[Windows 10]Microsoft Passport for Work 2Goが来たか？

こんにちは、富士榮です。

Windows 10のデバイスへのサインイン方法は従来のID/パスワードに加えてPINやWindows Helloの生態認証など大幅に拡張されています。

また、追加でWindows 10 Mobileのスマートフォンを使ったサインイン方法が用意される予定で、ついにベータ版のアプリケーションがストアに登場しました。

が、結論まだまだマイクロソフト社内のテスト用に特化しているようで、まともに動きません。残念。

ということで、概要の紹介と試行錯誤の結果だけ書いておきます。

◆スマートフォンを使ったサインイン

機能の名称は「Microsoft Passport for Work 2Go」になるのかな？という気がしていますが、ようするに、Bluetoothで接続されたスマートフォン上で対象のコンピュータ名をタップすることによってサインインできる、という動きになります。

AndroidとChromebookにおけるSmart Lock for Chromebookと同じですね。
※Smart Lock for Chromebookに関する過去のポストはこちら

◆動作に必要な要件

まだ私の環境では動いていないので動作に必要な要件というのもナンセンスなのですが、色々と資料を見ていると、
・Windows 10 mobile（10.0.14283.1000以降？）のスマートフォン
・スマートフォンにはPhone Sign-inアプリがインストールされていること
・Azure ADに登録されたPC（つまりMicrosoft Passport for Workが動いている環境）
　※必然的にTH2以降のWindows 10 Pro以上
・スマートフォンとPCがBluetoothでペアリングされていること
が条件になってきそうです。

◆現状の動き

とりあえず、どんな動きになるのか確認してみます。

＜PC＞
先の条件を満たしたPCにAzure ADのアカウントでサインインすると、サインイン画面にスマートフォンでサインインというメニューが出てきます。

これをクリックするとこんな画面が出てきます。

＜スマートフォン＞
本来はここでスマートフォン側のアプリ（Phone Sign-in）でコンピュータ名を選んでログインするんでしょうが、現状はアプリケーションにアカウントを追加するところでエラーが出て、うまく動きません。

とりあえずできているところまで紹介します。
①ストアからPhone Sign-inをインストールする
　現状ストアアプリで検索しても出てこないので以下のリンクから直接ストアへ移動してダウンロード・インストールを行います。
　https://www.microsoft.com/en-us/store/apps/phone-sign-in-beta/9nblggh5lb73

　ここで問題となるのが、最新のWindows 10 mobileのビルドが要求されてしまうところです。手元にあったWindows 10 mobileは10.0.10586.164だったのですが、このビルドではインストールできませんでした。

仕方がないので、Fast Ringより10.0.14283.1000へあげてみます。ちなみに現状このビルドへあげられるのはかなり限定されたデバイスだけみたいです。（手元のLumia 430はNG、Lumia 950はOKでした）

ビルドを上げた後、再度ストアへアクセスすると今度はちゃんとインストールできました。

②アプリにアカウントを登録する
どうやらサインインに使うアカウントをアプリにも登録しておくようです。
断定できないのは、ここでエラーが発生して先に進めていないからです。。。

まずは、スマートフォン自体にサインインしているアカウント（Azure ADアカウントでサインインしています）が表示されるので、選択してみます。

選択して先に進むと、エラーがでてしまいます。

こうなるとにっちもさっちもいきません。
アプリを再起動してもこの状態のままで何もできなくなります。
仕方がないので、アプリを削除して再インストールします。

今度は別のアカウント（スマートフォンへログインしているユーザではないAzure ADユーザ）を追加してみます。
すると、別のエラーが出ます。

Azure ADにセットされているReply URLがCloud eXperience Hostと同じくAAD Broker Pluginとなっており、Azure ADテナントに登録されているアプリケーションのReply URLと異なっているようです。このあたりからまだまだインターナル用なのかな？という推測をしています。おそらくインターナルテスト用のAzure ADにはこの仕組みに対応したアプリケーションが登録されていて、うまく動くんだと思います。



とりあえず今後の更新に期待ですね。
アプリの解説ページにも今後はマイクロソフトアカウントでも使えるような拡張なども予定されているようですし。

[Windows 10]Intuneを使ったMobileデバイスの消去

こんにちは、富士榮です。

前回、前々回とWindows 10 MobileデバイスをAzure Active Directory（Azure AD）へ参加させる方法について解説をしてきました。
この際、Azure ADとMicrosoft Intuneを連携させておくと、Azure ADに登録されたデバイス情報が自動的にIntuneに同期され、ポリシーの適用やリモート・ロック、ワイプなどの管理を行うことができるようになります。

しかし実際にワイプされるところを見ることも少ないだろうなぁ、ということでChannel 9に動画をアップしておきました。
実際は結構時間がかかるんですが、勝手にデバイスがシャットダウンされ、初期化されていく姿をご覧いただけると思いますので、ぜひご覧ください。

Azure ADへのWindows 10 Mobile参加とIntuneによるリモートワイプ
https://channel9.msdn.com/Blogs/IdM-Lab-Annex-MVP-for-Directory-Services-Naohiro-Fujie/Azure-ADWindows-10-MobileIntune

[Windows 10]MobileでもMicrosoft Passport～企業デバイス編（Azure AD参加）

こんにちは、富士榮です。

前回は個人所有のWindows 10 Mobileの端末に対して職場または学校のアカウント（Azure ADアカウント）を追加してMicrosoft Passportが動作するイメージを紹介しました。

今回はそもそも企業が用意したデバイスをAzure ADに直接参加させて利用・管理するシナリオです。デスクトップOSでいうところのAzure ADへの参加するシナリオに当たります。

まず、デバイスを初期化するところから始めますので、試す方はそれなりの準備をしてから試してください。

初期化をして最初のセットアップ時のアカウント設定を行います。
ここで職場のアカウントでサインインを選択します。

いろいろ説明が出てきますが、次へ進みます。

サインイン画面が出てくるので、Azure ADアカウントでログインします。

何やら設定をしているようです。

ここでPINの設定を求められます。

なぜかこのタイミングで多要素認証が求められました。

多要素認証が完了するとPINの登録です。

一応これでアカウント設定は完了です。
引き続きアプリケーションの設定が行われます。

完了をしばし待ちます。

終わった、と思ったらもう少しありました。

ようやく終わりみたいです。

ええ、Lumiaを選びましたとも、、、安かったので。
ようやくデスクトップ画面にたどり着きます。

綺麗ですね。
とりあえずEdgeを起動してアクセス・パネル（https://myapps.microsoft.com）を起動します。

当然ですが、シングルサインオンされます。

Azure ADの管理画面で見ると「AAD参加済み」デバイスとして認識されています。

もちろんIntuneでもデバイスは見えます。
種別は「企業」になっていますね。ビルドは10.0.13058なんですね。

前回も書きましたが、Windows 10ではデスクトップでもモバイルでもかなりシームレスに管理ができる様になってきています。デバイスさえそろって来れば、企業で使うには一番管理しやすいデバイスになってくるかもしれませんね。

[Windows 10]MobileでもMicrosoft Passport～個人デバイス編（WorkPlace Join）

こんにちは、富士榮です。

そう言えばWindows 10 Mobileにもバージョン1511／ビルド10586が落ちてきていたので、Microsoft Passportが使えるようになっているはず、ということで試してみます。
（久しぶりに通電～充電したLumia 430のめったに無い出番です）

##今回はBYODシナリオです。最初から組織アカウントでデバイスを設定する方法は次回解説します＃＃

とりあえず充電しつつソフトウェア更新をかけて、バージョンが1511になりました。

ということで、Azure AD（Azure Active Directorry）へ参加させてみます。
オペレーションとしてはデスクトップOSと同じく、設定～アカウント～職場のアクセスを開きます。

先日紹介したBYOD端末でのAzure AD参加と同じようなオペレーションですね。
参考）[Windows 10]TH2新機能 - BYOD（WorkPlace Join）でMicrosoft Passportを使う
　　http://idmlab.eidentity.jp/2015/11/windows-10th2-byodworkplace.html


この画面で「職場用または学校用のアカウントの追加と削除」をタップするとアカウント設定の画面へ遷移するため、アカウントを追加していきます。

「職場または学校アカウントを追加」をタップすると、Azure ADのログイン画面へ遷移するのでAzure ADのアカウントでログインします。

通常のログインと同様にサインインを行います。今回は多要素認証が有効なアカウントだったので、モバイルへの通知がされました。

これで設定は完了です。

早速、Edgeを立ち上げてアクセスパネル（https://myapps.microsoft.com）へアクセスしてみます。
すると、ログイン画面が一瞬みえますが、そのままアクセスパネルが表示されます。

もちろんアプリケーションへのログオンもそのままシングルサインオンされます。

うまくMicrosoft Passportが動いてくれています。
もちろんAzure ADの管理画面を見るとデバイスが登録されていることがわかります。

このようにWindows 10においてはデスクトップ用OSでもモバイル用OSでもアカウント管理の面においてはほぼ共通の実装になっていることがよくわかります。

Lumia 950も米国ではリリースされたようですし、あとはモバイルデバイスでWindows Helloを早く試してみたいところです。