ -28,7 +28,7 @@ - + @@ -170,7 +170,7 @@

    feedback - 共有 + 共有

    @@ -214,7 +214,7 @@

    ヒント

    上記の設定でパスワード有効期限を 90 日などに設定している環境でも、システム用アカウントなど、一部のユーザーだけ無期限にしたいシナリオがあるかと思います。この場合は、上記の設定に加え、そのアカウントに対してのみ Update-MgUser コマンドで DisablePasswordExpiration を設定することで、個別に無期限にできます。詳細は、個別のユーザーのパスワードを無期限に設定する の情報をご確認ください。

    -

    シナリオ C-4: ゲスト ユーザー

    ゲスト ユーザーのパスワード有効期限は、ゲストがもともと登録されているホーム テナントの組織で管理されています。そのため、ゲストを招待したテナント側 (リソース テナント側) では管理する必要がなく、ホーム テナント側の組織の設定を確認します。ゲスト ユーザーが user@outlook.com などの Microsoft アカウントの場合は、各サービスで定義されているパスワード ポリシーが適用されます。

    +

    シナリオ C-4: ゲスト ユーザー

    ゲスト ユーザーのパスワード有効期限は、ゲストがもともと登録されているホーム テナントの組織で管理されています。そのため、ゲストを招待したテナント側 (リソース テナント側) では管理する必要がなく、ホーム テナント側の組織の設定を確認します。ゲスト ユーザーが user@outlook.com などの Microsoft アカウントの場合は、各サービスで定義されているパスワード ポリシーが適用されます。

    D. 補足情報 (FAQ)

    パスワード ポリシー関連でよくある質問をおまとめしております。

    Q: パスワード ハッシュ同期の環境で、オンプレミス AD 側の有効期限が切れたときに、 Entra ID 側に引き続き古いパスワードでアクセスできてしまいます。同期ユーザーの Entra ID 側のパスワードの有効期限を無期限から変更することはできますか。

    A: はい、テナント側の CloudPasswordPolicyForPasswordSyncedUsersEnabled オプションを適用することで可能です。 Entra ID 側からパスワードを変更するためには、Entra Connect でパスワード ライトバックを有効にする必要もあります。

    以下のコマンドを実行すると、Entra ID 側のユーザーにもパスワード有効期限を設定することができます。

    @@ -230,7 +230,7 @@

    Q: Entra ID のパスワード ポリシーがいつのまにか無期限になっています。誰が変更したか確認する方法はありますか?

    A: 直近でポリシーが変更されている場合は、Microsoft Entra ID の監査ログで確認することが可能です。Set password policy のアクティビティでフィルターをかけたのちに、開始者(アクター)に記載のユーザーを確認ください。

    Q: PowerShell で Get-MgDomain コマンドを実行し、テナントに設定されているパスワード有効期限を調べました。2147483647 日と表示されるのですが、どのような意味ですか?

    A: そのドメインについては、テナントのパスワード有効期限が無期限になっていることを示しています。

    Q: Microsoft 365 管理センターや PowerShell からパスワード ポリシーを編集しましたが、期限切れの通知が来ません。

    A: 以前は Microsoft 365 ポータルの右上にベル アイコンが表示されていましたが、通知設定自体が廃止されたため、”もうすぐ期限切れ” の通知は現在送信されません。

    -

    Q: Microsoft Entra 参加している端末にサインインしています。パスワードが切れているのに、端末にサインインできてしまうのですが、いつパスワード変更が求められますか?

    A: 端末にログオンし、Windows のデスクトップを表示するところまでは、パスワードが切れていても実施できます。Azure ポータルや Microsoft 365 管理センター、Exchange Online など Entra ID と連携するクラウド上のリソースにサインインした時にパスワード変更が求められます。端末に UPN (例: user@contoso.onmicrosoft.com) などでサインインした場合には、端末ログオン後、右下に以下のメッセージが表示される動作を現時点で確認しております。こちらもパスワード変更の際の目安となりましたら幸いです。

    +

    Q: Microsoft Entra 参加している端末にサインインしています。パスワードが切れているのに、端末にサインインできてしまうのですが、いつパスワード変更が求められますか?

    A: 端末にログオンし、Windows のデスクトップを表示するところまでは、パスワードが切れていても実施できます。Azure ポータルや Microsoft 365 管理センター、Exchange Online など Entra ID と連携するクラウド上のリソースにサインインした時にパスワード変更が求められます。端末に UPN (例: user@contoso.onmicrosoft.com) などでサインインした場合には、端末ログオン後、右下に以下のメッセージが表示される動作を現時点で確認しております。こちらもパスワード変更の際の目安となりましたら幸いです。

    Q: テナントに設定されている値ではなく、各ユーザーのパスワード有効期限を知りたいです。方法はありますか?

    A: Azure ポータル上から簡単に確認することはできません。 PowerShell で取得した値をもとに計算ください。テナントに設定されている有効期限を確認するには以下のように実施ください。

      diff --git a/azure-active-directory/conditional-access-basic/index.html b/azure-active-directory/conditional-access-basic/index.html index acbde15b74b..229da54096a 100644 --- a/azure-active-directory/conditional-access-basic/index.html +++ b/azure-active-directory/conditional-access-basic/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

      feedback - 共有 + 共有

    diff --git a/azure-active-directory/conditional-access-compliant-ios-android/index.html b/azure-active-directory/conditional-access-compliant-ios-android/index.html index 4fc1e1c3dd5..5c50c87e3cb 100644 --- a/azure-active-directory/conditional-access-compliant-ios-android/index.html +++ b/azure-active-directory/conditional-access-compliant-ios-android/index.html @@ -21,7 +21,7 @@ - + @@ -164,7 +164,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/conditional-access-compliant-windows/index.html b/azure-active-directory/conditional-access-compliant-windows/index.html index b790a3f28d8..5451ce22d09 100644 --- a/azure-active-directory/conditional-access-compliant-windows/index.html +++ b/azure-active-directory/conditional-access-compliant-windows/index.html @@ -17,7 +17,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/conditional-access-for-protected-actions/index.html b/azure-active-directory/conditional-access-for-protected-actions/index.html index d36397ed024..0dc71e47870 100644 --- a/azure-active-directory/conditional-access-for-protected-actions/index.html +++ b/azure-active-directory/conditional-access-for-protected-actions/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/conditional-access-overview-and-templates/index.html b/azure-active-directory/conditional-access-overview-and-templates/index.html index 6faef86e5cb..bd1f163a598 100644 --- a/azure-active-directory/conditional-access-overview-and-templates/index.html +++ b/azure-active-directory/conditional-access-overview-and-templates/index.html @@ -20,7 +20,7 @@ - + @@ -162,7 +162,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/conditional-cannot-access-rightnow/index.html b/azure-active-directory/conditional-cannot-access-rightnow/index.html index 0f7621d9d57..cd6697b32e2 100644 --- a/azure-active-directory/conditional-cannot-access-rightnow/index.html +++ b/azure-active-directory/conditional-cannot-access-rightnow/index.html @@ -24,7 +24,7 @@ - + @@ -167,7 +167,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/connect-command-troubleshooting/index.html b/azure-active-directory/connect-command-troubleshooting/index.html index 5e447d78468..739d2b88e12 100644 --- a/azure-active-directory/connect-command-troubleshooting/index.html +++ b/azure-active-directory/connect-command-troubleshooting/index.html @@ -14,7 +14,7 @@ - + @@ -154,7 +154,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/continuous-access-evaluation-in-azure-ad-is-now-generally/index.html b/azure-active-directory/continuous-access-evaluation-in-azure-ad-is-now-generally/index.html index 722c23e318d..06d7769bbdb 100644 --- a/azure-active-directory/continuous-access-evaluation-in-azure-ad-is-now-generally/index.html +++ b/azure-active-directory/continuous-access-evaluation-in-azure-ad-is-now-generally/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/control-ios-nativemailapp-by-conditionalaccess/index.html b/azure-active-directory/control-ios-nativemailapp-by-conditionalaccess/index.html index 93f47380f75..72de8644270 100644 --- a/azure-active-directory/control-ios-nativemailapp-by-conditionalaccess/index.html +++ b/azure-active-directory/control-ios-nativemailapp-by-conditionalaccess/index.html @@ -28,7 +28,7 @@ - + @@ -170,7 +170,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/create-nested-groups-with-azure-ad-dynamic-groups/index.html b/azure-active-directory/create-nested-groups-with-azure-ad-dynamic-groups/index.html index 38f7baffba5..0bf20633cc3 100644 --- a/azure-active-directory/create-nested-groups-with-azure-ad-dynamic-groups/index.html +++ b/azure-active-directory/create-nested-groups-with-azure-ad-dynamic-groups/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/create-subscription-error/index.html b/azure-active-directory/create-subscription-error/index.html index 419b56cc1c2..ac364205c23 100644 --- a/azure-active-directory/create-subscription-error/index.html +++ b/azure-active-directory/create-subscription-error/index.html @@ -19,7 +19,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/credentials-for-psscripts/index.html b/azure-active-directory/credentials-for-psscripts/index.html index 0a875366aca..607e73d33a2 100644 --- a/azure-active-directory/credentials-for-psscripts/index.html +++ b/azure-active-directory/credentials-for-psscripts/index.html @@ -17,7 +17,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/cross-tenant-access-setting-ga/index.html b/azure-active-directory/cross-tenant-access-setting-ga/index.html index c22d95fc658..30186b0c861 100644 --- a/azure-active-directory/cross-tenant-access-setting-ga/index.html +++ b/azure-active-directory/cross-tenant-access-setting-ga/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/cross-tenant-access-settings-notes-from-the-field/index.html b/azure-active-directory/cross-tenant-access-settings-notes-from-the-field/index.html index a6b2a62d18c..aed7c913872 100644 --- a/azure-active-directory/cross-tenant-access-settings-notes-from-the-field/index.html +++ b/azure-active-directory/cross-tenant-access-settings-notes-from-the-field/index.html @@ -25,7 +25,7 @@ - + @@ -167,7 +167,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/cross-tenant-sync-publicpreview/index.html b/azure-active-directory/cross-tenant-sync-publicpreview/index.html index fdba3a2b3f1..ae59d5463a9 100644 --- a/azure-active-directory/cross-tenant-sync-publicpreview/index.html +++ b/azure-active-directory/cross-tenant-sync-publicpreview/index.html @@ -18,7 +18,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/custom-attribute-aadds-preview/index.html b/azure-active-directory/custom-attribute-aadds-preview/index.html index 592233fea35..f230d8ed8aa 100644 --- a/azure-active-directory/custom-attribute-aadds-preview/index.html +++ b/azure-active-directory/custom-attribute-aadds-preview/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/custom-roles-for-app-management-now-available/index.html b/azure-active-directory/custom-roles-for-app-management-now-available/index.html index 3defe889e7c..04a2ff8266f 100644 --- a/azure-active-directory/custom-roles-for-app-management-now-available/index.html +++ b/azure-active-directory/custom-roles-for-app-management-now-available/index.html @@ -21,7 +21,7 @@ - + @@ -163,7 +163,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/customize-your-authentication-flows-with-custom-claims-providers/index.html b/azure-active-directory/customize-your-authentication-flows-with-custom-claims-providers/index.html index 4e723500454..6305e47cd1b 100644 --- a/azure-active-directory/customize-your-authentication-flows-with-custom-claims-providers/index.html +++ b/azure-active-directory/customize-your-authentication-flows-with-custom-claims-providers/index.html @@ -25,7 +25,7 @@ - + @@ -167,7 +167,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/defend-your-users-from-mfa-fatigue-attacks/index.html b/azure-active-directory/defend-your-users-from-mfa-fatigue-attacks/index.html index f04c5daae10..cfb50dcaf12 100644 --- a/azure-active-directory/defend-your-users-from-mfa-fatigue-attacks/index.html +++ b/azure-active-directory/defend-your-users-from-mfa-fatigue-attacks/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/device-based-access-control/index.html b/azure-active-directory/device-based-access-control/index.html index 3530395f276..4f71abc47ed 100644 --- a/azure-active-directory/device-based-access-control/index.html +++ b/azure-active-directory/device-based-access-control/index.html @@ -15,7 +15,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/device-object/index.html b/azure-active-directory/device-object/index.html index e92517e4435..773d7998266 100644 --- a/azure-active-directory/device-object/index.html +++ b/azure-active-directory/device-object/index.html @@ -22,7 +22,7 @@ - + @@ -166,7 +166,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/do-more-with-external-identities-user-flows-in-just-a-few-clicks/index.html b/azure-active-directory/do-more-with-external-identities-user-flows-in-just-a-few-clicks/index.html index 1b17383860a..2cb6c7910f1 100644 --- a/azure-active-directory/do-more-with-external-identities-user-flows-in-just-a-few-clicks/index.html +++ b/azure-active-directory/do-more-with-external-identities-user-flows-in-just-a-few-clicks/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/dynamic-automated-access-with-entitlment-management/index.html b/azure-active-directory/dynamic-automated-access-with-entitlment-management/index.html index b3e7ac3f897..8d73fb9b90a 100644 --- a/azure-active-directory/dynamic-automated-access-with-entitlment-management/index.html +++ b/azure-active-directory/dynamic-automated-access-with-entitlment-management/index.html @@ -19,7 +19,7 @@ - + @@ -162,7 +162,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/easily-manage-privileged-role-assignments-with-auditlogs/index.html b/azure-active-directory/easily-manage-privileged-role-assignments-with-auditlogs/index.html index aa5491ee441..4420f48cf2a 100644 --- a/azure-active-directory/easily-manage-privileged-role-assignments-with-auditlogs/index.html +++ b/azure-active-directory/easily-manage-privileged-role-assignments-with-auditlogs/index.html @@ -19,7 +19,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/effective-strategies-for-conducting-mass-password-resets-during-cybersecurity-incidents/index.html b/azure-active-directory/effective-strategies-for-conducting-mass-password-resets-during-cybersecurity-incidents/index.html index 9443ae9bd92..d4fca547257 100644 --- a/azure-active-directory/effective-strategies-for-conducting-mass-password-resets-during-cybersecurity-incidents/index.html +++ b/azure-active-directory/effective-strategies-for-conducting-mass-password-resets-during-cybersecurity-incidents/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/emphasizing-security-by-default-with-advanced-microsoft/index.html b/azure-active-directory/emphasizing-security-by-default-with-advanced-microsoft/index.html index ac632fdd12d..48d4b8c8d4a 100644 --- a/azure-active-directory/emphasizing-security-by-default-with-advanced-microsoft/index.html +++ b/azure-active-directory/emphasizing-security-by-default-with-advanced-microsoft/index.html @@ -17,7 +17,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/end-of-support-for-azure-ad-graph-permission-sign-up-through/index.html b/azure-active-directory/end-of-support-for-azure-ad-graph-permission-sign-up-through/index.html index 404afd6ec00..664596d3ba0 100644 --- a/azure-active-directory/end-of-support-for-azure-ad-graph-permission-sign-up-through/index.html +++ b/azure-active-directory/end-of-support-for-azure-ad-graph-permission-sign-up-through/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/end-user-passwordless-utopia/index.html b/azure-active-directory/end-user-passwordless-utopia/index.html index d3cfb65f4e7..7af3a59da57 100644 --- a/azure-active-directory/end-user-passwordless-utopia/index.html +++ b/azure-active-directory/end-user-passwordless-utopia/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/enforce-least-privilege-for-entra-iD-company-branding-with-the-new-organizational-branding-role/index.html b/azure-active-directory/enforce-least-privilege-for-entra-iD-company-branding-with-the-new-organizational-branding-role/index.html index 6e6564afb01..8bc0b75aa63 100644 --- a/azure-active-directory/enforce-least-privilege-for-entra-iD-company-branding-with-the-new-organizational-branding-role/index.html +++ b/azure-active-directory/enforce-least-privilege-for-entra-iD-company-branding-with-the-new-organizational-branding-role/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/enhancements-to-microsoft-entra-certificate-based-authentication/index.html b/azure-active-directory/enhancements-to-microsoft-entra-certificate-based-authentication/index.html index 7b91ee6e56f..a61cfe4c9e9 100644 --- a/azure-active-directory/enhancements-to-microsoft-entra-certificate-based-authentication/index.html +++ b/azure-active-directory/enhancements-to-microsoft-entra-certificate-based-authentication/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/ensure-compliance-using-separation-of-duties-checks-in-access-jp/index.html b/azure-active-directory/ensure-compliance-using-separation-of-duties-checks-in-access-jp/index.html index 562ad464b65..70f9d790a79 100644 --- a/azure-active-directory/ensure-compliance-using-separation-of-duties-checks-in-access-jp/index.html +++ b/azure-active-directory/ensure-compliance-using-separation-of-duties-checks-in-access-jp/index.html @@ -16,7 +16,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/enterprise-applications-app-registrations/index.html b/azure-active-directory/enterprise-applications-app-registrations/index.html index 3bb48dd13c6..cc63e552515 100644 --- a/azure-active-directory/enterprise-applications-app-registrations/index.html +++ b/azure-active-directory/enterprise-applications-app-registrations/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/enterprise-sso-ga/index.html b/azure-active-directory/enterprise-sso-ga/index.html index ad7491a4501..5fda0a0ace3 100644 --- a/azure-active-directory/enterprise-sso-ga/index.html +++ b/azure-active-directory/enterprise-sso-ga/index.html @@ -15,7 +15,7 @@ - + @@ -156,7 +156,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/enterpriseapps-multitenantapps/index.html b/azure-active-directory/enterpriseapps-multitenantapps/index.html index 88118c4c590..651d0ee3c72 100644 --- a/azure-active-directory/enterpriseapps-multitenantapps/index.html +++ b/azure-active-directory/enterpriseapps-multitenantapps/index.html @@ -22,7 +22,7 @@ - + @@ -164,7 +164,7 @@

    feedback - 共有 + 共有

    @@ -190,7 +190,7 @@

    どのような操作で、ユーザーによって「マルチテナント アプリケーション」が追加されるのか?

    ここでは、弊社が公開しているマルチテナント アプリケーション “Microsoft Graph Explorer” を例に説明します。

    “Microsoft Graph Explorer” は、Microsoft Graph REST API 要求を簡単に作成し、対応する応答を表示できる開発者ツールです。このアプリケーションは、弊社の Azure AD テナント (microsoft.com) の [アプリの登録] 上で、マルチテナント アプリケーションとして登録されています。

      -
    • 仮定 1 : userA さん (userA@contoso.com) は、contoso.com の Azure AD に所属するユーザーです。
      • +
    • 仮定 1 : userA さん (userA@contoso.com) は、contoso.com の Azure AD に所属するユーザーです。
    • 仮定 2 : contoso.com の Azure AD の [エンタープライズ アプリケーション] 上には、まだ “Microsoft Graph Explorer” のサービス プリンシパルは存在しません。

    userA さんによってマルチテナント アプリ「Graph Explorer」が追加される時の操作

      @@ -204,7 +204,7 @@

      -

    1. userA@contoso.comでのサインインが成功します。

      +

    2. userA@contoso.comでのサインインが成功します。

      fig3

    3. 次回以降 userA が Graph Explorer にアクセスする際は、openid, profile, User.Read, offline_access のアクセス許可への同意が要求されることはありません。

      diff --git a/azure-active-directory/entitlement-management-ga/index.html b/azure-active-directory/entitlement-management-ga/index.html index e56b9d7ce29..fc55effc38f 100644 --- a/azure-active-directory/entitlement-management-ga/index.html +++ b/azure-active-directory/entitlement-management-ga/index.html @@ -22,7 +22,7 @@ - + @@ -163,7 +163,7 @@

      feedback - 共有 + 共有

    diff --git a/azure-active-directory/evaluate-and-update-any-ca-policies-for-ipados/index.html b/azure-active-directory/evaluate-and-update-any-ca-policies-for-ipados/index.html index 374211cf862..72107d02d0c 100644 --- a/azure-active-directory/evaluate-and-update-any-ca-policies-for-ipados/index.html +++ b/azure-active-directory/evaluate-and-update-any-ca-policies-for-ipados/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/evolve-your-ciam-strategy-with-external-id/evolve-your-ciam-strategy-with-external-id/index.html b/azure-active-directory/evolve-your-ciam-strategy-with-external-id/evolve-your-ciam-strategy-with-external-id/index.html index a917c922e35..2dbba88de37 100644 --- a/azure-active-directory/evolve-your-ciam-strategy-with-external-id/evolve-your-ciam-strategy-with-external-id/index.html +++ b/azure-active-directory/evolve-your-ciam-strategy-with-external-id/evolve-your-ciam-strategy-with-external-id/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/expanding-the-public-preview-of-verifiable-credentials/index.html b/azure-active-directory/expanding-the-public-preview-of-verifiable-credentials/index.html index cadc263823b..68b8e728a18 100644 --- a/azure-active-directory/expanding-the-public-preview-of-verifiable-credentials/index.html +++ b/azure-active-directory/expanding-the-public-preview-of-verifiable-credentials/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/expansion-of-fido-standard-and-new-updates-for-microsoft/index.html b/azure-active-directory/expansion-of-fido-standard-and-new-updates-for-microsoft/index.html index d33980c56b4..80fe60142af 100644 --- a/azure-active-directory/expansion-of-fido-standard-and-new-updates-for-microsoft/index.html +++ b/azure-active-directory/expansion-of-fido-standard-and-new-updates-for-microsoft/index.html @@ -17,7 +17,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/expressroute-support/index.html b/azure-active-directory/expressroute-support/index.html index d74d43d188f..001898caf49 100644 --- a/azure-active-directory/expressroute-support/index.html +++ b/azure-active-directory/expressroute-support/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/extend-the-reach-of-azure-ad-identity-protection-into-workload/index.html b/azure-active-directory/extend-the-reach-of-azure-ad-identity-protection-into-workload/index.html index f877acddb09..63bab410dc9 100644 --- a/azure-active-directory/extend-the-reach-of-azure-ad-identity-protection-into-workload/index.html +++ b/azure-active-directory/extend-the-reach-of-azure-ad-identity-protection-into-workload/index.html @@ -17,7 +17,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/external-collaboration-setting-b2b-access/index.html b/azure-active-directory/external-collaboration-setting-b2b-access/index.html index e89227b4423..3eb0eb0dc47 100644 --- a/azure-active-directory/external-collaboration-setting-b2b-access/index.html +++ b/azure-active-directory/external-collaboration-setting-b2b-access/index.html @@ -24,7 +24,7 @@ - + @@ -166,7 +166,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/external-identities-b2c-supports-authenticator-apps-and-new-data/index.html b/azure-active-directory/external-identities-b2c-supports-authenticator-apps-and-new-data/index.html index a049c857c72..442fdc8f725 100644 --- a/azure-active-directory/external-identities-b2c-supports-authenticator-apps-and-new-data/index.html +++ b/azure-active-directory/external-identities-b2c-supports-authenticator-apps-and-new-data/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/face-check-is-now-generally-available/index.html b/azure-active-directory/face-check-is-now-generally-available/index.html index 86924b8dc10..2380faf3105 100644 --- a/azure-active-directory/face-check-is-now-generally-available/index.html +++ b/azure-active-directory/face-check-is-now-generally-available/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/faq-using-ca-to-secure-remote-access/index.html b/azure-active-directory/faq-using-ca-to-secure-remote-access/index.html index 0ba9f27078f..01feb7ba8f6 100644 --- a/azure-active-directory/faq-using-ca-to-secure-remote-access/index.html +++ b/azure-active-directory/faq-using-ca-to-secure-remote-access/index.html @@ -17,7 +17,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/fq-device-based-ca-for-remote-work/index.html b/azure-active-directory/fq-device-based-ca-for-remote-work/index.html index b6f631e67d9..2d1f012d377 100644 --- a/azure-active-directory/fq-device-based-ca-for-remote-work/index.html +++ b/azure-active-directory/fq-device-based-ca-for-remote-work/index.html @@ -17,7 +17,7 @@ - + @@ -163,7 +163,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/ga-is-locked-out/index.html b/azure-active-directory/ga-is-locked-out/index.html index bfee79ddd87..bb402d41e96 100644 --- a/azure-active-directory/ga-is-locked-out/index.html +++ b/azure-active-directory/ga-is-locked-out/index.html @@ -16,7 +16,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    @@ -176,7 +176,7 @@

    そこで本記事では、テナントへのアクセスが失われないようマイクロソフトとして推奨する Azure AD テナント運用のベスト プラクティスを紹介いたします。

    まず確認すること

    まずは、このような事態を未然に防ぐために、Azure AD 管理者が確認しておくべきことを以下におまとめしました。

    社内にグローバル管理者ロールを持つ管理者を複数名確保する

    Office 365 や Azure AD の利用を開始した直後のタイミングでは、そのテナントにはグローバル管理者ロールを持つアカウントが 1 つのみ存在しています。このため、引き継ぎなくそのアカウントの管理者が退職するなどすると、だれもそのテナントを管理できなくなります。

    -

    このような事態を防ぐため、社内の IT 部門において、必ず 2-3 名の信頼できるテナント管理者を任命し、それぞれの管理者ごとに Azure AD のユーザー (ゲスト ユーザーではなくテナント内のメンバーであり xxx@contoso.onmicrosoft.com のような UPN を持つクラウド ユーザー) を発行することをお勧めします。ここで、一つの管理者アカウント (Azure AD ユーザー) を複数名で使いまわすことはお勧めしません。これは、アカウントが使いまわされることで、どの管理者がいつサインインし、どのような操作を行ったかの監査が困難となるためです。必ず異なる UPN と異なるパスワードで、管理者の数だけ、管理専用の Azure AD ユーザーを発行ください。グローバル管理者のロールを持つユーザーの数は、テナント全体で 5 人未満がおすすめです。また、グローバル管理者のロールを持つユーザーには MFA を構成することを強くお勧めします。

    +

    このような事態を防ぐため、社内の IT 部門において、必ず 2-3 名の信頼できるテナント管理者を任命し、それぞれの管理者ごとに Azure AD のユーザー (ゲスト ユーザーではなくテナント内のメンバーであり xxx@contoso.onmicrosoft.com のような UPN を持つクラウド ユーザー) を発行することをお勧めします。ここで、一つの管理者アカウント (Azure AD ユーザー) を複数名で使いまわすことはお勧めしません。これは、アカウントが使いまわされることで、どの管理者がいつサインインし、どのような操作を行ったかの監査が困難となるためです。必ず異なる UPN と異なるパスワードで、管理者の数だけ、管理専用の Azure AD ユーザーを発行ください。グローバル管理者のロールを持つユーザーの数は、テナント全体で 5 人未満がおすすめです。また、グローバル管理者のロールを持つユーザーには MFA を構成することを強くお勧めします。

    その他の推奨事項 (特に MFA の構成など) については、Azure AD ロールのベスト プラクティス もご覧ください。

    なお、いわゆる一人情シスなど、グローバル管理者ロールを持つユーザーが一名しか確保できない場合は、後述の緊急アクセス アカウントを必ず作成ください。2-3 名のテナント管理者を任命できる場合でも、緊急アクセスアカウントの準備を極力お勧めいたします。

    また、Azure AD の管理者アカウントとして Microsoft アカウントを使用しているお客様は、上記のとおり管理者アカウントとして Azure AD のユーザーを利用することを特にご検討ください。Microsoft アカウントはコンシューマー向けの無料アカウントであり、その復旧を Azure 技術サポートで支援することはできません。Azure 技術サポートから支援を受けるには、Microsoft アカウントではなく、Azure AD の組織アカウントをご利用ください。

    diff --git a/azure-active-directory/ga-system-preferred-multifactor-authentication/index.html b/azure-active-directory/ga-system-preferred-multifactor-authentication/index.html index efa013f3911..fc36ea4159b 100644 --- a/azure-active-directory/ga-system-preferred-multifactor-authentication/index.html +++ b/azure-active-directory/ga-system-preferred-multifactor-authentication/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/general-information-KeyVault/index.html b/azure-active-directory/general-information-KeyVault/index.html index 08a7e8bec34..c39ebd2cca0 100644 --- a/azure-active-directory/general-information-KeyVault/index.html +++ b/azure-active-directory/general-information-KeyVault/index.html @@ -14,7 +14,7 @@ - + @@ -156,7 +156,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/generate-strong-passwords-with-microsoft-authenticator/index.html b/azure-active-directory/generate-strong-passwords-with-microsoft-authenticator/index.html index e1fec0de899..9cb2d86618d 100644 --- a/azure-active-directory/generate-strong-passwords-with-microsoft-authenticator/index.html +++ b/azure-active-directory/generate-strong-passwords-with-microsoft-authenticator/index.html @@ -17,7 +17,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/get-certificates-secrets-expirydateandtime/index.html b/azure-active-directory/get-certificates-secrets-expirydateandtime/index.html index d2dd58aa637..0f666ac1296 100644 --- a/azure-active-directory/get-certificates-secrets-expirydateandtime/index.html +++ b/azure-active-directory/get-certificates-secrets-expirydateandtime/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/graph-activity-log-in-preview/index.html b/azure-active-directory/graph-activity-log-in-preview/index.html index c0d6b8c66a8..d23b027f7fc 100644 --- a/azure-active-directory/graph-activity-log-in-preview/index.html +++ b/azure-active-directory/graph-activity-log-in-preview/index.html @@ -17,7 +17,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/graph-activity-logs-ga/index.html b/azure-active-directory/graph-activity-logs-ga/index.html index 2873c2e073b..c503d5ba44c 100644 --- a/azure-active-directory/graph-activity-logs-ga/index.html +++ b/azure-active-directory/graph-activity-logs-ga/index.html @@ -17,7 +17,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/guidance-on-using-azure-ad-to-meet-zero-trust-architecture-and/index.html b/azure-active-directory/guidance-on-using-azure-ad-to-meet-zero-trust-architecture-and/index.html index 646ae40a65f..31e6d5fd1a6 100644 --- a/azure-active-directory/guidance-on-using-azure-ad-to-meet-zero-trust-architecture-and/index.html +++ b/azure-active-directory/guidance-on-using-azure-ad-to-meet-zero-trust-architecture-and/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/haadj-and-upn/index.html b/azure-active-directory/haadj-and-upn/index.html index 4edaa1d017f..d9fdaefb7d5 100644 --- a/azure-active-directory/haadj-and-upn/index.html +++ b/azure-active-directory/haadj-and-upn/index.html @@ -14,7 +14,7 @@ - + @@ -156,7 +156,7 @@

    feedback - 共有 + 共有

    @@ -183,15 +183,15 @@

    オンプレミス AD 側の UPN -xxxxx@contoso.local -xxxxx@contoso.co.jp -xxxxx@contoso.com +xxxxx@contoso.local +xxxxx@contoso.co.jp +xxxxx@contoso.com Azure AD 側の UPN -xxxxx@contoso.com -xxxxx@contoso.com -xxxxx@contoso.com +xxxxx@contoso.com +xxxxx@contoso.com +xxxxx@contoso.com Azure AD に登録されているカスタムドメイン @@ -226,15 +226,15 @@

    オンプレミス AD 側の UPN -xxxxx@contoso.local -xxxxx@contoso.co.jp -xxxxx@contoso.com +xxxxx@contoso.local +xxxxx@contoso.co.jp +xxxxx@contoso.com Azure AD 側の UPN -xxxxx@contoso.com -xxxxx@contoso.com -xxxxx@contoso.com +xxxxx@contoso.com +xxxxx@contoso.com +xxxxx@contoso.com Azure AD に登録されているカスタムドメイン diff --git a/azure-active-directory/haadj-re-registration/index.html b/azure-active-directory/haadj-re-registration/index.html index 6e034d1f26d..f31efa1a585 100644 --- a/azure-active-directory/haadj-re-registration/index.html +++ b/azure-active-directory/haadj-re-registration/index.html @@ -23,7 +23,7 @@ - + @@ -166,7 +166,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/hashicorp-s-azure-ad-provider-migrates-to-microsoft-graph/index.html b/azure-active-directory/hashicorp-s-azure-ad-provider-migrates-to-microsoft-graph/index.html index a7e4dec30af..e33e1edfd2d 100644 --- a/azure-active-directory/hashicorp-s-azure-ad-provider-migrates-to-microsoft-graph/index.html +++ b/azure-active-directory/hashicorp-s-azure-ad-provider-migrates-to-microsoft-graph/index.html @@ -15,7 +15,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/have-you-updated-your-applications-to-use-the-microsoft/index.html b/azure-active-directory/have-you-updated-your-applications-to-use-the-microsoft/index.html index eaa3448f601..e06a971a1c5 100644 --- a/azure-active-directory/have-you-updated-your-applications-to-use-the-microsoft/index.html +++ b/azure-active-directory/have-you-updated-your-applications-to-use-the-microsoft/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/holistic-compromised-identity-signals-from-microsoft/index.html b/azure-active-directory/holistic-compromised-identity-signals-from-microsoft/index.html index 295f120395a..edfa3448589 100644 --- a/azure-active-directory/holistic-compromised-identity-signals-from-microsoft/index.html +++ b/azure-active-directory/holistic-compromised-identity-signals-from-microsoft/index.html @@ -20,7 +20,7 @@ - + @@ -162,7 +162,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/how-azuread-kerberos-works/index.html b/azure-active-directory/how-azuread-kerberos-works/index.html index 83a148977e5..973e420514c 100644 --- a/azure-active-directory/how-azuread-kerberos-works/index.html +++ b/azure-active-directory/how-azuread-kerberos-works/index.html @@ -22,7 +22,7 @@ - + @@ -164,7 +164,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/how-tenant-restrictions-v2-can-be-used-to-prevent-data/index.html b/azure-active-directory/how-tenant-restrictions-v2-can-be-used-to-prevent-data/index.html index 8c680894285..e3f8e469861 100644 --- a/azure-active-directory/how-tenant-restrictions-v2-can-be-used-to-prevent-data/index.html +++ b/azure-active-directory/how-tenant-restrictions-v2-can-be-used-to-prevent-data/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/how-to-authentication-methods-manage/index.html b/azure-active-directory/how-to-authentication-methods-manage/index.html index f903e99f899..424e0916d14 100644 --- a/azure-active-directory/how-to-authentication-methods-manage/index.html +++ b/azure-active-directory/how-to-authentication-methods-manage/index.html @@ -31,7 +31,7 @@ - + @@ -174,7 +174,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/how-to-break-the-token-theft-cyber-attack-chain/index.html b/azure-active-directory/how-to-break-the-token-theft-cyber-attack-chain/index.html index 5f42688a743..05d02df7817 100644 --- a/azure-active-directory/how-to-break-the-token-theft-cyber-attack-chain/index.html +++ b/azure-active-directory/how-to-break-the-token-theft-cyber-attack-chain/index.html @@ -17,7 +17,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/how-to-create-hybridazureadjoin-federated/index.html b/azure-active-directory/how-to-create-hybridazureadjoin-federated/index.html index f43b88eab5e..be58fa3f1f6 100644 --- a/azure-active-directory/how-to-create-hybridazureadjoin-federated/index.html +++ b/azure-active-directory/how-to-create-hybridazureadjoin-federated/index.html @@ -65,7 +65,7 @@ - + @@ -210,7 +210,7 @@

    feedback - 共有 + 共有

    @@ -336,7 +336,7 @@

    この時点で Azure AD Join は完了しているので確認します。
    Windows 10 コンピューターにログオンし、dsregcmd /status コマンド レットを実行すると、下記のとおり、AzureAdJoined が YES になっていることが分かります。

    -

    PRT を取得する。

    PRT を取得するためには、Azure AD に同期済みのオンプレミス AD ユーザーでログオンする必要があるのは、フェデレーション ドメインの場合でも同様です。
    Azure AD に同期済みの下記「test001@xxx.work」で Windows 10 コンピューター (Windows10-18091) にログオンします。

    +

    PRT を取得する。

    PRT を取得するためには、Azure AD に同期済みのオンプレミス AD ユーザーでログオンする必要があるのは、フェデレーション ドメインの場合でも同様です。
    Azure AD に同期済みの下記「test001@xxx.work」で Windows 10 コンピューター (Windows10-18091) にログオンします。

    資格情報を入力してログオンします。

    コマンドプロンプトを起動し、このタイミングで dsregcmd /status のコマンドレットをたたくと AzureADPrt の値が YES になることが確認できます。

    diff --git a/azure-active-directory/how-to-create-hybridazureadjoin-managed/index.html b/azure-active-directory/how-to-create-hybridazureadjoin-managed/index.html index 4a4fc0de4f3..4b354588ac3 100644 --- a/azure-active-directory/how-to-create-hybridazureadjoin-managed/index.html +++ b/azure-active-directory/how-to-create-hybridazureadjoin-managed/index.html @@ -56,7 +56,7 @@ - + @@ -200,7 +200,7 @@

    feedback - 共有 + 共有

    @@ -342,7 +342,7 @@

    PRT (Primary Refresh Token) の取得

    現在、目次の「1. ~ 6.」までの作業が完了しています。
    Azure AD にデバイスは登録されましたが、まだ Hybrid Azure AD Join の構成は完了してません。
    最後の工程として、 Azure AD に同期済みの Azure AD ユーザーにて、対象の Windows 10 コンピューターにサインインし認証が成功したあとに、 Azure AD から PRT (Primary Refresh Token) を取得する必要があります。

    -

    オンプレミス AD から Azure AD に同期済みの test001 から test003 のユーザーがいますので、対象の Windows 10 コンピューターに test001@xxx.work ユーザーでサインインします。

    +

    オンプレミス AD から Azure AD に同期済みの test001 から test003 のユーザーがいますので、対象の Windows 10 コンピューターに test001@xxx.work ユーザーでサインインします。

    資格情報を入力し、サインインします。

    diff --git a/azure-active-directory/how-to-deploy-cloud-kerberos-trust/index.html b/azure-active-directory/how-to-deploy-cloud-kerberos-trust/index.html index c3c130d0439..c3c147e7961 100644 --- a/azure-active-directory/how-to-deploy-cloud-kerberos-trust/index.html +++ b/azure-active-directory/how-to-deploy-cloud-kerberos-trust/index.html @@ -15,7 +15,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/how-to-determine-depreacated-azuread-msol/index.html b/azure-active-directory/how-to-determine-depreacated-azuread-msol/index.html index bca3ab6b8ac..20ba3fe909e 100644 --- a/azure-active-directory/how-to-determine-depreacated-azuread-msol/index.html +++ b/azure-active-directory/how-to-determine-depreacated-azuread-msol/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/how-to-disable-whfb/index.html b/azure-active-directory/how-to-disable-whfb/index.html index 5d25c3c4eb3..03e8026a8dd 100644 --- a/azure-active-directory/how-to-disable-whfb/index.html +++ b/azure-active-directory/how-to-disable-whfb/index.html @@ -26,7 +26,7 @@ - + @@ -169,7 +169,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/how-to-get-sign-in-logs/index.html b/azure-active-directory/how-to-get-sign-in-logs/index.html index 4b675df3bbc..0c414c45094 100644 --- a/azure-active-directory/how-to-get-sign-in-logs/index.html +++ b/azure-active-directory/how-to-get-sign-in-logs/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/how-to-update-samlsigningcertificate/index.html b/azure-active-directory/how-to-update-samlsigningcertificate/index.html index 3cdeab48b4e..cd97c9d53ce 100644 --- a/azure-active-directory/how-to-update-samlsigningcertificate/index.html +++ b/azure-active-directory/how-to-update-samlsigningcertificate/index.html @@ -22,7 +22,7 @@ - + @@ -164,7 +164,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/howto-deal-with-aadsts1002016/index.html b/azure-active-directory/howto-deal-with-aadsts1002016/index.html index 9fb6a1119fe..805d83a4ac1 100644 --- a/azure-active-directory/howto-deal-with-aadsts1002016/index.html +++ b/azure-active-directory/howto-deal-with-aadsts1002016/index.html @@ -14,7 +14,7 @@ - + @@ -156,7 +156,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/howto-deal-with-throttling/index.html b/azure-active-directory/howto-deal-with-throttling/index.html index f2c29a3e5a3..8634ab99066 100644 --- a/azure-active-directory/howto-deal-with-throttling/index.html +++ b/azure-active-directory/howto-deal-with-throttling/index.html @@ -16,7 +16,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/howto-deal-with-user-at-risk-detected-email/index.html b/azure-active-directory/howto-deal-with-user-at-risk-detected-email/index.html index 0006f091c62..e9d06e48579 100644 --- a/azure-active-directory/howto-deal-with-user-at-risk-detected-email/index.html +++ b/azure-active-directory/howto-deal-with-user-at-risk-detected-email/index.html @@ -41,7 +41,7 @@ - + @@ -184,7 +184,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/hybrid-azuread-joined-devices-setup/index.html b/azure-active-directory/hybrid-azuread-joined-devices-setup/index.html index bfa759177c1..d2adaaaba1c 100644 --- a/azure-active-directory/hybrid-azuread-joined-devices-setup/index.html +++ b/azure-active-directory/hybrid-azuread-joined-devices-setup/index.html @@ -23,7 +23,7 @@ - + @@ -164,7 +164,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/hybrid-pending-device/index.html b/azure-active-directory/hybrid-pending-device/index.html index e3429fd635a..71c18ee2d88 100644 --- a/azure-active-directory/hybrid-pending-device/index.html +++ b/azure-active-directory/hybrid-pending-device/index.html @@ -18,7 +18,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/identity-at-ignite-strengthen-resilience-with-identity/index.html b/azure-active-directory/identity-at-ignite-strengthen-resilience-with-identity/index.html index 018e0a8e82d..e0dbf65845d 100644 --- a/azure-active-directory/identity-at-ignite-strengthen-resilience-with-identity/index.html +++ b/azure-active-directory/identity-at-ignite-strengthen-resilience-with-identity/index.html @@ -17,7 +17,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/identity-at-microsoft-ignite-securing-access-in-the-era-of-ai/index.html b/azure-active-directory/identity-at-microsoft-ignite-securing-access-in-the-era-of-ai/index.html index b70bc2f223f..66978c96c53 100644 --- a/azure-active-directory/identity-at-microsoft-ignite-securing-access-in-the-era-of-ai/index.html +++ b/azure-active-directory/identity-at-microsoft-ignite-securing-access-in-the-era-of-ai/index.html @@ -19,7 +19,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/identity-governance-with-verified-id/index.html b/azure-active-directory/identity-governance-with-verified-id/index.html index 8c76f7bc336..c9b3e3fb2d5 100644 --- a/azure-active-directory/identity-governance-with-verified-id/index.html +++ b/azure-active-directory/identity-governance-with-verified-id/index.html @@ -21,7 +21,7 @@ - + @@ -164,7 +164,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/identity-innovation-for-a-more-secure-nation/index.html b/azure-active-directory/identity-innovation-for-a-more-secure-nation/index.html index 1a7ec4e88f8..fa8436d15f9 100644 --- a/azure-active-directory/identity-innovation-for-a-more-secure-nation/index.html +++ b/azure-active-directory/identity-innovation-for-a-more-secure-nation/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/identity-protection-riskpolicy-introduction/index.html b/azure-active-directory/identity-protection-riskpolicy-introduction/index.html index df591c8f3ff..1edf3f75522 100644 --- a/azure-active-directory/identity-protection-riskpolicy-introduction/index.html +++ b/azure-active-directory/identity-protection-riskpolicy-introduction/index.html @@ -40,7 +40,7 @@ - + @@ -183,7 +183,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/important-azure-ad-graph-retirement-and-powershell-module/index.html b/azure-active-directory/important-azure-ad-graph-retirement-and-powershell-module/index.html index 1a9c6a44104..0cf7e35521d 100644 --- a/azure-active-directory/important-azure-ad-graph-retirement-and-powershell-module/index.html +++ b/azure-active-directory/important-azure-ad-graph-retirement-and-powershell-module/index.html @@ -14,7 +14,7 @@ - + @@ -154,7 +154,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/important-update-azure-ad-graph-api-retirement/index.html b/azure-active-directory/important-update-azure-ad-graph-api-retirement/index.html index 34a90714f57..16ec750aa0b 100644 --- a/azure-active-directory/important-update-azure-ad-graph-api-retirement/index.html +++ b/azure-active-directory/important-update-azure-ad-graph-api-retirement/index.html @@ -15,7 +15,7 @@ - + @@ -156,7 +156,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/important-update-deprecation-of-azure-ad-powershell-and-msonline/index.html b/azure-active-directory/important-update-deprecation-of-azure-ad-powershell-and-msonline/index.html index 203dd7b9259..3f4d2c8bd34 100644 --- a/azure-active-directory/important-update-deprecation-of-azure-ad-powershell-and-msonline/index.html +++ b/azure-active-directory/important-update-deprecation-of-azure-ad-powershell-and-msonline/index.html @@ -14,7 +14,7 @@ - + @@ -154,7 +154,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/integration-guidance-helps-partners-deliver-zero-trust-solutions/index.html b/azure-active-directory/integration-guidance-helps-partners-deliver-zero-trust-solutions/index.html index dbe47b7e96d..257deab9415 100644 --- a/azure-active-directory/integration-guidance-helps-partners-deliver-zero-trust-solutions/index.html +++ b/azure-active-directory/integration-guidance-helps-partners-deliver-zero-trust-solutions/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/introducing-a-new-flexible-way-of-bringing-identities-from-any/index.html b/azure-active-directory/introducing-a-new-flexible-way-of-bringing-identities-from-any/index.html index f25f02b887f..fd3c0022df6 100644 --- a/azure-active-directory/introducing-a-new-flexible-way-of-bringing-identities-from-any/index.html +++ b/azure-active-directory/introducing-a-new-flexible-way-of-bringing-identities-from-any/index.html @@ -19,7 +19,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/introducing-a-new-way-to-verify-your-workplace-on-linkedIn-with-microsoft-entra-verified-id/index.html b/azure-active-directory/introducing-a-new-way-to-verify-your-workplace-on-linkedIn-with-microsoft-entra-verified-id/index.html index 40c0c940b51..d84243684f3 100644 --- a/azure-active-directory/introducing-a-new-way-to-verify-your-workplace-on-linkedIn-with-microsoft-entra-verified-id/index.html +++ b/azure-active-directory/introducing-a-new-way-to-verify-your-workplace-on-linkedIn-with-microsoft-entra-verified-id/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/introducing-authentication-context/index.html b/azure-active-directory/introducing-authentication-context/index.html index b43dcc3f5c9..c02395aac55 100644 --- a/azure-active-directory/introducing-authentication-context/index.html +++ b/azure-active-directory/introducing-authentication-context/index.html @@ -34,7 +34,7 @@ - + @@ -176,7 +176,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/introducing-azure-ad-access-reviews-for-service-principals/index.html b/azure-active-directory/introducing-azure-ad-access-reviews-for-service-principals/index.html index 71bc8d29c56..a0506378394 100644 --- a/azure-active-directory/introducing-azure-ad-access-reviews-for-service-principals/index.html +++ b/azure-active-directory/introducing-azure-ad-access-reviews-for-service-principals/index.html @@ -16,7 +16,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/introducing-azuread-custom-security-attributes/index.html b/azure-active-directory/introducing-azuread-custom-security-attributes/index.html index ce7723b9241..628025c7354 100644 --- a/azure-active-directory/introducing-azuread-custom-security-attributes/index.html +++ b/azure-active-directory/introducing-azuread-custom-security-attributes/index.html @@ -20,7 +20,7 @@ - + @@ -162,7 +162,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/introducing-ca-for-workload-id/index.html b/azure-active-directory/introducing-ca-for-workload-id/index.html index cc1c63aa55d..d74cf3d91e4 100644 --- a/azure-active-directory/introducing-ca-for-workload-id/index.html +++ b/azure-active-directory/introducing-ca-for-workload-id/index.html @@ -20,7 +20,7 @@ - + @@ -162,7 +162,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/introducing-diagnostic-settings-for-identity-protection-august/index.html b/azure-active-directory/introducing-diagnostic-settings-for-identity-protection-august/index.html index 594a2f15411..0754532b85a 100644 --- a/azure-active-directory/introducing-diagnostic-settings-for-identity-protection-august/index.html +++ b/azure-active-directory/introducing-diagnostic-settings-for-identity-protection-august/index.html @@ -17,7 +17,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/introducing-enhanced-company-branding-for-sign-in-experiences/index.html b/azure-active-directory/introducing-enhanced-company-branding-for-sign-in-experiences/index.html index b8b5336cbd9..47def9dd605 100644 --- a/azure-active-directory/introducing-enhanced-company-branding-for-sign-in-experiences/index.html +++ b/azure-active-directory/introducing-enhanced-company-branding-for-sign-in-experiences/index.html @@ -19,7 +19,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/introducing-entra-id-governance/index.html b/azure-active-directory/introducing-entra-id-governance/index.html index 5761d025654..89a2739a8d8 100644 --- a/azure-active-directory/introducing-entra-id-governance/index.html +++ b/azure-active-directory/introducing-entra-id-governance/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/introducing-entra-powershell/index.html b/azure-active-directory/introducing-entra-powershell/index.html index 1e4f546e9ef..0d5c75f18e1 100644 --- a/azure-active-directory/introducing-entra-powershell/index.html +++ b/azure-active-directory/introducing-entra-powershell/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/introducing-microsoft-entra-license-utilization-insights/index.html b/azure-active-directory/introducing-microsoft-entra-license-utilization-insights/index.html index 8414cfcd2a5..0751ab90fc0 100644 --- a/azure-active-directory/introducing-microsoft-entra-license-utilization-insights/index.html +++ b/azure-active-directory/introducing-microsoft-entra-license-utilization-insights/index.html @@ -17,7 +17,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/introducing-microsoft-entra-modern-identity-and-access-solutions/index.html b/azure-active-directory/introducing-microsoft-entra-modern-identity-and-access-solutions/index.html index 79f1f79ac94..67bc791391d 100644 --- a/azure-active-directory/introducing-microsoft-entra-modern-identity-and-access-solutions/index.html +++ b/azure-active-directory/introducing-microsoft-entra-modern-identity-and-access-solutions/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/introducing-new-and-upcoming-entra-recommendations/index.html b/azure-active-directory/introducing-new-and-upcoming-entra-recommendations/index.html index 0b75b8ce9d3..e92b4d6b677 100644 --- a/azure-active-directory/introducing-new-and-upcoming-entra-recommendations/index.html +++ b/azure-active-directory/introducing-new-and-upcoming-entra-recommendations/index.html @@ -18,7 +18,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/introducing-new-features-of-microsoft-entra-permissions-management/index.html b/azure-active-directory/introducing-new-features-of-microsoft-entra-permissions-management/index.html index 25ff0e3909a..5de132f56de 100644 --- a/azure-active-directory/introducing-new-features-of-microsoft-entra-permissions-management/index.html +++ b/azure-active-directory/introducing-new-features-of-microsoft-entra-permissions-management/index.html @@ -17,7 +17,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/introducing-password-removal-for-microsoft-accounts/index.html b/azure-active-directory/introducing-password-removal-for-microsoft-accounts/index.html index 70f00617476..f8b95839fd4 100644 --- a/azure-active-directory/introducing-password-removal-for-microsoft-accounts/index.html +++ b/azure-active-directory/introducing-password-removal-for-microsoft-accounts/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/introducing-restricted-management-au-in-microsoft-entra-id/index.html b/azure-active-directory/introducing-restricted-management-au-in-microsoft-entra-id/index.html index dd01dc8f346..9e998d0e5cd 100644 --- a/azure-active-directory/introducing-restricted-management-au-in-microsoft-entra-id/index.html +++ b/azure-active-directory/introducing-restricted-management-au-in-microsoft-entra-id/index.html @@ -19,7 +19,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/introducing-windows-local-administrator-password-solution-with/index.html b/azure-active-directory/introducing-windows-local-administrator-password-solution-with/index.html index da2ab2b251d..39dfa89cba8 100644 --- a/azure-active-directory/introducing-windows-local-administrator-password-solution-with/index.html +++ b/azure-active-directory/introducing-windows-local-administrator-password-solution-with/index.html @@ -24,7 +24,7 @@ - + @@ -165,7 +165,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/ios-accounts/index.html b/azure-active-directory/ios-accounts/index.html index b8f45b22f56..d0202941ff3 100644 --- a/azure-active-directory/ios-accounts/index.html +++ b/azure-active-directory/ios-accounts/index.html @@ -17,7 +17,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/ipv6-coming-to-azuread/index.html b/azure-active-directory/ipv6-coming-to-azuread/index.html index ff8c9649107..1bc19b5bd6f 100644 --- a/azure-active-directory/ipv6-coming-to-azuread/index.html +++ b/azure-active-directory/ipv6-coming-to-azuread/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/it-s-time-to-hang-up-on-phone-transports-for-authentication/index.html b/azure-active-directory/it-s-time-to-hang-up-on-phone-transports-for-authentication/index.html index af826e0f58b..0ddd732db72 100644 --- a/azure-active-directory/it-s-time-to-hang-up-on-phone-transports-for-authentication/index.html +++ b/azure-active-directory/it-s-time-to-hang-up-on-phone-transports-for-authentication/index.html @@ -14,7 +14,7 @@ - + @@ -154,7 +154,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/join-us-at-microsoft-ignite-fall-2021/index.html b/azure-active-directory/join-us-at-microsoft-ignite-fall-2021/index.html index 8c2445d6723..52ad092f3ca 100644 --- a/azure-active-directory/join-us-at-microsoft-ignite-fall-2021/index.html +++ b/azure-active-directory/join-us-at-microsoft-ignite-fall-2021/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/join-us-to-build-solutions-using-decentralized-identities/index.html b/azure-active-directory/join-us-to-build-solutions-using-decentralized-identities/index.html index aebeb324bb6..b88386dd8f8 100644 --- a/azure-active-directory/join-us-to-build-solutions-using-decentralized-identities/index.html +++ b/azure-active-directory/join-us-to-build-solutions-using-decentralized-identities/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/keep-track-object-deletions/index.html b/azure-active-directory/keep-track-object-deletions/index.html index 1ef63bb68f9..189ecd53ada 100644 --- a/azure-active-directory/keep-track-object-deletions/index.html +++ b/azure-active-directory/keep-track-object-deletions/index.html @@ -18,7 +18,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/lifecycle-workflow/index.html b/azure-active-directory/lifecycle-workflow/index.html index 571987a16d6..577003b139c 100644 --- a/azure-active-directory/lifecycle-workflow/index.html +++ b/azure-active-directory/lifecycle-workflow/index.html @@ -51,7 +51,7 @@ - + @@ -193,7 +193,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/lifecycle-workflows-ga/index.html b/azure-active-directory/lifecycle-workflows-ga/index.html index 9df47669cfd..5500cb33679 100644 --- a/azure-active-directory/lifecycle-workflows-ga/index.html +++ b/azure-active-directory/lifecycle-workflows-ga/index.html @@ -25,7 +25,7 @@ - + @@ -167,7 +167,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/machine-learning-recommendations-in-access-review/index.html b/azure-active-directory/machine-learning-recommendations-in-access-review/index.html index dde5fdb12b2..c7dbad1a6bb 100644 --- a/azure-active-directory/machine-learning-recommendations-in-access-review/index.html +++ b/azure-active-directory/machine-learning-recommendations-in-access-review/index.html @@ -19,7 +19,7 @@ - + @@ -162,7 +162,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/managing-governing-and-securing-identities-for-apps-and-services/index.html b/azure-active-directory/managing-governing-and-securing-identities-for-apps-and-services/index.html index c0d1bd16140..df598f35550 100644 --- a/azure-active-directory/managing-governing-and-securing-identities-for-apps-and-services/index.html +++ b/azure-active-directory/managing-governing-and-securing-identities-for-apps-and-services/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/mc705680-20240110/index.html b/azure-active-directory/mc705680-20240110/index.html index 95a4d3e17b3..a420b940940 100644 --- a/azure-active-directory/mc705680-20240110/index.html +++ b/azure-active-directory/mc705680-20240110/index.html @@ -14,7 +14,7 @@ - + @@ -156,7 +156,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/member-and-guest-user/index.html b/azure-active-directory/member-and-guest-user/index.html index ad95a66ed4d..67fb5f4928b 100644 --- a/azure-active-directory/member-and-guest-user/index.html +++ b/azure-active-directory/member-and-guest-user/index.html @@ -20,7 +20,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    @@ -173,7 +173,7 @@

    はじめに

    下記のように、個人アカウントや別テナントの職場または学校アカウント (組織アカウント) を追加した (Azure AD B2B の機能を利用した) 場合に、ユーザーの種類が「ゲスト」として追加されます。

    -

    これ以外の Azure のサブスクリプションのサインアップで利用した個人アカウントや組織内のドメイン (上記の例の場合: contso.com) をユーザー名 (例: test@contoso.com) に持つユーザーは「メンバー」として登録されます。また、現在は利用できないクラシック ポータル (旧ポータル) より追加した外部ユーザーについては「メンバー」として登録されております。

    +

    これ以外の Azure のサブスクリプションのサインアップで利用した個人アカウントや組織内のドメイン (上記の例の場合: contso.com) をユーザー名 (例: test@contoso.com) に持つユーザーは「メンバー」として登録されます。また、現在は利用できないクラシック ポータル (旧ポータル) より追加した外部ユーザーについては「メンバー」として登録されております。

    詳細

    既定ではゲスト ユーザーに対しては、 Azure AD のデータへのアクセスが制限されています。このため、ゲスト ユーザーで Azure AD テナントにサインインした場合、招待された Azure AD のユーザーの一覧を参照することはできませんし、各種設定の参照および変更も制限されています。もちろん、サブスクリプションに対する権限を付与していない場合は、サブスクリプションのリソースを操作することもできません。一般ユーザーとゲスト ユーザーがそれぞれできること (アクセス許可の比較) は、こちらをご参照ください。

    diff --git a/azure-active-directory/mfa-reset-2022/index.html b/azure-active-directory/mfa-reset-2022/index.html index 6596d7e9493..b8f30e5c792 100644 --- a/azure-active-directory/mfa-reset-2022/index.html +++ b/azure-active-directory/mfa-reset-2022/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/mfa-reset/index.html b/azure-active-directory/mfa-reset/index.html index 2330cb80896..129e51e1adc 100644 --- a/azure-active-directory/mfa-reset/index.html +++ b/azure-active-directory/mfa-reset/index.html @@ -17,7 +17,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/mfasetupinteg/index.html b/azure-active-directory/mfasetupinteg/index.html index 4d9cc649e01..17ab11bc414 100644 --- a/azure-active-directory/mfasetupinteg/index.html +++ b/azure-active-directory/mfasetupinteg/index.html @@ -38,7 +38,7 @@ - + @@ -181,7 +181,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/microsoft-authenticator-app/index.html b/azure-active-directory/microsoft-authenticator-app/index.html index a1b1f912fb3..09e4c985ba6 100644 --- a/azure-active-directory/microsoft-authenticator-app/index.html +++ b/azure-active-directory/microsoft-authenticator-app/index.html @@ -19,7 +19,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/microsoft-brings-fips-140-compliance/index.html b/azure-active-directory/microsoft-brings-fips-140-compliance/index.html index 7c2508f967f..dd2ade84d89 100644 --- a/azure-active-directory/microsoft-brings-fips-140-compliance/index.html +++ b/azure-active-directory/microsoft-brings-fips-140-compliance/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/microsoft-entra-adds-identity-skills-to-copilot-for-security/index.html b/azure-active-directory/microsoft-entra-adds-identity-skills-to-copilot-for-security/index.html index dc5b173bfae..c06c2431461 100644 --- a/azure-active-directory/microsoft-entra-adds-identity-skills-to-copilot-for-security/index.html +++ b/azure-active-directory/microsoft-entra-adds-identity-skills-to-copilot-for-security/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/microsoft-entra-change-announcements-march-2023-train/index.html b/azure-active-directory/microsoft-entra-change-announcements-march-2023-train/index.html index 59b81a9f778..a2eb9d75e5c 100644 --- a/azure-active-directory/microsoft-entra-change-announcements-march-2023-train/index.html +++ b/azure-active-directory/microsoft-entra-change-announcements-march-2023-train/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/microsoft-entra-delivers-increased-transparency/index.html b/azure-active-directory/microsoft-entra-delivers-increased-transparency/index.html index 1cad29b4c7d..d5f98d1bb76 100644 --- a/azure-active-directory/microsoft-entra-delivers-increased-transparency/index.html +++ b/azure-active-directory/microsoft-entra-delivers-increased-transparency/index.html @@ -15,7 +15,7 @@ - + @@ -156,7 +156,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/microsoft-entra-expands-into-securityserviceedge-with-two-new-offerings/index.html b/azure-active-directory/microsoft-entra-expands-into-securityserviceedge-with-two-new-offerings/index.html index fd30f4cc471..2f0acfad276 100644 --- a/azure-active-directory/microsoft-entra-expands-into-securityserviceedge-with-two-new-offerings/index.html +++ b/azure-active-directory/microsoft-entra-expands-into-securityserviceedge-with-two-new-offerings/index.html @@ -18,7 +18,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/microsoft-entra-hybrid-joined-re-registration-simplified/index.html b/azure-active-directory/microsoft-entra-hybrid-joined-re-registration-simplified/index.html index 2520a463530..8bb6cba65b9 100644 --- a/azure-active-directory/microsoft-entra-hybrid-joined-re-registration-simplified/index.html +++ b/azure-active-directory/microsoft-entra-hybrid-joined-re-registration-simplified/index.html @@ -17,7 +17,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/microsoft-entra-id-governance-introduces-two-new-features-in-access-reviews/index.html b/azure-active-directory/microsoft-entra-id-governance-introduces-two-new-features-in-access-reviews/index.html index 4171b673d32..894b40738d1 100644 --- a/azure-active-directory/microsoft-entra-id-governance-introduces-two-new-features-in-access-reviews/index.html +++ b/azure-active-directory/microsoft-entra-id-governance-introduces-two-new-features-in-access-reviews/index.html @@ -17,7 +17,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/microsoft-entra-internet-access-now-generally-available/index.html b/azure-active-directory/microsoft-entra-internet-access-now-generally-available/index.html index f8506ac4fd6..88e4e910cdc 100644 --- a/azure-active-directory/microsoft-entra-internet-access-now-generally-available/index.html +++ b/azure-active-directory/microsoft-entra-internet-access-now-generally-available/index.html @@ -23,7 +23,7 @@ - + @@ -165,7 +165,7 @@

    feedback - 共有 + 共有

    @@ -182,7 +182,7 @@

    -

    準拠ネットワークのチェックでトークン再生攻撃へ多層防御を提供

    新機能である準拠ネットワークの制御により、Microsoft 365 アプリケーションを含め Entra ID とフェデレーションしているインターネット アプリケーションに対し、準拠ネットワークのチェック機能を条件付きアクセスと組み合わせて適用できるため、認証プレーン全体でトークン再生攻撃を防ぐことが可能となります。この機能により、ユーザーがアプリケーションにアクセスする際に、SSE のセキュリティ機能を迂回できないようにできます。送信元 IP を用いた場所に基づく強制には、煩雑な IP 管理に加え、支店ネットワークを経由してアクセスしてくるユーザーとトラフィックの紐づけという固有の問題点がありますが、準拠ネットワークの機能を用いればその欠点も解消可能です。

    +

    準拠ネットワークのチェックでトークン再生攻撃へ多層防御を提供

    新機能である 準拠ネットワーク の制御により、Microsoft 365 アプリケーションを含め Entra ID とフェデレーションしているインターネット アプリケーションに対し、準拠ネットワークのチェック機能を条件付きアクセスと組み合わせて適用できるため、認証プレーン全体でトークン再生攻撃を防ぐことが可能となります。この機能により、ユーザーがアプリケーションにアクセスする際に、SSE のセキュリティ機能を迂回できないようにできます。送信元 IP を用いた場所に基づく強制には、煩雑な IP 管理に加え、支店ネットワークを経由してアクセスしてくるユーザーとトラフィックの紐づけという固有の問題点がありますが、準拠ネットワークの機能を用いればその欠点も解消可能です。

    ユニバーサル テナント制限 (TRv2) による制御でデータ流出を防止

    Microsoft Entra Internet Access では OS やブラウザに依存せず、すべての管理対象デバイスで ユニバーサル テナント制限 の制御を有効にできます。テナント制限 v2 は強力なデータ流出防止機能であり、外部の ID およびアプリケーションへアクセス可能/不可能かを許可または拒否リストできめ細かく選定することにより、管理対象デバイスおよびネットワークに対する外部からのアクセスのリスクを管理可能となります。

    図 5: ユニバーサル テナント制限

    @@ -192,7 +192,7 @@

    製品内のダッシュボードで高度な詳細情報とネットワーク解析情報を得る

    弊社が提供する製品内の包括的なレポートとダッシュボードにより、お客様は手軽に詳細情報を確認でき、組織全体のエコシステムを完全に把握可能です。包括的なネットワークとポリシー監視のログを通して展開状況を監視でき、緊急な脅威も特定でき、さらに迅速に問題に対処できます。このダッシュボードでは、ユーザー、デバイスおよび Microsoft の SSE ソリューションを経由した接続先の概要情報を確認可能です。企業内で行われるクロステナント アクセスの状況や、よくアクセスしているネットワーク接続先、その他のポリシーの解析情報も表示しています。

    図 8: 製品内のダッシュボード

    -

    Microsoft Entra Internet Access のアーキテクチャ概要

    Microsoft SSE の [クライアント[(https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-install-windows-client) と リモートネットワーク のアーキテクチャによりネットワーク アクセスとセキュリティが効率されます。デバイスで動作する Global Secure Access クライアントは現在 Windows と Android で利用可能です。MacOS と iOS 用のものは近日に公開されます。拠点間の接続は、ネットワーク デバイスから Microsoft の SSE エッジサービスへの Site-To-Site 接続に基づいて動作します。Microsoft トラフィック はすでに一般公開されていますが、インターネット アクセス プロファイル も近日に追加される予定です。エンドユーザーのデバイスと拠点ネットワーク間の通信モデルは Microsoft の SSE エッジを経由して保護およびトンネリングされています。さらに、弊社は HPE ArubaVersa とパートナー提携を行い、弊社の SSE ソリューションと SD-WAN ソリューションとを統合するべく取り組んでいます。近日には他のパートナーとも追加の提携を行う予定です。

    +

    Microsoft Entra Internet Access のアーキテクチャ概要

    Microsoft SSE の クライアントリモートネットワーク のアーキテクチャによりネットワーク アクセスとセキュリティが効率されます。デバイスで動作する Global Secure Access クライアントは現在 Windows と Android で利用可能です。MacOS と iOS 用のものは近日に公開されます。拠点間の接続は、ネットワーク デバイスから Microsoft の SSE エッジサービスへの Site-To-Site 接続に基づいて動作します。Microsoft トラフィック はすでに一般公開されていますが、インターネット アクセス プロファイル も近日に追加される予定です。エンドユーザーのデバイスと拠点ネットワーク間の通信モデルは Microsoft の SSE エッジを経由して保護およびトンネリングされています。さらに、弊社は HPE ArubaVersa とパートナー提携を行い、弊社の SSE ソリューションと SD-WAN ソリューションとを統合するべく取り組んでいます。近日には他のパートナーとも追加の提携を行う予定です。

    サードパーティの SSE ソリューションとの並列した相互運用

    Microsoft の SSE の独自の利点の 1 つは サードパーティの SSE ソリューション と既定で互換性がある点です。これにより必要な通信だけを Microsoft の SSE エッジに流れるようにできます。例えば、Microsoft トラフィック プロファイルを利用して、Microsoft 365 と Entra ID の通信だけを管理し、Microsoft アプリケーションへのアクセスのパフォーマンスを最適化しつつ、他の通信は別のプロバイダーで管理するように構成可能です。トラフィック転送プロファイルの構成はシンプルなので、インターネットおよび Microsoft 365 を含めた SaaS アプリケーションへの通信を正確に制御できます。トラフィック プロファイルはユーザーごとに設定できますので、組織の要件に応じてグループ単位で割り当てることもできます。

    図 9: 柔軟な展開オプション

    まとめ

    Microsoft Entra Internet Access は強力な ID 中心の SWG ソリューションであり、インターネットおよび SaaS アプリケーションへの通信をセキュリティで保護します。ID、エンドポイントおよびネットワークを横断して条件付きアクセスに統合することより、ハイブリッドな職場環境の要件を満たし、高度なサイバー攻撃にも対処できます。この戦略的な取り組みにより、セキュリティの強化だけでなく、ユーザー体験の最適化も実現されます。これこそが、クラウド ファーストの環境への移行をリードていくという Microsoft のコミットメントを示しています。

    diff --git a/azure-active-directory/microsoft-entra-internet-access-unify-security-service-edge-with/index.html b/azure-active-directory/microsoft-entra-internet-access-unify-security-service-edge-with/index.html index c2b23fb7b90..27ec12a14ce 100644 --- a/azure-active-directory/microsoft-entra-internet-access-unify-security-service-edge-with/index.html +++ b/azure-active-directory/microsoft-entra-internet-access-unify-security-service-edge-with/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/microsoft-entra-internet-access/index.html b/azure-active-directory/microsoft-entra-internet-access/index.html index 63c5e938c0d..67e94399112 100644 --- a/azure-active-directory/microsoft-entra-internet-access/index.html +++ b/azure-active-directory/microsoft-entra-internet-access/index.html @@ -29,7 +29,7 @@ - + @@ -170,7 +170,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/microsoft-entra-new-feature-and-change-announcements/index.html b/azure-active-directory/microsoft-entra-new-feature-and-change-announcements/index.html index 21bcc44ab98..bbaa40e9bd1 100644 --- a/azure-active-directory/microsoft-entra-new-feature-and-change-announcements/index.html +++ b/azure-active-directory/microsoft-entra-new-feature-and-change-announcements/index.html @@ -14,7 +14,7 @@ - + @@ -154,7 +154,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/microsoft-entra-permissions-management-is-now-generally/index.html b/azure-active-directory/microsoft-entra-permissions-management-is-now-generally/index.html index 3576548c233..6a242169faf 100644 --- a/azure-active-directory/microsoft-entra-permissions-management-is-now-generally/index.html +++ b/azure-active-directory/microsoft-entra-permissions-management-is-now-generally/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/microsoft-entra-private-access-an-identity-centric-zero-trust-network-access-solution/index.html b/azure-active-directory/microsoft-entra-private-access-an-identity-centric-zero-trust-network-access-solution/index.html index 98ba207d551..188a6c722c0 100644 --- a/azure-active-directory/microsoft-entra-private-access-an-identity-centric-zero-trust-network-access-solution/index.html +++ b/azure-active-directory/microsoft-entra-private-access-an-identity-centric-zero-trust-network-access-solution/index.html @@ -22,7 +22,7 @@ - + @@ -164,7 +164,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/microsoft-entra-private-access-for-on-prem-users/index.html b/azure-active-directory/microsoft-entra-private-access-for-on-prem-users/index.html index 9c448ba2123..925f78a2712 100644 --- a/azure-active-directory/microsoft-entra-private-access-for-on-prem-users/index.html +++ b/azure-active-directory/microsoft-entra-private-access-for-on-prem-users/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/microsoft-entra-resilience-update-workload-identity-authentication/index.html b/azure-active-directory/microsoft-entra-resilience-update-workload-identity-authentication/index.html index 4976012ddff..c316df2d5b6 100644 --- a/azure-active-directory/microsoft-entra-resilience-update-workload-identity-authentication/index.html +++ b/azure-active-directory/microsoft-entra-resilience-update-workload-identity-authentication/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/microsoft-entra-suite-now-generally-available/index.html b/azure-active-directory/microsoft-entra-suite-now-generally-available/index.html index 613da388d4a..873ac835317 100644 --- a/azure-active-directory/microsoft-entra-suite-now-generally-available/index.html +++ b/azure-active-directory/microsoft-entra-suite-now-generally-available/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/microsoft-entra-updates-you-may-have-missed/index.html b/azure-active-directory/microsoft-entra-updates-you-may-have-missed/index.html index 3a7f19a8ad5..23328e78360 100644 --- a/azure-active-directory/microsoft-entra-updates-you-may-have-missed/index.html +++ b/azure-active-directory/microsoft-entra-updates-you-may-have-missed/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/microsoft-entra-workload-id-ga/index.html b/azure-active-directory/microsoft-entra-workload-id-ga/index.html index cedc53407a2..25e386d0c8c 100644 --- a/azure-active-directory/microsoft-entra-workload-id-ga/index.html +++ b/azure-active-directory/microsoft-entra-workload-id-ga/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/microsoft-entras-top-50-features-of-2023/index.html b/azure-active-directory/microsoft-entras-top-50-features-of-2023/index.html index e00fe419e4e..d05d8d08aaa 100644 --- a/azure-active-directory/microsoft-entras-top-50-features-of-2023/index.html +++ b/azure-active-directory/microsoft-entras-top-50-features-of-2023/index.html @@ -19,7 +19,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/microsoft-graph-api-signin-activity-reports-v2/index.html b/azure-active-directory/microsoft-graph-api-signin-activity-reports-v2/index.html index e827db65679..1213e46ab6f 100644 --- a/azure-active-directory/microsoft-graph-api-signin-activity-reports-v2/index.html +++ b/azure-active-directory/microsoft-graph-api-signin-activity-reports-v2/index.html @@ -14,7 +14,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/microsoft-graph-api-signin-activity-reports/index.html b/azure-active-directory/microsoft-graph-api-signin-activity-reports/index.html index ac1272ff0c5..2d6f94e0806 100644 --- a/azure-active-directory/microsoft-graph-api-signin-activity-reports/index.html +++ b/azure-active-directory/microsoft-graph-api-signin-activity-reports/index.html @@ -14,7 +14,7 @@ - + @@ -156,7 +156,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/microsoft-graph-powershell-v2.0/index.html b/azure-active-directory/microsoft-graph-powershell-v2.0/index.html index 06166ef14cf..64e27e94b9f 100644 --- a/azure-active-directory/microsoft-graph-powershell-v2.0/index.html +++ b/azure-active-directory/microsoft-graph-powershell-v2.0/index.html @@ -15,7 +15,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/microsoft-managed-conditional-access-policies/index.html b/azure-active-directory/microsoft-managed-conditional-access-policies/index.html index 175aa20de74..174fc821761 100644 --- a/azure-active-directory/microsoft-managed-conditional-access-policies/index.html +++ b/azure-active-directory/microsoft-managed-conditional-access-policies/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/microsoft-security-service-edge-now-generally-available/index.html b/azure-active-directory/microsoft-security-service-edge-now-generally-available/index.html index 8dedc332f5d..42cce864ed3 100644 --- a/azure-active-directory/microsoft-security-service-edge-now-generally-available/index.html +++ b/azure-active-directory/microsoft-security-service-edge-now-generally-available/index.html @@ -17,7 +17,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/microsoft-will-require-mfa-for-all-azure-users/index.html b/azure-active-directory/microsoft-will-require-mfa-for-all-azure-users/index.html index b6d9619d584..66ae5437816 100644 --- a/azure-active-directory/microsoft-will-require-mfa-for-all-azure-users/index.html +++ b/azure-active-directory/microsoft-will-require-mfa-for-all-azure-users/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/migrate-aadgraph-to-msgraph/index.html b/azure-active-directory/migrate-aadgraph-to-msgraph/index.html index da4abe36aac..35ca08da838 100644 --- a/azure-active-directory/migrate-aadgraph-to-msgraph/index.html +++ b/azure-active-directory/migrate-aadgraph-to-msgraph/index.html @@ -14,7 +14,7 @@ - + @@ -154,7 +154,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/migrate-adal-apps-to-msal-with-enhanced-insights/index.html b/azure-active-directory/migrate-adal-apps-to-msal-with-enhanced-insights/index.html index 5102b119c4a..7c1442d7a74 100644 --- a/azure-active-directory/migrate-adal-apps-to-msal-with-enhanced-insights/index.html +++ b/azure-active-directory/migrate-adal-apps-to-msal-with-enhanced-insights/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/migrate-your-apps-to-access-the-license-managements/index.html b/azure-active-directory/migrate-your-apps-to-access-the-license-managements/index.html index b13fb506b35..c5840bfabd8 100644 --- a/azure-active-directory/migrate-your-apps-to-access-the-license-managements/index.html +++ b/azure-active-directory/migrate-your-apps-to-access-the-license-managements/index.html @@ -14,7 +14,7 @@ - + @@ -156,7 +156,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/modernizing-authentication-management/index.html b/azure-active-directory/modernizing-authentication-management/index.html index f88141be362..4dc977290df 100644 --- a/azure-active-directory/modernizing-authentication-management/index.html +++ b/azure-active-directory/modernizing-authentication-management/index.html @@ -19,7 +19,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/more-control-and-better-insights-for-your-zero-trust-deployments/index.html b/azure-active-directory/more-control-and-better-insights-for-your-zero-trust-deployments/index.html index f0e8a9b78d9..66db2602c02 100644 --- a/azure-active-directory/more-control-and-better-insights-for-your-zero-trust-deployments/index.html +++ b/azure-active-directory/more-control-and-better-insights-for-your-zero-trust-deployments/index.html @@ -20,7 +20,7 @@ - + @@ -162,7 +162,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/more-coverage-to-protect-your-identities/index.html b/azure-active-directory/more-coverage-to-protect-your-identities/index.html index 096bc9bb067..c33c8972010 100644 --- a/azure-active-directory/more-coverage-to-protect-your-identities/index.html +++ b/azure-active-directory/more-coverage-to-protect-your-identities/index.html @@ -17,7 +17,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/move-authenticator-to-new-phone/index.html b/azure-active-directory/move-authenticator-to-new-phone/index.html index 1c7d66dab16..8c506646ab0 100644 --- a/azure-active-directory/move-authenticator-to-new-phone/index.html +++ b/azure-active-directory/move-authenticator-to-new-phone/index.html @@ -20,7 +20,7 @@ - + @@ -163,7 +163,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/move-to-cloud-authentication-with-the-ad-fs-migration-tool!/index.html b/azure-active-directory/move-to-cloud-authentication-with-the-ad-fs-migration-tool!/index.html index 4a9cdab30ab..d3ff04adea3 100644 --- a/azure-active-directory/move-to-cloud-authentication-with-the-ad-fs-migration-tool!/index.html +++ b/azure-active-directory/move-to-cloud-authentication-with-the-ad-fs-migration-tool!/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/moving-towards-real-time-policy-and-security-enforcement/index.html b/azure-active-directory/moving-towards-real-time-policy-and-security-enforcement/index.html index 806a6179ab0..417d4576375 100644 --- a/azure-active-directory/moving-towards-real-time-policy-and-security-enforcement/index.html +++ b/azure-active-directory/moving-towards-real-time-policy-and-security-enforcement/index.html @@ -15,7 +15,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/mto-ga/index.html b/azure-active-directory/mto-ga/index.html index a6ae87eb66a..8f1aaf1c711 100644 --- a/azure-active-directory/mto-ga/index.html +++ b/azure-active-directory/mto-ga/index.html @@ -16,7 +16,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/nesting-group/index.html b/azure-active-directory/nesting-group/index.html index 19544478251..5368fbb54ed 100644 --- a/azure-active-directory/nesting-group/index.html +++ b/azure-active-directory/nesting-group/index.html @@ -16,7 +16,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/new-admin-center-unifies-azure-ad-with-other-identity-and-access-product/index.html b/azure-active-directory/new-admin-center-unifies-azure-ad-with-other-identity-and-access-product/index.html index a1f66fafdd8..314e9d26b31 100644 --- a/azure-active-directory/new-admin-center-unifies-azure-ad-with-other-identity-and-access-product/index.html +++ b/azure-active-directory/new-admin-center-unifies-azure-ad-with-other-identity-and-access-product/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/new-app-health-recommendations-in-microsoft-entra-workload-identities/index.html b/azure-active-directory/new-app-health-recommendations-in-microsoft-entra-workload-identities/index.html index ff9c8c81f04..c181e25680a 100644 --- a/azure-active-directory/new-app-health-recommendations-in-microsoft-entra-workload-identities/index.html +++ b/azure-active-directory/new-app-health-recommendations-in-microsoft-entra-workload-identities/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/new-authenticator-security-features/index.html b/azure-active-directory/new-authenticator-security-features/index.html index 0e07a7fa27b..7bce2863165 100644 --- a/azure-active-directory/new-authenticator-security-features/index.html +++ b/azure-active-directory/new-authenticator-security-features/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/new-capabilities-that-empower-you-to-migrate-more-of-your-apps/index.html b/azure-active-directory/new-capabilities-that-empower-you-to-migrate-more-of-your-apps/index.html index ddb18b63cd7..082f313cfc3 100644 --- a/azure-active-directory/new-capabilities-that-empower-you-to-migrate-more-of-your-apps/index.html +++ b/azure-active-directory/new-capabilities-that-empower-you-to-migrate-more-of-your-apps/index.html @@ -19,7 +19,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    @@ -177,7 +177,7 @@

    追加のユーザー属性をクレームとして構成する

    より多くの SaaS アプリケーションを採用するにつれ、SAML トークンで送信する必要のあるユーザー属性 (クレーム) の要件がアプリケーションごとに異なることに気付くと思います。たとえば、Box を使用している一部のお客様は、すべてのユーザーの proxyAddresses を SAML トークンに含めるという要件があります。しかし、このように複数の値を持つ属性は、これまで Azure AD のクレーム発行の仕組みでは利用できませんでした。

    今回、新たなユーザー属性を Azure AD のクレームとして追加しました。これらの新しい属性は、Azure Portal にて「属性およびクレーム」の設定もしくは Microsoft Graph のクレーム マッピング ポリシーにおいてソースとして使用することができます。これにより、より多くのアプリケーションを AD FS や他の ID プロバイダーから、Azure AD に移行することができます。現在サポートされている新しい属性をすべて確認するには、弊社のクレーム マッピングの公開情報をご覧ください。

    -

    新しい変換機能で SAML トークンのクレームをカスタマイズする

    多くのお客様は、AD FS 上に SaaS アプリケーションを追加し、ユーザー クレームに対して追加の情報を付け加えるよう構成しています。例えば、一部のお客様では Salesforce のユーザー名にインスタンス名 (例: user@domain.com.stage) を含めるように構成しており、AD FS が NameID クレームを発行する際には、末尾に適切な値を付け加えてます。これまで、Azure AD では、テナントで確認されていない UPN ドメイン (@domain.com) を NameID に含めることができなかったため、このようなことはできませんでした。今回パブリック プレビューとなったこの新機能では、確認されていないドメインにおいても、NameID に情報を追加できるようになりました。

    +

    新しい変換機能で SAML トークンのクレームをカスタマイズする

    多くのお客様は、AD FS 上に SaaS アプリケーションを追加し、ユーザー クレームに対して追加の情報を付け加えるよう構成しています。例えば、一部のお客様では Salesforce のユーザー名にインスタンス名 (例: user@domain.com.stage) を含めるように構成しており、AD FS が NameID クレームを発行する際には、末尾に適切な値を付け加えてます。これまで、Azure AD では、テナントで確認されていない UPN ドメイン (@domain.com) を NameID に含めることができなかったため、このようなことはできませんでした。今回パブリック プレビューとなったこの新機能では、確認されていないドメインにおいても、NameID に情報を追加できるようになりました。

    加えて、ドメインの検証を行わずとも NameID のクレームに対して結合の変換機能を使用することが可能です。結合の変換も、他のクレームと同じように NameID クレームで使用できるようになり、より柔軟な変換が可能になりました。

    部分文字列の関数 についても、クレーム設定 UI にて一般提供が開始されました。ソース属性から特定の文字を抽出して作成されたクレームを必要とするアプリケーションでは、この部分文字列の関数を使用可能です。

    diff --git a/azure-active-directory/new-capolicy-for-csp-account/index.html b/azure-active-directory/new-capolicy-for-csp-account/index.html index e83569211ff..5f1c745fedd 100644 --- a/azure-active-directory/new-capolicy-for-csp-account/index.html +++ b/azure-active-directory/new-capolicy-for-csp-account/index.html @@ -16,7 +16,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/new-developments-in-microsoft-entra-id-protection/index.html b/azure-active-directory/new-developments-in-microsoft-entra-id-protection/index.html index 1fe9101270c..17cd2175351 100644 --- a/azure-active-directory/new-developments-in-microsoft-entra-id-protection/index.html +++ b/azure-active-directory/new-developments-in-microsoft-entra-id-protection/index.html @@ -17,7 +17,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/new-identity-partnerships-and-integrations-to-strengthen-your/index.html b/azure-active-directory/new-identity-partnerships-and-integrations-to-strengthen-your/index.html index 336d516aefa..be41fa882e0 100644 --- a/azure-active-directory/new-identity-partnerships-and-integrations-to-strengthen-your/index.html +++ b/azure-active-directory/new-identity-partnerships-and-integrations-to-strengthen-your/index.html @@ -21,7 +21,7 @@ - + @@ -163,7 +163,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/new-microsoft-entra-id-governance-dashboard-experience-rolling/index.html b/azure-active-directory/new-microsoft-entra-id-governance-dashboard-experience-rolling/index.html index cdd0f7f44e3..02ee01d5b91 100644 --- a/azure-active-directory/new-microsoft-entra-id-governance-dashboard-experience-rolling/index.html +++ b/azure-active-directory/new-microsoft-entra-id-governance-dashboard-experience-rolling/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/new-require-reauthentication-for-intune-enrollment-or-risk/index.html b/azure-active-directory/new-require-reauthentication-for-intune-enrollment-or-risk/index.html index 79e87f10508..1fbbd5b1fe2 100644 --- a/azure-active-directory/new-require-reauthentication-for-intune-enrollment-or-risk/index.html +++ b/azure-active-directory/new-require-reauthentication-for-intune-enrollment-or-risk/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/new-tools-to-block-legacy-auth/index.html b/azure-active-directory/new-tools-to-block-legacy-auth/index.html index 2c8d6bbe09b..c0b2e9ef507 100644 --- a/azure-active-directory/new-tools-to-block-legacy-auth/index.html +++ b/azure-active-directory/new-tools-to-block-legacy-auth/index.html @@ -24,7 +24,7 @@ - + @@ -168,7 +168,7 @@

    feedback - 共有 + 共有

    @@ -225,7 +225,7 @@

    ステップ 3:組織内のレガシー認証をブロックする

    Azure AD の条件付きアクセスを使用したレガシー認証のブロック

    数日間レポート専用モードでポリシーを監視し、ポリシーの影響を理解できたら、レガシー認証のブロックを開始する準備が整ったと言えるでしょう。最も簡単な方法は、ポリシーの状態を レポート専用 から オン に変更することです。または、まだ準備ができていないユーザーがおり、それらに対してレポート専用モードでレガシー認証をブロックした場合の影響を監視し続けたい場合は、レガシー認証をブロックする条件付きアクセス ポリシーを別個に作成します。

    サービス サイドでのレガシー認証のブロック

    条件付きアクセスに加えて、従来の認証をサービス側またはリソース側 (認証プラットフォーム側ではなく) でブロックすることも可能です。たとえば、Exchange Online では、ユーザーに対して POP3 または IMAP4 を無効にすることができます。ここで問題となるのは、レガシー認証と最新の認証が両方可能なプロトコル (EWS、MAPI など) を完全にブロックできないということです。この問題を解決するために、Exchange Online は認証ポリシーと呼ばれる機能をリリースしました。プロトコルの接続は、Azure AD または AD FS に対して資格情報をチェックする前に拒否されるため、認証前にポリシーが強制されます。

    -

    このブログ記事が、組織内のレガシー認証をブロックするために必要なすべての情報を提供できていれば幸いです。ご質問がある場合は、以下のコメント欄でこのブログ記事に返信するか、弊社チーム (intelligentaccesspm@microsoft.com) にメールを送る、もしくは Twitter で Alex (@alex_t_weinert) と私 (@daniel_e_wood) まで連絡ください。

    +

    このブログ記事が、組織内のレガシー認証をブロックするために必要なすべての情報を提供できていれば幸いです。ご質問がある場合は、以下のコメント欄でこのブログ記事に返信するか、弊社チーム (intelligentaccesspm@microsoft.com) にメールを送る、もしくは Twitter で Alex (@alex_t_weinert) と私 (@daniel_e_wood) まで連絡ください。

    diff --git a/azure-active-directory/non-destructive-pin-reset/index.html b/azure-active-directory/non-destructive-pin-reset/index.html index 1eb9831d139..7785174accb 100644 --- a/azure-active-directory/non-destructive-pin-reset/index.html +++ b/azure-active-directory/non-destructive-pin-reset/index.html @@ -15,7 +15,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/oauth2-application-resource-and-api-permissions/index.html b/azure-active-directory/oauth2-application-resource-and-api-permissions/index.html index daf71a5ae3c..7619dcd6f12 100644 --- a/azure-active-directory/oauth2-application-resource-and-api-permissions/index.html +++ b/azure-active-directory/oauth2-application-resource-and-api-permissions/index.html @@ -49,7 +49,7 @@ - + @@ -191,7 +191,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/onboard-partners-more-easily-with-new-azure-ad-entitlement/index.html b/azure-active-directory/onboard-partners-more-easily-with-new-azure-ad-entitlement/index.html index 5dc06faad3a..da88e8ff1fc 100644 --- a/azure-active-directory/onboard-partners-more-easily-with-new-azure-ad-entitlement/index.html +++ b/azure-active-directory/onboard-partners-more-easily-with-new-azure-ad-entitlement/index.html @@ -17,7 +17,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/operating-license-with-microsoft-graph/index.html b/azure-active-directory/operating-license-with-microsoft-graph/index.html index 92233c65e95..9ddc450f177 100644 --- a/azure-active-directory/operating-license-with-microsoft-graph/index.html +++ b/azure-active-directory/operating-license-with-microsoft-graph/index.html @@ -22,7 +22,7 @@ - + @@ -164,7 +164,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/operating-license-with-microsoft-graph2/index.html b/azure-active-directory/operating-license-with-microsoft-graph2/index.html index 9d6d780b139..4ad711110e2 100644 --- a/azure-active-directory/operating-license-with-microsoft-graph2/index.html +++ b/azure-active-directory/operating-license-with-microsoft-graph2/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/output-directory-roll-members/index.html b/azure-active-directory/output-directory-roll-members/index.html index 584cba5b65c..403fa9aec2c 100644 --- a/azure-active-directory/output-directory-roll-members/index.html +++ b/azure-active-directory/output-directory-roll-members/index.html @@ -15,7 +15,7 @@ - + @@ -156,7 +156,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/password-sprey-attack/index.html b/azure-active-directory/password-sprey-attack/index.html index c7439374303..cf278a5acb4 100644 --- a/azure-active-directory/password-sprey-attack/index.html +++ b/azure-active-directory/password-sprey-attack/index.html @@ -17,7 +17,7 @@ - + @@ -162,7 +162,7 @@

    feedback - 共有 + 共有

    @@ -182,19 +182,19 @@

    -User1@org1.com +User1@org1.com Password1 -User2@org1.com +User2@org1.com Password1 -User1@org2.com +User1@org2.com Password1 -User2@org2.com +User2@org2.com Password1 @@ -206,19 +206,19 @@

    … -User1@org1.com +User1@org1.com P@$$w0rd -User2@org1.com +User2@org1.com P@$$w0rd -User1@org2.com +User1@org2.com P@$$w0rd -User2@org2.com +User2@org2.com P@$$w0rd diff --git a/azure-active-directory/permissions-management-terms-and-their-impact-in-multicloud/index.html b/azure-active-directory/permissions-management-terms-and-their-impact-in-multicloud/index.html index fbdab5e874d..e37b1f34f37 100644 --- a/azure-active-directory/permissions-management-terms-and-their-impact-in-multicloud/index.html +++ b/azure-active-directory/permissions-management-terms-and-their-impact-in-multicloud/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/pim-for-group-ga/index.html b/azure-active-directory/pim-for-group-ga/index.html index f1bac7eb1c6..4c05638115c 100644 --- a/azure-active-directory/pim-for-group-ga/index.html +++ b/azure-active-directory/pim-for-group-ga/index.html @@ -25,7 +25,7 @@ - + @@ -166,7 +166,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/pim-overview/index.html b/azure-active-directory/pim-overview/index.html index 935e5039964..c77acea5c24 100644 --- a/azure-active-directory/pim-overview/index.html +++ b/azure-active-directory/pim-overview/index.html @@ -26,7 +26,7 @@ - + @@ -169,7 +169,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/platform-sso-for-macos-now-in-public-preview/index.html b/azure-active-directory/platform-sso-for-macos-now-in-public-preview/index.html index 3daeac20bc3..c6237297f28 100644 --- a/azure-active-directory/platform-sso-for-macos-now-in-public-preview/index.html +++ b/azure-active-directory/platform-sso-for-macos-now-in-public-preview/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/powershell-module/index.html b/azure-active-directory/powershell-module/index.html index 8600bd6f122..8c14ceb9c60 100644 --- a/azure-active-directory/powershell-module/index.html +++ b/azure-active-directory/powershell-module/index.html @@ -17,7 +17,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/preferred-language-in-identity-governance/index.html b/azure-active-directory/preferred-language-in-identity-governance/index.html index cc75092676b..f4476b6848f 100644 --- a/azure-active-directory/preferred-language-in-identity-governance/index.html +++ b/azure-active-directory/preferred-language-in-identity-governance/index.html @@ -20,7 +20,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/preview-for-verified-coupons-with-entra-verified-id/index.html b/azure-active-directory/preview-for-verified-coupons-with-entra-verified-id/index.html index 34ad018379e..edb38cd8189 100644 --- a/azure-active-directory/preview-for-verified-coupons-with-entra-verified-id/index.html +++ b/azure-active-directory/preview-for-verified-coupons-with-entra-verified-id/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/prompt-users-for-reauthentication-on-sensitive-apps-and-high-risk-actions-with-conditional-access/index.html b/azure-active-directory/prompt-users-for-reauthentication-on-sensitive-apps-and-high-risk-actions-with-conditional-access/index.html index 64f6d17dd60..6882cd9165d 100644 --- a/azure-active-directory/prompt-users-for-reauthentication-on-sensitive-apps-and-high-risk-actions-with-conditional-access/index.html +++ b/azure-active-directory/prompt-users-for-reauthentication-on-sensitive-apps-and-high-risk-actions-with-conditional-access/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/provision-users-into-apps-using-sql-as-a-user-store-more-easily/index.html b/azure-active-directory/provision-users-into-apps-using-sql-as-a-user-store-more-easily/index.html index 2b1d1c5846c..2a173e6674c 100644 --- a/azure-active-directory/provision-users-into-apps-using-sql-as-a-user-store-more-easily/index.html +++ b/azure-active-directory/provision-users-into-apps-using-sql-as-a-user-store-more-easily/index.html @@ -19,7 +19,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/public-preview-authenticator-lite/index.html b/azure-active-directory/public-preview-authenticator-lite/index.html index 26751978e70..45d96064163 100644 --- a/azure-active-directory/public-preview-authenticator-lite/index.html +++ b/azure-active-directory/public-preview-authenticator-lite/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/public-preview-expanding-passkey-support-in-microsoft-entra-id/index.html b/azure-active-directory/public-preview-expanding-passkey-support-in-microsoft-entra-id/index.html index 554927e7827..686574a3582 100644 --- a/azure-active-directory/public-preview-expanding-passkey-support-in-microsoft-entra-id/index.html +++ b/azure-active-directory/public-preview-expanding-passkey-support-in-microsoft-entra-id/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/public-preview-external-authentication-methods-in-microsoft/index.html b/azure-active-directory/public-preview-external-authentication-methods-in-microsoft/index.html index ad562614ead..ea0ce67d1df 100644 --- a/azure-active-directory/public-preview-external-authentication-methods-in-microsoft/index.html +++ b/azure-active-directory/public-preview-external-authentication-methods-in-microsoft/index.html @@ -17,7 +17,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/public-preview-microsoft-entra-id-fido2-provisioning-apis/index.html b/azure-active-directory/public-preview-microsoft-entra-id-fido2-provisioning-apis/index.html index 9e6c0e50161..db108e6d7bf 100644 --- a/azure-active-directory/public-preview-microsoft-entra-id-fido2-provisioning-apis/index.html +++ b/azure-active-directory/public-preview-microsoft-entra-id-fido2-provisioning-apis/index.html @@ -16,7 +16,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/public-preview-strictly-enforce-location-policies-with-contiunuous-access-evaluation/index.html b/azure-active-directory/public-preview-strictly-enforce-location-policies-with-contiunuous-access-evaluation/index.html index 42b66a24acd..0bf473c38c6 100644 --- a/azure-active-directory/public-preview-strictly-enforce-location-policies-with-contiunuous-access-evaluation/index.html +++ b/azure-active-directory/public-preview-strictly-enforce-location-policies-with-contiunuous-access-evaluation/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/public-preview-token-protection-for-sign-in-sessions/index.html b/azure-active-directory/public-preview-token-protection-for-sign-in-sessions/index.html index 65b1b6e204a..068c6b08515 100644 --- a/azure-active-directory/public-preview-token-protection-for-sign-in-sessions/index.html +++ b/azure-active-directory/public-preview-token-protection-for-sign-in-sessions/index.html @@ -17,7 +17,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/publicpreview-myapps/index.html b/azure-active-directory/publicpreview-myapps/index.html index 6660a85ca19..84a23f170bf 100644 --- a/azure-active-directory/publicpreview-myapps/index.html +++ b/azure-active-directory/publicpreview-myapps/index.html @@ -19,7 +19,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/publisher-domain/index.html b/azure-active-directory/publisher-domain/index.html index 02d18f3b3fd..f4c393f2038 100644 --- a/azure-active-directory/publisher-domain/index.html +++ b/azure-active-directory/publisher-domain/index.html @@ -19,7 +19,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/qanda-conditional-access/index.html b/azure-active-directory/qanda-conditional-access/index.html index edaa956e5fb..e990a3b62ef 100644 --- a/azure-active-directory/qanda-conditional-access/index.html +++ b/azure-active-directory/qanda-conditional-access/index.html @@ -20,7 +20,7 @@ - + @@ -162,7 +162,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/quick-wins-to-strengthen-your-azure-ad-security/index.html b/azure-active-directory/quick-wins-to-strengthen-your-azure-ad-security/index.html index 45a4676ce45..85ba809c137 100644 --- a/azure-active-directory/quick-wins-to-strengthen-your-azure-ad-security/index.html +++ b/azure-active-directory/quick-wins-to-strengthen-your-azure-ad-security/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/rbac-role-assignment-using-conditions/index.html b/azure-active-directory/rbac-role-assignment-using-conditions/index.html index 17aedda2202..c00b534b6b6 100644 --- a/azure-active-directory/rbac-role-assignment-using-conditions/index.html +++ b/azure-active-directory/rbac-role-assignment-using-conditions/index.html @@ -30,7 +30,7 @@ - + @@ -171,7 +171,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/recognized-by-idc-marketscape-as-a-leader/index.html b/azure-active-directory/recognized-by-idc-marketscape-as-a-leader/index.html index 7bf7533208e..2803649a87e 100644 --- a/azure-active-directory/recognized-by-idc-marketscape-as-a-leader/index.html +++ b/azure-active-directory/recognized-by-idc-marketscape-as-a-leader/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/reducing-extra-prompts-with-authentication-prompt-analysis-workbook/index.html b/azure-active-directory/reducing-extra-prompts-with-authentication-prompt-analysis-workbook/index.html index cb859cc2bea..ce311dc315d 100644 --- a/azure-active-directory/reducing-extra-prompts-with-authentication-prompt-analysis-workbook/index.html +++ b/azure-active-directory/reducing-extra-prompts-with-authentication-prompt-analysis-workbook/index.html @@ -26,7 +26,7 @@ - + @@ -168,7 +168,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/registerd_device_managemant/index.html b/azure-active-directory/registerd_device_managemant/index.html index 0fd9d964761..b564a92ea8b 100644 --- a/azure-active-directory/registerd_device_managemant/index.html +++ b/azure-active-directory/registerd_device_managemant/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/registration-campaign-qanda/index.html b/azure-active-directory/registration-campaign-qanda/index.html index c1dc5cce86d..fd6aca49b5b 100644 --- a/azure-active-directory/registration-campaign-qanda/index.html +++ b/azure-active-directory/registration-campaign-qanda/index.html @@ -17,7 +17,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/remote-workforce-with-zero-trust/index.html b/azure-active-directory/remote-workforce-with-zero-trust/index.html index 61d5a9e5031..640aa21197c 100644 --- a/azure-active-directory/remote-workforce-with-zero-trust/index.html +++ b/azure-active-directory/remote-workforce-with-zero-trust/index.html @@ -16,7 +16,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/reporting_unusualSignInActivity/index.html b/azure-active-directory/reporting_unusualSignInActivity/index.html index cb96fb7f5c3..481eb8a2345 100644 --- a/azure-active-directory/reporting_unusualSignInActivity/index.html +++ b/azure-active-directory/reporting_unusualSignInActivity/index.html @@ -22,7 +22,7 @@ - + @@ -164,7 +164,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/review-and-remove-aad-inactive-users-in-public-preview/index.html b/azure-active-directory/review-and-remove-aad-inactive-users-in-public-preview/index.html index d7d70a3f3fd..993368025ba 100644 --- a/azure-active-directory/review-and-remove-aad-inactive-users-in-public-preview/index.html +++ b/azure-active-directory/review-and-remove-aad-inactive-users-in-public-preview/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/review-ca/index.html b/azure-active-directory/review-ca/index.html index 7e3a929d430..b6a917a5f4f 100644 --- a/azure-active-directory/review-ca/index.html +++ b/azure-active-directory/review-ca/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/rm64-fsz-info/index.html b/azure-active-directory/rm64-fsz-info/index.html index c31ab796085..a6089406562 100644 --- a/azure-active-directory/rm64-fsz-info/index.html +++ b/azure-active-directory/rm64-fsz-info/index.html @@ -19,7 +19,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/roles-and-administrators/index.html b/azure-active-directory/roles-and-administrators/index.html index 26b70bbbaa2..9ae42b58f0f 100644 --- a/azure-active-directory/roles-and-administrators/index.html +++ b/azure-active-directory/roles-and-administrators/index.html @@ -22,7 +22,7 @@ - + @@ -163,7 +163,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/run-custom-workflows-in-azure-ad-entitlement-management/index.html b/azure-active-directory/run-custom-workflows-in-azure-ad-entitlement-management/index.html index 5f1e23ed7b7..e6553653ccc 100644 --- a/azure-active-directory/run-custom-workflows-in-azure-ad-entitlement-management/index.html +++ b/azure-active-directory/run-custom-workflows-in-azure-ad-entitlement-management/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/salesforce-now-enforcing-multi-factor-authentication-azure-ad/index.html b/azure-active-directory/salesforce-now-enforcing-multi-factor-authentication-azure-ad/index.html index d3ff723cd84..0f4726c73a1 100644 --- a/azure-active-directory/salesforce-now-enforcing-multi-factor-authentication-azure-ad/index.html +++ b/azure-active-directory/salesforce-now-enforcing-multi-factor-authentication-azure-ad/index.html @@ -23,7 +23,7 @@ - + @@ -165,7 +165,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/say-goodbye-to-unmanaged-azuread-account-for-b2b/index.html b/azure-active-directory/say-goodbye-to-unmanaged-azuread-account-for-b2b/index.html index dcb5ec9753c..6d8bc8325e2 100644 --- a/azure-active-directory/say-goodbye-to-unmanaged-azuread-account-for-b2b/index.html +++ b/azure-active-directory/say-goodbye-to-unmanaged-azuread-account-for-b2b/index.html @@ -20,7 +20,7 @@ - + @@ -162,7 +162,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/search-sort-and-filter-for-ca/index.html b/azure-active-directory/search-sort-and-filter-for-ca/index.html index 20ef9453982..97cc1995515 100644 --- a/azure-active-directory/search-sort-and-filter-for-ca/index.html +++ b/azure-active-directory/search-sort-and-filter-for-ca/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/secure-access-to-amazon-managed-grafana-with-azure-ad/index.html b/azure-active-directory/secure-access-to-amazon-managed-grafana-with-azure-ad/index.html index bb88a10c533..395665eb5d1 100644 --- a/azure-active-directory/secure-access-to-amazon-managed-grafana-with-azure-ad/index.html +++ b/azure-active-directory/secure-access-to-amazon-managed-grafana-with-azure-ad/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/secure-authentication-method-provisioning-with-temporary-access/index.html b/azure-active-directory/secure-authentication-method-provisioning-with-temporary-access/index.html index 29ecaefa603..5cdaa70f4d7 100644 --- a/azure-active-directory/secure-authentication-method-provisioning-with-temporary-access/index.html +++ b/azure-active-directory/secure-authentication-method-provisioning-with-temporary-access/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/secure-collaboration-with-AAD-guest-access-reviews/index.html b/azure-active-directory/secure-collaboration-with-AAD-guest-access-reviews/index.html index 3780d50c7fc..625fbde8750 100644 --- a/azure-active-directory/secure-collaboration-with-AAD-guest-access-reviews/index.html +++ b/azure-active-directory/secure-collaboration-with-AAD-guest-access-reviews/index.html @@ -16,7 +16,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/securing-access-to-any-resource,-anywhere/index.html b/azure-active-directory/securing-access-to-any-resource,-anywhere/index.html index f42d2079950..e5c01cda61c 100644 --- a/azure-active-directory/securing-access-to-any-resource,-anywhere/index.html +++ b/azure-active-directory/securing-access-to-any-resource,-anywhere/index.html @@ -17,7 +17,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/security-default-2022/index.html b/azure-active-directory/security-default-2022/index.html index 8b4fe7535ea..1c3d65254e9 100644 --- a/azure-active-directory/security-default-2022/index.html +++ b/azure-active-directory/security-default-2022/index.html @@ -18,7 +18,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/simplify-your-identity-provisioning-with-these-new-azure-ad/index.html b/azure-active-directory/simplify-your-identity-provisioning-with-these-new-azure-ad/index.html index 2be88fb6a4c..0e1eb7fc0c0 100644 --- a/azure-active-directory/simplify-your-identity-provisioning-with-these-new-azure-ad/index.html +++ b/azure-active-directory/simplify-your-identity-provisioning-with-these-new-azure-ad/index.html @@ -17,7 +17,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/step-guide-access-review/index.html b/azure-active-directory/step-guide-access-review/index.html index 531c68efbcd..a18dd0200e2 100644 --- a/azure-active-directory/step-guide-access-review/index.html +++ b/azure-active-directory/step-guide-access-review/index.html @@ -23,7 +23,7 @@ - + @@ -165,7 +165,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/strengthen-your-security-posture-with-new-azure-ad-partner/index.html b/azure-active-directory/strengthen-your-security-posture-with-new-azure-ad-partner/index.html index 42cc9fb3284..a0c75033b92 100644 --- a/azure-active-directory/strengthen-your-security-posture-with-new-azure-ad-partner/index.html +++ b/azure-active-directory/strengthen-your-security-posture-with-new-azure-ad-partner/index.html @@ -19,7 +19,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/subscription-azure-ad-relationship/index.html b/azure-active-directory/subscription-azure-ad-relationship/index.html index 12826c97c0f..4cdfe94f3de 100644 --- a/azure-active-directory/subscription-azure-ad-relationship/index.html +++ b/azure-active-directory/subscription-azure-ad-relationship/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    @@ -187,13 +187,13 @@

    Azure サブスクリプションの管理者と Azure AD の管理者

    Azure サブスクリプションと Azure AD はそれぞれ独立したものです。

    管理者についてもそれぞれ独立していますので Azure サブスクリプションの管理者であっても Azure AD の全体管理者でなければ、 Azure AD の管理 (ユーザー追加、削除など) はできません。同様に Azure AD の全体管理者であっても、必ずしも紐づく Azure サブスクリプションの管理者ではありません。

    例えば次のような関係を考えてみましょう。

    -

    company1 という会社ではすでに Azure AD を保持しており、その Azure AD のディレクトリ名は company1com.onmicrosoft.com です。この Azure AD にはカスタムドメインとして company1.com というドメイン名が紐づけられています (*注3)。以下の図では user1@company1.com というアカウントが Azure のサブスクリプションを作成した状態での関係を示しています。

    +

    company1 という会社ではすでに Azure AD を保持しており、その Azure AD のディレクトリ名は company1com.onmicrosoft.com です。この Azure AD にはカスタムドメインとして company1.com というドメイン名が紐づけられています (*注3)。以下の図では user1@company1.com というアカウントが Azure のサブスクリプションを作成した状態での関係を示しています。

    -

    user1@company1.com というアカウントは Azure のサブスクリプションのアカウント管理者でありサービス管理者です。そのため、サブスクリプション内のすべての権限を持ちます。例えばこのサブスクリプション内で仮想マシンを作成したり、仮想ネットワークを設定したりすることができます。しかし、関連づけられている Azure AD に対しては user1 は管理者権限を持ちません。Azure AD に対して管理者権限を必要とする作業を実施する場合には admin1@company1com.onmicrosoft.com または admin2@company1.com という全体管理者に、作業を依頼するか、あるいは自身に Azure AD の権限を与えてくれるように依頼する必要があります。

    +

    user1@company1.com というアカウントは Azure のサブスクリプションのアカウント管理者でありサービス管理者です。そのため、サブスクリプション内のすべての権限を持ちます。例えばこのサブスクリプション内で仮想マシンを作成したり、仮想ネットワークを設定したりすることができます。しかし、関連づけられている Azure AD に対しては user1 は管理者権限を持ちません。Azure AD に対して管理者権限を必要とする作業を実施する場合には admin1@company1com.onmicrosoft.com または admin2@company1.com という全体管理者に、作業を依頼するか、あるいは自身に Azure AD の権限を与えてくれるように依頼する必要があります。

    別のパターンを考えてみます。

    -

    ここでは Microsoft アカウントの user2@outlook.com を指定して Azure サブスクリプションを作成しています。この例の outlook.com のように企業に紐づかない Microsoft アカウントを利用して Azure サブスクリプションを作成した場合など、サブスクリプション作成時に利用したアカウントが所属する Azure AD が無い場合には、新規で Azure AD ディレクトリが自動的に作成されます。この場合、特に役割の追加作業をしていなくても Azure サブスクリプションのアカウント管理者 = Azure AD の全体管理者になります。

    -

    この場合でも以下のようにサブスクリプションに別のアカウント user3@outlook.com を所有者として追加した場合には、このアカウントは Azure AD の管理者ではありませんので、もしそのアカウントにも権限を付与したいのであれば user2@outlook.com が、 user3@outlook.com を全体管理者にする作業が必要です。

    +

    ここでは Microsoft アカウントの user2@outlook.com を指定して Azure サブスクリプションを作成しています。この例の outlook.com のように企業に紐づかない Microsoft アカウントを利用して Azure サブスクリプションを作成した場合など、サブスクリプション作成時に利用したアカウントが所属する Azure AD が無い場合には、新規で Azure AD ディレクトリが自動的に作成されます。この場合、特に役割の追加作業をしていなくても Azure サブスクリプションのアカウント管理者 = Azure AD の全体管理者になります。

    +

    この場合でも以下のようにサブスクリプションに別のアカウント user3@outlook.com を所有者として追加した場合には、このアカウントは Azure AD の管理者ではありませんので、もしそのアカウントにも権限を付与したいのであれば user2@outlook.com が、 user3@outlook.com を全体管理者にする作業が必要です。

    注 3: Azure AD では必ず設定される xxxxx.onmicrosoft.com というドメイン名に加えてカスタムドメイン名を追加することができます。カスタムドメイン名を追加するためには、そのドメインに対して権限を持っている (ドメインのゾーンをインターネットで名前解決でき、そのゾーンを管理している) 必要があります。詳しくはこちらのサイトを参照ください。

    diff --git a/azure-active-directory/subscription-azuread/index.html b/azure-active-directory/subscription-azuread/index.html index 073be78f56c..d060a628108 100644 --- a/azure-active-directory/subscription-azuread/index.html +++ b/azure-active-directory/subscription-azuread/index.html @@ -18,7 +18,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    @@ -176,7 +176,7 @@

    これは会社で利用しているアカウントを Microsoft アカウントとして登録しているケースが当てはまります。(* 現在は新規で職場または学校アカウントとして登録されているアカウントを Microsoft アカウントとしても登録することはできなくなっています。詳しくはリンクを参照ください)

    同じユーザー名であっても Microsoft アカウントと職場または学校アカウントは別物で、サブスクリプションの権限が割り当たっているユーザーもどちらかの種類のユーザーになります。

    -

    例えば、Azure AD に職場または学校アカウントの user01@contoso.com が登録されている状況でそのユーザーにサブスクリプションの権限を付与した場合、下記のように Microsoft アカウントは同じユーザー名であるもののサブスクリプションの権限を所有していないことになります。

    +

    例えば、Azure AD に職場または学校アカウントの user01@contoso.com が登録されている状況でそのユーザーにサブスクリプションの権限を付与した場合、下記のように Microsoft アカウントは同じユーザー名であるもののサブスクリプションの権限を所有していないことになります。

    よって、Azure ポータル にログインする際に下記のように、2 種類のアカウントが表示される場合には、サブスクリプションの権限を割り当てた種類のアカウントを選択してログインする必要があります。

    diff --git a/azure-active-directory/support-q-and-a/index.html b/azure-active-directory/support-q-and-a/index.html index 43ad2a44fd2..bffa5233911 100644 --- a/azure-active-directory/support-q-and-a/index.html +++ b/azure-active-directory/support-q-and-a/index.html @@ -15,7 +15,7 @@ - + @@ -156,7 +156,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/support-sevA/index.html b/azure-active-directory/support-sevA/index.html index 831537e03bc..fb924fc7c46 100644 --- a/azure-active-directory/support-sevA/index.html +++ b/azure-active-directory/support-sevA/index.html @@ -14,7 +14,7 @@ - + @@ -154,7 +154,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/tenant-health-transparency-and-observability/index.html b/azure-active-directory/tenant-health-transparency-and-observability/index.html index 41bf33c0a26..c55dc50596d 100644 --- a/azure-active-directory/tenant-health-transparency-and-observability/index.html +++ b/azure-active-directory/tenant-health-transparency-and-observability/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/tenant-restriction-v2-is-now-public-preview/index.html b/azure-active-directory/tenant-restriction-v2-is-now-public-preview/index.html index 955da474e18..34b17a5aef8 100644 --- a/azure-active-directory/tenant-restriction-v2-is-now-public-preview/index.html +++ b/azure-active-directory/tenant-restriction-v2-is-now-public-preview/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/tenant-restriction/index.html b/azure-active-directory/tenant-restriction/index.html index 5c955b2546e..cdccc8a42fd 100644 --- a/azure-active-directory/tenant-restriction/index.html +++ b/azure-active-directory/tenant-restriction/index.html @@ -16,7 +16,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/the-false-identifier-anti-pattern/index.html b/azure-active-directory/the-false-identifier-anti-pattern/index.html index 7a115810b15..c11a8ac4e36 100644 --- a/azure-active-directory/the-false-identifier-anti-pattern/index.html +++ b/azure-active-directory/the-false-identifier-anti-pattern/index.html @@ -20,7 +20,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    @@ -181,7 +181,7 @@

    ローカルでの一意な識別子

    識別子がローカルで一意である場合、ID プロバイダーはドメイン内のユーザー間で値が重複しないように検出し、重複を防止します。ローカルでの一意性が強制されていれば、シングル サインオン (SSO) 時に 2 つの異なる ID プロバイダーのアカウントが同じ文字列で表されることはありません。しかし、現在の ID 基盤では、ユーザーが複数の組織や企業、学校などのコミュニティに属している場合があり、それらのコミュニティが重複または反復する通信チャネルを保持している可能性は十分にあります。

    テスト用アカウントと本番用アカウントを持っている社員は、両方のアカウントで同じ電話番号を設定するかもしれません。また、非従業員が企業間コラボレーションのために招待されたゲスト アカウントと顧客アカウントを持ち (ID プロバイダの小売サービスを使用するため)、両方とも同じ電子メール アドレスを使用する場合もあります。これらの例では、電子メールと電話番号はローカルで一意ではなく、アカウントを区別するには不十分です。しかし、トークンに含めるペイロードとしては許容されます。これは、これら属性がトークン内で一意性の要件を持たないペイロードの一部であり、トークンの Subject (一意性の要件がある) に関する追加情報を提供するためのものだからです。

    単一の発行者内で再割り当てを行わない

    セクション 5.7 の 2 つ目の節は、属性のライフサイクルに言及しています。電子メール アドレスおよび電話番号とユーザーとの紐づけが解かれるタイミングとしては様々なものがあり得ます。問題はその次に何が起こるかです。識別子が 2 つの異なるタイミングで 2 つの異なるユーザに割り当てられると、後に割り当てられたユーザーが、その前に割り当てられていたユーザーの権限とデータを得てしまうリスクがあります。

    -

    例えば、ある組織が Fred Smith という人を雇い、fsmith@company.com という電子メール アドレスを割り当てたとします。Fred がやがて退職し、Frida Smith が採用され、同じ電子メール アドレスが割り当てられました。この時、例え電子メール アドレスが同じでも、トークンの Subject は Fred と Frida で異なる値である必要があります。これにより、Frida が Fred のデータにアクセスする可能性を防ぐことができます。

    +

    例えば、ある組織が Fred Smith という人を雇い、fsmith@company.com という電子メール アドレスを割り当てたとします。Fred がやがて退職し、Frida Smith が採用され、同じ電子メール アドレスが割り当てられました。この時、例え電子メール アドレスが同じでも、トークンの Subject は Fred と Frida で異なる値である必要があります。これにより、Frida が Fred のデータにアクセスする可能性を防ぐことができます。

    時間が経過した際の安定性

    企業の合併や買収のような事が生じた際に、社外のゲストやパートナーで連絡先情報の変更が生じる可能性についても考慮が必要です。例えば A 社が B 社を買収した場合には、社員の連絡先情報 (電子メール アドレスなど) を変更する必要が生じますが、同時にユーザーが引き続き SSO 可能とすることが重要です。トークンの Subject は、社名の変更、企業の移行、新しい市外局番へのオフィスの移転、その他のイベントが生じても影響を受けないだけの安定性が必要となります。

    現実世界での例

    実例を見ていきましょう。Frida という会計士がいるとします。この人は Company3 という企業で働き、Company1 と Company2 という企業にサービスを提供しています (Company2 では 2 つの部門で働いている)。Frida の専門は RP.com という SaaS の会計アプリケーションで、彼女は一日中そのアプリケーションで様々な顧客のために業務を行っています。Frida が持っている電子メール アドレスは 1 つだけで、これは雇用主である Company3 から得たものです。彼女が 4 つの ID プロバイダーのアカウントにサインインし、RP.com に SSO しようとするとどうなるでしょうか?

    Frida は 3 つの会社において、4 つの異なるアカウントに 1 つの電子メール アドレスを使ってサインインします。トークンの Subject のマッピングはどのようになるべきでしょうか?

    diff --git a/azure-active-directory/the-mfa-server-migration-utility/index.html b/azure-active-directory/the-mfa-server-migration-utility/index.html index abc306df2dc..df7808bfb3f 100644 --- a/azure-active-directory/the-mfa-server-migration-utility/index.html +++ b/azure-active-directory/the-mfa-server-migration-utility/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/tkpg-f8g-changes-to-signing-key-rollover-frequency/index.html b/azure-active-directory/tkpg-f8g-changes-to-signing-key-rollover-frequency/index.html index 99a1f5f0918..c86e641c902 100644 --- a/azure-active-directory/tkpg-f8g-changes-to-signing-key-rollover-frequency/index.html +++ b/azure-active-directory/tkpg-f8g-changes-to-signing-key-rollover-frequency/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/token-lifetime-2023/index.html b/azure-active-directory/token-lifetime-2023/index.html index e23d9cb7b23..06d4f792161 100644 --- a/azure-active-directory/token-lifetime-2023/index.html +++ b/azure-active-directory/token-lifetime-2023/index.html @@ -19,7 +19,7 @@ - + @@ -162,7 +162,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/troubleshoot-azure-ad/index.html b/azure-active-directory/troubleshoot-azure-ad/index.html index 58ec6a9b43c..d9a6f27e259 100644 --- a/azure-active-directory/troubleshoot-azure-ad/index.html +++ b/azure-active-directory/troubleshoot-azure-ad/index.html @@ -14,7 +14,7 @@ - + @@ -154,7 +154,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/troubleshoot-browser-auth/index.html b/azure-active-directory/troubleshoot-browser-auth/index.html index aa91495765f..9cdc4989d32 100644 --- a/azure-active-directory/troubleshoot-browser-auth/index.html +++ b/azure-active-directory/troubleshoot-browser-auth/index.html @@ -14,7 +14,7 @@ - + @@ -154,7 +154,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/troubleshoot-hybrid-azure-ad-join-federated/index.html b/azure-active-directory/troubleshoot-hybrid-azure-ad-join-federated/index.html index fdce7ea5250..653a04aceaa 100644 --- a/azure-active-directory/troubleshoot-hybrid-azure-ad-join-federated/index.html +++ b/azure-active-directory/troubleshoot-hybrid-azure-ad-join-federated/index.html @@ -15,7 +15,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/troubleshoot-hybrid-azure-ad-join-managed/index.html b/azure-active-directory/troubleshoot-hybrid-azure-ad-join-managed/index.html index bbfc03ffdc7..4841934963e 100644 --- a/azure-active-directory/troubleshoot-hybrid-azure-ad-join-managed/index.html +++ b/azure-active-directory/troubleshoot-hybrid-azure-ad-join-managed/index.html @@ -18,7 +18,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/understand-the-state-of-devices-across-your-organization/index.html b/azure-active-directory/understand-the-state-of-devices-across-your-organization/index.html index becaf05b24d..7033e14c700 100644 --- a/azure-active-directory/understand-the-state-of-devices-across-your-organization/index.html +++ b/azure-active-directory/understand-the-state-of-devices-across-your-organization/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/upcoming-changes-to-managing-mfa-methods-for-hybrid-customers/index.html b/azure-active-directory/upcoming-changes-to-managing-mfa-methods-for-hybrid-customers/index.html index 15c482f24bb..d6c170e6340 100644 --- a/azure-active-directory/upcoming-changes-to-managing-mfa-methods-for-hybrid-customers/index.html +++ b/azure-active-directory/upcoming-changes-to-managing-mfa-methods-for-hybrid-customers/index.html @@ -18,7 +18,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/update-B2B-user-address/index.html b/azure-active-directory/update-B2B-user-address/index.html index 44c6c0ad8af..1f5765da363 100644 --- a/azure-active-directory/update-B2B-user-address/index.html +++ b/azure-active-directory/update-B2B-user-address/index.html @@ -16,7 +16,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/update-on-mfa-requirements-for-azure-sign-in/index.html b/azure-active-directory/update-on-mfa-requirements-for-azure-sign-in/index.html index b6ca34df4c1..747487594c7 100644 --- a/azure-active-directory/update-on-mfa-requirements-for-azure-sign-in/index.html +++ b/azure-active-directory/update-on-mfa-requirements-for-azure-sign-in/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/upgrade-your-tenant-restrictions-to-v2/index.html b/azure-active-directory/upgrade-your-tenant-restrictions-to-v2/index.html index 2b70dadbc60..63c039d23eb 100644 --- a/azure-active-directory/upgrade-your-tenant-restrictions-to-v2/index.html +++ b/azure-active-directory/upgrade-your-tenant-restrictions-to-v2/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/use-cloud-groups-in-on-premises-active-directory-with-group/index.html b/azure-active-directory/use-cloud-groups-in-on-premises-active-directory-with-group/index.html index 4c06b836117..5619f3c5a75 100644 --- a/azure-active-directory/use-cloud-groups-in-on-premises-active-directory-with-group/index.html +++ b/azure-active-directory/use-cloud-groups-in-on-premises-active-directory-with-group/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/user-insights-analyze-customer-identity-data/index.html b/azure-active-directory/user-insights-analyze-customer-identity-data/index.html index ebec0fc5ce3..a1d502ea70c 100644 --- a/azure-active-directory/user-insights-analyze-customer-identity-data/index.html +++ b/azure-active-directory/user-insights-analyze-customer-identity-data/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/users-can-register-applications/index.html b/azure-active-directory/users-can-register-applications/index.html index 15d35aa7bfc..711065fb580 100644 --- a/azure-active-directory/users-can-register-applications/index.html +++ b/azure-active-directory/users-can-register-applications/index.html @@ -15,7 +15,7 @@ - + @@ -156,7 +156,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/visualize-entra-sign-in-logs-using-an-interactive-map/index.html b/azure-active-directory/visualize-entra-sign-in-logs-using-an-interactive-map/index.html index 55eacbb6cf1..9adce0db374 100644 --- a/azure-active-directory/visualize-entra-sign-in-logs-using-an-interactive-map/index.html +++ b/azure-active-directory/visualize-entra-sign-in-logs-using-an-interactive-map/index.html @@ -25,7 +25,7 @@ - + @@ -166,7 +166,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/what-is-b2b/index.html b/azure-active-directory/what-is-b2b/index.html index e61b1913319..dce7a3c45fe 100644 --- a/azure-active-directory/what-is-b2b/index.html +++ b/azure-active-directory/what-is-b2b/index.html @@ -20,7 +20,7 @@ - + @@ -163,7 +163,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/what-s-new-in-microsoft-entra-2023-11/index.html b/azure-active-directory/what-s-new-in-microsoft-entra-2023-11/index.html index b7094056dd2..360658e0b81 100644 --- a/azure-active-directory/what-s-new-in-microsoft-entra-2023-11/index.html +++ b/azure-active-directory/what-s-new-in-microsoft-entra-2023-11/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/what-s-new-in-microsoft-entra-2024-04/index.html b/azure-active-directory/what-s-new-in-microsoft-entra-2024-04/index.html index 345f2933747..a547e083d83 100644 --- a/azure-active-directory/what-s-new-in-microsoft-entra-2024-04/index.html +++ b/azure-active-directory/what-s-new-in-microsoft-entra-2024-04/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/what-s-new-in-microsoft-entra/index.html b/azure-active-directory/what-s-new-in-microsoft-entra/index.html index 33072cfd9d6..f15b66d46e1 100644 --- a/azure-active-directory/what-s-new-in-microsoft-entra/index.html +++ b/azure-active-directory/what-s-new-in-microsoft-entra/index.html @@ -14,7 +14,7 @@ - + @@ -154,7 +154,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/what-s-new-with-microsoft-entra-id-protection/index.html b/azure-active-directory/what-s-new-with-microsoft-entra-id-protection/index.html index 96a87238336..41f9e752e09 100644 --- a/azure-active-directory/what-s-new-with-microsoft-entra-id-protection/index.html +++ b/azure-active-directory/what-s-new-with-microsoft-entra-id-protection/index.html @@ -24,7 +24,7 @@ - + @@ -166,7 +166,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/what-to-do-error-tpm/index.html b/azure-active-directory/what-to-do-error-tpm/index.html index 87ceee70f32..01d8826d491 100644 --- a/azure-active-directory/what-to-do-error-tpm/index.html +++ b/azure-active-directory/what-to-do-error-tpm/index.html @@ -34,7 +34,7 @@ - + @@ -181,7 +181,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/what-to-do-errorcode-135011/index.html b/azure-active-directory/what-to-do-errorcode-135011/index.html index ae01b18254f..7a162a47f77 100644 --- a/azure-active-directory/what-to-do-errorcode-135011/index.html +++ b/azure-active-directory/what-to-do-errorcode-135011/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/what-to-do-errorcode-700003/index.html b/azure-active-directory/what-to-do-errorcode-700003/index.html index f97f76913bb..3f2a6f05bb0 100644 --- a/azure-active-directory/what-to-do-errorcode-700003/index.html +++ b/azure-active-directory/what-to-do-errorcode-700003/index.html @@ -22,7 +22,7 @@ - + @@ -166,7 +166,7 @@

    feedback - 共有 + 共有

    diff --git "a/azure-active-directory/whats-new-in-microsoft-entra\342\200\223june2024/index.html" "b/azure-active-directory/whats-new-in-microsoft-entra\342\200\223june2024/index.html" index 37889f8eb46..e87a905815e 100644 --- "a/azure-active-directory/whats-new-in-microsoft-entra\342\200\223june2024/index.html" +++ "b/azure-active-directory/whats-new-in-microsoft-entra\342\200\223june2024/index.html" @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/whfb-configuration-explanation/index.html b/azure-active-directory/whfb-configuration-explanation/index.html index 37c8ea9e267..c10ba116e17 100644 --- a/azure-active-directory/whfb-configuration-explanation/index.html +++ b/azure-active-directory/whfb-configuration-explanation/index.html @@ -14,7 +14,7 @@ - + @@ -156,7 +156,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/why-are-my-users-not-prompted-for-mfa-as-expected/index.html b/azure-active-directory/why-are-my-users-not-prompted-for-mfa-as-expected/index.html index 38024c6a2ed..6af8b0022c6 100644 --- a/azure-active-directory/why-are-my-users-not-prompted-for-mfa-as-expected/index.html +++ b/azure-active-directory/why-are-my-users-not-prompted-for-mfa-as-expected/index.html @@ -20,7 +20,7 @@ - + @@ -164,7 +164,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/xtap-new-feature/index.html b/azure-active-directory/xtap-new-feature/index.html index 634d51f6997..0992b641cd0 100644 --- a/azure-active-directory/xtap-new-feature/index.html +++ b/azure-active-directory/xtap-new-feature/index.html @@ -24,7 +24,7 @@ - + @@ -166,7 +166,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/your-password-doesnt-matter/index.html b/azure-active-directory/your-password-doesnt-matter/index.html index 49b55059626..79fae95e9cc 100644 --- a/azure-active-directory/your-password-doesnt-matter/index.html +++ b/azure-active-directory/your-password-doesnt-matter/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/zero-hype/index.html b/azure-active-directory/zero-hype/index.html index 91eae7d62cd..b4d42627140 100644 --- a/azure-active-directory/zero-hype/index.html +++ b/azure-active-directory/zero-hype/index.html @@ -18,7 +18,7 @@ - + @@ -162,7 +162,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/zero-trust-network/index.html b/azure-active-directory/zero-trust-network/index.html index 0f13a5dcf47..d22787959d4 100644 --- a/azure-active-directory/zero-trust-network/index.html +++ b/azure-active-directory/zero-trust-network/index.html @@ -19,7 +19,7 @@ - + @@ -165,7 +165,7 @@

    feedback - 共有 + 共有

    diff --git a/index.html b/index.html index cfc65ef1a5f..da3a669c3c7 100644 --- a/index.html +++ b/index.html @@ -122,7 +122,7 @@