2016年4月28日木曜日

[AD FS/Windows Server 2016]Microsoft Passportがやってきた

こんにちは、富士榮です。

昨日よりWindows Server 2016の新しいプレビュー版のTechnical Preview 5が公開されていますので、早速AD FS周りを見てみました。
(今回は触りだけです)

一番の変更点は「認証方法にMicrosoft Passportが選択できるようになっている!!」ことです。

これで、ようやくハイブリッド構成においてもMicrosoft Passportを使ったデバイス・ブラウザ間のシングルサインオンが実現できるようになります。

このイメージ+Federation構成ですね。(MVP Comcampで使った資料より)
http://www.slideshare.net/naohiro.fujie/azure-adwindows-10



取り敢えず今回は画面だけ紹介です。

認証方法の設定です。
初期状態でIntranetもExtranetもMicrosoft Passportが選択されています。

Editをクリックして詳細を見てみます。


これを使えば、これまでの社内からは統合Windows認証によるデバイス・ブラウザ間のSSO、社外からはフォーム認証(SSOなし)という使い分けではなく、社内・社外に問わないユーザ・エクスペリエンスが提供できるようになるので、非常に便利ですね。

2016年4月25日月曜日

[Azure AD]ユーザの多要素認証設定を管理者により行う

こんにちは、富士榮です。

# 2016/07/09
# 別の認証電話へのボイス通知に関するMethodTypeを追記
Azure Active Directory(Azure AD)の多要素認証(MFA)のセットアップは基本的にユーザ自身で通知手段や通知先の設定を行う必要があります。

今回は、この設定を管理者からやってしまいたいと思います。
尚、当然ですが、Azure Authenticatorなどペアリングを行う必要があるアプリケーションを通知先として管理者側で設定して利用できる状態にしてあげることはできません。
可能なのは、
・携帯電話へのボイス通知
・携帯電話へのテキスト通知
・オフィス電話へのボイス通知
の3種類だけです。
※通知手段としてアプリを強制することはできますが、ペアリングされていない状態なので、認証時にエラーが出ます。


◆従来の多要素認証設定(ユーザ自身による設定)

多要素認証が必要な場面になるとログイン時に多要素認証が要求されます。この際、事前にユーザが通知手段の設定を行っていないと、セットアップを促されます。

ユーザは自身で通知手段と通知先を設定する必要があります。



これらを管理者から事前にセットアップしておくには、
・通知手段
・通知先
の両方を管理者から設定できる必要があります。

順に見ていきましょう。

◆通知手段を設定する

おさらいですが、Azure ADの多要素認証には、
・携帯電話へのボイス通知
・携帯電話へのテキスト通知
・オフィス電話へのボイス通知
・モバイルアプリへのPush通知
・モバイルアプリのOTP(One Time Password)の利用
・別の認証電話へのボイス通知
の6種類の通知手段が用意されています。

この設定はユーザのStrongAuthenticationMethodsという属性に配列として定義されています。
MFAを有効にしたユーザの属性をGet-MsolUserで見ると以下のように設定が入っています。


このMethodTypeが通知の方法でIsDefaultがその名の通り、既定で使われるかどうかを示しています。

尚、このMethodType、つまり通知手段は先の5つの方法それぞれに対応して以下の通りの文字列となっています。


通知手段MethodTypeの値
携帯電話へのボイス通知TwoWayVoiceMobile
携帯電話へのテキスト通知OneWaySMS
オフィス電話へのボイス通知TwoWayVoiceOffice
モバイルアプリへのPush通知PhoneAppNotification
モバイルアプリのOTP(One Time Password)の利用PhoneAppOTP
別の認証電話へのボイス通知TwoWayVoiceAlternateMobile


ということで、このStrongAuthenticationMethodsをSet-MsolUserで設定してあげれば、通知手段を強制的に設定することが出来ます。
ただ、先にも書いた通り、この属性は配列となっているので、Microsoft.Online.Administration.StrongAuthenticationMethod型のオブジェクトを作成し、プロパティを設定した上で配列化してから、実際のユーザ属性へセットする必要があります。

この辺りは以下のコードの最後の$mfおよび$mfa変数への値のセットの仕方を参考にしてください。



では、この方法でユーザに通知手段を設定したユーザでログインを試みてみます。


先ほどとは異なり、通知が行われます。
(携帯電話へのテキスト通知を設定しました)

しかし、通知先の設定をしていないため、当然ながらエラーが発生します。

ということで、次は通知先の設定を行います。

◆通知先を設定する

こちらは非常に簡単です。ユーザの属性に携帯電話の番号や会社の電話の番号を設定すればよいだけです。

クラウドユーザならSet-MsolUserコマンドレットもしくはAzure ADの管理ポータルでユーザの属性を設定します。
Set-MsolUserコマンドレットの場合:
 会社の電話 : PhoneNumber
 携帯電話 : MobilePhone
Azure AD管理ポータルの場合:
 会社の電話 : 勤務先タブの中の会社電話
 携帯電話 : 携帯電話

尚、PowerShellから設定する際、国コードおよび電話番号が必要ですが、国コードと国内番号の間は半角スペース、国内番号の最初の0はつけたままにしておく必要があります。
(また、内線番号を使っている場合は国内番号と内線番号の間に"x"を入れておくとデリミタとなります)

こんな感じです。


尚、ローカルActive Directoryから同期しているユーザの場合、管理ポータル等で電話番号が変更できないので、ローカルActive Directory側で属性を設定してあげる必要があります。

会社電話はここです。

携帯電話場はここです。



これで同期を行うと、Azure AD管理ポータル上に値が入ります。



さて、ここまで設定したらログインを試行し通知が正しく行われるはずです。

実際にログインすると、、、、
正しく通知されました。



また、この後、ユーザ自身で通知手段を変更することもできるのですが、その際の通知先として先に設定した属性が正しく認識されます。






なかなかユーザ自身での多要素認証設定を徹底するのはリテラシー的にも厳しい場合もあると思うので、管理者側で一気に設定を行うことも検討しても良いかも知れませんね。

2016年4月22日金曜日

[Azure AD]Yubikeyを使って多要素認証ログインする

こんにちは、富士榮です。

前回のポストではAzure ADの多要素認証がOATHに対応したこと、Google Authenticatorでのログインを試しましたが、よく考えたらYubikeyのDesktopクライアントがOATHに対応していたので、Yubikeyを使ってもログインできることに気が付きました。

ここからクライアントのダウンロードができるので、ダウンロードしてインストールします。

https://developers.yubico.com/yubioath-desktop/


インストール後、起動するとYubikeyを指すように言われるので、YubikeyをUSBスロットに挿入します。


メニューからAddを選択するとQRコードを読み込む画面が出るので、前回の手順に従いAzure ADのQRコードを画面上に表示し、Yubikeyの挿入されたUSBスロットを選択した上でスキャンします。


うまくいくと、前回のGoogle Authenticatorと同様にOTPが表示されるので、設定を完了します。


これで設定完了です。

アプリケーションへのログインも問題なくYubikeyでできるようになりました。
ちなみに、Yubikeyは刺さっていればよいので、端子部分をタッチする必要はありません。




しかし、この方法の最大の欠点は「Yubikeyを指したPC自身が認証器になるので、PCとYubikeyをセットで持ち運ばないと使えない」ことですね。。。

[Azure AD]サードパーティのOATH対応トークンで多要素認証

こんにちは、富士榮です。

これまでAzure Active Directory(Azure AD)の多要素認証機能(MFA)には、
・Azure Authenticatorアプリによる通知もしくはOTP(ワンタイムパスワード)
・SMSによるテキストメッセージ通知
・音声による通知
の3つの手段しか2要素目として使用することが出来ず、他の要素を使いたい場合はオンプレミスのMFA Serverを構築してAD FSと連携させるしか方法がありませんでした。

要望としてはかなり前からフィードバックが上がっており、OATH対応するよ!という話はチラチラと聞こえていたんですが、ようやくオフィシャルに出てきました。

 Active Directory Team Blogのエントリ
  More #AzureAD MFA Coolness ? selectable verification methods and more OATH!
  https://blogs.technet.microsoft.com/ad/2016/04/20/more-azuread-mfa-coolness-selectable-verification-methods-and-more-oath/


内容はというと、OATH(Initiative for Open AuTHentication)に対応しました!ということです。OATHと言えば、Google Authenticatorをはじめメジャーどころが対応している事実上の標準なので、一気に選択肢が増えたということが出来ます。

と、いうことで今回はGoogle Authenticatorを使ってみます。

◆まずはセットアップ

MFAを有効にしたユーザでAzure ADでログオンするアプリ(例えば、https://myapps.microsoft.comなど)へアクセスし、Azure ADで認証をします。
初回なので、多要素認証の設定が求められるので、迷わずアプリケーション/承認コードを選択し、セットアップを行います。

セットアップをクリックすると、アプリケーションの構成画面が出るので、「そのままバーコードを読み込ませずに」、通知せずにセットアップをクリックします。


すると、バーコードとアカウント名およびシークレットが表示されます。


ここで、Google Authenticatorを起動し、QRコードを読み込ませます。
もちろん認証器によっては直接アカウント名とシークレットを入力しても大丈夫です。


正常に読み込みができると、Google Authenticator上にOTPが表示されます。


OTPが表示されたら設定は終わりなので、ブラウザ側でも完了(Done)をクリックし、アクティベーション状況を確認します。問題なければテスト通知が行います。

OTPを入力する画面が表示されるので、Google Authenticator上のOTPを入力します。



これで、完了です。


◆実際の多要素認証でログイン

ここまで行けば設定は終わっているので、多要素認証を要求するアプリケーションへのログインを行うと、パスワードに加えてOTPが要求されますので、Google Authenticator上に表示されるOTPを入力してログインします。



設定が問題なく完了していれば、これでログインできるはずです。




今回はGoogle Authenticatorを利用しましたが、OATHのTOTP(Time-based One Time Password)に対応したOTP生成器であれば基本的に使えるはずなので、ハードウェアトークンやスマホ以外の認証器でもAzure ADの多要素認証が実現できるようになるはずです。

特にハードウェアトークンの利用のニーズは健在なので、実案件への適応範囲は拡大していくと思われます。

2016年4月17日日曜日

[MIM]Microsoft Identity Manager April 2016 Previewが公開

こんにちは、富士榮です。

先月に引き続き、Microsoft Identity Manager 2016の2016年4月版のCTPが公開されています。

※先月はこちら。
 [MIM]Microsoft Identity Manager April 2016 Previewが公開
 http://idmlab.eidentity.jp/2016/03/mimmicrosoft-identity-manager-march.html

先月は、環境面では、IE以外のブラウザのサポート、機能面では特権ID管理フォレストの既存のユーザ、グループをPAMロールへ追加することが出来る、という拡張でしたが、今月は新しいプラットフォームへの対応です。


  • MIM Sync/MIM ServiceデータベースとしてWindows Server 2012 R2上のSQL Server 2016 RC2をサポート
  • MIM Sync/MIM Serviceが使うメールサーバとしてWindows Server 2012 R2上のExchange Server 2016をサポート
  • MIM Portalのインストール先としてWindows Server 2012 R2上のSharePoint Server 2016をサポート
  • MIM Add-inのインストール先として、Windows 10上のOutlook 2016をサポート

まぁ、SharePoint Server 2016をサポート、と言っても互換レベルは15なので、2013相当のWebサイトを作るだけなんですけどね。

いずれにしても、製品が定期的に更新されていることが見えるのは使う側からすると安心ですね。投資が継続していることが見えるので。

2016年4月16日土曜日

[Azure AD] Azure AD Basicがオンラインで購入可能に

こんにちは、富士榮です。

これまでEA(Enterprise Agreement)やCSP(Cloud Solution Provider)でしか入手できず価格も公表されていなかったAzure Active Directory Basicですが、先週よりオンラインで購入できるようになっています。

月額109円(税別)です!

このことにより、個人で検証を行うのに無料版では機能面で物足りないんだけど毎月650円払ってPremiumを買うのは機能面でもコスト面でもオーバースペック、という方に道が開けました。

 Azure ADのエディションによる機能の比較はこちら。
 https://azure.microsoft.com/ja-jp/pricing/details/active-directory/

 ※グループベースでのプロビジョニングやセルフサービスパスワードリセット、アプリケーションプロキシなど、Basicでもやれることの幅はぐっと広がります。


と、いうことで早速買ってみました。


まずは、管理ポータルからディレクトリを開いてライセンスメニューを開き、[購入]をクリックします。



すると、まるでAzure AD Premiumを購入させられるような気になる画面が出てきますが、無視して直接購入へ進みます。


ここで、ディレクトリ内の管理者ユーザでログインしていない場合はOffice365のログイン画面でログインし直しを要求されます。

ログインが完了すると、ライセンス購入画面に遷移するので、Azure AD Basicを探します。

・・・
・・・
・・・
ありました!下の方に。


ということで、[今すぐ購入]します。

支払方法と数量を選択し、[今すぐ支払う]でチェックアウトします。

購入内容を確認します。


支払方法を選択します。



これですべて完了です。
後はユーザへ購入したライセンスを割り当てます。


管理ポータルに戻るとライセンスが追加されています。

ライセンスを開いてユーザの割り当てを行います。
ユーザ一覧から割り当てたいユーザを選択して[割り当て]を行います。


これでおしまいです。

割り当てたユーザを管理者にして管理ポータルにログインしなおしてみます。

すると、Basicの機能が使えるようになっています。

・カスタムブランディング

・アプリケーション・プロキシ

・グループベースのプロビジョニング





月々このくらいの金額で飛躍的に管理性が向上しますね。
また、いつでもやめられるのもクラウドの利点なのでぜひ一度試してみてください。