日経ネットワークにAzure AD特集を寄稿しました

こんにちは、富士榮です。

久しぶりの紙媒体です。
今週頭に発売された日経ネットワーク 2016年1月号でAzure Active Directory特集を書かせていただきました。

Azure ADの存在自体をご存じない方を含めターゲットにしているため、内容的には「Azure ADとは？」などの基礎的な部分から、実際にアプリケーションとのID連携（SSO／プロビジョニング）を行う方法のウォークスルーまで、と広く浅く10ページ程度でまとめています。

尚、日経ネットワークって書店ではほとんど扱っておらず、定期購読していない場合は、以下の直販サイトから購入できますので、よろしければどうぞ。

　日経ネットワーク 2016年1月号
　http://ec.nikkeibp.co.jp/item/backno/NN0189.html


以下、ゲラの編集中のイメージです。

[告知]1月は「企業及びクラウドにおけるアイデンティティ管理セミナー」

こんにちは、富士榮です。

最近なんだかんだで毎月イベントに呼んで頂いていますね。
（カレンダーを見たら9月から毎月登壇してました・・・）

1月は以前からお世話になっている日本ネットワークセキュリティ協会（JNSA）のID管理ワーキンググループの創立10周年記念イベント「企業及びクラウドにおけるアイデンティティ管理セミナー」が開催されます。
（今週頭の段階ですでに定員の半分以上の申込があるので、興味のある方はお早めに！！）

申込サイト
　http://www.jnsa.org/seminar/2016/0121/

以前も紹介しましたが、本ワーキンググループは2005年から活動をしており、主要な成果物として「クラウド環境におけるアイデンティティ管理ガイドライン」や「ロール管理ガイドライン」などを出版しています。

今回のセミナーでは10年の歩みを振り返りつつ、これまで作成してきた各種成果物の概要を解説しますので、かなり凝縮された濃い内容になると思います。

ちなみに私は上記アイデンティティ管理ガイドラインの中で紹介している「ID管理プロジェクトの進め方」について解説するセッションを担当しますが、他にも特権ID管理やロール管理に関するセッション、クラウドやID管理に取り組む上で避けて通れないEUデータ保護指令とどのように付き合うべきか、改正個人情報保護法とID管理に関連したセッション、本ワーキンググループが様々なベンダやコンサル、SIから構成されている特色が良く出るであろうパネルディスカッションも予定されています。

また、セミナー自体は2016年に食い込んでしまっていますが、今年2015年はActive Directoryの15周年にあたる年でもありますので、日本マイクロソフトの安納さんによるActive Directoryを振り返るセッションも予定されています。


いずれもかなり濃い内容になると思いますので、早めにお申し込みください！

[Azure AD/IDaaS]Web記事連載が一息つきました

こんにちは、富士榮です。

夏から続けていた@ITへのIDaaS（Identity as a Service）関連の連載が先日終了したので、ラップアップをしてみます。

連載は以下でご覧いただけます。

• 第1回　もはや企業のID管理で避けては通れない「IDaaS」とは？
• 第2回　IDaaSの実装をAzure ADで理解する（前編）
• 第3回　IDaaSの実装をAzure ADで理解する（後編）
• 最終回　Windows 10によるAzure Active Directory活用の最大化

全体をとおしてのテーマは「IDaaS」です。最近Azure ADはもちろん、OneLoginやPingOneなど各社のIDaaSが国内でも採用されてきているので、何故ここにきて「IDaaS」が注目されているのか？を「クラウド」、「モバイル」、「グループ＆グローバル」の3つのキーワードで解説をしています。

また、第2回～第3回ではIDaaSの実装例としてAzure ADを例に何ができるのか？を「認証」、「ID管理」、「監査」の3つの側面から紹介しています。この中でAzure ADのアプリケーション連携のSSOやプロビジョニング機能、レポート機能の概要を解説しています。

最後は少し毛色を変えてWindows 10とAzure ADを組み合わせた場合を例に、IDaaSの別の一面であるデバイス管理について紹介しています。この中で、Microsoft Passportの仕組みをオンプレミスADでの統合Windows認証と対比しながら解説しています。



全体を通して、なるべく入門レベルを目指して書いているので、まず全体像を把握するための活用して頂けると幸いです。

尚、別の媒体（紙）でもAzure ADについて解説記事が近々公開される予定なので、また紹介したいと思います。

[Azure AD]PowerShellを使ってユーザの多要素認証設定を変更する

こんにちは、富士榮です。

Azure ADで多要素認証を使う場合、ユーザ毎に有効/無効/強制の設定を行う必要があるため非常に面倒です。（CSVで一括設定することも可能ですが、リストファイルを作成して管理コンソールからアップロードする必要があるので、ユーザが増えてくると結果確認などを考えると結構面倒です）

そういう場合のPowerShellです。

早速方法を紹介します。

手順は割愛しますが、まずはConnect-MSolServiceで全体管理者の権限を持つユーザでAzureへ接続します。
※Azure PIM（特権ID管理）をうまく使ってヘルプデスクユーザへ一時的に権限を与えてスクリプトを実行させるとセキュアで便利です。この辺りはそのうち細かく紹介したいと思います。

うまく接続できたら、早速設定をしてみます。

◆有効
以下を実行します。

PS C:\> $auth = New-Object -TypeName Microsoft.Online.Administration.StrongAuthenticationRequirement
PS C:\> $auth.RelyingParty = "*"
PS C:\> Set-MsolUser -UserPrincipalName mfa@xxxx.onmicrosoft.com -StrongAuthenticationRequirements @($auth)

管理コンソールで確認すると有効化されていることがわかります。



◆無効
同様に無効化です。

PS C:\> Set-MsolUser -UserPrincipalName mfa@xxxx.onmicrosoft.com -StrongAuthenticationRequirements @()

@()で空の配列をStrongAuthenticationRequirementsに渡してあげます。
管理コンソールを見ると無効化されていることがわかります。



◆強制
最後に強制です。

PS C:\> $auth = New-Object -TypeName Microsoft.Online.Administration.StrongAuthenticationRequirement
PS C:\> $auth.RelyingParty = "*"
PS C:\> $auth.State = "Enforced"
PS C:\> Set-MsolUser -UserPrincipalName mfa@xxxx.onmicrosoft.com -StrongAuthenticationRequirements @($auth)

少しトリッキーです。$auth.StateにEnforcedをセットします。

管理コンソールで確認します。




尚、設定結果の取得ですが、上記では管理コンソールでの目視をしましたが、もちろん以下のようにGet-MsolUserを使って確認することも可能です。

PS C:\> $user = Get-MsolUser -UserPrincipalName mfa@xxxx.onmicrosoft.com
PS C:\> $auth = $user.StrongAuthenticationRequirements
PS C:\> $auth | fl

この辺りをうまく使ってAzure ADの管理体制を上手に運用していけるといいですね。

※本当は全体管理者権限ではなく、もう少し細かい権限がほしいところです・・・