diff --git a/active-directory-federation-service/2019adfs/index.html b/active-directory-federation-service/2019adfs/index.html index 3b3aa2041cb..1a977a97df4 100644 --- a/active-directory-federation-service/2019adfs/index.html +++ b/active-directory-federation-service/2019adfs/index.html @@ -15,7 +15,7 @@ - + @@ -156,7 +156,7 @@

feedback - 共有 + 共有
diff --git a/active-directory-federation-service/about-extranet-lockout/index.html b/active-directory-federation-service/about-extranet-lockout/index.html index 371d2c9a740..c6176915197 100644 --- a/active-directory-federation-service/about-extranet-lockout/index.html +++ b/active-directory-federation-service/about-extranet-lockout/index.html @@ -14,7 +14,7 @@ - + @@ -154,7 +154,7 @@

feedback - 共有 + 共有

@@ -226,7 +226,7 @@

user01@contoso.com

+

アカウント名: user01@contoso.com

アカウント ドメイン:

エラー情報:

失敗の原因: ユーザー名を認識できないか、またはパスワードが間違っています。

@@ -259,9 +259,9 @@

user01@contoso.com

+

user01@contoso.com

例外情報:

-

System.IdentityModel.Tokens.SecurityTokenValidationException: user01@contoso.com

+

System.IdentityModel.Tokens.SecurityTokenValidationException: user01@contoso.com

場所 Microsoft.IdentityServer.Service.Tokens.MSISWindowsUserNameSecurityTokenHandler.ValidateToken(SecurityToken token)

上記内容が少しでもお客様の参考となりますと幸いです。
製品動作に関する正式な見解や回答については、お客様環境などを十分に把握したうえでサポート部門より提供させていただきますので、ぜひ弊社サポート サービスをご利用ください。

diff --git a/active-directory-federation-service/ad-fs-auto-rollover/index.html b/active-directory-federation-service/ad-fs-auto-rollover/index.html index 585948774ce..a42fc91a848 100644 --- a/active-directory-federation-service/ad-fs-auto-rollover/index.html +++ b/active-directory-federation-service/ad-fs-auto-rollover/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

feedback - 共有 + 共有

diff --git a/active-directory-federation-service/adfs-AADSTS50107/index.html b/active-directory-federation-service/adfs-AADSTS50107/index.html index 94e67eea421..f5fa94307ed 100644 --- a/active-directory-federation-service/adfs-AADSTS50107/index.html +++ b/active-directory-federation-service/adfs-AADSTS50107/index.html @@ -15,7 +15,7 @@ - + @@ -160,7 +160,7 @@

feedback - 共有 + 共有

diff --git a/active-directory-federation-service/adfs-cba-ts/index.html b/active-directory-federation-service/adfs-cba-ts/index.html index 38c3b1a4546..62328a87736 100644 --- a/active-directory-federation-service/adfs-cba-ts/index.html +++ b/active-directory-federation-service/adfs-cba-ts/index.html @@ -18,7 +18,7 @@ - + @@ -162,7 +162,7 @@

feedback - 共有 + 共有

diff --git a/active-directory-federation-service/adfs-crule-ts/index.html b/active-directory-federation-service/adfs-crule-ts/index.html index 2b71ff14f0d..99848c86758 100644 --- a/active-directory-federation-service/adfs-crule-ts/index.html +++ b/active-directory-federation-service/adfs-crule-ts/index.html @@ -21,7 +21,7 @@ - + @@ -164,7 +164,7 @@

feedback - 共有 + 共有

diff --git a/active-directory-federation-service/adfs-federation-metadata/index.html b/active-directory-federation-service/adfs-federation-metadata/index.html index be380718038..e294ff34498 100644 --- a/active-directory-federation-service/adfs-federation-metadata/index.html +++ b/active-directory-federation-service/adfs-federation-metadata/index.html @@ -20,7 +20,7 @@ - + @@ -162,7 +162,7 @@

feedback - 共有 + 共有

diff --git a/active-directory-federation-service/adfs-tls12/index.html b/active-directory-federation-service/adfs-tls12/index.html index 30500d2afd1..e48869ff685 100644 --- a/active-directory-federation-service/adfs-tls12/index.html +++ b/active-directory-federation-service/adfs-tls12/index.html @@ -21,7 +21,7 @@ - + @@ -165,7 +165,7 @@

feedback - 共有 + 共有

diff --git a/active-directory-federation-service/adfs-wap-federation-renew/index.html b/active-directory-federation-service/adfs-wap-federation-renew/index.html index 92919c9a4d5..c1692b43b28 100644 --- a/active-directory-federation-service/adfs-wap-federation-renew/index.html +++ b/active-directory-federation-service/adfs-wap-federation-renew/index.html @@ -20,7 +20,7 @@ - + @@ -162,7 +162,7 @@

feedback - 共有 + 共有

diff --git a/active-directory-federation-service/azure-traffic-manager/index.html b/active-directory-federation-service/azure-traffic-manager/index.html index 1d7021088c4..f498259a052 100644 --- a/active-directory-federation-service/azure-traffic-manager/index.html +++ b/active-directory-federation-service/azure-traffic-manager/index.html @@ -16,7 +16,7 @@ - + @@ -157,7 +157,7 @@

feedback - 共有 + 共有

diff --git a/active-directory-federation-service/case-of-pdc/index.html b/active-directory-federation-service/case-of-pdc/index.html index c92d6d211e9..0328aaa9b45 100644 --- a/active-directory-federation-service/case-of-pdc/index.html +++ b/active-directory-federation-service/case-of-pdc/index.html @@ -14,7 +14,7 @@ - + @@ -154,7 +154,7 @@

feedback - 共有 + 共有

diff --git a/active-directory-federation-service/claim-rule-conditional-access/index.html b/active-directory-federation-service/claim-rule-conditional-access/index.html index 952002e9bb8..b60ba0a9a12 100644 --- a/active-directory-federation-service/claim-rule-conditional-access/index.html +++ b/active-directory-federation-service/claim-rule-conditional-access/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

feedback - 共有 + 共有

diff --git a/active-directory-federation-service/congestion_avoidance_algorithm/index.html b/active-directory-federation-service/congestion_avoidance_algorithm/index.html index d0997a03df9..98cc82d5d65 100644 --- a/active-directory-federation-service/congestion_avoidance_algorithm/index.html +++ b/active-directory-federation-service/congestion_avoidance_algorithm/index.html @@ -14,7 +14,7 @@ - + @@ -157,7 +157,7 @@

feedback - 共有 + 共有

diff --git a/active-directory-federation-service/kmsi-not-shown-wia/index.html b/active-directory-federation-service/kmsi-not-shown-wia/index.html index 1bf9b0b5bf8..3f40308d7d8 100644 --- a/active-directory-federation-service/kmsi-not-shown-wia/index.html +++ b/active-directory-federation-service/kmsi-not-shown-wia/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

feedback - 共有 + 共有

diff --git a/active-directory-federation-service/migrate-msol-update-federation-domain/index.html b/active-directory-federation-service/migrate-msol-update-federation-domain/index.html index 7392859b612..503b35850cb 100644 --- a/active-directory-federation-service/migrate-msol-update-federation-domain/index.html +++ b/active-directory-federation-service/migrate-msol-update-federation-domain/index.html @@ -15,7 +15,7 @@ - + @@ -156,7 +156,7 @@

feedback - 共有 + 共有

diff --git a/active-directory-federation-service/secure-hash/index.html b/active-directory-federation-service/secure-hash/index.html index b424c44e2fe..1be915b59f9 100644 --- a/active-directory-federation-service/secure-hash/index.html +++ b/active-directory-federation-service/secure-hash/index.html @@ -14,7 +14,7 @@ - + @@ -154,7 +154,7 @@

feedback - 共有 + 共有

diff --git a/active-directory-federation-service/update-for-google-chrome-80-same-site/index.html b/active-directory-federation-service/update-for-google-chrome-80-same-site/index.html index f1373079578..267469c8f8b 100644 --- a/active-directory-federation-service/update-for-google-chrome-80-same-site/index.html +++ b/active-directory-federation-service/update-for-google-chrome-80-same-site/index.html @@ -16,7 +16,7 @@ - + @@ -159,7 +159,7 @@

feedback - 共有 + 共有

diff --git a/active-directory-federation-service/update-ssl-server-certificate-2016+/index.html b/active-directory-federation-service/update-ssl-server-certificate-2016+/index.html index ce01611faad..1f4b1e0d809 100644 --- a/active-directory-federation-service/update-ssl-server-certificate-2016+/index.html +++ b/active-directory-federation-service/update-ssl-server-certificate-2016+/index.html @@ -14,7 +14,7 @@ - + @@ -154,7 +154,7 @@

feedback - 共有 + 共有

diff --git a/active-directory-federation-service/update-ssl-server-certificate-netsh/index.html b/active-directory-federation-service/update-ssl-server-certificate-netsh/index.html index addd0c0edac..06a68e079fe 100644 --- a/active-directory-federation-service/update-ssl-server-certificate-netsh/index.html +++ b/active-directory-federation-service/update-ssl-server-certificate-netsh/index.html @@ -14,7 +14,7 @@ - + @@ -154,7 +154,7 @@

feedback - 共有 + 共有

diff --git a/active-directory-federation-service/update-ssl-server-certificate/index.html b/active-directory-federation-service/update-ssl-server-certificate/index.html index 526c9b213b7..4778ce932aa 100644 --- a/active-directory-federation-service/update-ssl-server-certificate/index.html +++ b/active-directory-federation-service/update-ssl-server-certificate/index.html @@ -14,7 +14,7 @@ - + @@ -154,7 +154,7 @@

feedback - 共有 + 共有

diff --git a/active-directory-federation-service/update-token-certificate/index.html b/active-directory-federation-service/update-token-certificate/index.html index ae974a53686..6ed54cd6eac 100644 --- a/active-directory-federation-service/update-token-certificate/index.html +++ b/active-directory-federation-service/update-token-certificate/index.html @@ -14,7 +14,7 @@ - + @@ -154,7 +154,7 @@

feedback - 共有 + 共有

diff --git a/atom.xml b/atom.xml index 9a98fa4b29d..64f61e277e2 100644 --- a/atom.xml +++ b/atom.xml @@ -6,7 +6,7 @@ - 2025-01-04T14:47:57.588Z + 2025-01-04T15:03:23.792Z https://jpazureid.github.io/blog/ @@ -21,7 +21,7 @@ https://jpazureid.github.io/blog/azure-active-directory/starter-series-conditional-access/ 2024-12-27T16:00:00.000Z - 2025-01-04T14:47:57.588Z + 2025-01-04T15:03:23.792Z こんにちは、Azure Identity サポート チームの 夏木 です。

この度、Microsoft Entra サポート チームより、最近 Entra の利用を始めたお客様を対象に初学者向けのブログ シリーズを開始することといたしました。本記事は、その Entra ID 初学者向けシリーズの第 1 弾「条件付きアクセス 入門」です。

本記事の対象者

  • Microsoft Entra 条件付きアクセスの基本を理解したい方
  • よくあるお問い合わせの事例を通じて実践的な知識を得たい方
  • Microsoft Entra のサインイン ログの基本的な分析方法を知りたい方

記事概要

本記事では、Microsoft Entra 条件付きアクセスを初めて学習/導入する方を対象に、基礎的な概念や設定方法を分かりやすく解説します。また、現場でよくある質問や課題を例に、具体的な対応策も紹介します。最後に、サインイン ログの読み解き方についても簡単に解説します。IT 管理者の方々にとって日々の運用に役立ちましたら嬉しいです!

条件付きアクセスの基本

条件付きアクセスとは

ユーザーと条件、リソースの関係を表した画像

条件付きアクセスは、ユーザーが Entra ID と連携したリソースにアクセスする際に、特定の条件に基づいてポリシーを適用し、リソースへのアクセスを制御する仕組みです。これにより、必要なユーザーだけが適切な状況でリソースにアクセスできるようになりセキュリティを高めることが可能です。条件付きアクセス ポリシーが適用されるのは、ユーザーが Entra ID にサインインした後、Entra ID がクラウド上のリソースに対して各種のトークンを発行する直前となります。

条件付きアクセスの流れ:

  1. ユーザーが特定のリソース (Web アプリや Web API) にアクセスを試みます。
  2. 特定のリソース (Web アプリや Web API) が Entra ID で認証してくるようユーザーに要求し、ユーザーは Entra ID に誘導されます。
  3. Entra ID によりサインインが求められます。
  4. ユーザーが ID/PW などを入力しサインインが成功すると、アクセス要求が条件付きアクセス ポリシーによって評価されます。
    • ポリシーの適用条件に合致しなかった場合 → ポリシーは適用されずアクセスが許可されます 🙆‍♀️
    • ポリシーの適用条件に合致し、制御を満たした場合 → アクセスが許可されます 🙆‍♀️
    • ポリシーの適用条件に合致したが、制御を満たさない場合 → アクセスが拒否されます 🙅‍♀️

ポリシーの適用条件や制御に具体的に設定できる値については後述します。

より細かい説明については 改めて知る Microsoft Entra 条件付きアクセス の記事もご覧ください。

条件付きアクセスの考え方のポイント

初学者にとって押さえておくと躓きにくいポイントと、おすすめの Identity チーム公式ブログをご紹介します。条件付きアクセス初学者の方に是非意識していただきたい考え方はこちらです。

  1. 設定した条件に合致したサインインにアクセス権を付与するのではなく、条件に合うサインインに制限をかける (制御する)
  2. 制御の対象は、正確にはアプリケーションではなく “リソース” である

条件付きアクセスの考え方のポイント 1

条件付きアクセスは、サインインに対してアクセス権を付与する (アクセスを許可) するという考え方ではなく、設定した条件に合うサインインに制御 (制限) をかけるという考え方です。

条件に合致した場合にサインインに対して適用される制御 (制限) としては、「アクセスのブロック」や「多要素認証を要求する」、「Microsoft Entra ハイブリッド参加済みデバイスが必要」というものがあります。実際の画面とその考え方は以下の画像のとおりです。

アクセスのブロックとアクセス権の付与について解説した画像

条件付きアクセスは、ポリシーが適用される条件を満たした場合に、アクセスをブロックもしくは制御するためのものあり、条件を満たしたものを許可するというものではありません。ファイアーウォールのルールのような「既定ですべてブロックがあり、そのうえで一部を許可する」というイメージではない点に注意ください。ID とパスワードという最低限の認証を突破した後に、条件に合うものに追加の制御 (もしくはブロック) を適用するというイメージです。

改めて、「アクセスを許可する」というものではなく、「特定の条件を満たした場合に制御が適用される (条件を満たさなかった場合は制御が適用されない)」というイメージになります。

詳細は以下の記事もご覧ください:

条件付きアクセスの考え方のポイント 2

条件付きアクセスが制御の対象とするのは、「アプリケーション」ではなく「リソース」へのアクセスです。ここで言う「リソース」というのは、Entra ID と連携して動作している Web アプリケーション (Salesforce や自社開発のWeb アプリケーションなど) や、PC 上で動作するクライアント アプリケーションがクラウド上からデータを取得する際のアクセス先 (Web API) とお考え下さい。

例えば Outlook クライアントを Windows 上で利用して、Microsoft 365 の E メールを利用している場合、ユーザーは単に Outlook クライアントにサインインしているだけと思うはずですが、実際にはインターネット (Microsoft 365) 上から Email のデータを取得してくるにあたり Exchange Online の Web API を利用しています。Outlook クライアントは Exchange Online というクラウド上の “リソース” を使用しており、この Exchange Online が条件付きアクセスの適用対象となります。このため、条件付きアクセスの設定画面では、Outlook というリソースは出てきません。

他にも例えば、ユーザーが Windows 上で Teams のネイティブ クライアント アプリにアクセスしたとします。この時、ユーザーは Teams のネイティブ クライアント アプリにだけアクセスしているわけではありません。実際は、Teams のクラウド側の Web サービスに加え、SharePoint Online、Exchange Online、Microsoft Planner という複数の Web API にアクセスをしています。つまり、Teams のクライアントは、それが使用するデータのもととなっている複数のクラウド上の “リソース” にアクセスしています。Teams はこれらリソースの一つでもアクセスができないと (条件付きアクセスでブロックされると)、正常に動作しません。

Teams におけるサービスの依存関係を表した画像

このようにユーザーがサインインしているアプリが、別のクラウド上の Web API (リソース) を呼び出すということは一般的であり、これはサービスの依存関係とも呼ばれます。条件付きアクセスを利用する際に意識するべき依存関係については 条件付きアクセスのサービスの依存関係 に解説されていますのでご覧ください。

そのほかの条件付きアクセスの動作の仕組みやよくある質問に関しては Azure AD の条件付きアクセスに関する Q&A の記事もご覧ください。

条件付きアクセス ポリシーの作成

条件付きアクセス ポリシーにて設定可能な値の概要は以下のとおりです。まず、条件について以下に概要をおまとめしました。条件付きアクセス ポリシーでは、まず大きく適用対象のユーザーと適用対象のリソースを選択する必要があります。これらに加えて、さらにネットワークの場所やクライアント OS の種類など細かく適用条件を選択することが可能です。

条件付きアクセス ポリシーの割り当てについて概要をまとめた画像

上記の囲まれた部分の構成が終わったら、次にその条件に合致したときにどのような制御を適用するかを決めます。それが以下の画面です。

条件に合致したときにアクセスを許可する場合、許可に際して適用される制御の内容を選択します。例えば、条件に合致したときに多要素認証を求めたい場合は「多要素認証を要求する」にチェックを付けます。

アクセス制御において許可とセッション制御の概要をまとめた画像

なお、条件に合致したときにセッションに対しても制御を適用することが可能です。例えば、サインインの頻度という制御を適用すると、8 時間毎に再認証をユーザーに求めるということも可能です (頻繁な再認証はセキュリティをむしろ低下させるため推奨しておりません)。

各設定値の詳細は 条件付きアクセス ポリシーの構築 の公開情報もご覧ください。

よくあるお問い合わせの例

これまでの説明をもとに、条件付きアクセス ポリシーの理解向上に役立ついくつかのお問い合わせ例をご紹介いたします。

  • 基本編 1: 場所やデバイスの状態をもとに制御したい
  • 基本編 2: ポリシーを構成したが思ったように適用されない
  • 中級編 3: 「デバイスは準拠しているとしてマーク済みである必要があります」の制御を適用した状態で Intune の新規デバイス登録は可能か
  • 中級編 4: Teams 以外のすべてのアプリをブロックしているのに Teams にアクセスできない

基本編 1: 場所やデバイスの状態をもとに制御したい

以下のようなお問い合わせがあったとします。

以下を満たす条件付きアクセスポリシーを作成したい。

<シナリオ A>
社外からの Office 365 へのアクセスは準拠済みのデバイスのみに制限したい

<シナリオ B>
Android / iOS に対しては指定した IP アドレスの範囲からしかアクセスを許可しない

これらの場合、ポリシーの構成としては、すべてのネットワークの場所に対して「準拠済みのデバイスを要求する」もしくは「アクセスをブロックする」と構成して、ポリシーの対象外の場所に「社内」や「指定した IP アドレスの範囲」を指定します。各シナリオを言い換えると以下のようになります。

<シナリオ A>
全ての場所ですべてのユーザーに対し、Office 365 にアクセスする際は準拠済みのデバイスを必要とするが、社内はその対象外とする。

<シナリオ B>
Android / iOS に対してはすべての場所 (指定した IP アドレスの範囲はその対象外) ですべてのユーザーとアプリに対してアクセスをブロックする。

これらを実際のポリシーの構成に落とし込むと以下のようになります。このように、要望されているシナリオを条件付きアクセス ポリシーの構成に合うように少し変換して構成ください。

<シナリオ A の設定例>

シナリオ A の設定例を示した画像

<シナリオ B の設定例>

シナリオ B の設定例を示した画像

基本編 2: ポリシーを構成したが思ったように適用されない

以下のようなお問い合わせがあったとします。

以下条件付きアクセスポリシーを設定をしたが、適用されない。オフィス以外の場所からのアクセスはブロックしたい。

ターゲット リソースが設定されていない状態の画像

ターゲット リソースが指定されていないため、何もポリシーの対象となっておらず機能しません。以下は割り当てをするときに必ず指定する必要があるものです:

  • ユーザー
  • ターゲットリソース

ターゲット リソースに着目した状態の画像

前述のとおり、条件付きアクセスは、条件に合ったものに対して制御を適用するというものですので、ポリシーが適用される条件についてはすべて指定するようにご注意ください。

中級編 3: 「デバイスは準拠しているとしてマーク済みである必要があります」の制御を適用した状態で Intune の新規デバイス登録は可能か

以下のようなお問い合わせがあったとします。

条件付きアクセスにて、「デバイスは準拠しているとしてマーク済みである必要があります」の制御を適用された状態にしました。新しいデバイスの Intune 登録は可能でしょうか。

「デバイスは準拠しているとしてマーク済みである必要があります」にチェックがついた状態の画像

このお客様は、条件付きアクセスにて「デバイスは準拠しているとしてマーク済みである必要があります」の制御を適用にした際に、これから Intune 登録しようとしているデバイスはこの条件を満たせない (登録しようとしているその時点ではデバイスはまだ非準拠である) ため、新規の Intune 登録がブロックされるのではないかと懸念してこのようなお問い合わせをされました。

このシナリオは条件付きアクセスで考慮されており、Bootstrap シナリオと呼ばれます。この Bootstrap シナリオに当たる以下の場合は、条件付きアクセス ポリシー適用の対象となるユーザーとリソースを設定していても、制御が適用されません:

  • Device registration
  • Intune Management Setup
  • Intune Check-In
  • Multi-Factor Auth Connector
  • (一覧は公開されていないため、上記の他にもある可能性あり)

この時、条件付きアクセス ポリシーとしては、制御が適用されないという結果になりますので、サインイン ログ上は、条件付きアクセス ポリシーの適用が失敗したと表示される場合があります。しかしながら、これは想定された動作であるため心配いただく必要はありません。

詳細は 準拠しているデバイス、ハイブリッド参加済みデバイス、または MFA を必須にする の公開情報もご覧ください。

中級編 4: Teams 以外のすべてのアプリをブロックしているのに Teams にアクセスできない

以下のようなお問い合わせがあったとします。

Teams 以外のすべてのアプリをブロックし、Teams はポリシーの対象外としている。しかし、Teams にアクセスできないのはなぜでしょうか。

ターゲット リソースの対象として Microsoft Teams Services のみが選択されている状態の画像

Microsoft Entra 条件付きアクセスのサービス依存関係が原因です。前述のとおり、Teams にアクセスするためには、Microsoft SharePoint Online や Microsoft Exchange Online のリソースにアクセスする必要があります。しかし、このシナリオでは Teams のみがポリシーの対象外であり、Microsoft SharePoint Online や Microsoft Exchange Online は条件付きアクセス ポリシーの適用対象となります。このため、Teams アプリが使用しているリソースがブロックされる状態であり、結果的に Teams にもアクセスできません。

Teams の依存関係を表した画像

Teams のみをユーザーに利用させたいというお客様は多くいらっしゃいますが、Teams のこのような性質により、Teams のみユーザーに利用させるということは極めて困難です。条件付きアクセス ポリシーの観点では、Microsoft SharePoint Online や Microsoft Exchange Online も条件付きアクセスポリシーで許可いただく必要があります。結果としてユーザーは Outlook や SharePoint Online にもアクセスが可能となります。弊社としてはこういった依存関係を考慮して、条件付きアクセスポリシーの対象および対象外としては Office 365 の利用をお勧めしています。

詳細は 条件付きアクセスのサービスの依存関係 の公開情報もご覧ください。

サインイン ログを見るときのポイント

条件付きアクセスに起因してサインインがブロックされた場合、その概要がサインイン画面に表示されます。この時、「詳細」をクリックするか、画面右下の … をクリックすると、エラーの詳細を確認可能です。サインイン時のエラー画面にて表示される以下の情報を控えてサインイン ログを検索すると詳細な情報を得ることが出来ます。

なお、これらの情報は弊社サポート チームにとっても重要な情報であるため、サインインに関連した調査を依頼される際には弊社サポートにもこの情報をぜひご提供ください。

  • 要求 ID (Request ID): 各サインインの ID
  • 相関 ID (Correlation ID): 一連のサインインを束ねた ID
  • Timestamp: サインインした時刻
  • アプリ名: アクセス先のアプリ

サインイン画面で詳細を表示した状態の画像

Entra ID のサインイン ログを確認するには以下の手順を実施ください。

  1. Azure Portal (https://portal.azure.com) にアクセスします。
  2. 管理者アカウントでサインインします。
  3. [Microsoft Entra ID] > [サインイン ログ] に移動します。

適当なサインイン ログの内容をクリックすると、以下のように情報が表示されます。[基本情報] タブにその概要が表示されます。ここで注目したい値は以下のとおりです。

  • 要求 ID (Request ID): 各サインインの ID
  • 相関 ID (Correlation ID): 一連のサインインを束ねた ID
  • Timestamp: サインインした時刻
  • リソース名: アクセス先のリソース
  • リソース ID: アクセス先のリソースの ID
  • ユーザー: サインインしたユーザーの UPN

サインイン ログの基本情報のタブを開いた状態の画像

[条件付きアクセス] タブでは以下の内容などを確認することが可能です。ポリシーの適用が思ったように行われない場合は、この画面を見て各ポリシーの適用状況をご確認ください。

  • どの条件付きアクセスポリシーが適用されたか
  • どの条件に合致したのか
  • どの制御が適用されたのか

サインイン ログの条件付きアクセスのタブを開いた状態の画像

まとめ

今回の初学者向けシリーズ第 1 弾では条件付きアクセスについて解説しました。特にご注目いただきたい点をまとめると以下のとおりです。

  • アクセス権の付与ではなく、特定の条件を満たした場合に制御が適用される (条件を満たさなかった場合は制御が適用されない) というイメージである
  • 条件付きアクセスでの制御の対象はユーザーの目の前で動いているアプリではなく、クラウド上の “リソース” である
  • ユーザーの目の前で動いているアプリがどのクラウド “リソース” を利用しているかを意識することでポリシーの構成をスムーズに行うことが可能である

参考になる資料

上記内容をご覧いただけましたら、是非以下の資料についてもご覧ください。

ブログ

公開情報

]]> @@ -46,7 +46,7 @@ https://jpazureid.github.io/blog/azure-active-directory/enhance-end-user-experiences-with-custom-otp-email-provider-support/ 2024-12-26T00:00:00.000Z - 2025-01-04T14:47:57.092Z + 2025-01-04T15:03:23.280Z こんにちは、Azure Identity サポート チームの 名取 です。

本記事は、2024 年 12 月 5 日に米国の Microsoft Entra Blog で公開された Enhance end-user experiences with Custom OTP Email Provider Support を意訳したものになります。ご不明点等ございましたらサポート チームまでお問い合わせください。

消費者向けアプリケーションでワン タイム パスコード用にカスタム E メール プロバイダーを設定する

現代のデジタル時代において、シームレスなユーザー体験を提供することは、ブランドの強化、ユーザーの信頼獲得、ビジネスの成長にとって非常に重要です。Microsoft External ID の一般提供 (GA) により、一般消費者向けに高度なセキュリティとコンプライアンスを備えたユーザー体験が構築可能となりました。弊社は管理者と開発者の両方にとってシンプルでシームレスな体験を提供することを目指しており、直近のブログでは、モバイル アプリケーション向けに完全にカスタマイズ可能な ネイティブ認証管理者向けの組み込みセキュリティ コントロール を紹介しました。

この取り組みの次のステップとして、External ID を利用しているアプリで、よりブランドのカスタマイズが行えるよう、新しいカスタム認証拡張機能を追加しました。カスタマイズとブランディングは、エンドユーザーがアプリケーションをスムーズに利用し、そこに企業ブランドのアイデンティティを反映させるという意味で非常に重要な機能です。ここからは、シニア プロダクト マネージャーの Sasha Mars より、Microsoft Entra 管理センターでこの新しい拡張機能の利用方法について紹介してもらいます。

外部向けアプリケーションで利用できる新しいカスタム認証拡張機能

こんにちは皆さん

今日は、新しくリリースされたカスタム認証拡張機能を紹介いたします 。この拡張機能により、サインアップ、サインイン、パスワード忘れの際に発生するワン タイム パスコードの利用において、マイクロソフトやマイクロソフト以外の E メール プロバイダーとの統合が可能になります。ぜひ、本日よりパブリック プレビューをお試しください。

ユーザーにユニークな体験を

今回お話しするカスタマイズ機能は、ユーザー体験をより細かくコントロールしたいというフィードバックに基づいて追加されました。顧客向けアプリを構築する場合、Azure AD B2C プラットフォームでの経験から、企業ブランドごとにカスタマイズされたユーザー体験を提供するということが顧客と企業の間の信頼関係を構築する上で非常に重要であることがわかっています。

この新しいカスタム認証拡張機能を使用すると、Microsoft Entra External ID が既定で提供する E メール サービスの代わりに、Azure Communication Services や他のサード パーティーの E メール プロバイダーなどお好みの E メール プロバイダーを利用でき、カスタマイズしたデザインと操作感を実現可能になります。

カスタム E メール プロバイダーへのゲートウェイとして機能する API を作成する

代わりに Azure Function App を作成することも可能です。この場合、HTTP トリガー関数を作成して、その関数の既定の設定値を更新ください。

EmailOtpSend カスタム認証拡張機能の構成する

EmailOtpSend カスタム認証拡張機能は、Microsoft Entra 管理センターのカスタム認証拡張のブレードで設定できます。そこで新しいカスタム認証拡張機能を登録し、それをアプリケーションに接続し、カスタム E メール プロバイダーをアプリケーションに割り当てます。

ここで、管理者が実際に独自の Email プロバイダーを設定 - BYOE (Bring Your Own Email) - し、API を使用して自動化する流れを見てみましょう。

  • 基本設定 - ここでは EmailOtpSend のイベントの種類を選択できます。

  • エンドポイントの設定 - API エンドポイントを設定します。

  • API の認証 - API エンドポイントへの呼び出しを安全に行うためのフローを構成します。

  • アプリケーション - EmailOtpSend のイベントを割り当てるアプリケーションを指定します。

Microsoft Entra External ID テナントをまずご用意の上、ぜひ EmailOtpSend によるカスタム認証拡張機能をお試しください。

カスタム認証拡張機能の詳細については、こちら をご覧ください。

いつも皆様からのフィードバックをお待ちしております。以下のリンクより新機能に関するご意見をお寄せください。

Sasha Mars
Senior Product Manager, Microsoft Identity and Network Access
LinkedIn: Sasha Mars | LinkedIn

]]> @@ -71,7 +71,7 @@ https://jpazureid.github.io/blog/azure-active-directory/security-copilot-for-microsoft-entra/ 2024-12-25T17:00:00.000Z - 2025-01-04T14:47:57.580Z + 2025-01-04T15:03:23.784Z こんにちは! Azure ID チームの小出です。

今回は、2024 年 11 月 19 日に米国の Microsoft Entra (Azure AD) Blog で Sarah Scott によって公開された Security Copilot is now embedded in Microsoft Entra を抄訳し、サポートチームにて補足したものになります。

Copilot は現在 Teams や Outlook など様々なサービスに組み込まれ、より簡単に利用できるようになっています。たとえば Copilot を PowerPoint で使ってプレゼンテーションを共同作成したり、Excel ファイルの分析を行うなども可能です。ただ、 ID 管理の観点では Copilot はこれまで利用できる機能がなく、「Entra 管理センターでも Copilot の機能を活用したい」と思われていた方もいらっしゃるかと思います。今回、Entra 管理センターにも Copilot の機能が組み込まれ、トラブル シューティングなどに活用できるようになりました!ぜひ下記で利用方法や役立つシナリオをご覧ください!ご不明点などございましたら遠慮なくサポートへお問い合わせください。

Microsoft Entra の Security Copilot を体感しよう — AI 駆動の ID およびアクセス管理のパブリック プレビューが開始されました!

本日、Microsoft Entra 管理センターにおける Microsoft Security Copilot のパブリック プレビューを 発表 しました。この統合により、2024 年 4 月にスタンドアロン版の Security Copilot で一般提供された すべての ID スキル (具体的にはユーザーの詳細、グループの詳細、サインイン ログ、監査ログ) と、管理者やセキュリティ アナリストが直接 Microsoft Entra 管理センターで使用できる新しい ID 関連の機能が提供されるようになりました。また、ID 関連のリスク調査をよりよく行えるようにする新しいスキルも追加しました。12 月には、さらに範囲を広げ、Security Copilot と Microsoft Entra のスタンドアロンのバージョンと管理センターに組み込まれたバージョンの両方に App Risk Management 専用のスキルを追加する予定です。これらの機能により、ID 管理者とセキュリティ アナリストは、Microsoft Entra に登録されたアプリケーションとワークロード ID に影響を与えるリスクをより適切に特定、理解、修復できるようになります。

Security Copilot が Microsoft Entra に組み込まれたことで、ID 管理者は、AI を用いた自然言語によるまとめ (ID にまつわる背景情報や知見をまとめたもの) を得つつセキュリティ インシデントに対応することができ、ID の侵害に対してより一層の備えが可能となります。また、Copilot は管理センターに組み込まれれているため、管理センターから離れることなく、ID 関連のリスクやサインインの問題の解決などのトラブル シューティング作業を迅速に行うことが可能です。

Security Copilot の価値を Microsoft Entra に拡大 - ID およびアクセス管理のための AI

パブリック プレビューでは、最初の Copilot スキルは ID のセキュリティとアクセスのトラブル シューティングに重点を置いており、これにより ID およびアクセス管理タスクの時間短縮と精度向上を目標としています。これは、ID とネットワーク アクセスの様々な課題 (ネットワーク アクセス、先進のアクセス制御、さらにその先を含む) に対応する、より包括的な生成 AI ソリューションをお届けするという弊社の目標に向けたほんの始まりにすぎません。ID とアクセスのシナリオで使用される生成 AI はまだ登場したばかりですが、急速に進化していることも事実であり、製品としての成功はお客様とのよりよいコラボレーションにかかっています。パブリック プレビューにいち早く参加することで、製品の成長に合わせて、主要なシナリオへの対応やスキルの改善にお客様も参画可能です。弊社はお客様と共に、今日のニーズに応えるとともに、今後の課題を先取りするソリューションを構築していきたいと考えています。

プレビューを早期にお使いのお客様から見えてきたその価値は目を見張るものがあります。Security Copilot IT Admin Efficiency Study によると、Entra 管理センターに組み込まれた Security Copilot を使用して、IT 管理者がアクセス失敗のトラブルシューティングを行うと、より短時間かつ正確にその対応を完了でき、さらに今後も業務で Copilot を使用したいと考える人が圧倒的に多いことがわかりました。結果は以下のとおりです:

  • Copilot の利用者はサインインのトラブルシューティングにかかる時間が 46.11% 短縮されました。
  • Copilot を使用すると、サインインのトラブルシューティングに関連する作業の精度が 46.8%向上しました。
  • また最も重要な点として、回答者の 95% が Copilot を使用することで作業の質が向上したと言い、96.7% が今後もこれらの作業で Copilot を使用したいと回答しました。

Microsoft Entra 管理センターでの Copilot の動作例

弊社では ID 管理者の皆様の普段の業務フローにおいて Security Copilot を活用できるということが重要であると考えているため、Microsoft Entra 管理センターで直接 Copilot を利用できるようにしました。ナビゲーション バーにある Copilot ボタンをクリックすることで Security Copilot にアクセスできます。

Copilot が支援できるタスクがどういったものかをまず最初に理解しやすくするため、Copilot のチャットのパネルを初めて開いたときにスターター プロンプトというものを表示するようにしました。これはクリックするだけで実行できるプロンプトです。スターター プロンプトの一覧から選択するか、サインインログのトラブルシューティングや ID 関連のリスクの調査などの質問を Copilot に行うことが可能です。例えば「テナント内のリスク高のユーザーを表示してください」、「[ユーザー名] に MFA が要求されたのはなぜですか」、「[ユーザー名] の直近のサインインに適用された条件付きアクセス ポリシーはどれですか」などの質問が挙げられます。最後に、チャットの会話の流れに基づいて、より内容を深堀していくようなプロンプトも提案されますので、問題をさらに調査することが可能です。以下の画像もご覧ください。

なお、Azure ポータルと Microsoft Entra 管理センターの両方に「Copilot」のボタンがありますが、Azure ポータル上のボタンは Azure 向けの Copilot です。今回のブログで紹介している Entra 向けの Copilot とは異なるため、Entra 向けの Copilot を利用したい場合は、 Microsoft Entra 管理センターから Copilot にアクセスください。

Microsoft Entra に組み込まれた Security Copilot を使用してあらゆるリソースへのあらゆる ID のアクセスを保護する

ID 管理者、セキュリティ アナリスト、ネットワーク セキュリティ管理者はすべて、組織全体のアクセスを保護し、ID を管理するという目標を共有しています。当社は、これらの管理者が抱える職責を果たすにあたり直接的なサポートができるよう Security Copilot のスキル開発を進めており、注力している点としては以下が挙げられます。

  • アクセスの管理および保護
  • ID に関連する問題と運用のトラブルシューティング
  • ID ライフサイクルのワークフローの最適化
  • ID とネットワーク アクセスに関するセキュリティ ポリシーの計画と展開

これらの重点分野を中心に機能と機能を構成することで、Security Copilot と Microsoft Entra をご利用のお客様に対し、AI に基づく知見、自動化、推奨事項を提供し、お客様がより多くのことを実現できるようにしたいと思っています。これは具体的には、業務フローの効率化や、ID とリソースの保護など上記重点項目に関連する特定の業務をより早く、かつ正確に完了させるということです。

パブリック プレビューでは、以下の 2 つの重要なシナリオにおいて ID 管理者とセキュリティ アナリストを支援するスキルを提供いたします:

  • Microsoft Entra の Security Copilot を使用してアクセスのガバナンスとポリシーの適用を管理
  • Microsoft Entra の Security Copilot を使用してアクセス失敗をトラブルシューティング

Microsoft Entra の Security Copilot を使用してアクセスのガバナンスとポリシーの適用を管理

お客様の企業規模が成長し、ID に関連するリスクがより複雑になるにつれ様々な課題が生じますが、この解決を支援するというのが本スキルの目標です。攻撃の量と巧妙さが増すにつれ、アクセス ガバナンスとポリシーの強制を適切に行うことが非常に重要になっています。

4 月の発表 では、高リスクと判定されたユーザーを管理者が迅速に特定し解決するというシナリオについて解説しました。管理者は、Copilot が自動生成したまとめをもとに、ユーザーのリスク状態について分析情報を即座に得るとともに、実施すべき推奨事項も Copilot から得ることでセキュリティ インシデントを解消して問題を解決するということが可能です。

さらに、管理者が自由にプロンプトでの対話を通じてリスクの高いユーザーをより詳細に調査できる新機能を導入しました。これによりリスク レベルの上昇やリスクの高いサインインなどに関してさらなる知見が得られます。リスクのあるアプリケーションや未使用のアプリケーション、特定のアプリケーションに付与されたアクセス許可などの調査については、12 月にスタンドアロンと組み込み版の両方で追加される予定です。

Microsoft Entra の Security Copilot を使用した重大なアクセス障害のトラブルシューティング

ID 管理者は、セキュリティと効率性、ユーザーの生産性のバランスを取りながら、アクセス侵害にも対応するという責務を抱えており、ID に関するリスクが増すにつれ ID 管理者の負荷も増すばかりです。これに対応するため、管理者は Copilot を使用してサインインログのトラブルシューティング作業を自動化し、Microsoft Entra 内のユーザーやグループの詳細、サインインログ、監査ログ、および診断ログに関する実用的な知見をもとに具体的な対応項目を得るということが可能です。これらの機能により、管理者は重要な情報を迅速に収集し、トラブルシューティングをより早く行うことで、運用の効率化を実現できます。

サインインの失敗や条件付きアクセスの競合、ロールとアクセス許可の変更など、アクセスに関する問題が発生した場合、管理者は管理センターで Security Copilot を使用することでその原因を特定できます。Copilotを使用すると、認証方法からアカウントの状態まで、ユーザーの詳細を数秒で収集できるため、ユーザーの資格情報または構成に問題があるかどうかを迅速に判断できます。同様に、グループの詳細を使用して、アクセスに影響する可能性のあるグループのメンバー情報や所有者を簡単に確認できます。

サインイン ログの調査については、Copilot に特定のユーザーの最近のアクティビティや失敗した試みをピンポイントで要約するよう促すことができ、ブロックされたサインインや特定の IP アドレスに関連する潜在的なセキュリティ上の問題など、アクセス失敗の原因を簡単に診断できます。アクセス許可の変更や監査ログで異常が検出された場合などより複雑なシナリオの場合は、Security Copilot に事象の切り分けを依頼するとともに、その異常がどのようなものかの説明も即座に行わせることができます。これには、所有者の変更やアクセス権の追加による特権の昇格など、潜在的な攻撃の特定も含まれ、設定の不備によりセキュリティ リスクが拡大するのを防げます。

最後に、診断ログの機能により、Security Copilot がポリシーの健全性を評価し、構成とログ収集が正しく設定されていることを確認することも可能です。これにより、組織が脆弱な状態とならないよう先んじて構成の不備を特定可能です。

Microsoft Security Copilot の導入方法

Security Copilot は、従量課金の柔軟な価格設定であるため、すぐに使い始めることができ、お客様のニーズと予算に応じて利用を拡大するということも可能です。Security Copilot はすでにどのお客様でも購入が可能であるものの、Microsoft Entra 管理センターでの利用は パブリック プレビュー 中となります。このブログで取り上げたほとんどのシナリオは現在パブリック プレビューで利用可能であり、弊社ではプレビュー期間中もこれらのシナリオをサポートするスキルについて、その品質と範囲を強化していく予定です。改めまして、すでに Microsoft Entra をお使いの皆様がこのプレビューに参加し、Microsoft Entra の Security Copilot がより一層皆様のお役に立てるようぜひフィードバックをお寄せください。

Security Copilot を用いることで、セキュリティおよび IT 部門が AI を活用し、さらにそのスキルセットを強化できるということが実証されています。これは、お客様の組織がビジネス上の目標を達成するために生成 AI を安全に活用できることを示す大きなマイルストーンであります。お客様ならびにパートナー様が目指している、あらゆる場所から、あらゆる ID で、あらゆるリソースに安全にアクセスするというゴールに向け、弊社も皆様と共に歩んでまいる所存です。

Security Copilot の導入方法についてはこちらの資料をご覧ください。また、貴社の営業担当者にもお問い合わせいただき、そのメリットについてご確認ください。

Sarah Scott
Principal Manager, Product Management

]]> @@ -96,7 +96,7 @@ https://jpazureid.github.io/blog/azure-active-directory/defeating-adversary-in-the-middle-phishing-attacks/ 2024-12-25T16:00:00.000Z - 2025-01-04T14:47:57.068Z + 2025-01-04T15:03:23.256Z こんにちは、Azure Identity サポート チームの 五十嵐 です。

本記事は、2024 年 11 月 19 日に米国の Microsoft Entra (Azure AD) Blog で公開された Defeating Adversary-in-the-Middle phishing attacks の抄訳です。ご不明点等ございましたらサポート チームまでお問い合わせください。

増加する Adversary-in-the-Middle フィッシング攻撃のリスクを減らす方法

本日は ID に関連した高度な攻撃への対処に関する連載記事の第 2 回目をお届けします。

多要素認証 (MFA) を採用しているユーザーの割合が 40% を超えた今、傾向として 2 つの状況が浮かび上がってきています。1 つ目は、攻撃者が MFA で保護されていないアカウントの侵害に成功している割合が高くなっていることです。より多くのライオンがより少ない獲物を追いかけているような状況のため、ライオンの餌食となる獲物はより多くのリスクに直面しています。過去 1 年間で、当社は毎秒 7,000 件のパスワード攻撃をブロックしており、これは前年比で 75% 増加しました。2 つ目は、MFA の普及により、攻撃者は MFA で保護されたアカウントを侵害する別の方法を見つけることを余儀なくされていることです。このため、トークン窃取 (前回のブログ のテーマ) や Adversary-in-the-Middle (AiTM) フィッシング攻撃 (今回のブログのテーマ) のような高度な攻撃が増加しており、このブログ シリーズではここに焦点を当てていきます。

ほとんどの攻撃には依然としてパスワードが関係しているため、何よりもまず、パスワード関連の攻撃の 99% 以上を阻止できる MFA をオンにしましょう。MFA を計画的に展開し強制していくことは、あらゆる ID セキュリティの計画において最も重要な部分です。

最初のブログ「トークン窃取によるサイバー攻撃の防止策」では、トークン窃取を伴う攻撃に対する 8 つの実践的な対策を紹介しました。トークン窃取とは異なり、AiTM フィッシング攻撃は、すでにユーザーに発行された有効なトークンを盗むわけではありません。それどころか、ユーザーを騙して正規の Web サイトにそっくりなページに誘導することで、ユーザーに認証情報を入力させ、MFA を実行するなど攻撃者に代わって認証を行わせます。これにより攻撃者は被害者の情報を使って本物の Web サイトにサインインすることで、攻撃者のデバイスに直接トークンが発行されるというものです。

このブログでは、AiTM フィッシング攻撃がどのように行われるのか、また AiTM フィッシング攻撃からユーザーを守るために何ができるのかについて説明していきます。

古典的なフィッシング攻撃の手口

図 1: 基本的なトークンの流れ

上のアニメーション GIF は、このシリーズの 最初のブログ から転載したもので、ユーザー エージェント (デバイスまたはアプリケーション)、ID プロバイダー (IdP)、およびリライング パーティー間の通常のトークンの流れを示しています。ユーザー エージェントがアクセスを要求すると、IdP は ID を証明するよう要求します。ユーザー エージェントが認証情報を提供すると、IdP はトークンを返し、ユーザー エージェントはトークンをリライング パーティーに提示してリソースにアクセスできるようになります。ユーザー エージェントは、例えるなら遊園地で乗り物に乗るためのチケットを購入する来場者といえますし、IdP は遊園地の乗り物のチケットを販売するチケット売り場、リライング パーティーは来場者からチケットを確認して受け取り、乗り物に乗れるようにする係員のようなものです。

MFA が導入される以前は、下の図が示すように、フィッシング攻撃は容易に実行が可能でした。攻撃者 (右側) は、被害者 (左側) に対し、悪意のある偽のリンクを含んだそれっぽい欺瞞の電子メールまたはインスタント メッセージを送信します。例えば、「アカウントの確認を行う必要がある」もしくは「アクセス権を失わないよう緊急で対応する必要がある」などのように被害者に今すぐ行動をとるよう急かすような内容です。被害者となるユーザーがリンクをクリックすると、ユーザー名とパスワードの入力を求める偽サイトが表示されます。ユーザーがこれに応じると、偽サイトは認証情報を盗み取って、エラー メッセージや悪意のあるページを表示します。

図 2: MFA 導入前のフィッシング攻撃

このようなフィッシング攻撃では、攻撃者は正規のサイトやその IdP とやりとりする必要がないことに着目ください。パスワードを盗んだら、そのあとに攻撃者は正規のサイトにアクセスし、盗んだパスワードを使用していつでも好きなときに不正なサインインを行うことが可能です。

そこで MFA の登場です。

MFA 登場後のフィッシング

従来の MFA の流れは、IdP がテキスト、電話、または認証アプリへのプッシュ通知を通じて直接ユーザーのデバイスまたはアプリケーションに通知した認証コードを、ユーザーが数分以内に入力する必要があるというものです。言い換えれば、MFA の通知は、フィッシング サイト経由でユーザーの認証情報を盗もうとする攻撃者を迂回して行われます。ユーザーがサインイン画面を操作していなくても MFA が試行される可能性はあるため、ユーザーがゴルフに出かけているにもかかわらず、要求した覚えのない MFA 通知 (テキストや電話) を受け取るという場合があり得ます。この場合、盗んだパスワードで「いつでも好きな時に」不正なサインインをするという従来の攻撃を試みる攻撃者は困ったことになります。ユーザーの応答がない場合、攻撃が失敗するからです。

MFA を迂回するためには、攻撃者は攻撃の流れを変える必要があります。MFA の一連の流れの間、被害者となるユーザーを継続的にその流れに巻き込み続けなければなりません。そのためには、被害者と IdP で行われる認証のやり取りのその中間に攻撃者が挟まるようにし、流れの一方では被害者と攻撃者が、もう一方では攻撃者と IdP が直接やり取りするようにします。このようにして、攻撃者は被害者を操り、ユーザー名、パスワード、および検証コードを提供させるのです。そうすれば認証の一連の流れが成立しますので、攻撃者は被害者のアカウントにアクセスできるようになります。

この双方向のやりとりの間、攻撃者は被害者に対してはサインイン画面になりすまし、IdP に対しては被害者になりすますということを行います。攻撃者は正規の IdP の UI をスクレイピングして被害者に提示し、被害者が IdP へ資格情報を提示したら攻撃者はそれをキャプチャして、正規の IdP に提示します。

フィッシング サイトに誘導された被害者は、偽のサインイン画面とやり取りします。攻撃者はそのやり取りをキャプチャし、正規の IdP に伝えます。正規の IdP が MFA チャレンジを発行すると、被害者は偽サイトに表示された偽の MFA 通知とやり取りしてそれに応答します。攻撃者は被害者の応答をキャプチャし、正規の IdP にそれを横流しして認証の一連の流れを完成させます。IdP は攻撃者に対して有効なトークンを発行し、攻撃者は被害者のアカウントへの侵入に成功します。

図 3: MFA 登場後のフィッシング攻撃

前回のブログでは、トークンの窃取を遊園地のチケット売り場でチケットを購入した後にスリに遭うことに例えました。AiTM フィッシングは、騙されて間違ったチケット売り場に行かされるようなものと言えるでしょう。

入場料が 10% 割引になるというチラシに惹かれたあなた (ユーザー エージェント) は、正規にみえるチケット売り場に行き、シーズン パス (トークン) の購入を依頼します。偽の係員 (攻撃者) はあなたの ID とクレジット カードを要求します。あなたがそれらを渡すと、係員はそれらを共犯者に渡し、共犯者は正規のチケット売り場 (IdP) に走り、あなたの ID とクレジット カードを使ってパスを購入しようとします。

クレジット カードでの取引を承認するにあたり、カード会社があなたに SMS で PIN コードを送ります。正規のチケット売り場はそれをカード会社に提示することが求められます。チケット売り場がコードを要求すると、共犯者が偽のチケット売り場に戻ってあなたから PIN コードを受け取り、正規の売り場に戻ってその PIN で購入を完了し、シーズン パスをポケットに入れます。このように走り回るような例だとかなり面倒に思うかもしれませんが、デジタルなやりとりではすべてが即座に行われますので、正規のユーザーがこれを見破るのはかなりの困難を伴うということを覚えておいてください。

共犯者があなたの ID とクレジット カードを持って戻ってくると、偽の係員はそれをあなたに返し、クレジット カードでの取引ができなかったと言うのです。残念ですが、あなたが支払ったシーズン パスをあなた以外のだれかが乗り物の係員 (リライング パーティー) に提示し、その人が乗り物を楽しむということになります。

適切なポリシーを構成して MFA を実施することで、攻撃者が認証情報を盗んだとしても、好きなときに何度も認証を完了するということはほぼ不可能になりますが、攻撃者はこの AiTM フィッシングの手法を使ってトークンを取得し、少なくともそのトークンの有効期限が切れるまでは何らかの危害を加えることができます。

MFA をバイパスする攻撃の詳細については、ブログ ポスト「君達の資格情報は全ていただいた!」を参照ください。

続いて、Microsoft がこれらの攻撃にどのように対応しているのか見ていきましょう。まず、最も確実な対策であるパスキーから始め、その他の多層防御のオプションについて説明します。

パスキーは AiTM フィッシング攻撃に対する最善のソリューション

トークン保護の機能がトークン窃取攻撃を防ぐ決定的な方法であるのと同様に、新しい種類の資格情報を用いることでユーザーが AiTM フィッシング攻撃の餌食になることをほぼ防ぐことが可能です。フィッシングに耐性のある資格情報は、機密情報を公開しない暗号的な手法を使用しているため、攻撃者が認証プロセスを傍受したり複製したりすることができず、より安全です。Microsoft Entra ID がサポートする認証方法 のうち、パスキー、証明書ベース認証 (CBA)、および Windows Hello for Business はフィッシング耐性があります。最も強い保護を提供することで、米国のサイバーセキュリティ向上に関する大統領令 などの規制要件を満たしています。

最新の業界標準であるパスキーはすでに採用が広がっています。高いセキュリティ保証を提供するため、パスキーは 公開鍵暗号方式 を使用し、ユーザーとの直接のやり取りを必要とします。以下のような 3 つの重要な特性により、パスキーのフィッシングはほぼ不可能と言えます:

  • URL 固有: ユーザー エージェントがパスキーを作成するとき、プロビジョニングのプロセスにおいてリライング パーティーの URL を記録し、パスキーは同じ URL のサイトに対してのみ機能します。このため偽の模倣サイトでは機能しません。
  • デバイス固有: ユーザーがアクセスを要求しているデバイスにパスキーが同期、保存、または接続されている場合に限り、リライング パーティーにアクセスが許可されます。
  • ユーザー固有: 認証を完了するために、ユーザーは通常は、顔、指紋、またはデバイス固有の PIN を使用してデバイス上で何らかの身体的操作を行うことによって、ユーザーが物理的に存在することを証明する必要があります。

パスキーは、目に見えないインクで書かれた特別な ID カードのようなもので、意図された場所で、本人が提示した場合にのみ明らかにすることができます。この場合、この特別な ID カードは、遊園地の正規のチケット売り場で、生体認証または PIN を使ってロックを解除したときにのみ機能します。

Microsoft Entra ID のフィッシングに強い認証方法については、ビデオ シリーズ をご覧ください。

Adversary-in-the-Middle 攻撃に対する多層防御策

AiTM 攻撃は、フィッシングに耐性のある認証情報でサインインするユーザーに対しては効果がありませんが、フィッシングに耐性のある認証情報をすべてのユーザーに展開するには時間がかかります。OATH トークンや単純な承認による MFA を使用している場合でも、攻撃者が AiTM 攻撃を実行するのをはるかに困難にする追加の安全策を設定することが可能です。

パスワードレス化

MFA およびパスワードレス認証に Microsoft Authenticator アプリをご使用ください。Authenticator アプリは、MFA の要求が正当なものか、潜在的なセキュリティ脅威であるかをユーザーが判断できるように、追加の情報を提供します。

  • アプリケーション名: 認証を要求しているアプリケーションの名前を表示することで、その MFA 要求がユーザーのアクセス先リソースからのものであるかどうかを認識できます。
  • 地理的な場所: IP アドレスに基づいてサインインを試行した場所を表示することで、予期しない場所や疑わしい場所からのサインインを識別しやすくなります。
  • 番号の一致: Authenticator アプリに入力する必要がある番号をサインイン画面に表示することで、ユーザーが物理的に存在し、サインインの試行を意識して行っていることを確認します。

図 4: Microsoft Authenticator の追加のコンテキスト

「No, it’s not me」の選択肢を押したユーザーは、Entra ID Protection にリスク シグナルとして情報が送信され、リスク ポリシーによりユーザーに即座に何らかの対応を求めることが可能です。さらに、当社の ID セキュリティ アルゴリズムが、異常な IP アドレスや既知の悪質な IP アドレスからのサインイン試行を検出した場合は、MFA 通知も抑制されます。

Microsoft Authenticator を使用したパスワードレス認証の設定方法については、ドキュメント を参照ください。

攻撃者の活動を制限するアクセス ポリシーの設定

AiTM 攻撃はユーザーを騙して悪質な Web サイトに誘導することが必要なため、ユーザーがそういったサイトに誘導されないようにできるだけ多くのバリケードを設ける必要があります。例えば、ポリシーによる制限を設けることで、攻撃者は活動が制限され、攻撃者の移動範囲を大幅に制限するとともに攻撃者の活動を特定してブロックすることも容易になります。

マネージドおよび準拠済みデバイスを要求する

Microsoft Entra ID のポリシーで、マネージドおよび準拠済みデバイスを使用しているユーザーにのみトークンを発行するという構成にしていた場合はどうなるでしょう。攻撃者がユーザーに代わってトークンを要求するには、まずユーザーが使用するマネージドおよび準拠済みデバイス上にフィッシング サイトを構成し、デバイスの電源は常にオンにした状態でエンドポイント保護も回避する必要があります。さらには発行されたトークンをポリシーで指定された更新期間内に使用しながら、トークンの自動失効につながるリスクのしきい値はトリガーしないようにするということも必要です。これらのハードルはかなり高いと言えるでしょう。

攻撃者が AiTM フィッシング攻撃を仕掛けるにあたり使用するマルウェアへの感染を防ぐには、ポリシーを構成してすべてのデバイスを準拠済みとすること、最新のエンドポイント保護を実行していること、そしてすべての Windows ユーザーがデバイスの管理者権限ではなく標準ユーザーとして実行されていることを強制ください。

管理対象デバイスを要求するポリシーの構成方法については、ドキュメント を参照ください。

ネットワーク境界内で使用されるセッションを制限する

条件付きアクセスを使用して、IP アドレス範囲を使用して準拠済みネットワークの境界を定義できます。ネットワーク境界を確立すると、ネットワーク境界外のデバイスへのトークンの発行や再発行ができなくなるため、攻撃者はその境界内で活動することを余儀なくされます。そのため、攻撃者は管理された準拠デバイス上でユーザー応答を不正利用する必要があるだけでなく、そのデバイスもネットワーク境界内で動作している必要があります。

Entra Internet Access と Entra Private access では、エンドポイントにエージェントをインストールし、アクセスを要求するユーザーが信頼できるネットワークから来たかどうかを確認するリアルタイムの準拠ネットワーク チェックが実施されます。もしネットワーク境界内にいなければ、条件付きアクセスは即座にリクエストを拒否します。

条件付きアクセスを使用して準拠ネットワークの境界を定義するための詳細な手順は、こちらの ドキュメント を参照ください。

また、条件付きアクセスを使用して準拠ネットワークのチェックを有効にするための詳細な手順は、こちらの ドキュメント を参照ください。

ユーザーがアクセスできる URL を制限する

ユーザーがフィッシング リンクをクリックすると、Windows と Microsoft Edge に統合されたセキュリティ機能である Microsoft Defender SmartScreen が、ユーザーおよび業界から報告されているフィッシング サイトやマルウェア サイトの動的リストとその URL を照合します。一致するサイトが見つかった場合、そのサイトが安全でないと報告されていることをユーザーに警告し、そのサイトに進むには追加の手順を踏む必要が生じます。SmartScreen はまた、ダウンロードされたファイルやアプリケーションをスキャンし、悪意のあるファイルや望ましくない可能性のあるファイルをブロックします。

Microsoft Defender for Endpoint のネットワーク保護は、SmartScreen の適用範囲を拡大し、信頼性の低い Web サイトに接続しようとするすべての外向きの HTTP(S) トラフィックを OS レベルでブロックします。ネットワーク保護を有効にするには、Intune、PowerShell、グループ ポリシー、または Microsoft Configuration Manager を使用いただけます。また、Microsoft Defender for Office 365 ポータルのテナント許可/ブロック リストを構成して、ユーザーがアクセスできるサイトを制限することもできます。

Microsoft Defender を使用して URL をブロックする方法については、こちらの ドキュメント を参照ください。

また、Microsoft Defender for Endpoint のネットワーク保護を有効にする方法については、こちらの ドキュメント を参照ください。

フィッシング攻撃を示す異常を検出し対応するよう備える

万が一、上記すべての対策が失敗した場合も、異常検知の機能で攻撃のブロックと修復が可能です。

Microsoft Entra ID Protection と Microsoft Defender を使用して異常なセッションを監視

ユーザーがセッションを開始したり、アプリケーションにアクセスしようとすると、Microsoft Entra ID Protection はユーザーとセッションのリスク要因に通常と異なる (異常な) 要素がないかを調べます。以下は、リスク レベルを高める異常の例です:

  • 通常とは異なる Web サイトからのトークン要求
  • 攻撃者がフィッシングで入手したトークンでサインイン (次のような 検出 がトリガーされます):
    • 異常なトークン
    • 異常なユーザー アクティビティ
    • Attacker in the Middle
    • 見慣れないサインイン プロパティ
    • ユーザーからの疑わしいアクティビティ (自分が開始していない MFA リクエストなど) の報告

条件付きアクセスポリシーを構成すると、リスクに基づく対応が可能です。ユーザーまたはセッションのリスクレベルが上昇したときに、自動的に実行される修復ステップを定義できます。

リスク検出の詳細については、こちらの ドキュメント を参照ください。

リスク ベースの条件付きアクセス ポリシーを作成する

例えば、リスクが高まった場合に MFA による 再認証を要求する ような条件付きアクセス ポリシーを構成することができます。この場合、正当なユーザーはその場にいないことが多く、攻撃者とやり取りして再認証の手助けをしてしまうということが起きないので、AiTM フィッシング攻撃を阻止できます。条件付きアクセスは通常、トークンの更新時にリスク レベルをチェックするため、攻撃者がなんとか正規のトークンを手に入れたとしても、攻撃を受けるのはそのトークンの有効期間内に限られます。

継続的アクセス評価 (CAE) は、Teams、Exchange Online、SharePoint Online などのアプリケーションやサービスでネイティブにサポートされており、これらのアプリケーション用のアクセス トークンをリアルタイムで無効にできます。この発動条件には、ユーザーのネットワークの場所の変更も含まれます。

リスク ベースの条件付きアクセス ポリシーを作成する詳細な手順については、こちらの ドキュメント を参照ください。

CAE を使用した厳密なロケーション ポリシーを適用する詳細な手順については、こちらの ドキュメント も参照ください。

Microsoft Defender XDR を使用して、AiTM フィッシング攻撃を調査および軽減する

攻撃者が資格情報とセッション Cookie の傍受に成功した場合、攻撃者はそれらを使用してビジネス E メール詐欺 (BEC) や認証情報の収集などの他の攻撃を開始することが一般的です。AiTM フィッシング攻撃を示す複数の Microsoft 365 Defender シグナルが検知されると、Defender XDR は侵害されたユーザー アカウントを自動的に Entra およびオンプレミスの Active Directory で無効にし、セッション Cookie も無効化します。また、セッション トラフィックを監視し、攻撃者が機密データをネットワーク外に持ち出すことを防ぐようポリシーを適用します。

Defender XDR を使用して AiTM フィッシング攻撃を阻止する詳細な手順については、ブログ記事 Automatically disrupt adversary-in-the-middle (AiTM) attacks with XDR をご覧ください。

Microsoft Sentinel などのセキュリティ情報およびイベント管理 (SIEM) ツールを使用して潜在的な AiTM フィッシング攻撃の可能性を調査する

AiTM フィッシング攻撃の可能性を示すイベントのアラートを受信した場合、Microsoft Sentinel ポータルまたは他の SIEM で調査することが可能です。Microsoft Sentinel は特定のインシデントについて、その重大度、発生時期、関与したエンティティの数、トリガーとなったイベントなどの重要な詳細を提供します。その後、調査マップを表示して、潜在的なセキュリティ脅威の範囲と根本原因を確認できます。

Sentinel を使用してインシデントを検出および調査するための詳細な手順については、ブログ記事 Identifying Adversary-in-the-Middle (AiTM) Phishing Attacks through 3rd-Party Network Detection を参照ください。

可能な限りパスキーを使用してパスワードレス化攻撃者の活動を制限するアクセス ポリシーの設定フィッシング攻撃を示す異常を検出し対応に備える
MFA およびパスワードレス認証には、Microsoft Authenticator アプリを使用します管理済みおよび準拠済みデバイスを要求するMicrosoft Entra ID Protection と Microsoft Defender を使用して、異常なセッションを監視する
ネットワーク境界内で使用するセッションを制限するリスク ベースの条件付きアクセス ポリシーを作成する
ユーザーがアクセスできる URL を制限するMicrosoft Defender XDR を使用して、AiTM フィッシング攻撃を調査し、軽減する
Microsoft Sentinel などの SIEM を使用して潜在的な AiTM フィッシング攻撃の可能性を調査する

当社の検出データによると、AiTM フィッシング攻撃は過去 1 年間で 146 % 増加しています。パスキーはこれらの攻撃に対して最も効果的なソリューションであるため、今すぐパスキーの導入を計画し、実行に移すことを強くお勧めします。それまでの間に、このブログで紹介しているその他の多層防御の推奨事項を取り入れ、ユーザーを可能な限り安全に保つこともご検討ください。

安全にお過ごしください!
Alex Weinert

]]> @@ -121,7 +121,7 @@ https://jpazureid.github.io/blog/azure-active-directory/change-device-owner/ 2024-12-20T00:00:00.000Z - 2025-01-04T14:47:56.968Z + 2025-01-04T15:03:23.152Z こんにちは、Azure & Identity サポート チームの長谷川です。
本記事では Microsoft Entra ID 上に登録されたデバイス オブジェクトの所有者を変更する方法を紹介します。

この方法では、Microsoft Entra 参加済みデバイスおよび Microsoft Entra ハイブリッド参加済みデバイスのデバイス オブジェクトの所有者を変更することができます。
なお、Microsoft Entra registered デバイスの所有者は変更できませんのでご注意ください。

対象デバイスが Microsoft Intune に登録されているか否かで手順が変わりますので、それぞれ紹介します。

Microsoft Intune に登録している場合の手順

Microsoft Intune に登録している場合、以下の手順で Microsoft Intune デバイスのプライマリ ユーザーを変更することで Microsoft Entra ID 上に登録されたデバイス オブジェクトの所有者を変更することができます。

  1. Microsoft Intune 管理センター (intune.microsoft.com) に Intune 管理者でサインインします。

  2. [デバイス] - [すべてのデバイス] へ移動します。

  3. 対象のデバイスを選択します。

  4. [管理] から [プロパティ] を押下します。

  5. [プライマリ ユーザーの変更] を押下して、新たにそのデバイスの所有者にする Entra ユーザーに変更します。

  6. [保存] を押下します。

Microsoft Intune に登録していない場合の手順

Microsoft Intune に登録していない場合、GUI から簡単に Microsoft Entra ID 上に登録されたデバイス オブジェクトの所有者を変更する方法はありません。
この場合、Microsoft Graph PowerShell を利用した次の手順で変更することができます。

  1. PowerShell を管理者権限で起動します。

  2. 以下のコマンドを実行し、Microsoft Graph PowerShell モジュールを作業端末にインストールします。

    Install-Module Microsoft.Graph -Force

  3. 以下のコマンドを実行し、表示されるユーザー認証画面で、テナントのグローバル管理者のユーザーで認証を行います。([要求されているアクセス許可] という画面が表示された場合は、[承諾] を押下します)
    ※もしグローバル管理者を利用しない場合は、実行するユーザーに二つのロール (クラウド アプリケーション管理者と Intune 管理者) が付与されていれば実行可能です。

    Connect-MgGraph -Scopes "Directory.AccessAsUser.All"

  4. 以下のコマンドを順番に実行して、対象のデバイス オブジェクトから所有者情報を変更します。

    $userId="新たに所有者にしたいユーザーの ObjectId を指定"
    $deviceObjectId="対象のデバイスの ObjectId を指定"
    $params = @{
    "@odata.id" = "https://graph.microsoft.com/v1.0/directoryObjects/" + $userId
    }
    Get-MgDeviceRegisteredOwner -DeviceId $deviceObjectId | %{Remove-MgDeviceRegisteredOwnerByRef -DeviceId $deviceObjectId -DirectoryObjectId $_.Id}
    New-MgDeviceRegisteredOwnerByRef -DeviceId $deviceObjectId -BodyParameter $params

    ※実行時の参考画像

  5. 作業が終わりましたら以下のコマンドで PowerShell セッションを切断します。

    Disconnect-MgGraph

免責事項

本サンプル コードは、あくまでも説明のためのサンプルとして提供されるものであり、製品の実運用環境で使用されることを前提に提供されるものではありません。
本サンプル コードおよびそれに関連するあらゆる情報は、「現状のまま」で提供されるものであり、商品性や特定の目的への適合性に関する黙示の保証も含め、明示・黙示を問わずいかなる保証も付されるものではありません。
マイクロソフトは、お客様に対し、本サンプル コードを使用および改変するための非排他的かつ無償の権利ならびに本サンプル コードをオブジェクト コードの形式で複製および頒布するための非排他的かつ無償の権利を許諾します。
但し、お客様は以下の 3 点に同意するものとします。
(1) 本サンプル コードが組み込まれたお客様のソフトウェア製品のマーケティングのためにマイクロソフトの会社名、ロゴまたは商標を用いないこと
(2) 本サンプル コードが組み込まれたお客様のソフトウェア製品に有効な著作権表示をすること
(3) 本サンプル コードの使用または頒布から生じるあらゆる損害(弁護士費用を含む)に関する請求または訴訟について、マイクロソフトおよびマイクロソフトの取引業者に対し補償し、損害を与えないこと

おわりに

本記事では Microsoft Entra ID 上に登録されたデバイス オブジェクトの所有者を変更する方法を紹介しました。製品動作に関する正式な見解や回答については、お客様環境などを十分に把握したうえでサポート部門より提供しますので、ぜひ弊社サポート サービスをご利用ください。

]]> @@ -146,7 +146,7 @@ https://jpazureid.github.io/blog/azure-active-directory/get-bitlocker-key/ 2024-12-19T00:00:00.000Z - 2025-01-04T14:47:57.136Z + 2025-01-04T15:03:23.324Z こんにちは、Azure & Identity サポート チームの長谷川です。
Microsoft Entra ID に登録されている BitLocker 回復キーを一括取得する方法のサンプルを紹介します。

BitLocker 回復キーは従来、オンプレミスの AD サーバー上やファイル サーバー上、もしくは紙に印刷して保存されておりました。
Microsoft Entra ID にデバイス登録もしくは参加した Windows デバイスにおいては、従来の方法に加え、Microsoft Entra ID 上のデバイス オブジェクトに紐づける形でクラウド上に BitLocker 回復キーを保存するオプションが用意されております。
本ブログでご案内する方法は、この Microsoft Entra ID 上のデバイス オブジェクトに紐づける形でクラウド上に保存された BitLocker 回復キーをテナント単位で一括取得するというものになります。

現状、Microsoft Entra ID に登録されている BitLocker 回復キーは GUI から一括で取得することができません。そこで Microsoft Graph PowerShell モジュールのコマンドを使用して Microsoft Entra ID に登録されているデバイス一覧および BitLocker 回復キーを含む場合は回復キーも含めて CSV に出力する方法のサンプルを紹介します。

出力方法サンプル

  1. PowerShell を管理者権限で起動します。

  2. 以下のコマンドを実行し、Microsoft Graph PowerShell モジュールをインストールします。(既にモジュールがインストールされている場合はスキップしてください)

    Install-Module Microsoft.Graph -Force

  3. 以下のコマンドを実行し、グローバル管理者でサインインします。([要求されているアクセス許可] という画面が表示された場合は、[承諾] を押下します)
    ※もしグローバル管理者を利用しない場合は、実行するユーザーに二つのロール (クラウド アプリケーション管理者とクラウド デバイス管理者) が付与されていれば実行可能です。

    Connect-MgGraph -Scopes "Device.Read.All,BitlockerKey.Read.All"

  4. 以下のコマンドを順に実行して、Bitlocker 回復キーも含むデバイス オブジェクト一覧を CSV としてデスクトップに出力します。(KeyId、KeyCreatedDateTime、Key が出力されていないデバイスは BitLocker 回復キーが Microsoft Entra ID に保存されていないデバイスです。)

    $outfile = "$env:USERPROFILE\Desktop\DevicelistIncludingKey.csv"
    $keyList = Get-MgInformationProtectionBitlockerRecoveryKey -All
    $BilockerRecoveryKeys = $keyList | %{Get-MgInformationProtectionBitlockerRecoveryKey -BitlockerRecoveryKeyId $_.Id -Property "key"}
    $aadDevices = Get-MgDevice -All -Filter "OperatingSystem eq 'Windows'"
    $data = @()
    foreach ($BilockerRecoveryKey in $BilockerRecoveryKeys) {
        $aadDevice = $aadDevices | ?{$_.DeviceId -eq $BilockerRecoveryKey.DeviceId} 
        $data += $aadDevice | Select AccountEnabled,Id,DeviceId,DisplayName,TrustType,OperatingSystem,OperatingSystemVersion,@{Name="KeyId"; Expression={$BilockerRecoveryKey.Id}},@{Name="KeyCreatedDateTime"; Expression={$BilockerRecoveryKey.CreatedDateTime}},@{Name="Key"; Expression={$BilockerRecoveryKey.Key}}
    }
    foreach ($aadDevice in $aadDevices) {
        if ($aadDevice.DeviceId -notin $keyList.DeviceId) {
            $data += $aadDevice | Select AccountEnabled,Id,DeviceId,DisplayName,TrustType,OperatingSystem,OperatingSystemVersion
        }
    }
    $data | Export-Csv $outfile -encoding "utf8" -NoTypeInformation

  5. 作業完了後、以下のコマンドでセッションを切断し作業を終了します。

    Disconnect-MgGraph

出力された CSV のサンプル

下図の赤枠が BitLocker 関連情報で、”Key” の項目が BitLoker 回復キーです。

免責事項

本サンプル コードは、あくまでも説明のためのサンプルとして提供されるものであり、製品の実運用環境で使用されることを前提に提供されるものではありません。
本サンプル コードおよびそれに関連するあらゆる情報は、「現状のまま」で提供されるものであり、商品性や特定の目的への適合性に関する黙示の保証も含め、明示・黙示を問わずいかなる保証も付されるものではありません。
マイクロソフトは、お客様に対し、本サンプル コードを使用および改変するための非排他的かつ無償の権利ならびに本サンプル コードをオブジェクト コードの形式で複製および頒布するための非排他的かつ無償の権利を許諾します。
但し、お客様は以下の 3 点に同意するものとします。
(1) 本サンプル コードが組み込まれたお客様のソフトウェア製品のマーケティングのためにマイクロソフトの会社名、ロゴまたは商標を用いないこと
(2) 本サンプル コードが組み込まれたお客様のソフトウェア製品に有効な著作権表示をすること
(3) 本サンプル コードの使用または頒布から生じるあらゆる損害(弁護士費用を含む)に関する請求または訴訟について、マイクロソフトおよびマイクロソフトの取引業者に対し補償し、損害を与えないこと

おわりに

本記事では Microsoft Entra ID 上に保存された BitLocker 回復キーの一括取得方法を紹介しました。製品動作に関する正式な見解や回答については、お客様環境などを十分に把握したうえでサポート部門より提供しますので、ぜひ弊社サポート サービスをご利用ください。

]]> @@ -173,7 +173,7 @@ https://jpazureid.github.io/blog/azure-active-directory/action-required-azure-ad-graph-api-retirement/ 2024-12-17T00:00:00.000Z - 2025-01-04T14:47:56.820Z + 2025-01-04T15:03:23.000Z こんにちは、Azure Identity サポート チームの 五十嵐 です。

本記事は、2024 年 12 月 5 日に米国の Microsoft Entra (Azure AD) Blog で公開された Action required: Azure AD Graph API retirement の抄訳です。ご不明点等ございましたらサポート チームまでお問い合わせください。

影響を延期する措置を講じない限り、2025 年 2 月 1 日以降にアプリケーションからの Azure AD Graph API への呼び出しが失敗します。ここでは、2025 年 6 月 30 日までアクセスを延長するための措置を紹介します。

Azure AD Graph API サービスの廃止 は 2024 年 9 月に開始され、新規および既存のアプリケーションの両方に影響を与えます。現在、Azure AD Graph の廃止の第 1 フェーズを完了しており、新規のアプリケーションは、利用を延長するよう構成されていない限り、Azure AD Graph API を使用することはできません。Microsoft Graph は、Azure AD Graph API に代わるものであり、Azure AD Graph API を利用している場合は直ちに Microsoft Graph に移行し、Azure AD Graph API を使用する今後の開発を行わないようにすることを強く推奨します。

今回の廃止については繰り返しお伝えしてきましたが、再確認として、主要なマイルストーンを以下の通り再掲します:

フェーズ開始日既存のアプリへの影響新規のアプリへの影響
2024 年 9 月 1 日なしすべての新しいアプリでは Microsoft Graph を使用する必要があります。
blockAzureAdGraphAccess を false に設定して 2025 年 6 月 30 日まで Azure AD Graph へのアクセスを延長して許可するようにアプリが構成 されていない限り、新しいアプリが Azure AD Graph API を使おうとするとブロックされます。
2025 年 2 月 1 日アプリケーションは、blockAzureAdGraphAccess を false に設定して Azure AD Graph アクセスへのアクセスを延長して許可するように構成 されていない限り、Azure AD Graph API にリクエストを行うことができません。
この影響に備えるには、本記事の手順に沿って対応を実施ください。		同上
2025 年 7 月 1 日Azure AD Graph が完全に廃止されます。Azure AD Graph API へのリクエストは機能しません。同上

必要なアクション

影響を受けないようにするには、テナントが Azure AD Graph の廃止に対応できるよう、今すぐ 対策を講じる ことが重要です。以下の 2 つのステップ に従って、Azure AD Graph API を使用しているテナント内のアプリケーションを特定し、対策を実施ください。

ステップ 1: テナントで Azure AD Graph API を使用しているアプリを特定する

Azure AD Graph の廃止に備える最初のステップは、Azure AD Graph API を使用しているアプリケーションを特定することです。弊社では、お客様のテナントで Azure AD Graph API をアクティブに使用しているアプリケーションとサービス プリンシパルを特定できる Microsoft Entra の推奨事項 の機能を 2 つ提供しています。これらの推奨事項は次のとおりです:

  • 廃止中の Azure AD Graph API から Microsoft Graph にアプリケーションを移行する: お客様のテナント内で作成され、現在 Azure AD Graph API にアクセスしているアプリケーションの詳細を示します。
  • 廃止中の Azure AD Graph API から Microsoft Graph にサービス プリンシパルを移行する: お客様のテナントで使用され、なおかつ現在 Azure AD Graph API にアクセスしているマルチテナント アプリケーション (ソフトウェア ベンダーが提供) の詳細を示します。

これらの推奨事項に示されている情報は、お客様のテナントにおける Azure AD Graph API の実際の使用状況に基づいており、Azure AD Graph の廃止に際し注意が必要なアプリを見つけるのに最適なリソースです。推奨事項にはアプリケーションが一覧表示され、アプリケーションが実行している操作に関する情報が提供されます。これにより、移行の必要がある Azure AD Graph API の使用状況を明確にすることができます。

これらの推奨事項にアクセスするには、Microsoft Entra 管理センターで、[ID] > [概要] > [推奨設定] を参照ください。

図 1: Azure AD Graph の廃止に関する Microsoft Entra の推奨事項
図 2: Azure AD Graph の廃止に関する Microsoft Entra の推奨事項の詳細ビュー

リソース

補足情報: 影響を受けるアプリケーションをスクリプトを使用して確認する

Microsoft Entra の推奨事項から情報をエクスポートしたり、定期的なレポートを自動化したりする場合は、Microsoft Entra Recommendations API または Microsoft Graph PowerShell を使用いただけます。

PowerShell の例:

Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
Import-Module Microsoft.Graph.Beta.Applications
Connect-MgGraph -Scopes "Application.Read.All", "User.Read.All", "DirectoryRecommendations.Read.All"
$appsRecommendationType = "aadGraphDeprecationApplication"
$spRecommendationType  = "aadGraphDeprecationServicePrincipal"
function getImpactedResources($recommendationType){
    $recommendation = Get-MgBetaDirectoryRecommendation -Filter "recommendationType eq `'$recommendationType`'"
    $resources =""
    if($recommendation){
        $resources = Get-MgBetaDirectoryRecommendationImpactedResource -RecommendationId $recommendation.id -Filter "Status eq 'active'" | select DisplayName, Id, Status
    }
    $resources | ft
}
Write-Output "Applications to migrate from Azure AD Graph to Microsoft Graph"
getImpactedResources $appsRecommendationType
Write-Output "Service Principals to migrate from Azure AD Graph to Microsoft Graph"
getImpactedResources $spRecommendationType

ステップ 2: Azure AD Graph の廃止に向けたアプリケーション側の準備

Microsoft Entra の 2 つの推奨事項によりアプリが特定できたら、これら Azure AD Graph API を使用する各アプリケーションに対して対応が必要になります。「アプリケーションの移行」の推奨事項と「サービス プリンシパルの移行」の推奨事項の両方で示されたアプリケーションに対し、Azure AD Graph API ではなく Microsoft Graph API を使用するように開発者がアプリを更新する必要があります。2025 年 6 月 30 日までは Azure AD Graph を使用できるように、利用延長 を設定することができます。

お客様のテナントで作成されたアプリケーションと、ベンダーが提供するアプリケーションのサービス プリンシパルとでは、次のステップと必要なアクションが異なります。

お客様のテナントで作成されたアプリケーション

廃止中の Azure AD Graph API から Microsoft Graph にアプリケーションを移行する」に示されている影響を受けるリソースは、お客様のテナントで作成されたアプリケーションです。これらのそれぞれについて、次のことを行う必要があります:

  1. お客様の組織内のアプリケーションの所有者または開発者に連絡し、Azure AD Graph が廃止される予定であること、Microsoft Graph API に移行する計画があることを確認ください。アプリケーションの所有者は、Microsoft Entra の推奨事項 で [詳細情報] をクリックしてからアプリケーション名をクリックするか、Microsoft Entra 管理センターの [アプリの登録] でアプリケーションを検索することで見つけることが可能です。
  2. アプリケーションを 2025 年 2 月 1 日までに Microsoft Graph API に移行できない場合は、アプリケーションの利用延長を設定し、2025 年 6 月 30 日までのアクセスを許可することができます。これを行うには、アプリの authenticationBehaviors 設定で blockAzureADGraphAccess: false を設定します。Microsoft Graph Explorer または Microsoft Graph PowerShell でこの操作を実行できます。詳細はこちらを参照ください: アプリケーション認証の管理 Behaviors - Microsoft Graph | Microsoft Learn
  3. アプリケーション開発者は、Azure AD Graph から Microsoft Graph へのアプリケーションの移行に関するドキュメントを参照し、2025 年 6 月 30 日までにこの移行を完了するよう計画ください (アプリケーションに利用延長が設定されている場合)。

ドキュメント:

ベンダーが提供するアプリケーションのサービス プリンシパル

廃止中の Azure AD Graph API から Microsoft Graph にサービス プリンシパルを移行する」に示されている影響を受けるリソースは、サービス プリンシパル (ソフトウェア ベンダーが提供しテナントで使用されているアプリケーション) です。

これらのサービス プリンシパルのそれぞれについて、アプリケーションを提供したベンダーに問い合わせ、Azure AD Graph API への呼び出しを Microsoft Graph API に置き換えたアップデートがすでに利用可能かどうかを確認ください。

  • アップデートが利用可能な場合は、クライアント ソフトウェアを新しいバージョンにアップデートする必要があります。
  • 利用可能なアップデートがない場合:
    1. 2025 年 6 月 30 日まで Azure AD Graph API を引き続き使用するために、利用延長をアプリケーションに構成済みかどうかをベンダーにお問い合わせください。必要に応じてベンダーにこちらの ドキュメント を提示ください。
    2. ベンダーが、Azure AD Graph API を Microsoft Graph API に移行するクライアント ソフトウェアのアップデートを提供する計画があるか確認ください。

テナントで Azure AD Graph を使用しているサービス プリンシパルの一部は、Microsoft から提供されている可能性があります。これらについては、Azure AD Graph API の代わりに Microsoft Graph を使用する、以下のようなアップデートが利用可能です:

Microsoft Office、Microsoft Visual Studio Legacy、Microsoft Intune など、一部の Microsoft アプリケーションでは、Azure AD Graph API を使用しないようにするアップデートがまだ提供されていません。これらのアプリケーションについては、今後代替のバージョンが利用可能になったときに、Azure AD Graph API 廃止に関するブログの更新情報としてお知らせする予定です。これらのアプリケーションには、Azure AD Graph の利用延長が施されますので、アプリケーションをアップデートするために十分な猶予が与えられる予定です。

アプリで Azure AD Graph アクセスの利用を延長する

アプリの Microsoft Graph への移行が完了していない場合、この廃止を延長することができます。アプリの authenticationBehaviors 構成で blockAzureADGraphAccess 属性を false に設定すると、アプリは 2025 年 6 月 30 日まで Azure AD Graph API を使用できるようになります。詳細なドキュメントは こちら をご覧ください。

この設定を false に設定しない限り、新しいアプリケーションが Azure AD Graph API にアクセスしようとすると 403 エラー が発生します。2024 年に Microsoft Graph への移行が完了しないすべての既存アプリケーションについては、今すぐこの設定を計画ください。

詳細情報: 2025 年 6 月 30 日まで Azure AD Graph の拡張アクセスを許可する - Microsoft Graph|Microsoft Learn

Microsoft Graph に移行するメリット

Microsoft Graph は、Microsoft が提供する純正の API です。Microsoft Entra サービスや Microsoft Teams、Microsoft Intune などの Microsoft 365 サービスにアクセスするための単一の統一エンドポイントを提供します。すべての新機能は、Microsoft Graph を通じてのみ利用可能になります。また、Microsoft Graph は Azure AD Graph よりも安全性と耐障害性に優れています。

Microsoft Graph は、Azure AD Graph で利用可能だったすべての機能と、ID 保護や認証方法などの新しい API を備えています。Microsoft Graph のクライアント ライブラリは、再試行処理、安全なリダイレクト、透過的な認証、ペイロード圧縮などの機能をビルトインでサポートしています。

関連情報

Azure AD Graph から Microsoft Graph への移行は、以下のツールやドキュメントを利用することで簡単に行うことができます:

また、必要に応じて、アプリケーションのアクセスを 2025 年 6 月 30 日まで延長することができます: 2025 年 6 月 30 日まで Azure AD Graph の拡張アクセスを許可する - Microsoft Graph|Microsoft Learn

Kristopher Bash
Product Manager, Microsoft Graph
LinkedIn

]]> @@ -198,7 +198,7 @@ https://jpazureid.github.io/blog/azure-active-directory/whats-new-in-microsoft-entra-november-2024/ 2024-12-08T00:00:00.000Z - 2025-01-04T14:47:57.720Z + 2025-01-04T15:03:23.932Z こんにちは、Azure Identity サポート チームの 高田 です。

本記事は、2024 年 12 月 6 日に米国の Microsoft Entra Blog で公開された What’s new in Microsoft Entra - November 2024 を意訳したものになります。ご不明点等ございましたらサポート チームまでお問い合わせください。

Microsoft Entra の最新機能と変更のお知らせ

ID セキュリティの状況は、かつてないほどのスピードで変化しています。世界的な出来事や急速に進化する AI によりサイバーセキュリティ環境が変化する中、セキュリティの維持はこれまで以上に重要になっています。サイバー攻撃の規模と影響の増大に対処するために、Microsoft は Secure Future Initiative (SFI) というイニシアティブを開始し、Microsoft のもつ力を最大限に活用して組織と製品全体のサイバーセキュリティを強化する取り組みを進めています。この取り組みは、社内の知見と、お客様、政府、パートナーからの貴重なフィードバックの両方を反映したものであり、セキュリティの未来を形作るために最も価値のある部分に焦点を当てて取り組んでいます。

先月の Microsoft Ignite では、進化する脅威の状況を先取りし、AI 時代における安全なアクセスを確保するため、次のようないくつかの重要な更新情報を発表しました。

  • Microsoft Entra における Security Copilot: パブリック プレビューを拡張し Security Copilot を Microsoft Entra 管理センターに直接埋め込むことで、管理者向けの従来のユーザー体験の中で ID に関する分析情報に簡単にアクセスできるようになりました。
  • Microsoft Entra Private Access の機能強化: クイック アクセス ポリシー、アプリ検出、プライベート ドメイン ネーム システム (DNS)、ネットワーク コネクターなどの新機能を発表しました。
  • Microsoft Entra Internet Access の進歩: CAE (Continuous Access Evaluation) および TLS (Transport Layer Security) インスペクションのサポートが追加されました。
  • Microsoft Entra ID Protection でのリアルタイムのパスワード スプレー攻撃の検出。
  • Microsoft Authenticator for iOS および Android での デバイスに紐づくパスキー のサポート。
  • Microsoft Entra External ID での ネイティブ認証
  • Microsoft Entra における What’s new の機能正常性監視 の新機能。

これらの更新の詳細については、Microsoft コミュニティ ハブのブログ「Ignite: Microsoft Entra の AI と SASE のイノベーション」を参照ください。

そして本日は、2024 年 10 月から 11 月にかけての Microsoft Entra 全体でのセキュリティ改善とイノベーションについて、製品ごとに整理してお伝えいたします。

詳細については、Microsoft Entra の新機能 の動画で製品更新プログラムの概要をご覧いただくとともに、Microsoft Entra 管理センターの 新機能 ブレードでも詳細な情報をご覧いただけます。

https://youtu.be/NESTW0B1nAQ

Microsoft Entra ID

新機能

変更のお知らせ

セキュリティの改善

セキュリティ既定値群に対する変更

[お客様によっては対応が必要]

Microsoft の Secure Future Initiative に則り、セキュリティ既定値群が有効になっている場合に多要素認証 (MFA) の登録を 14 日間スキップできる選択肢を削除する 予定です。すべてのユーザーは、セキュリティ既定値群が有効になった後、最初のログイン時に MFA を登録する必要があります。この変更は、2024 年 12 月 2 日以降に新しく作成されたテナントに影響し、2025 年 1 月からは既存のテナントにロールアウトされます。

FIDO2 を利用しておりキーの制限を使用していない組織において Authenticator でのパスキーを有効化

[お客様によっては対応が必要]

2025 年 1 月中旬以降、Microsoft Authenticator でのパスキーの GA (一般提供開始) 後、パスキー (FIDO2) の認証方法ポリシーがキー制限なしで有効になっているお客様は、FIDO2 セキュリティ キーに加えて Microsoft Authenticator のパスキーも自動的に有効になります。セキュリティ情報のページでは、ユーザーは認証方法として Microsoft Authenticator にパスキーを追加するという選択肢が表示されるようになります。さらに、条件付きアクセスの認証強度ポリシーでパスキーの認証が適用される場合、パスキーを持たないユーザーは、Microsoft Authenticator にパスキーを登録するように求められます。この変更を有効にしたくないお客様は、パスキー (FIDO2) の認証方法ポリシーでキー制限を有効に変更ください。詳細については、こちら をクリックしてください。

Microsoft が提供する API 用のアクセス トークンが暗号化される

[お客様によっては対応が必要]

2024 年 10 月より、Microsoft はより多くの API で段階的にアクセス トークンを暗号化しています。この変更により、Microsoft が所有する API のアクセス トークンの形式が変更されます。

必要なアクション: クライアント アプリケーションは、アクセス トークンを解読不可能な文字列として扱う必要があり、読み取り、検証、または解析を試みないでください。アクセス トークンを解析して検証する必要があるのは、アクセス トークンの意図された受信者である Web API のみであり、お客様のクライアント アプリケーションではありません。

その理由: アプリケーションが特定のトークン形式を前提としている場合 (GUID ではなく ‘aud’ クレームに URI を期待するなど)、トークン形式が変更されると、その前提が崩れ機能上の問題が発生する可能性があります。

お客様のクライアント アプリケーションが現在アクセス トークンを解析している場合は、Microsoft ID プラットフォームの ドキュメント で説明されているベスト プラクティスに沿ってコードを確認および更新ください。

Microsoft Graph のアクセス トークンでの aud 要求の形式の変更

[お客様によっては対応が必要]

セキュリティに対する継続的な取り組みとして、2025 年 1 月 15 日以降に Microsoft Graph 用に発行されるトークンに若干の変更を加えます。クライアント アプリケーションが不必要にアクセス トークンを解析し、特定の形式の aud クレーム を期待している場合、アプリケーションに影響が生じる可能性があります。

ドキュメント で説明されているように、アクセス トークンを解析および検証する必要があるのはリソース API のみです。クライアント アプリケーションは、この変更または将来の変更によって影響受けないよう、アクセス トークンを解読不可能な文字列として扱うよう対応ください。

適切なユーザーが引き続き Azure Service Health のセキュリティ アドバイザリにアクセスできるよう確認

[お客様によっては対応が必要]

適切な権限を持つユーザーのみが機密性の高いセキュリティ アドバイザリを受け取れるように、2025 年 2 月 28 日以降、Azure Service Health の ロールベースのアクセス制御 (RBAC) に変更 を加える予定です。この変更を行うにあたり、弊社では以下の対応を行います。

  • 2025 年 2 月 28 日に Resource Health API の新しいバージョンを導入し、セキュリティ アドバイザリ イベントにアクセスできるのは特権ユーザーのみになります。
  • 2025 年 8 月 31 日に Azure ポータルでセキュリティ アドバイザリ イベントの RBAC を有効にします。
  • 2025 年 9 月 15 日に Azure Resource Graph のセキュリティ アドバイザリ イベントの RBAC を有効にします。

以下に示すいずれかの方法でセキュリティ アドバイザリを受け取っている場合に本変更の影響を受ける可能性があります。

Azure ポータルを使用している場合:

  • 2025 年 8 月 31 日より前に RBAC の割り当て を確認し、必要に応じて変更または追加を実施ください。

Resource Health API を使用してイベントにアクセスしている場合:

  • 2025 年 9 月 15 日に古いバージョンが非推奨になる前に、新しい Resource Health API に移行ください。
  • FetchEventDetails を使用して、機密性の高いセキュリティ情報を今後はご確認ください。

Azure Resource Graph を使用している場合:

Microsoft Learn にアクセスして、これらの変更の詳細を確認し、Azure のセキュリティ問題に関する最新情報を入手ください。

パブリック プレビューの更新 - ハードウェア OATH トークン

[お客様によっては対応が必要]

11 月 14 日に、ハードウェア OATH トークンのパブリック プレビューに関し、新しいバージョンをリリースしました。この更新では、エンド ユーザーによる自己割り当て、アクティブ化、および委任された管理者のアクセスがサポートされています。詳細については、公開ドキュメント を参照ください。

この更新を利用するには、MS Graph API を使用してトークンを作成します。新しいユーザー体験は、廃止されるまで旧バージョンと並行して実行され、廃止は Microsoft Entra の新機能 と M365 メッセージ センターの投稿を通じて発表されます。

今すぐ移行するには、古いトークンを削除し、MS Graph を使用して新しいプレビューでトークンを再作成します。一般提供された際には、MS Graph API を使用して、ユーザーに影響を与えずユーザーごとにトークンを移行できるようになります。

MFA ワンタイム パスコードの配信手段としての WhatsApp の利用拡大

[お客様によっては対応が必要]

2024 年 12 月から、インドおよびその他の国のユーザーは、WhatsApp を介して MFA テキスト メッセージを受信できるようになります。認証方法として MFA のテキスト メッセージの受信が有効になっており、すでに電話に WhatsApp がインストールされているユーザーのみがこのユーザー体験を利用できます。WhatsApp を使用しているユーザーに到達できない場合、またはインターネットに接続していない場合は、すぐに通常の SMS の通信経路にフォールバックします。さらに、WhatsApp 経由で初めて OTP を受信するユーザーには、SMS テキスト メッセージで動作の変更が通知されます。

Microsoft Entra の従業員向け (Workforce) テナントにて、現在テキスト メッセージの認証方法を利用している場合は、この今後の変更についてヘルプデスクに事前に通知することをお勧めします。さらに、ユーザーが WhatsApp 経由で MFA テキスト メッセージを受信しないようにしたい場合は、組織の認証方法としてテキスト メッセージを無効にすることが可能です。なお、Microsoft Authenticator やパスキーなど、より最新で安全な方法の使用に移行し、電話回線やメッセージング アプリの方法は極力控えることを強くお勧めします。この更新は、お客様側での変更なく既定で有効になります。詳細については、電話認証のドキュメント をご覧ください。

この変更の展開は自動的に行われ、管理者の操作は必要ありません。この変更についてユーザーに通知し、必要に応じて関連ドキュメントを更新することをおすすめします。

ID の刷新

重要な更新情報: Azure AD Graph の廃止

[お客様によっては対応が必要]

Azure AD Graph API サービスの廃止 は 2024 年 9 月に開始され、最終的には新しいアプリケーションと既存のアプリケーションの両方に影響します。現在、Azure AD Graph の提供終了の第 1 フェーズの展開が完了しており、新しいアプリケーションは利用延長の構成を行っていない限り、Azure AD Graph API を使用できません。Microsoft Graph は Azure AD Graph API に代わるものであり、今すぐに Azure AD Graph API から Microsoft Graph に移行し、Azure AD Graph API を使用した開発は止めることを強くお勧めします。

Azure AD Graph API サービスの段階的な廃止のタイムライン

フェーズの開始日  

既存のアプリへの影響   

新しいアプリへの影響   

2024 年 9 月 1 日

なし  

blockAzureAdGraphAccess を false に設定し、Azure AD Graph へのアクセスを延長するようにアプリが構成されていない限り、新しいアプリは Azure AD Graph API の使用をブロックされます。新しいアプリでは Microsoft Graph を使用する必要があります。

2025 年 2 月 1 日

blockAzureAdGraphAccess を false に設定し、Azure AD Graph へのアクセスを延長するようにアプリが構成されていない限り、アプリは Azure AD Graph API を使用できません。

2025 年 7 月 1 日

Azure AD Graph は完全に廃止されます。Azure AD Graph API への要求は機能しません。

サービスの中断を避けるため、弊社のガイダンス に従いアプリケーションを Microsoft Graph API に移行ください。

アプリの Azure AD Graph アクセスを 2025 年 7 月まで延長する必要がある場合

Microsoft Graph へのアプリの移行が完全に完了していない場合は、この廃止を延長できます。アプリケーションの authenticationBehaviors の構成で blockAzureADGraphAccess 属性を false に設定すると、アプリケーションは 2025 年 6 月 30 日まで Azure AD Graph API を使用できるようになります。その他のドキュメントについては、こちら を参照ください。

この設定が false に設定されていない限り、新しいアプリケーションが Azure AD Graph API にアクセスしようとすると 403 エラー が発生します。2024 年に Microsoft Graph への移行が完了しないすべての既存のアプリケーションについては、今すぐこの構成を設定することを計画ください。

Azure AD Graph API を使用しているテナント内のアプリケーションが不明な場合

テナントで Azure AD Graph API を現在も使用しているアプリケーションとサービス プリンシパルに関する情報を示す 2 つの Entra 推奨事項の機能 を提供しています。これらの新しい推奨事項を利用することで、影響を受けるアプリケーションとサービス プリンシパルを特定し、Microsoft Graph への移行をお進めください。

参照:

重要な更新: AzureAD および MSOnline PowerShell の廃止

[お客様によっては対応が必要]

2024 年 3 月 30 日の時点で、従来の Azure AD PowerShell、Azure AD PowerShell Preview、MS Online モジュールは 非推奨 になりました。これらのモジュールは 2025 年 3 月 30 日まで引き続き機能しますが、その後は廃止され、機能を停止します。Microsoft Graph PowerShell SDK はこれらのモジュールの移行先であり、できるだけ早くスクリプトを Microsoft Graph PowerShell SDK に移行する必要があります。

テナントでの Azure AD PowerShell の使用状況を特定するには、Entra の推奨事項 である「廃止中の Azure AD Graph API から Microsoft Graph にサービス プリンシパルを移行する」を使用いただけます。この推奨事項では、AzureAD PowerShell など、テナントで Azure AD Graph API を使用しているベンダー アプリケーションが表示されます。Microsoft Entra サインイン ログ も、テナント内の MS Online と Azure AD PowerShell から行われたログインを特定するために使用できます。Azure Active Directory PowerShell というアプリケーション名を持つサインイン イベント (対話型および非対話型) があれば、それは MS Online クライアントや Azure AD PowerShell クライアントによって行われたものだと判断できます。

弊社では、Microsoft Entra を管理するための PowerShell に新規および将来の大幅な投資を行っており、その具体的な例として Microsoft Entra PowerShell モジュールのパブリック プレビューが挙げられます。この新しいモジュールは、Microsoft Graph PowerShell SDK をベースに構築されており、実際の利用シナリオに重点を置いたコマンドレットを提供します。Microsoft Graph PowerShell SDK のすべてのコマンドレットと完全に相互運用できるため、よりシンプルでドキュメントも整備されたコマンドを用いて複雑な操作を実行できます。このモジュールには、非推奨の AzureAD モジュールからの移行を簡略化するための下位互換性オプションも用意されています。

新しい無料サブスクリプションのロールアウト: Microsoft Entra ID Free

[お客様による対応は必要なし]

2024 年 12 月 11 日以降、M365 製品へのサインアップによって作成されたテナントには、”Microsoft Entra ID Free” というラベルの付いた新しいサブスクリプションが含まれます。このロールアウトは、2025 年 2 月 7 日までにすべての製品のサインアップ フローをカバーするように拡大されます。

新しく作成されたテナントの場合、このサブスクリプションは Entra ポータルおよび Azure ポータルの [All Billing Subscriptions] の配下、または M365 管理センターの [Subscriptions] ページにある課金サブスクリプションの一覧に表示されます。これはテナント レベルのサブスクリプションであり、関連する課金はなく、お客様の対応も必要ありません。

将来的には、このサブスクリプションは、同じ請求先アカウントで作成されたすべての新しいテナントを追跡するために使用され、お客様はすべての新しいテナントの棚卸が可能となるとともに、お客様がテナントの管理アクセス権を失った場合でもテナントの所有権を実証できるようになります。お客様がどのようなテナントを保持しているかすべて特定したい場合、詳細については https://aka.ms/TenantDiscoveryFAQ をご覧ください。

ユーザー体験の向上

My Access にて推奨されるアクセス パッケージが表示

[お客様による対応は必要なし]

以前にお知らせ したように、My Access に新しい Microsoft Entra ID ガバナンスの機能が追加され、推奨されるアクセス パッケージのリスト機能が導入されました。これにより、ユーザーは長いリストをスクロールすることなく、最も関連性の高いアクセス パッケージ (類似したユーザーが使用しているアクセス パッケージと以前の要求を参考に算出) をすばやく表示できます。これは、オプトインのプレビューとして 12 月末までにすべての Microsoft Entra ID Governance のお客様に展開され、変更を強調するための製品内メッセージも併せて表示されます。必要に応じて、関連するドキュメントに更新された画面デザインを反映することをご検討ください。

Microsoft Entra ID ガバナンス

新機能

変更のお知らせ

Microsoft Entra 監査ログへの Microsoft Identity Manager (MIM) ハイブリッド レポート機能の廃止

[お客様によっては対応が必要]

Microsoft Identity Manager (MIM) 2016 で導入された MIM ハイブリッド レポート機能 は非推奨とされています。この機能は、MIM ハイブリッド レポート エージェントが MIM サービスから Microsoft Entra にイベント ログを送信することで、セルフサービス パスワード リセット (SSPR) を利用したパスワードリセットとセルフサービス グループ管理 (SSGM) のレポートが Microsoft Entra 監査ログで確認可能となるものでした。この機能は、Azure Arc エージェントを使用してこれらのイベント ログを Azure Monitor に送信する方法に置き換えられ、結果としてより柔軟なレポートが可能になります。2025 年 11 月になると、MIM ハイブリッド レポート エージェントによって使用されるクラウド エンドポイントは使用できなくなるため、お客様は Azure Monitor または同様のものに移行ください。その他の MIM および Entra ID Connect Health 機能は、この非推奨の影響を受けません。

Microsoft Entra External ID

新機能

変更のお知らせ

Microsoft Entra External ID の属性収集の機能強化

[お客様による対応は必要なし]

2025 年 1 月より、Entra External ID の属性収集のページに対する重要な更新が生じます。ユーザーがサインアップすると、既定の属性とカスタム属性の両方の各入力フィールドの横にラベルが常時表示されるようになります。この機能強化には、次の 2 つの目的があります。

  • アクセシビリティの向上: 常時表示されるラベルは、アクセシビリティ基準への準拠に重要であり、サインアップ プロセスがすべての人にとってよりわかりやすいものとなります。
  • 文脈をより分かりやすく: ユーザーの属性名に対応する各入力フィールドに明確にラベルを付けることで、特に値が事前に入力済みの場合に、ユーザーがその意図や目的をより理解しやすくなります。

Microsoft Entra Private Access

新機能

どうぞよろしくお願いいたします

Shobhit Sahay

]]> @@ -223,7 +223,7 @@ https://jpazureid.github.io/blog/azure-active-directory/ignite-ai-and-sase-innovations-in-microsoft-entra/ 2024-11-28T00:00:00.000Z - 2025-01-04T14:47:57.248Z + 2025-01-04T15:03:23.436Z こんにちは、Azure Identity サポート チームの 高田 です。

本記事は、2024 年 11 月 19 日に米国の Microsoft Entra Blog で公開された Ignite: AI and SASE innovations in Microsoft Entra を意訳したものになります。ご不明点等ございましたらサポート チームまでお問い合わせください。

ID およびネットワーク アクセスの先進機能に Microsoft Entra の Security Copilot が追加

Microsoft Ignite に際しセキュリティの専門家がシカゴに集まり、リモートでも世界中から何千もの人がイベントを視聴するなか、ID に関連した様々な脅威から組織を守る立場が如何に難しいものであるかということを思い知らされます。サイバー空間の犯罪者は、攻撃の規模と巧妙さを増し続けています。実際、Microsoft Entra は現在、毎秒 7,000 件以上のパスワード攻撃をブロックしており、これは 1 年前から 75% 以上も増加しています。

このように脅威が増大する中でも、Microsoft は Microsoft Security Copilot により業界をリードする「責任ある AI」など、高度な多層防御の機能を提供することに引き続き取り組んでいます。本日は、ゼロ トラスト戦略の基盤である ID とネットワーク アクセスに関し、セキュリティ保護に役立つ Microsoft Entra の最新ニュースをお届けします。

Microsoft Entra の Security Copilot でチームを強化

まず、Microsoft Entra の Security Copilot のパブリック プレビューを拡大します。この新しい機能では、Security Copilot が Microsoft Entra 管理センターに直接組み込まれるため、管理センターで Copilot が提供する ID のスキルに直接かつ簡単にアクセスできます。

また、Security Copilot は、皆様が日々の日常的な作業や複雑な作業を実施するときに、Microsoft Entra 管理センターで推奨事項を作成し、分析情報を提供してくれます。これにより以下のような支援が得られます:

  • ユーザーに関連する ID データとコンテキスト (場所や認証方法など) を迅速に取得します。
  • AI による自動的な検出、分析情報の提示、軽減策の実施により、ユーザーとワークロード ID のリスク調査を自動化します。
  • アクセスの問題を迅速にトラブルシューティングし、ユーザーのサインインに関連する条件付きアクセス ポリシーを分析します。

さらに、Microsoft Entra でアプリケーションやワークロード ID を管理しているお客様向けには、12 月に、リスクの特定、理解、修復に役立つ新しいスキル セットが提供されます。例えば、Security Copilot に “攻撃に使用されている可能性のあるアプリや侵害された可能性のあるアプリはどれ?” や “使用されていないアプリを表示して” というプロンプトを送った後、さらに “これらを削除するにはどうすればよい?” というプロンプトを提示することも可能です。

自然言語処理やデータの関連付け、コンテキストに基づく分析情報などの生成 AI の機能により、ID とアクセス管理のワークフローがより簡単かつ効率的になります。最新のユーザー テスト では、Microsoft Entra で Security Copilot を使用している管理者は、サインインのトラブルシューティング タスクを 46% も少ない時間で完了し、さらに 47% 高い精度で完了していることもわかりました。

詳細については、Microsoft Security Copilot is now embedded within the Microsoft Entra admin center の記事もご覧ください。

Security Service Edge を用いて従業員によるアクセスをよりセキュアに

ネットワーク セキュリティに対して ID 中心のアプローチを取ることで、サイバー空間におけるリスクを軽減し、高度な脅威に対する保護を強化するだけでなく、ユーザー体験も向上します。Microsoft Entra Suite の一部である Microsoft Security Service Edge (SSE) ソリューション は、ネットワーク セキュリティ、ID、エンドポイント全体のアクセス制御を統合することで、ゼロ トラストの実装とネットワーク変革を加速します。

弊社が提供する SSE ソリューションの 2 つの要素である Microsoft Entra Private Access と Microsoft Entra Internet Access は、2024 年 7 月から一般提供されています。本日は、SSE に関していくつかの機能拡張を紹介します。

Microsoft Entra Private Access により従来の VPN からの移行がよりシンプルに

Microsoft Entra Private Access は、ID 中心のゼロ トラスト ネットワーク アクセス (ZTNA) ソリューションにより、従来の VPN を刷新するとともに、ユーザーをネットワーク全体にアクセスさせるのではなく、任意の社内リソースやアプリケーションにのみ安全に接続できるようにします。新機能により、従来の VPN からの移行がよりシンプルになり、ユーザーがリソースに簡単に接続できるようになります。

  • クイック アクセス ポリシー (一般公開済み) を使用すると、プライベート アプリを Microsoft Entra に簡単にオンボードできます。
  • App Discovery (近日パブリック プレビューの予定) を用いると、すべての社内アプリを簡単に探索することができます。
  • プライベート DNS (パブリック プレビュー中) を使用すると単一のラベル名またはホスト名を構成でき、ユーザーがリソースにシームレスにアクセス可能となります。
  • Azure、AWS、Google Cloud のマーケットプレースで公開中プライベート ネットワーク コネクター (パブリック プレビュー中) を利用すると、プライベート ネットワーク コネクターの管理体験が向上し、展開も簡単になります。

Microsoft Entra Interent Access により組織がより安全に

Microsoft Entra Internet Access は、ID 中心のセキュア Web ゲートウェイ (SWG) ソリューションを使用して、すべてのインターネットおよび SaaS アプリケーションとリソースに安全にアクセスできるようにします。新しい機能により、お客様は脅威からより一層守られるのです。

  • 継続的アクセス評価 (CAE) サポート (パブリック プレビュー中) により、重大なイベントが検出された際 に、ほぼリアルタイムでネットワーク アクセスを取り消すことが可能です。これは、ポリシー条件が満たされるまでインターネット接続をオフにする自動緊急スイッチのようなものといえます。これらの制御はネットワーク レベルで動作するため、アプリケーションまたはクライアントが先進認証と CAE をネイティブにサポートしているかどうかに関係なく機能します。
  • TLS インスペクション (プライベート プレビュー中) は、暗号化されたトラフィックを包括的に可視化し、完全な URL を利用して、より強化された URL Web カテゴリ フィルタリングが可能になります。

セキュア アクセス サービス エッジに対する統合的なアプローチにを用いてネットワーク変革を実現

もしお客様が現在、オンプレミス ネットワークの簡素化や、高価な機器の最新ネットワーク ソリューションへの置き換えを検討中であれば、セキュア アクセス サービス エッジ (SASE) フレームワークという、ユーザー、システム、エンドポイント、リモート ネットワークをアプリケーションやリソースに安全に接続する仕組みについてもぜひご検討いただきたく思います。

Microsoft Entra は、他の SSE、SASE、およびネットワーク ソリューションとシームレスに連携し、高度な攻撃から組織を保護するための統合管理機能と可視化機能を提供します。例えば、Netskope の Advanced Threat Protection (ATP) と Data Loss Prevention (DLP) を皮切り (プライベート プレビュー中) に、他のプロバイダーの ネットワーク セキュリティ機能を統合中 です。また、大手プロバイダーの SD-WAN および接続ソリューションを Microsoft Entra と統合 して、包括的な SASE ソリューションを提供しています。

詳細については、Enhancing security with Microsoft’s Security Service Edge solution and SASE partners をご覧ください。

新しい認証保護機能で高度な攻撃も回避

毎日 78 兆ものセキュリティ シグナルから得られる分析情報により、Microsoft Entra はパスワード攻撃だけでなく、MFA 攻撃や認証後の攻撃など、より高度で検出が困難な攻撃に対しても、プロアクティブでリアルタイムの保護を提供しています。サイバー攻撃の犯罪者は、パスワード攻撃をより早く、さらに拡大するために AI を使用しており、パスワード攻撃は依然として ID 関連の攻撃の 99% 以上を占めています。悪意のある攻撃者は一連の攻撃の始まりから終わりまでを完全に自動化している状況のため、多層防御の戦略は組織を保護するために必須となっています。

Microsoft Entra ID Protection を使用してパスワード スプレー攻撃をリアルタイムで検出して防御

従来、セキュリティ管理者はログをくまなく調べ、パスワード スプレー攻撃の有無を特定していました。この度、Microsoft Entra ID Protection を機能強化し、パスワード スプレー攻撃をリアルタイムで検出できるようになりました。サインイン フロー中に攻撃を遮断することで、リスクの修復を数時間から数秒にまで短縮します。

リスクベースの条件付きアクセスはこの新しいシグナルに自動的に応答し、セッション リスクを引き上げるとともに、危険なサインイン試行に対して直ちに MFA などを要求し、パスワード スプレーの試行をその場で遮断します。この最新の検出機能は、近日パブリック プレビューが開始され、AitM (Adversary-in-the-Middle) フィッシングや トークン窃取 などの高度な攻撃に対する既存の検出と連動し、最新の攻撃も包括的にカバーします。

詳細情報: Microsoft Entra ID Protection は、Microsoft Entra ID P2 プランまたは Microsoft Entra Suite プランで利用でき、どちらも 無料試用版 が利用可能です。

パスキーでフィッシングの試みを無力化

攻撃者は、多要素認証 (MFA) の採用増加に対応して、AitM フィッシングやソーシャル エンジニアリングの手法を強化してユーザーの認証情報を盗もうとしています。パスキーは、これらの高度な攻撃やパスワード攻撃に対抗すると同時に、サインインをより安全かつシンプルにします。

パスキーは、W3C WebAuthn 標準をサポートする任意のインターネット リソースへのサインインを可能にする、強力でフィッシング耐性のある認証方法です。パスキーは、FIDO2 規格が継続的に発展したものといえます。

Microsoft Authenticator のパスキーは、低コストでフィッシングに強い資格情報を提供し、ユーザーがモバイル デバイスから直接アクセスできるため、個別のセキュリティ キーを購入する必要性が減ります。本日、Microsoft Authenticator for iOS および Android のデバイスに紐づくパスキーのサポートが一般提供となりましたことをお知らせします。併せて、登録とサインインのユーザー体験が向上し、パスキーを登録する前にユーザーのデバイス上の Microsoft Authenticator アプリの正当性を確認するアテステーションのサポートが可能になったことも発表します。

Microsoft Entra ID でのフィッシングに強いパスワードレス認証のデプロイを開始するにはこちらをどうぞ

細部までカスタマイズ可能な外部向けアプリをエンタープライズ レベルのセキュリティが組み込まれた状態で構築

Microsoft Entra External ID を使用すると、社員のアクセスを保護するのと同じように、顧客やビジネス ゲストのアクセスを保護できます。Microsoft Entra ID と ID Governance でおなじみの使い慣れたツールを用いることで、これらの外部 ID をより簡単に保護、管理、および統制可能です。

ブランドやコーポレート アイデンティティに合わせてデザインされたネイティブなユーザー体験は、エンドユーザー体験を向上させ、ブランドのロイヤリティを高め、最終的にビジネスの成長を加速させるために重要です。9 月から一般提供が開始された External ID の ネイティブ認証 により、開発者は細部までカスタマイズされたネイティブ モバイル認証体験を数分で構築できます。

直近で、外部向けの Web アプリとモバイル アプリ向けの新しいセキュリティとカスタマイズのオプションをリリースしました:

  • Email OTP をサポートするための新しいカスタム認証拡張機能
  • ユーザー インサイトに紐づく新しいセキュリティ指標
  • 既定で提供されるエンタープライズ レベルのコア保護機能がすべての外部向けアプリで有効化
  • Facebook、Apple、Google、カスタム OIDC などのソーシャル ログインに対する追加のサポートが近日公開予定

詳細については、Microsoft Entra External ID のドキュメントおよび開発者向けリソース をご覧ください。

正確で信頼性が高くタイムリーな情報で管理者を支援

お客様が統合された Microsoft Entra 管理センターで作業している場合でも、Azure ポータルを使用している場合でも、弊社は 更新、導入、運用の透明性を提供する ことで、ID とネットワーク アクセスのセキュリティ体制の監視と最適化をより容易にしようと取り組んでいます。お客様からの継続的なフィードバックを組み込んだ次の機能が一般公開されました:

  • What’s new: Microsoft Entra 管理センターに Microsoft Entra 製品の更新情報をまとめた画面が用意され、ここで情報を得るとともに、最新のイノベーションを評価可能となりますので、手動で更新を追跡する必要性がなくなります。
  • 健全性の監視: 様々なサインインの種類の傾向と統計をわかりやすく見える化したことで、主要なシナリオについて現在の正常性を簡単に調査できます。さらに、高度な検出アルゴリズムによって生成された重要な指標がアラートとして通知されますので、問題に迅速に対処できるようになります。

Ignite のセッションでさらなる詳細をご覧ください

Ignite に直接参加する場合でも、オンラインで参加する場合でも、こちらのイベント情報を参考 に、Microsoft Entra の新しいイノベーションについて是非ご覧ください。

Ignite で Microsoft Entra セッションのライブ配信または録画をぜひご視聴ください:

Secure access for any identity to any resource with Microsoft Entra

BRK313 – 11 月 20 日 (水) | 午後 1 時 15 分から午後 2 時 00 分 CDT

https://aka.ms/Ignite2024/BRK313

ゼロ トラストのアクセス制御に加え、従業員、顧客、パートナーのアクセスを保護し、あらゆるクラウドでの安全なアクセスを確立するための ID およびネットワーク セキュリティ ソリューションに関する最新のイノベーションと発表のディープ ダイブのセッションです。さらに、生成 AI と管理センターのツール群がチームの効率とスケーラビリティをどのように向上させるかをご覧いただけます。

Secure access for your workforce with the new Microsoft Entra Suite

BRK314 – 11 月 20 日 (水) | 午前 9 時 45 分 – 午前 10 時 30 分 CDT

https://aka.ms/Ignite2024/BRK314

ID は、最初の防衛線です。しかし、ID のソリューションとネットワーク アクセス ソリューションが連携せず単独で運用されている場合、複雑さが増し、ポリシーに一貫性がなくなる懸念があります。ID とネットワークで条件付きアクセスを統合することで、ゼロ トラスト アーキテクチャをよりシンプルに実現する方法を紹介します。Microsoft Entra Suite を使用して、従業員のオンボーディング作業を刷新し、リモート アクセスを最新化するとともに、オンプレミスのアプリケーションやインターネット リソースへのアクセスを保護する方法をご覧ください。

Accelerate your Zero Trust journey: Unify Identity and Network Access

BRK326 – 11 月 21 日 (木) | 午前 9 時 45 分 – 午前 10 時 30 分 CDT

https://aka.ms/Ignite2024/BRK326

ID とネットワーク全体で統一されたアプローチを用い、ゼロ トラストの道のりをより加速する方法をご覧ください。このセッションでは、Microsoft の ID 中心のセキュリティ サービス エッジ (SSE) ソリューションを用いることで、プライベート、オンプレミス、インターネット、SaaS のすべてのアプリケーションとリソースへのアクセスをどのようにしてあらゆる面から保護していけるかというのを探ります。Microsoft のテクノロジ パートナーについても説明がありますので、組織のセキュリティ体制をさらに強化いただけます。

Joy Chik
President of Identity and Network Access at Microsoft

]]> @@ -250,7 +250,7 @@ https://jpazureid.github.io/blog/azure-active-directory/microsoft-entra-certificate-based-authentication-enhancements/ 2024-11-22T00:00:00.000Z - 2025-01-04T14:47:57.360Z + 2025-01-04T15:03:23.552Z こんにちは、Azure Identity サポート チームの 田辺 です。

本記事は、2024 年 7 月 3 日に米国の Microsoft Entra (Azure AD) Blog で公開された Microsoft Entra certificate-based authentication enhancements を意訳したものになります。ご不明点等ございましたらサポート チームまでお問い合わせください。

Microsoft Entra の証明書ベースの認証 (CBA) の最新の機能をご紹介します。CBA は、フィッシングに強く、パスワード不要で、Active Directory フェデレーション サービス (AD FS) などのオンプレミスのフェデレーション基盤に依存せずに、PIV/CAC カードなどの X.509 証明書を使用してユーザーを認証するための便利な方法です。CBA は、すでに PIV/CAC カードを使用しており、フィッシングに強い認証を必要とする 大統領令 14028 に準拠しようとしている連邦政府機関にとって特に重要となります。

本日は、今年初めに導入 された多くの改善点の一般提供を発表します。ユーザー名バインド、アフィニティ バインド、認証ポリシー ルール、条件付きアクセスの高度な CBA オプションはすべて GA となりました。また、新機能である 発行者ヒント のパブリック プレビューを発表できることを嬉しく思います。発行者ヒント 機能は、ユーザーが認証に適した証明書を簡単に識別できるようにすることで、ユーザー体験を大幅に向上させます。

Microsoft Entra のプリンシパル プロダクト マネージャーである Vimala Ranganathan より、フィッシングに強い多要素認証 (MFA) に向けた取り組みに役立つこれらの新機能について説明します。

ご意見があればぜひお寄せください!

Alex Weinert

皆さん、こんにちは。Microsoft Entra のプリンシパル プロダクト マネージャーである Vimala Ranganathan です。本日は、新しい発行者ヒント機能と、一般提供が開始される機能について説明いたします。

発行者ヒント 機能は、ユーザーが認証に適した証明書を簡単に識別できるようにすることで、ユーザー体験を向上させます。テナント管理者によって有効にすると、Microsoft Entra ID は TLS ハンドシェイクの一部として Trusted CA Indication という情報を送り返します。ここでいう Trusted CA (CA) というのは、テナントによって Entra の信頼ストア にアップロードされた認証局 (CA) のサブジェクトのことを表します。クライアントまたはネイティブ アプリケーションは、サーバーから返されたヒントを使用して、証明書選択画面に表示される証明書をフィルターし、信頼ストア内の CA によって発行されたクライアント認証証明書のみをユーザーに表示します。

図 1: 発行者ヒントが有効な場合の、改善された証明書選択画面

また、以下の機能が一般公開 (GA) となりました。各機能の詳細については、パブリック プレビューを知らせるブログである「Microsoft Entra 証明書ベース認証 (CBA) の機能強化」を参照ください。

CBA ユーザー名バインド: CBA は、追加で残りの 3 つのユーザー名バインドのサポートを追加し、オンプレミスの Active Directory と同等の機能を提供するようになりました。追加された 3 つの証明書バインドは以下のとおりです。詳細については ユーザー名バインド ポリシーを構成する を参照ください。

  • 発行者とシリアル番号
  • 発行者とサブジェクト
  • Subject

CBA アフィニティ バインド: CBA アフィニティ バインドを使用すると、管理者はテナント レベルでアフィニティのバインド設定を構成でき、高アフィニティまたは低アフィニティ マッピングを使用するカスタム ルールを作成することで、お客様が現在使用している多くの潜在的なシナリオをカバーできるようになります。詳しくは ユーザー名のバインド ポリシー をご覧ください。

CBA 認証ポリシー ルール: 認証の強度を単一要素または多要素としていずれとして扱うかを決定できます。また、複数のカスタム認証バインドのルールを作成し、証明書の属性 (発行者またはポリシー OID、または発行者と OID の組み合わせ) に基づいて、証明書に関する既定の保護レベルを割り当てることもできます。詳細については、「認証バインディング ポリシーの構成」を参照ください。

条件付きアクセスにおける高度な CBA の設定項目: 証明書の発行者またはポリシー OID のプロパティに基づいて特定のリソースへのアクセス可否を制御できます。認証強度の高度なオプションの詳細については、こちらをご覧ください。

Microsoft Entra CBA の詳細については、こちら と Microsoft の 大統領令 14028 に対する取り組みをご覧ください。-

今後の取り組み

昨年、多くの連邦政府および規制業界のお客様が、段階的ロールアウトの機能を活用して、AD FS から Microsoft Entra ID にシームレスに移行し、CBA を使用してエンド ユーザーに使い慣れたサインイン体験を提供できています。実際、過去 12 か月で、米国政府のお客様に対するフィッシング耐性のある認証が 1,400% 以上増加しました。

フィードバックは Microsoft Entra コミュニティ でお寄せください。弊社は、証明書失効リスト (CRL) の制限の撤廃、新しい認証局の信頼ストア、B2B 外部ゲストユーザーのリソーステナントでの CBA サポート、iOS UX の強化など、さらなる機能強化を実現するために取り組んでいます。

]]> @@ -275,7 +275,7 @@ https://jpazureid.github.io/blog/azure-active-directory/mc933540-microsoft-365-admin-center-mfa-enforcement/ 2024-11-21T00:00:00.000Z - 2025-01-04T14:47:57.304Z + 2025-01-04T15:03:23.496Z こんにちは、Azure Identity サポート チームの 五十嵐 です。

Microsoft では Secure Future Initiative の取り組みのひとつとして、ID とシークレットの保護を継続的に強化するために取り組みを進めています。今回、取り組みの一環として 2024 年 11 月 11 日に以下のブログにて発表を行い、続けて Microsoft 365 管理センターのメッセージ センターより「MC933540 : Microsoft 365 admin center multifactor authentication enforcement」が通知されました。

Announcing mandatory multifactor authentication for the Microsoft 365 admin center

通知内容の概要としましては、2025 年 2 月 3 日以降、Microsoft 365 管理センターにアクセスするすべてのユーザー アカウントに MFA (Multifactor Authentication) の要求を開始するという内容であり、これはテナント レベルで段階的にロールアウトされます。メッセージ センターで通知した MC933540 の内容について抄訳したものを以下に記載いたしますのでご確認ください。

MC933540 の抄訳

Microsoft 365 管理センターの多要素認証の施行

Microsoft 365 管理センターへのアクセスに対して多要素認証 (MFA) を実装することにより、管理アカウントの侵害リスクを大幅に軽減し、不正なアクセスを防ぎ、機密データを保護します。 標準のユーザー名とパスワード認証に加えて、追加の認証を要求する MFA の制御を有効化することで、攻撃者によるデータの盗難を困難にし、フィッシング、クレデンシャル スタッフィング攻撃、ブルートフォース攻撃、パスワード再利用攻撃などの不正なアクセスを防ぎます。当社および製品全体でサイバー セキュリティを向上させるための継続的な取り組みの一環として、2025 年 2 月 3 日から、Microsoft は Microsoft 365 管理センターへのサインイン時にすべてのユーザーに MFA の使用を求めるようになります。この要件は、今後数週間のうちにテナントレベルで段階的に展開されます。

今すぐ実施いただきたいこと:

  • グローバル管理者: 組織内における MFA の設定を完了ください。組織での MFA 設定は、aka.ms/MFAWizard の MFA 設定ガイドを参照するか、Microsoft 365 Business Premium の多要素認証を設定する を参照ください。
  • Microsoft 365 管理センターにアクセスするユーザー: aka.ms/mfasetup にアクセスして、MFA に利用可能な認証方法が登録されているか確認ください。

本通知の変更が組織に与える影響:
Microsoft 365 管理センターにサインインできるようにするために、管理者に対して MFA の方法を追加し、必要に応じてテナントに対して MFA を有効にする必要があります。

準備のためにできること:

  • MFA の方法を設定していない場合は、2025 年 2 月 3 日までに MFA を設定ください。
  • 既に MFA を設定している場合は、特に追加の操作は必要ありません。Microsoft 365 管理センターにアクセスするすべてのユーザーが MFA 用の認証方法を追加していることを確認することをお勧めします。
  • グローバル管理者:組織内における MFA の設定を完了ください。組織での MFA 設定は、aka.ms/MFAWizard の MFA 設定ガイドを参照するか、Microsoft 365 Business Premium の多要素認証を設定する を参照ください。
  • Microsoft 365 管理センターにアクセスするユーザー: aka.ms/mfasetup にアクセスして、MFA に利用可能な認証方法が登録されているか確認ください。
  • 2025 年 2 月 3 日までに MFA 要件の準備が整わない場合、管理者は https://aka.ms/managemfaforazure のページから施行日の延期を申請することができます。Azure ポータルの MFA 施行延期は Microsoft 365 管理センターにも適用されることに注意ください。

詳細については、こちらのブログ記事の FAQ を参照ください。

追加情報
ヘルプとサポート

なお、以下の弊社サポート ブログでお伝えした Azure Portal へのサインインに対して MFA を義務付ける取り組みとは、ロールアウトの開始日が異なります。

Azure Portal などのリソースに対する MFA の要求は、フェーズ 1 が 2024 年 10 月 15 日より順次ロールアウトしており、各テナントへの展開を開始しておりますが、本ブログの対象となる Microsoft 365 管理センターに対する MFA の要求は、2025 年 2 月 3 日がロールアウトの開始日です。一方で、ロールアウトの開始日を延期するための申請は同じ仕組みを利用しております。そのため、Azure Portal などのリソースに対する MFA の要求 (フェーズ 1) に関して延長申請を既に実施いただいているお客様は、Microsoft 365 管理センターに対する MFA 要求も併せて延期が適用された状態となります。

なお、Microsoft 365 管理センターに対する MFA 要求を延長申請した場合のロールアウト開始日は 2025 年 3 月 15 日です。これは、Azure Portal などのリソースに対する MFA の要求を延長した場合と同じ日程となります。

延長申請のための操作に関しましては、以下のブログをご参照ください。

MC862873 - Azure ポータル (および Azure CLI 等) の MFA 義務付けの延長申請について | Japan Azure Identity Support Blog

本通知の適用を待たずに Azure Portal や Microsoft 365 管理センターへのアクセスに対して MFA を要求されたい場合、条件付きアクセスの機能を利用することで実現可能です。弊社としてはこの MFA の強制を待たず、速やかに MFA を要求することをお勧めします。設定方法に関しては、以下の公開情報をご参考ください。

Microsoft 管理ポータルに多要素認証を要求する - Microsoft Entra ID | Microsoft Learn

本通知に関する補足情報を Q & A 形式で記載いたします。参考になりましたら幸いです。

Q. 複数の Microsoft 365 テナントを利用しています。Microsoft 365 管理センターの MFA 適用は、すべてのテナントに同時にロールアウトされますか?

A. いいえ、2025 年 2 月 3 日からテナント レベルで段階的に展開されます。複数の Microsoft 365 テナントを持つ組織の場合、テナントごとに異なる日程で適用される場合があります。

Q. 延長申請ではなく、変更が適用されないようにすることは可能か?

A. いいえ。このセキュリティ対策は、Microsoft 365 を利用する組織とユーザーを保護するために必要な設定となるため、すべてのテナントに適用され、回避する設定および方法はございません。

Q. 特定のユーザーに対しては MFA を強制しないようにすることは可能か?

A. いいえ、Microsoft 365 管理センターへのアクセスするユーザー全てに強制されます。組織で緊急アクセス用アカウントを用意いただいている場合、このアカウントに対しても MFA が要求されます。緊急アクセス用アカウントに対しては FIDO2 セキュリティ キーを利用した MFA の方法を利用することがおすすめですので、併せてご検討いただけますと幸いです。

Q. Azure Portal などのリソースに対する MFA 要求を既に延長申請しているが、Microsoft 365 管理センターに対する MFA 要求はどうなるのか?

A. Azure Portal などのリソースに対する MFA の要求に関して延長申請を既に実施いただいているお客様は、Microsoft 365 管理センターに対する MFA 要求も併せて延長申請された状態となります。延長申請後のロールアウトの開始日は 2025 年 3 月 15 日であり、Azure Portal などのリソースに対する MFA の要求を延長した場合と同じ日程となります。

Q. この通知は、すべてのユーザーに対して MFA を要求しますか?

A. 本通知によって影響のある操作は Microsoft 365 管理センターへアクセスするユーザーのみとなります。Microsoft 365 管理センターにアクセス可能なユーザーは、管理者ロールを持つユーザーのみです。アクセス可能なロールに関する説明は以下の公開情報をご参照ください。

Microsoft 365 管理センターの管理者ロールについて - Microsoft 365 admin | Microsoft Learn

Q. Microsoft Graph PowerShell または API に影響しますか?

A. いいえ。この要件は、現時点では Microsoft Graph PowerShell または API の使用には影響しません。

]]> @@ -298,7 +298,7 @@ https://jpazureid.github.io/blog/azure-active-directory/new-microsoft-entra-id-governance-2024Nov/ 2024-11-20T00:00:00.000Z - 2025-01-04T14:47:57.456Z + 2025-01-04T15:03:23.656Z こんにちは! Azure ID チームの小出です。

今回は、2024 年 10 月 29 日に米国の Microsoft Entra (Azure AD) Blog で Joseph Dadzie によって公開された Manage Microsoft Entra ID role assignments with Microsoft Entra ID Governance と、11 月 5 日に Kaitlin Murphy によって公開されました Microsoft Entra ID Governance for government を分かりやすく日本語におまとめしなおしたものになります。ご不明点などございましたらお気軽にサポートへお問い合わください。

米国政府向けテナントでの Microsoft Entra ID Governance サポートの開始

2024 年 11 月 1 日より、Microsoft Entra ID Governance が、米国政府コミュニティクラウド (GCC)、GCC-High、および国防総省のクラウド環境において、連邦政府機関、州政府、地方政府、および政府請負業者向けに利用できるようになりました!Entra ID Governance は、2023 年 7 月 1 日に商用顧客向けに提供を開始した機能で、アクセス パッケージをはじめとするエンタイトルメント管理や、ライフサイクル ワークフローなどの機能が含まれています。この機能の開始後、強い要望があったため、今年初めに教育機関 (EDU) とフロント ライン ワーカー (FLW) のお客様にも提供を拡大しました。そして今回新たに、Entra ID Governance 製品を米国政府機関のお客様もご利用いただけるようになりました。

Microsoft Entra ID Governance は、組織が「適切なユーザーが適切なタイミングで適切なアプリやリソースにアクセスできるように」支援する機能です。自分の会社でも使えそうだろうかと悩むお客様もいらっしゃるかと思いますが、たとえば海外では、Rijksmuseum (アムステルダム国立美術館) のような公共機関でも利用されています。

アムステルダム国立美術館は、フェルメールからゴッホまで、オランダの芸術と歴史の中でもっとも有名な作品が多く収蔵されている美術館ですが、ここでは研究や保存、美術館の清掃などに至るまで 1,000 人以上の人々を雇用しています。アムステルダム国立美術館では、Excel シートや独自のデータベースを手作業で管理していたことで、「従業員が役割を変更したり、新しいシステムにアクセスしたりしようとしたときに、不整合や更新作業の遅延でエラーが起きやすい」もしくは「契約終了後のユーザーもシステムにアクセスできてしまっていた」といった課題がありました。しかし、現在は Entra ID Governance を使用して管理負担を軽減し、ユーザー体験が向上したことで、ユーザーのアクセス管理に費やす時間を減らすことができています。このお客様の事例の全文は英語とはなりますが Microsoft Customer Story-The Rijksmuseum saves hours in identity management with Microsoft Entra ID Governance. でご覧いただくことが可能です。

商業、教育、フロント ライン ワーカーのお客様と同様に、Entra ID Governance は、政府機関が要件に準拠し、Zero Trust の原則に従うことを支援します。KuppingerCole は最近、ID ガバナンスのシナリオの概要と Entra ID Governance のレビューを含む ホワイト ペーパー を発行しました。

次のステップとして、Microsoft Entra ID Governance をご検討中のお客様には以下をお勧めします:

  • https://aka.ms/AboutEntraIDGovernance機能について学ぶ
  • https://aka.ms/EntraIDGovGuides で管理の 流れを確認 する
  • マイクロソフトの営業チームに連絡して 無料試用版 をセットアップする。
  • ライセンスを購入 する。政府機関のお客様向けの Entra ID Governance は、GCC、GCON (政府機関の請負業者)、GCC-High、および DoD クラウドでボリュームライセンスを通じてご利用いただけます。

エンタイトルメント管理における Microsoft Entra ロール割り当ての開始

ユーザーが不要な権限を保持しないよう、特権 ID 管理 (PIM) の機能をすでに多くのお客様の環境でご利用いただいていると思います。PIM の機能を利用すると、割り当てられた最小特権ロールに必要な時だけ (ジャスト イン タイム - JIT) アクセスすることができ、必要なタイミングで、必要な時間だけ特権ロールを使用することができます。このアプローチでは、IT 管理者が持つ権限の数をできるだけ減らし、必要なユーザーが必要なタイミングのみ権限を利用できるようにすることで、組織内の攻撃対象領域を最小限に抑えています。

しかし、「必要な時だけ特権を使えるようにする」PIM の機能は便利である一方、すべての管理者がこのように一定期間のみ特権を利用したいわけではありません。組織内の一部の管理者は、特定のアプリケーションなどリソースを限定して、管理者ロールを長期間保持する必要が時にはあります。

このような場合、以前より Microsoft Entra ID Governance を使用して、エンタイトルメント管理のアクセス パッケージを通して管理することを案内してきました。たとえば以前に案内した アクセス パッケージを利用した一括でのアクセス権の管理 のブログでは、アクセス パッケージ内のリソースとしてグループを追加し、そのグループに Microsoft Entra ロールを割り当てることで、間接的にロールの割り当てを管理できる点を案内しています。

今回のアップデートでは、以前のように「事前にロールを割り当てたグループをパッケージに追加する」ような操作を行わなくても、Microsoft Entra ロールを直接ユーザーとグループに割り当てることができるようになりました!これにより、以下のことが可能になります:

  1. 特権 ID 管理 (PIM) の機能で特権ロールの適格性 (資格のある割り当て) を設定し、不要なアクセスを減らすことで、セキュリティ侵害の影響を最小限に抑える。
  2. 定期的なアクセス レビューにより、適切なユーザーが適切なリソースと役割にアクセスできるようにする。
  3. セルフ サービスのアクセス要求プロセスを使用して、組織の成長に合わせてロールの割り当てを拡張する。
  4. ツールやアプリケーションの割り当てと、それらを使用するために必要な Microsoft Entra のロールを組み合わせることで、可視性を高め、管理を容易にすることで、ビジネスでの機能性を高める。

この機能は、次のようなシナリオで使用いただけます:

  • IT ヘルプデスク: IT サポートの業務をヘルプデスクの従業員に委任することで、管理者の業務を軽減する。
  • アプリケーション管理: 機密性の高いアプリケーションへのアクセスを管理することで、規制へのコンプライアンスを確保する。
  • 運用: セキュリティ オペレーション センターで分析業務を行うメンバーにログの読み取り権限を付与し、監視用のツールにアクセスできるようにする。

アクセス パッケージ ポリシーにより Microsoft Entra ID ロールの割り当てを管理することで、リクエストから承認、ロールのプロビジョニングまで、ロールの割り当てライフサイクル全体を制御できます。

ここからは、Microsoft Entra ID Governance を活用して、役割割り当てのライフサイクルを管理する方法について説明します。 

シナリオ: 従業員が自らアクセス権を申請することで Microsoft Entra のロール割り当てを自動化

ある組織のサポート部門が新しく 50 人の IT ヘルプデスク スタッフを雇用して事業を拡大するとします。この場合、もし管理者だったらどのような操作が必要になるでしょうか。一般的には、ユーザーを 1 人ずつ作成し、それぞれのユーザーにロールを割り当てていくような流れを想像されるかと思いますが、各ユーザーに Microsoft Entra のロールを手動で割り当てることは効率的ではなく、ID のアクセス管理 (IAM) チームが繰り返しこういった作業を手作業で行うと、コンプライアンスや監査要件を満たすことも難しくなります。

このような場合、エンタイトルメント管理のアクセス パッケージを使うと、この操作を合理的に行うことが可能となります。具体的には、テナント管理者は必要なロールを含むアクセス パッケージを作成し、IT スタッフが My Access ポータルを介してアクセス権を申請できるようにします。IT スタッフによって申請されたパッケージ要求の承認作業は、ヘルプデスク部門のマネージャーに委任するように構成しておくようにします。IAM チームは、Microsoft Entra ID Governance ポリシーに加え、ユーザーによるセルフ サービス (ユーザーが自らサービスを申し込む) 機能を利用することで、こまごまとした作業に時間を取られることなく、組織のセキュリティ的な課題に集中することができます。

なお、ヘルプデスク管理者のロールをアクティブな状態でパッケージに割り当てた場合、 IT スタッフにパッケージが割り当てられるとすぐにヘルプデスク管理者の特権が利用可能となってしまいます。本来、ヘルプデスク管理者のロールが必要なのは、パスワードのリセットなど一部の業務を行うときのみです。このような永続的な権限を制限するには、アクセス パッケージの作成時に、「資格のある割り当て」の設定でヘルプデスク管理者を構成し、必要なときにのみ特権 ID 管理 (PIM) を通してロールをアクティブ化してもらうような運用にします。

以下の 3 つの手順で簡単に設定することができるので、手順を案内します。

  1. アクセス パッケージを作成し、Microsoft Entra ロールである「Helpdesk Administrator」を「Eligible member」として、「Service Support Administrator」ロールを「Active member」として追加します。Eligible Member は「資格のある割り当て」を示します。Active Member は「アクティブな割り当て」を示します。このため、このパッケージ構成の場合、ユーザーがパッケージを要求して割り当てが行われると、サービス サポート管理者は常に特権を利用でき、必要な時だけヘルプデスク管理者の特権も利用できるようなイメージになります。

  2. 誰がこのパッケージを要求できるのかを「アクセス権を要求できるユーザー」を指定し、承認の設定を行います。たとえば今回の場合、IT ヘルプデスクの部門のユーザーが要求できるようなパッケージを作成したいので、社内 (自分のディレクトリ内) に所属しているだけではなく、 IT ヘルプデスクというグループに所属しているユーザーのみが要求できるように構成しました。

    下に少しスクロールすると、承認の設定も表示されます。今回は、マネージャーに承認操作を行わせたいので、「承認者としてのマネージャー (Manager as Approver)」を選択します。必要に応じて、承認ステージを 2 や 3 に増やす、理由を要求する、何日以内に決定しないといけないかを指定する、ユーザーの代わりにマネージャーがパッケージを要求できるかを指定するなど様々な設定がありますので、ご要望やご要件に応じてカスタマイズも可能です。

    定期的なアクセス レビューを設定すると、アクセスが不要になった場合に役割の割り当てを削除することもできます。この設定は「ライフサイクル」タブの設定で可能ですので下記に案内します。

    なお、「要求」から「ライフサイクル」のメニューまでには「要求元情報」というメニューもありますが、これはユーザーがパッケージを要求するときに質問を表示させ、回答してもらうようなことができる画面です。ユーザーから情報を収集したいといったご要望がある際に利用できます。

  3. 「ライフ サイクル」タブで、有効期限とアクセス レビューの必要性を設定します。レビューの頻度を選択し、誰がレビューを行うかを指定できます。

これらのガバナンスの仕組みを適用することで、すべての IT 管理者に最小限の特権アクセスを保証し、不必要なアクセスや潜在的な悪用のリスクを低減することができます。この新機能をライフサイクル ワークフローなどの他のガバナンス機能と組み合わせることで、IT 管理者が組織を離れたり役割を変更したりしたときに、役割の割り当てが自動的に削除されるようにすることも可能です。これにより、組織はよりスムーズで安全な運用が可能になります。

ライフサイクル ワークフローの活用方法については、以前 ライフサイクル ワークフローを利用した簡易人事システムの紹介 にて紹介いたしました。人事異動や新入社員対応でも活用できる機能となりますので、ぜひあわせてご覧ください。

すでに Microsoft Entra ID Governance ライセンスをお持ちのお客様はすぐにこの機能をご利用いただけます。もしライセンスをお持ちでないお客様は、無料試用版のライセンスで利用を開始いただくか、すでにお持ちの P1/P2 ライセンスからアップグレードすることも可能です。ライセンスを購入する場合は、ライセンス パートナーからオンラインで購入するか、Microsoft 365 管理センターより直接ライセンスを購入ください。

]]> @@ -323,7 +323,7 @@ https://jpazureid.github.io/blog/azure-active-directory/built-in-security-controls-for-external-facing-apps/ 2024-11-10T00:00:00.000Z - 2025-01-04T14:47:56.960Z + 2025-01-04T15:03:23.140Z こんにちは、Azure Identity サポート チームの 高田 です。

本記事は、2024 年 11 月 6 日に米国の Microsoft Entra Blog で公開された Built-in security controls for external-facing apps を意訳したものになります。ご不明点等ございましたらサポート チームまでお問い合わせください。

今年の初めに、Microsoft Entra External ID の一般提供を発表しました。これは、次世代の CIAM ソリューションであり、組織は完全にカスタマイズ可能なコンシューマー向けのユーザー体験をアプリに組み込むと共に、エンタープライズ レベルのセキュリティとコンプライアンスを享受することが可能です。弊社は、お客様からのフィードバックに基づいて革新的な機能を定期的に展開し、管理者と開発者の日常の業務をより簡素にし、改善することに取り組んでいます。例えば、完全にカスタマイズ可能なモバイル アプリケーションを作成できるようにする ネイティブ認証の一般提供 に関する最近の発表もぜひご覧ください。

本日は、Microsoft Entra External ID を使用したエンドツーエンドの ID セキュリティ戦略の構築に関し、包括的な分析情報を提供するという、セキュリティの中でも重要な側面に焦点を絞ってお話ししたいと思います。これらの堅牢なセキュリティ対策を行うことで、ビジネスを守るというだけでなく、アプリのエンドユーザーの信頼と満足度も高め、ユーザー体験がシームレスで安全であるという安心感をも与えることができるということを弊社は目指しています。では、プリンシパル プロダクト マネージャーの Pawan Nrisimha より、External ID に組み込まれたエンタープライズ レベルのセキュリティ制御について詳しく説明してもらいます。

Microsoft Entra External ID に組み込まれているエンタープライズ レベルのセキュリティ制御

Microsoft Entra External ID のエンドツーエンドかつ幾層にも及ぶセキュリティ戦略は、全体の機能を支える基盤としての Core Protection 層から始まり、Microsoft Entra ID を活用している従業員だけでなく、外部ユーザーに対しても核となるセキュリティ機能を拡張していくというものです。わずかワンクリックで、リアルタイムおよびオフラインの堅牢な保護機能を有効化し、すべてのユーザーをエンタープライズ レベルのセキュリティで保護することが可能になります。現時点では、ブルート フォース保護、一般的なネットワーク周りの HTTP 保護、アカウント保護、アクセス制御などの核となる保護機能に注力しており、これらの保護は External ID のテナントを作成すると既定で有効になります。

図 1: Microsoft Entra ID に既定で用意されているエンタープライズ レベルのセキュリティ制御。

ID に関連するサービスを提供する最大のプロバイダーの 1 つとして、弊社はお客様のアプリケーションに対してますます多くの攻撃が行われていることを目の当たりにしています。例えば、DDoS 攻撃が増え続けており、6 月にはすべてのお客様で 1 日あたり約 4,500 件の攻撃がありました。External ID を使用すると、大量の要求でサービスをダウンさせようとする試みを効果的に防ぐことが可能です。Microsoft Entra External ID を使用して外部テナントを作成すると、このような堅牢なセキュリティ対策が 既定で有効 になり、これらの増大するサイバー空間の脅威からアプリケーションを保護できます。既定では、External ID はパスワード スプレー攻撃からエンドユーザーを保護する機能も提供しています。パスワード スプレー攻撃は今年に入り、1 秒あたり 7,000 件に達しています。機密性の高いユーザー データを危険にさらす不正アクセスの試みがあったとしても、すべてのコア セキュリティ制御によりアプリケーションが保護されます。

図 2: ブロックされたリクエストの数と合計トラフィック数の比較。この期間中、リクエストの 55% 近くが攻撃と判定されブロックされました。

このグラフから、お客様が実際に大規模な DDoS 攻撃に直面しており、攻撃者は膨大なリクエストをサーバーに送信していることが分かります。Microsoft Entra External ID に 組み込まれた DDoS 保護 は、異常なトラフィック パターンを検出し、攻撃を緩和する処理を有効化することで、悪意のあるトラフィックを除外し、正当な要求を許可してサービスが中断されないようにします。

同様に、次のグラフに示されている Slow Loris 攻撃では、Microsoft Entra External ID は、実害が生じる前にアイドル状態の接続を特定して破棄することで攻撃を防いでいます。このような堅牢な保護により、サービス品質に影響を与えることなく大量の同時リクエストが処理され、アプリの安全性だけでなくエンド ユーザーの信頼も保たれることになるのです。(Microsoft 内部データ)

図 3: Slow Loris 攻撃がブロックされた例。

弊社は、潜在的な脅威に先手を打つべくシステムを継続的に更新していますのでご安心ください。

条件付きアクセスでリスクを検出および解消する

ここまでで、外部テナントの作成時に既定で有効になる保護機能について説明してきました。お客様のアプリのセキュリティをさらに強化するために、条件付きアクセス ポリシーをカスタマイズして多要素認証 (MFA) を求めることで、侵害のリスクが 99.22% と大幅に減少し (2023 年 Microsoft デジタル防衛レポート)、不正アクセスが防止されるだけでなく、フィッシングやアカウント乗っ取りなどの脅威に対する堅牢な防御が提供されます。外部テナントで構成できるさまざまな MFA 方法の詳細については、弊社ドキュメント をご覧ください。

図 4: 外部ユーザー向けの MFA。

次のステップ: エンドツーエンドの CIAM セキュリティ戦略を構築する

ここまでで、テナント作成時から有効な既定のセキュリティ機能についてご理解いただけたと存じます。次に、お客様が自社の ID に関するセキュリティ要件について確認され、さらに高度な脅威が存在しているという点についても理解が得られましたら、ぜひ以下に紹介します External ID のプレミアム セキュリティ機能についてもご検討ください。今後数か月の間に、包括的な外部 ID セキュリティ ブログの連載を開始し、Web Application Firewall (WAF) の統合、不正サインアップの防止、サインイン アカウントの乗っ取り保護、そして最後にオフラインでの脅威ハンティングのための SIEM/SOAR ツールに関する情報を公開する予定です。

図 5: Microsoft Entra External ID を使用して Web アプリケーションとモバイル アプリケーションをセキュリティで保護。

Microsoft Entra External ID を使用して、安全で美しく、使い心地の良いアプリを数分で構築できます。今すぐ aka.ms/TryExternalID にアクセスしてお試しください。

]]> @@ -348,7 +348,7 @@ https://jpazureid.github.io/blog/azure-active-directory/update-to-security-default/ 2024-11-09T16:00:00.000Z - 2025-01-04T14:47:57.676Z + 2025-01-04T15:03:23.884Z こんにちは、Azure Identity サポート チームの 名取 です。

本記事は、2024 年 10 月 31 日に米国の Microsoft Entra Blog で公開された Update to security defaults を意訳したものになります。ご不明点等ございましたらサポート チームまでお問い合わせください。

弊社では Secure Future Initiative の一環として、セキュリティに対するアプローチを進化させており、設計の段階からセキュリティ対策を組み込んでおく (Secure by Design) こと、セキュリティ機能が既定の状態で有効になっている (Secure by default) こと、セキュリティを守った運用を行う (Secure Operations) ことという 3 つのセキュリティ原則に沿っています。セキュリティ機能が既定の状態で有効になっている (Secure by default) とは、セキュリティによる保護が既定の設定として有効化され、強制されていることを意味します。Microsoft Entra では、セキュリティ既定値群の機能がその例であり、最初からすべての新しいテナントで有効化され、Entra の ID とリソースに対するベースラインとしての保護レベルが提供されます。弊社はセキュリティ既定値群を利用する組織がより十分に保護されるよう、認証方法に関する要件を更新し、セキュリティをさらに向上するよう努めています。

そこで今回、セキュリティ既定値群が有効な場合、多要素認証 (MFA) の登録を 14 日間スキップするオプションを廃止することにしました。これにより、すべてのユーザーはセキュリティ既定値群が有効になった後の最初のログイン時に MFA を登録する必要があります。この措置により、14 日の間にアカウントが侵害されるリスクを軽減することが可能になります。これは MFA が ID に基づく攻撃の 99.2% 以上をブロックできるためです。この変更は、2024 年 12 月 2 日以降に新しく作成されたテナントに適用され、2025 年 1 月から既存のテナントに展開されます。

この更新は、皆様に安全で信頼性の高い ID サービスを提供するための継続的な取り組みの一環です。そのため、お客様のテナントで条件付きアクセスを使用していない場合は、セキュリティ既定値群の機能を有効にすることをお勧めします。セキュリティ既定値群は、よくある脅威からユーザーとリソースを保護するためのシンプルで効果的な方法です。

これらの今後の更新とユーザーが必要とする準備につきましては、ドキュメント をご覧ください。

Nitika Gupta
Group Product Manager, Identity

]]> @@ -373,7 +373,7 @@ https://jpazureid.github.io/blog/azure-active-directory/the-latest-enhancements-in-microsoft-authenticator/ 2024-11-08T16:00:00.000Z - 2025-01-04T14:47:57.664Z + 2025-01-04T15:03:23.876Z こんにちは、Azure Identity サポート チームの 五十嵐 です。

本記事は、2024 年 10 月 23 日に米国の Microsoft Entra (Azure AD) Blog で公開された The latest enhancements in Microsoft Authenticator の抄訳です。ご不明点等ございましたらサポート チームまでお問い合わせください。

皆さん、こんにちは。

この度は、フィッシング耐性のある認証でユーザーをより保護できるよう、Microsoft Entra ID の 3 つの大きな機能強化を発表できることを嬉しく思います:

  • パブリック プレビューの更新: Microsoft Authenticator におけるデバイスに紐づくパスキーのサポート
  • パブリック プレビュー: Android 14 のネイティブ ブローカー アプリケーション (Outlook や Teams など) での FIDO2 セキュリティ キーのサポート
  • 一般提供 (GA): Android における Microsoft Authenticator の FIPS 準拠

これらの機能強化は、国家のサイバーセキュリティ向上に関する米国大統領令 14028 を遵守するためだけでなく、安全なデジタル ID に依存するすべての組織とユーザーを保護するためにも極めて重要です。さらに詳細を見てみましょう!

パブリック プレビューの更新: Microsoft Authenticator におけるデバイスバインド パスキーのサポート

5 月の World Password Day において、より高いセキュリティ アシュアランスを必要とする組織を対象に、iOS および Android 用の Microsoft Authenticator においてデバイスに紐づくパスキーのサポートのパブリック プレビューを発表しました。そしてこの度、この機能に新機能を追加しました!

パブリック プレビューの期間中、パスキーの登録が煩雑でエラーが発生しやすいというお客様からの貴重なフィードバックをいただきました。ノート PC から登録する際、19 ものステップを踏んだり、デバイスの Bluetooth を有効にするなどの重要な前提条件を見逃したり、サポートされていないプロバイダーでパスキーを設定したりしたユーザーもいました。このようなフィードバックに基づき、私たちは登録フローを改善し、ユーザーが確実にパスキーを登録できるよう、よりカスタマイズされたユーザー体験を提供するようにしました。また最初に Authenticator アプリにサインインするようユーザーを誘導することで、登録プロセスを最適化しました。このアプローチにより、シームレスなユーザー体験が提供され、前提条件を満たした状況でユーザーを誘導し、デバイス間の切り替えも大幅に削減されました。

ユーザー体験の強化に加え、アプリとしての正当性確認を導入することでセキュリティ体制も強化しました。Android と iOS の API を活用し、パスキーの登録前にユーザーのデバイス上の Microsoft Authenticator アプリの正当性を検証します。

図 1: Microsoft Authenticator のパスキー

図 2: Microsoft Authenticator のパスキー

図 3: Microsoft Authenticator のパスキー

図 4: Microsoft Authenticator のパスキー

この 2 つの機能は現在プレビュー中です。近々予定されている一般提供に向けて、ぜひ組織内でこれらの機能の試験運用を開始し、フィードバックを共有ください。

パスキーを利用するには、当社の ドキュメント をご覧ください。Microsoft Entra ID のパスキー サポートの詳細については、当初の発表である パブリック プレビュー: パスキーのサポートを Microsoft Entra ID に拡張 をご覧ください。

パブリック プレビュー: Android 上のブローカー アプリケーションでのパスキー (FIDO2) 認証

Microsoft Authenticator のパスキー サポートのパブリック プレビュー更新と並行して、Android 上でのブローカーを経由した Microsoft アプリケーション内でのパスキー (FIDO2) 認証のパブリック プレビューも開始しました。Android 14 以上のデバイスに Microsoft Authenticator アプリまたは Microsoft Intune Company Portal アプリが認証ブローカーとしてインストールされている場合、ユーザーは Microsoft Authenticator アプリで FIDO2 セキュリティ キーまたはパスキーを使用して、Teams や Outlook などの Microsoft アプリケーションにサインインできるようになりました。

Android 13 でのブローカーを経由した Microsoft アプリへの FIDO2 セキュリティ キーのサインイン機能は、今後数ヶ月以内に提供される予定です。

一般提供 (GA): Android における Microsoft Authenticator の FIPS 準拠

iOS と Android の Microsoft Authenticator が FIPS 140 に準拠しました。iOS 版の Authenticator アプリは 2022 年 12 月から FIPS 140 に準拠しています が、Android の Authenticator アプリの FIPS 140 準拠バージョンは 2024 年 9 月にリリースされました。

Microsoft Authenticator の FIPS 140 準拠は、連邦政府機関が 大統領令 (EO) 14028 “国家のサイバー セキュリティの改善” の要件を満たすこと、ならびに医療機関が EPCS (Electronic Prescriptions for Controlled Substances) の要件を満たすのに重要な役割を果たします。

パスキー、パスワードレスの電話によるサインイン、多要素認証 (MFA)、ワンタイム パスワード コードを含む、Authenticator を使用した Microsoft Entra ID のすべての認証は FIPS 準拠と見なされます。この機能を有効にするために、Microsoft Authenticator または Microsoft Entra 管理センターで構成を変更する必要はありません。Android の Microsoft Authenticator バージョン 6.2408.5807 以降のユーザーは、Microsoft Entra ID 認証が既定で FIPS 140 準拠となります。

Android 上の Microsoft Authenticator は、WolfSSL Inc. の wolfCrypt モジュールを使用して、FIPS 140-3 レベル 1 準拠を実現しています。使用されている認証の詳細については、暗号モジュール検証プログラム の情報を参照ください。

これらのリリースにより、Microsoft Authenticator のユーザー体験とセキュリティ体制が大幅にレベルアップし、フィッシングへの対策を実施しやすくなりました。フィッシング対策をまだ検討されていない場合は、ぜひご検討ください。更新された パスワードレス デプロイ ガイド を使用して、この取り組みをぜひ開始ください。

これらの新機能をお試しいただき、ご意見をお聞かせいただけることを楽しみにしています。

ありがとうございます。
Nitika Gupta

]]> @@ -398,7 +398,7 @@ https://jpazureid.github.io/blog/azure-active-directory/whats-new-in-microsoft-entra-in-202409/ 2024-11-08T00:00:00.000Z - 2025-01-04T14:47:57.720Z + 2025-01-04T15:03:23.932Z こんにちは! Azure ID チームの小出です。

今回は、2024 年 10 月 9 日に米国の Microsoft Entra (Azure AD) Blog において、Shobhit Sahay によって公開された What’s new in Microsoft Entra - September 2024 を分かりやすく日本語におまとめしなおしたものになります。ご不明点などございましたらお気軽にサポートへお問い合わせをいただけますと幸いです。

まず、業界で最も包括的なセキュア アクセス ソリューションの一つである Microsoft Entra Suite の一般提供を開始したことをお知らせします。攻撃経路の 66% が十分に安全でない資格情報に関与しているなか、Microsoft Entra Suite は、クラウドおよびオンプレミスのアプリへの最小特権アクセスを可能にすることで、セキュリティ侵害を防ぎます。これにより、ネットワーク アクセス、ID 保護、ガバナンス、および資格情報の検証が統合され、オンボーディングの効率化、リモート アクセスの刷新、アプリおよびリソースへの安全なアクセスが実現されます。Microsoft Entra Suite のトライアル をぜひ開始ください。

また、昨年 11 月に、弊社はサイバー攻撃の増加に対抗するために Secure Future Initiative (SFI) を立ち上げました。セキュリティは今や弊社のすべての意思決定を左右する要因となっており、2024 年 9 月に発行された SFI の進捗報告書 に詳細がまとめられています。本日は、2024 年 7 月から 9 月にかけての Microsoft Entra における新しいセキュリティ改善と革新を製品ごとに整理して共有します。

Microsoft Entra の新機能 のビデオもぜひご覧になり、製品のアップデートの概要を確認するとともに、詳細情報については Microsoft Entra 管理センターの 新機能ブレード公開情報 もご覧ください。

下記に、各サービスの新機能と、変更についてのアナウンスをおまとめしました。利用環境によって対応が必要なものもございますので、利用している機能について確認のうえ、必要に応じて対処ください。

新機能の紹介

Microsoft Entra ID の新機能

Microsoft Entra ID ガバナンスの新機能

Microsoft Entra External ID の新機能

Microsoft Entra Verified ID の新機能

Microsoft Entra Internet Access の新機能

Microsoft Entra Private Access の新機能

変更のお知らせ(まとめ)

セキュリティの改善

内容対応が必要かどうか
Microsoft Entra 管理センターでの MFA 強制適用の予定お客様によっては対応が必要
Apple 社製デバイスのキーチェーンに基づくデバイス ID の廃止お客様によっては対応が必要
Microsoft Entra Connect を最新バージョンにアップグレードお客様によっては対応が必要
login.microsoftonline.com の新しい認証局 (CA)お客様によっては対応が必要
企業向けデータ保護機能に関する Microsoft Copilot の更新対応の必要なし
すべての Android ユーザーにおける既定でのブラウザー アクセス (EBA) 有効化対応の必要なし
Microsoft Entra Connect Sync および Cloud Sync の Directory Synchronization Accounts (DSA) ロールの権限制限対応の必要なし
SSO 登録ダイアログの今後の改善予定対応の必要なし

ID の最新化

内容対応が必要かどうか
重要な更新: Azure AD Graph の廃止お客様によっては対応が必要
重要な更新: AzureAD PowerShell および MSOnline PowerShell の廃止お客様によっては対応が必要
Microsoft Entra Admin Center でのライセンス割り当ての変更が非サポートにお客様によっては対応が必要
Microsoft Graph 用 Bicep テンプレートでの動的な型のバージョン管理お客様によっては対応が必要
Entra ポータルでのレガシーなユーザー認証方法の管理画面の廃止対応の必要なし
ブラウザ アクセスの有効化 (EBA) UI の廃止対応の必要なし
自分のグループにおける管理者設定の変更延期対応の必要なし
セキュリティ情報におけるサインイン方法の選択画面のユーザー インターフェイスの更新対応の必要なし
プロビジョニング UX の刷新対応の必要なし

ユーザー エクスペリエンスの向上

内容対応が必要かどうか
アクセス パッケージの探し方が一覧からの選択ベースから検索ベースに移行お客様によっては対応が必要

Microsoft Entra Internet Access と Microsoft Entra Private Access に関する変更

内容対応が必要かどうか
Microsoft Entra Internet Access および Microsoft Entra Private Access の今後のライセンス強制お客様によっては対応が必要

変更のお知らせ(詳細)

セキュリティの改善

Microsoft Entra 管理センターでの MFA 強制適用の予定

[対応が必要な場合があります]

お客様に最高レベルのセキュリティを提供するという弊社のコミットメントの一環として、Azure にサインインするユーザーに多要素認証 (MFA) を要求することを 以前に発表 しました。MFA の適用範囲には、Azure ポータルと Intune 管理センターに加え、Microsoft Entra 管理センター も含まれます。この変更は段階的に展開されるため、お客様においては対応を順次進めるようご対応ください。段階的な展開フェーズの詳細は下記のとおりです:

フェーズ 1: 2024 年 10 月 15 日 以降、Entra 管理センター、Azure ポータル、および Intune 管理センターへのサインインに MFA が必要になります。この施行は、全世界の全テナントに順次展開されていきます。このフェーズでは、Azure Command Line Interface、Azure PowerShell、Azure モバイルアプリ、Infrastructure as Code(IaC)ツールなど、他の Azure クライアントには影響を及ぼしません。

フェーズ 2:2025 年初頭から、Azure CLI、Azure PowerShell、Azure モバイルアプリ、および Infrastructure as Code(IaC)ツールのサインイン時にMFAを段階的に実施します。

弊社からは、すべての Entra のグローバル管理者に電子メールおよび Azure サービス正常性の通知をとおして 60 日の事前通知を送付し、強制の開始日と必要な対応についてお知らせする予定です。加えて、Azure ポータル、Entra 管理センター、M365 メッセージセンターでも追加の通知を行う予定です。

弊社では、この MFA の強制に備えるにあたり一部のお客様でより長い準備期間が必要なことも承知しております。このため、複雑な環境や技術的障壁のあるお客様向けに延長期間を設けます。弊社からの通知には、お客様テナントでの MFA 強制の開始時期を延長する手順、延長期間、そのリンクも含まれる予定です。詳細については、MC862873 - Azure ポータル (および Azure CLI 等) の MFA 義務付けの延長申請について もご覧ください。

日付変更のお知らせ: Apple 社製デバイスのキーチェーンに基づくデバイス ID の廃止

[対応が必要な場合があります]

今年初め、Microsoft Entra ID プラットフォームにおける Apple デバイスのキーチェーンに基づくデバイス ID の廃止を 発表 しました。 以前発表した 2026 年 6 月の非推奨の日程は、弊社がコミットメントとする安全な設計と既定の設定への対応の一環として、2025 年 6 月に前倒しされました。この変更は、デバイスのセキュリティを強化し、お客様のデータをより適切に保護するために行われます。

この変更が実施されると、Microsoft Entra ID によって管理される新規登録された Apple デバイスは、Apple の Secure Enclave に基づく、強力なハードウェア ベースのシークレットを使用するようになります。詳細については、この非推奨に関する最新のドキュメント をご覧ください。お客様とアプリケーションの開発ベンダーの皆様におかれましては、この新しいデータ ストアとの互換性に問題がないかソフトウェアのテストを進めることをお勧めします。

2025 年 4 月 2 日までに Microsoft Entra Connect を最新バージョンにアップグレード

[対応が必要な場合があります]

2024 年 10 月上旬に Microsoft Entra Connect Sync の新バージョンをリリースする予定です。このバージョンでは、バックエンドのサービス変更が含まれており、当社のセキュリティがさらに強化されます。サービスの中断を避けるため、お客様は 2025 年 4 月上旬までにそのバージョン (2.4.XX.0) にアップグレードする必要があります (正確な期限はバージョン リリース時に発表されます)。

今後のリリース予定については、ロードマップ をご覧ください。Connect Sync の 2025 年初頭のリリースと同時に、サポートされているお客様には自動アップグレードを行います。自動アップグレードをご希望のお客様は、自動アップグレードが構成されていること をご確認ください。

サービス変更の最小要件と予想される影響の一覧については、こちらの記事 をご覧ください。アップグレード関連のガイダンスについては、ドキュメント をご覧ください。

Note

Microsoft Entra Connect のバージョンアップに関するお知らせは、 Microsoft 365 管理センター上のメッセージ センターにおいても、MC906491 にてお知らせしております。また、2024 年 10 月 7 日に バージョン 2.4.18.0 が既にリリース済みです。

Entra Connect のアップグレードに関しては、長期間アップグレードを行わなかったことで、廃止期限やサポート期限が切れたお客様からよくお問い合わせいただいております。アップグレード手順の詳細などは下記ブログでも案内しておりますので、期限に余裕をもって準備ならびに対処を実施くださいますようお願い申し上げます。

Microsoft Entra Connect アップグレード手順詳細

Microsoft Entra Connect 2.3.20 のインストールおよびアップグレードに失敗する際の対応方法

login.microsoftonline.com の新しい認証局 (CA): DigiCert 証明書のみを信頼するお客様は対応が必要

[対応が必要な場合があります]

Microsoft Entra ID は、login.microsoftonline.com ドメインのサーバー証明書に新しい認証局 (CA) を導入します。現在、login.microsoftonline.com への接続には、DigiCert の証明書が使用されています。2024 年 10 月 1 日以降、Microsoft Azure CA によって発行された証明書も提示される可能性があります。このアップデートは、Entra ID のセキュリティを強化し、耐障害性を向上させるためのものです。これにより Microsoft Azure CA を信頼していないお客様や、クライアント側を DigiCert の証明書に固定しているお客様は、認証に失敗する可能性があるため、影響を受ける可能性があります。

推奨される対策:

問題の発生を防ぐために、Azure 証明書の公開ドキュメント に記載されているすべてのルート認証局および下位認証局を信頼することを推奨します。この文書には、1 年以上前から Microsoft Azure CA が含まれています。login.microsoftonline.com ドメインを使用している Entra ID ユーザーにおいては、シームレスな移行のために、DigiCert へのクライアント側の固定をすべて解除し、新しい Azure CA を信頼することが重要です。中断のない安全なサービスを保証する方法の詳細については、パブリック PKI のクライアント互換性に関するドキュメント をご確認ください。

企業向けデータ保護機能に関する Microsoft Copilot の更新

[対応不要です]

先月、Microsoft Entra アカウントを持つユーザー向けの無料の Microsoft Copilot サービスにいくつかのアップデートを行い、データ セキュリティ、プライバシー、コンプライアンスを強化し、ユーザー体験をよりシンプルなものにしました。ユーザーが Entra アカウントでサインインすると、Microsoft Copilot によりエンタープライズ データ保護 (EDP) が提供され、エンタープライズ環境および教育向けに設計された、より新しくシンプルな、広告なしのユーザー インターフェイスにユーザーは誘導されます。

Microsoft Copilot の EDP を使用すると、データは外部で利用されることなく、基盤モデルの学習に使用されることもありません。EDP の詳細については、当社のドキュメント を参照ください。

また、お客様が Entra アカウントに加えて Microsoft 365 サブスクリプションをお持ちの場合、Microsoft Copilot をピン留めすることでアプリ内アクセスを有効にできます。Microsoft Copilot をピン留めすると、9 月中旬から Microsoft 365 アプリ内でも Microsoft Copilot が表示されるようになり、Microsoft Teams と Outlook にも近日中にこの機能が追加される予定です。Microsoft Copilot のチャット履歴などの追加機能は、Microsoft 365 のサブスクリプションを契約しているユーザーも利用できます。

Microsoft 365 サブスクリプションの有無にかかわらず、これらの変更に関する追加情報については、当社の ブログおよび FAQ をご覧ください。

Microsoft Copilot のこれらのアップデートについては、今後のさらなる機能をお楽しみにお待ちください。9 月中旬より前に、エンタープライズ データ保護機能を搭載した Microsoft Copilot のアップデートを試用されたい場合は、プライベート プレビューをご利用いただけます (数に限りがあります)。お申し込みは フォーム にご記入ください。

すべての Android ユーザーにおける既定でのブラウザー アクセス (EBA) 有効化

[対応不要です]

継続的なセキュリティ強化の一環として、Android 用の Authenticator および Company Portal アプリにおける Enable Browser Access (EBA) のユーザー インターフェイスが廃止されます。その結果、すべての Android ユーザーでブラウザーでのアクセスが既定で有効になります。この変更は自動的に行われるため、管理者や Android ユーザーからの対応は必要ありません。

Microsoft Entra Connect Sync および Cloud Sync の Directory Synchronization Accounts (DSA) ロールの権限制限

[対応不要です]

継続的なセキュリティ強化の一環として、特権をもつ “ディレクトリ同期アカウント” ロールから未使用の権限を削除しました。このロールは、Connect Sync および Cloud Sync が Entra ID と Active Directory オブジェクトを同期するためにのみ使用されます。この機能強化の恩恵を受けるために、お客様が何らかの対応を行う必要はありません。変更されたロール権限の詳細については、ドキュメント を参照ください。

SSO 登録ダイアログの今後の改善予定

[対応不要です]

ユーザーが Windows デバイスにアカウントを追加する際のエンド ユーザー体験について、いくつかの改善を行っています。SSO 登録ダイアログ (同意画面) の表示内容を改善し、エンドユーザーから見える選択項目とその影響をわかりやすくする予定です。この変更には、画面上に ‘Learn more’ のリンクを表示する変更も含まれます。このリンクをクリックすると、ユーザーが十分な情報を得た上で項目を選択できるよう、より詳細な情報を提供する Microsoft Learn の記事が開きます。新しい SSO 登録ダイアログは、2024 年 10 月から順次導入される予定です。詳細は こちら をご覧ください。

ID の最新化

重要な更新: Azure AD Graph の廃止

[対応が必要な場合があります]

Azure AD Graph API サービスの廃止 は 2024 年 9 月 1 日に開始され、最終的には新規および既存のアプリケーションの両方に影響を与えます。今後数週間かけて廃止に向けたフェーズを開始します。新しいアプリケーションは、アクセスを延長するよう設定されていない限り、Azure AD Graph API を使用できなくなります。 Microsoft Graph が Azure AD Graph APIs の移行先です。Azure AD Graph API を利用されているお客様は直ちに Microsoft Graph に移行し、Azure AD Graph API を使用した今後の開発を行わないようにすることを強く推奨します。

Azure AD Graph APIサービスの段階的廃止のタイムライン
フェーズ開始日既存アプリへの影響新規アプリへの影響
2024 年 9 月 1 日なし。なし。
2025 年 2 月 1 日アプリケーションは、blockAzureAdGraphAccess を false に設定して Azure AD Graph へのアクセスを延長して許可するようにアプリが構成されている場合を除き Azure AD Graph API へのリクエストを行うことができなくなります。新しいアプリでは、blockAzureAdGraphAccess を false に設定して Azure AD Graph アクセスを延長して許可するようにアプリが構成されている場合を除き、 Azure AD Graph API の使用がブロックされます。新しいアプリでは Microsoft Graph を使用するとを強く推奨します。
2025 年 7 月Azure AD Graph が完全に廃止されます。Azure AD Graph API リクエストは機能しなくなります。Azure AD Graph が完全に廃止されます。Azure AD Graph API リクエストは機能しなくなります。

必要な対応:

サービスの中断を避けるために、アプリケーションを Microsoft Graph API に移行する手順 に従って、アプリを移行ください。

アプリの Azure AD Graph アクセスを 2025 年 7 月まで延長する必要があるお客様へ

アプリがまだ Microsoft Graph に移行を完了していない場合は、この廃止期限を延長可能です。アプリケーションの authenticationBehaviors の構成で blockAzureADGraphAccess 属性を false に設定すると、アプリケーションは 2025 年 6 月 30 日まで Azure AD Graph API を使用できます。詳細なドキュメントは こちら をご覧ください。

この設定を false に設定しない限り、新しいアプリケーションは Azure AD Graph API にアクセスしようとすると 403 エラーを受け取ります。2024 年に Microsoft Graph への移行が完了しない既存のアプリケーションについては、今すぐこの設定を行うようご対応ください。

Azure AD Graph API を使用しているテナント内のアプリケーションを特定する必要があるお客様へ

Microsoft Entra の推奨事項 は、テナントを安全で健全な状態にするための推奨事項を提供し、同時に、Entra ID で利用可能な機能の価値をお客様が最大化できるようにする機能です。

この機能では、テナント内で Azure AD Graph API を頻繁に使用しているアプリケーションとサービス プリンシパルに関する情報を表示する 2 つの Entra の推奨事項 を提供します。これらの新しい推奨事項は、影響を受けるアプリケーションとサービス プリンシパルを特定し、お客様が Microsoft Graph に移行しやすくするよう支援します。

参考:

重要な更新: AzureAD PowerShell および MSOnline PowerShell の廃止

[対応が必要な場合があります]

2024 年 3 月 30 日をもって、レガシーの Azure AD PowerShell、Azure AD PowerShell Preview、および MS Online モジュールは非推奨 となりました。これらのモジュールは 2025 年 3 月 30 日まで機能し続けますが、それ以降は廃止され、機能しなくなります。Microsoft Graph PowerShell SDK が、これらのモジュールの代替となるため、できるだけ早くスクリプトを Microsoft Graph PowerShell SDK に移行する必要があります。

テナントでの Azure AD PowerShell の使用状況を確認するために、「Migrate Service Principals from the retiring Azure AD Graph API to Microsoft Graph」 と題された Entra 推奨事項 を使用することができます。この推奨事項は、AzureAD PowerShell を含め、テナント内で Azure AD Graph API を使用しているアプリケーションを表示します。

最近ですが、Microsoft Entra PowerShell モジュールのパブリック プレビューが開始されました。この新しいモジュールは、Microsoft Graph PowerShell SDK をベースに構築され、シナリオに特化したコマンドレットを提供します。Microsoft Graph PowerShell SDK のすべてのコマンドレットと完全に相互運用可能で、シンプルでドキュメント化されたコマンドで複雑な操作を実行できます。また、このモジュールは 非推奨の AzureAD モジュールからの移行をより簡単にするための下位互換性オプションも提供しています。

Microsoft Graph API は最近、「ユーザーごとの MFA」設定の読み取りおよび構成が 可能となりました。Microsoft Graph PowerShell SDK コマンドレットでも近日中に利用できるようになる予定です。

Microsoft Entra Admin Center でのライセンス割り当ての変更が非サポートに

[対応が必要な場合があります]

これは、9 月中旬に Microsoft Entra 管理センターおよび Microsoft Azure 管理ポータルでのユーザーおよびグループのライセンス割り当ての変更がサポートされなくなったことの再度のお知らせです。今後は、これらのポータルでのライセンス割り当ては読み取り専用となります。ポータルからユーザーとグループのライセンス割り当てを変更する場合は、Microsoft 365 管理センター にアクセスする必要があります。なお、この変更は API や PowerShell モジュールには影響しません。ライセンス割り当てに関する問題が発生した場合は、Microsoft 365 サポートまでご連絡ください。詳細については、こちらをクリック ください。

Microsoft Graph 用 Bicep テンプレートでの動的な型のバージョン管理

[対応が必要な場合があります]

2024 年 10 月に、Microsoft Graph 用の Bicep テンプレート (パブリック プレビュー) に機能更新が実施されます。この動的な型の機能は、ベータ版と v1.0 の両方で、Microsoft Graph Bicep 型のセマンティック バージョニングを可能にします。Bicep ファイルの編集中に、現在の方法である Nuget パッケージを使用するのでなく、Microsoft artifact レジストリ から参照される Microsoft Graph Bicep 型のバージョンを指定可能になります。動的な型を使用することで、将来的に破壊的変更が生じても、古いバージョンのリソース型を使用する既存の Bicep ファイルのデプロイに影響を与えることなく、既存の Microsoft Graph Bicep リソース型を使用し続けることができます。

既定で用意されている型は非推奨になり、2025 年 1 月 24 日に廃止されます。廃止日まで、現在の既定の型は新しい動的な型と共存します。Microsoft Graph Bicep の型の変更は、新しいバージョンの動的型でのみ利用可能となります。

必要なアクション:

Bicep テンプレートの展開が失敗しないようにするため、2025 年 1 月 24 日までに新しい動的な型に切り替えるようご対応ください。この切り替えには、bicepconfig.json とメインの Bicep ファイルを少し更新する必要があります。さらに、更新された、または新しい Microsoft Graph リソース タイプを利用するには、Bicep ファイルが使用する型バージョンを更新する必要があります。次のステップについては、こちらをクリック ください。

Entra ポータルでのレガシーなユーザー認証方法の管理画面の廃止

[対応不要です]

2024 年 10 月 31 日より、Entra ポータルのレガシーなユーザー インターフェイス (UI) でユーザーの認証方法を管理する機能を廃止します。その代わりに、レガシーな UI と完全な互換性を持ち、最新の方法 (Temporary Access Pass、パスキー、QR+Pin など) と設定を管理できる新しい UI を提供します。これは、エンド ユーザーが自身の認証方法を管理する方法や、Entra にサインインする機能には影響しません。詳しくは、Microsoft Entra 多要素認証のユーザー認証方法の管理 をご覧ください。

ブラウザ アクセスの有効化 (EBA) UI の廃止

[対応不要です]

EBA は、Android ブローカー アプリ (Company Portal や Authenticator など) の機能で、Entra ID のデバイス登録証明書を Android デバイス上のグローバル キーチェーンに複製する機能です。これにより、Chrome などのブローカーと統合されていないブラウザでも、Entra のデバイス準拠ポリシーに対応するために必要なデバイス認証用の証明書にアクセスできるようになります。

全体的なセキュリティ強化の一環として、Entra ID のデバイス登録証明書と Android デバイス ID をハードウェアに固定して紐づけるよう移行を進めています。これにより、将来的にトークン保護ポリシーが適用可能になり、さらにデバイス準拠ポリシーを迂回できないようにすることも可能になります。この移行により、デバイス ID がハードウェアにバインドされるようになるため、EBA UI では鍵を複製してエクスポートすることができなくなります。Authenticator および Company Portal アプリの Enable Browser Access (EBA) UI は廃止され、ブラウザー アクセス (Chrome など) はデバイス登録時に自動的に有効化される予定です。

この機能は、Intune MDM ユーザーには既に提供されています。今回の変更は、VMWare や Jamf モバイル デバイス管理 (MDM) ソフトウェアを使用しているユーザーなど、Intune 以外のユーザーを対象としたものです。この変更は、2025 年上半期にすべてのお客様に適用されます。現時点では、お客様側での対応は何も必要ありません。

自分のグループにおける管理者設定の変更延期

[対応不要です]

Microsoft Entra 管理センターのセルフサービスのグループ管理の設定には「My Groups のグループ機能にアクセスできるユーザーを制限する」という設定があり、この設定は 2024 年 6 月に廃止予定であるということが 2023 年 10 月に発表 されました。この変更は現在も引き続き検討中であり、当初の廃止予定は一旦延期されました。新しい廃止予定日は今後発表される予定です。

セキュリティ情報におけるサインイン方法の選択画面のユーザー インターフェイスの更新

[対応不要です]

2024 年 8 月より、セキュリティ情報ページの「サインイン方法の追加」ダイアログが更新されました。サインイン方法の説明が改善され、新しい見た目や使い心地になりました。この変更により、ユーザーが「サインイン方法の追加」をクリックすると、最初に、組織の認証方法ポリシーで許可されている、利用可能な最も強力な方法の登録が推奨されます。また、ユーザーは「その他のオプションを表示」を選択し、ポリシーで許可されているすべての利用可能なサインイン方法から選択することもできます。管理者の操作は必要ありません。

プロビジョニング UX の刷新

[対応不要です]

現在のアプリケーション/HR プロビジョニングとクロステナント同期の UX を刷新します。この変更には、新しい概要ページに加え、アプリケーションへの接続、スコープ、および属性マッピングを構成するユーザー体験の刷新が含まれます。新しいユーザー体験には、現在お客様が利用可能なすべての機能が含まれており、お客様による対応は必要ありません。新しいユーザー体験は、2024 年 10 月末から順次提供を開始しますが、2024 年 1 月までは既存のユーザー体験をご利用いただけます。

ユーザー体験の向上

アクセス パッケージの探し方が一覧からの選択ベースから検索ベースに移行

[対応が必要な場合があります]

My Access において、ユーザーにお勧めのアクセス パッケージが一覧で表示されるという新機能が追加されます。これにより、ユーザーはアクセス パッケージの一覧をスクロールして探すことなく、最も関連性の高いアクセス パッケージを素早く閲覧できるようになります。テナントにあるすべてのアクセス パッケージを一覧して検索することも可能です。この変更は、10 月末までにプレビュー (オプトイン) としてすべてのお客様に展開され、展開後はこの変更についてお知らせする製品内のメッセージが画面上に表示されます。11 月末までにオプトアウトのプレビューに移行し、12 月に一般提供を開始する予定です。

Microsoft Entra Internet Access および Microsoft Entra Private Access の今後のライセンス強制

[対応が必要な場合があります]

2024 年 10 月初旬より、Microsoft Entra Internet Access および Microsoft Entra Private Access のライセンス強制が Microsoft Entra 管理センターで開始されます。これは、2024 年 7 月に開始された Microsoft Entra Internet Access および Microsoft Entra Private Access の一般提供から 90 日間の通知期間に続くものです。Global Secure Access の詳細については、こちら をご覧ください。

どちらのライセンスも 30 日間のトライアルが可能です。 価格については こちら をご覧ください。

Shobhit Sahay

]]> @@ -423,7 +423,7 @@ https://jpazureid.github.io/blog/azure-active-directory/microsoft-entra-internet-access-now-generally-available/ 2024-11-02T01:00:00.000Z - 2025-01-04T14:47:57.368Z + 2025-01-04T15:03:23.560Z こんにちは、Azure Identity サポートチームの 姚 (ヨウ) です。

本記事は、2024 年 9 月 18 日に米国の Azure Active Directory Identity Blog で公開された Microsoft Entra Internet Access now generally available - Microsoft Community Hub を意訳したものになります。ご不明点等ございましたらサポート チームまでお問い合わせください。

ハイブリッドな働き方が増すにつれ、ID とネットワークのセキュリティ専門家たちは組織を守るための最前線に立たされています。従来のセットワーク セキュリティのツールでは、統合性、複雑性、スケーラビリティという、どこからでもアクセスが可能という昨今のネットワーク環境の要件を満たせなくなっており、組織はセキュリティ リスクと劣悪なユーザー体験にさらされています。これを解決するために、ネットワーク セキュリティと ID を一体化した保護が必要です。ID とネットワークの制御がセキュリティの制御に高度に組み込まれることで、暗黙的な信頼なく、すべてのユーザー、デバイスおよびアプリケーションに対して、必要な対象に必要最低限の特権が許可されるというゼロ トラストの概念に基づく環境を提供可能となります。

Microsoft Entra Internet Access

2024 年 7 月 11 日に Microsoft Entra Suit の 一般提供を発表 しました。この Microsoft Entra Suit には Security Service Edge (SSE) ソリューションの一部である Microsoft Entra Internet Access が含まれております。Microsoft Entra Internet Access は、ID を中心に据えたセキュア ウェブ ゲートウェイ (SWG) ソリューションにより、すべてのインターネットおよび SaaS アプリケーションやリソースへのアクセスを保護します。これにより、ID およびネットワーク アクセスの制御が単一のゼロ トラスト ポリシー エンジンを通じて統合され、これまでカバーできていなかったセキュリティの抜け穴が解消されるとともに、サイバー脅威のリスクを最小限に抑えることが可能となります。我々のソリューションは、Microsoft Entra ID をシームレスに統合し、複数の場所 (ツールなど) でユーザー、グループおよびアプリケーションを管理する負担を軽減します。ユニバーサル条件付きアクセス、文脈を意識したネットワーク保護およびウェブ コンテンツ フィルターによってユーザー、デバイスおよびアプリケーションを保護しますので、バラバラな複数のネットワーク セキュリティ ツールの管理に悩むことはなくなります。

図 1: ID 中心の SWG を用いてすべてのインターネットと Saas アプリおよびリソースへのアクセスを保護する。

ID とネットワークの統合セキュリティ

Entra ID との強力な統合によって、条件付きアクセスや継続的なアクセス評価 (CAE) をインターネット上のリソースやクラウド アプリケーションなど、Entra ID とフェデレーションしていない 外部の対象にまで拡張 できます。条件付きアクセスとの統合により、組織に合わせてカスタマイズしたネットワーク保護ポリシーを柔軟に適用し、デバイス、ユーザー、場所およびリスク条件を活用しながら、きめ細かい制御を強制することが可能になります。さらに、Microsoft Entra Internet Access はトークン再生攻撃からの防御やデータ流失の制御などの強化されたセキュリティ機能も提供します。

図 2: ネットワーク セキュリティ ポリシーの強制にユーザーやデバイス、場所、リスクという条件付きアクセスの制御を活用する。

一連の流れを意識したネットワーク セキュリティでユーザーを保護

Microsoft Entra Internet Access により ネットワークを対象としたセキュリティ ポリシーを条件付きアクセスと連携させる ことができるようになるため、SWG のポリシーを強制するにあたり、お客様は様々なシナリオに対応できる新たなツール得ることになります。Web カテゴリ フィルター により、事前に用意された ウェブ カテゴリ にもどづいて広範なインターネット アクセス先を許可/ブロックするような構成を実現できます。さらにきめ細かいポリシーを構成したい場合は、完全修飾ドメイン名 (FQDN) フィルターを利用して、特定のエンドポイント用のポリシーを設定したり、既定の Web カテゴリー ポリシーを上書きしたりすることも可能です。

例えば、会計部門のチームに重要な会計アプリケーションへアクセスを許可する一方で、組織のほかの部門からアクセスを制限するようなポリシーを作成できます。また、Entra ID Protection によってユーザー リスクが上昇したメンバーに対しては、動的にユーザーのリスク レベルに対応し、これら重要なリソースへのアクセスを制限するリスクベースのフィルター ポリシーを追加することも可能です。これにより組織に対し、より強力な保護を提供することができます。さらに別の例としては、Microsoft Entra Internet Access、条件付きアクセス、および Entra ID Govermance ワークフローを組み合わせて活用することで、Dropbox に Just-In-Time アクセスを実現し、ほかのすべての外部ストレージ サイトへのアクセスはブロックするいうことも可能です。

今後、TLS インスペクションおよび URL フィルターの機能を追加し、Web フィルター ポリシーでさらにきめ細かい制御ができるようにする予定です。加えて、既知の悪意あるインターネット サイトへのユーザーによるアクセスを防ぐために、脅威インテリジェンス (TI) のフィルターも追加する予定です。

準拠ネットワークのチェックでトークン再生攻撃へ多層防御を提供

新機能である 準拠ネットワーク の制御により、Microsoft 365 アプリケーションを含め Entra ID とフェデレーションしているインターネット アプリケーションに対し、準拠ネットワークのチェック機能を条件付きアクセスと組み合わせて適用できるため、認証プレーン全体でトークン再生攻撃を防ぐことが可能となります。この機能により、ユーザーがアプリケーションにアクセスする際に、SSE のセキュリティ機能を迂回できないようにできます。送信元 IP を用いた場所に基づく強制には、煩雑な IP 管理に加え、支店ネットワークを経由してアクセスしてくるユーザーとトラフィックの紐づけという固有の問題点がありますが、準拠ネットワークの機能を用いればその欠点も解消可能です。

ユニバーサル テナント制限 (TRv2) による制御でデータ流出を防止

Microsoft Entra Internet Access では OS やブラウザに依存せず、すべての管理対象デバイスで ユニバーサル テナント制限 の制御を有効にできます。テナント制限 v2 は強力なデータ流出防止機能であり、外部の ID およびアプリケーションへアクセス可能/不可能かを許可または拒否リストできめ細かく選定することにより、管理対象デバイスおよびネットワークに対する外部からのアクセスのリスクを管理可能となります。

図 5: ユニバーサル テナント制限

ユーザーの送信元 IP を隠蔽しない

従来のサードパーティ SEE ソリューションはユーザーの送信元 IP を隠し、プロキシー サーバーの IP アドレスだけを見せますが、これでは Entra ID ログの信頼性が低下し、条件付きアクセスの制御においても制御の正確性が損なわれます。我々のソリューションでは、Entra ID の監査ログやリスク評価において可能な限り エンドユーザーの送信元 IP を復元 します。これにより、条件付きアクセス ポリシーで送信元 IP ベースの場所チェックを引き続き利用できますので、後方互換性も維持できます。

グローバル スケールで高速かつ安定したアクセスを提供

弊社はグローバル規模でプロキシを展開しており、インターネットへ流れるトラフィックを最適化するためにユーザーの近くにエンドポイントを展開し、通信に必要なホップ数を削減しています。ユーザーからわずか数ミリ秒の距離にある弊社のグローバル セキュア エッジを経由して、リモートワークをしている従業員や支店とをつなげることができるのです。弊社はインターネット プロバイダーや SaaS サービスと数千のピアリングの接続を保持しており、加えて、Microsoft 365 および Azure のようなサービスには Microsoft WAN 基盤へ直接トラフィックを送ることにより、追加の通信ホップによるパフォーマンス劣化を回避しつつ、全体のユーザー エクスペリエンスを向上させています。

図 7: マイクロソフトのグローバル WAN

製品内のダッシュボードで高度な詳細情報とネットワーク解析情報を得る

弊社が提供する製品内の包括的なレポートとダッシュボードにより、お客様は手軽に詳細情報を確認でき、組織全体のエコシステムを完全に把握可能です。包括的なネットワークとポリシー監視のログを通して展開状況を監視でき、緊急な脅威も特定でき、さらに迅速に問題に対処できます。このダッシュボードでは、ユーザー、デバイスおよび Microsoft の SSE ソリューションを経由した接続先の概要情報を確認可能です。企業内で行われるクロステナント アクセスの状況や、よくアクセスしているネットワーク接続先、その他のポリシーの解析情報も表示しています。

図 8: 製品内のダッシュボード

Microsoft Entra Internet Access のアーキテクチャ概要

Microsoft SSE の クライアントリモートネットワーク のアーキテクチャによりネットワーク アクセスとセキュリティが効率されます。デバイスで動作する Global Secure Access クライアントは現在 Windows と Android で利用可能です。MacOS と iOS 用のものは近日に公開されます。拠点間の接続は、ネットワーク デバイスから Microsoft の SSE エッジサービスへの Site-To-Site 接続に基づいて動作します。Microsoft トラフィック はすでに一般公開されていますが、インターネット アクセス プロファイル も近日に追加される予定です。エンドユーザーのデバイスと拠点ネットワーク間の通信モデルは Microsoft の SSE エッジを経由して保護およびトンネリングされています。さらに、弊社は HPE ArubaVersa とパートナー提携を行い、弊社の SSE ソリューションと SD-WAN ソリューションとを統合するべく取り組んでいます。近日には他のパートナーとも追加の提携を行う予定です。

サードパーティの SSE ソリューションとの並列した相互運用

Microsoft の SSE の独自の利点の 1 つは サードパーティの SSE ソリューション と既定で互換性がある点です。これにより必要な通信だけを Microsoft の SSE エッジに流れるようにできます。例えば、Microsoft トラフィック プロファイルを利用して、Microsoft 365 と Entra ID の通信だけを管理し、Microsoft アプリケーションへのアクセスのパフォーマンスを最適化しつつ、他の通信は別のプロバイダーで管理するように構成可能です。トラフィック転送プロファイルの構成はシンプルなので、インターネットおよび Microsoft 365 を含めた SaaS アプリケーションへの通信を正確に制御できます。トラフィック プロファイルはユーザーごとに設定できますので、組織の要件に応じてグループ単位で割り当てることもできます。

図 9: 柔軟な展開オプション

まとめ

Microsoft Entra Internet Access は強力な ID 中心の SWG ソリューションであり、インターネットおよび SaaS アプリケーションへの通信をセキュリティで保護します。ID、エンドポイントおよびネットワークを横断して条件付きアクセスに統合することより、ハイブリッドな職場環境の要件を満たし、高度なサイバー攻撃にも対処できます。この戦略的な取り組みにより、セキュリティの強化だけでなく、ユーザー体験の最適化も実現されます。これこそが、クラウド ファーストの環境への移行をリードていくという Microsoft のコミットメントを示しています。

是非サービスをお試しください

Microosft Entra Internet Access のブログや Microsoft Entra Private Access の Deep Dive にもご注目ください。より詳細については、弊社の直近の Tech Accelerator product deep dives もご覧ください。

利用を開始したい場合は、Microsoft の営業担当に連絡し、トライアルを開始して、一般公開された Microsoft Entra Internet Access と Microsoft Entra Private Access をお試しください。このソリューションをよりよくするために、ご意見がありましたら是非お知らせください。

Anupma Sharma, Principal Group Product Manager

]]> @@ -448,7 +448,7 @@ https://jpazureid.github.io/blog/azure-active-directory/device-object/ 2024-09-25T00:00:00.000Z - 2025-01-04T14:47:57.076Z + 2025-01-04T15:03:23.260Z 1. はじめに

こんにちは、Azure & Identity サポート チームの 西口 です。

今回は Microsoft Entra ID (ME-ID) のデバイス オブジェクトの属性について解説します。ME-ID に登録できるデバイスの概要については、以下のブログを参照ください。

Azure AD 登録 と Azure AD 参加 の違い

ある ME-ID のデバイス オブジェクトの属性情報を確認すると一口に言っても以下のような複数の見方があります。

上記のように、1 つのデバイス オブジェクトを [複数の見方] で把握することが可能ですが、例えば [Microsoft Entra 管理センターから、あるデバイス オブジェクトの情報を参照した時] と [Graph Explorer で同じデバイス オブジェクトの情報を取得した時] で、微妙に表示されている属性名が異なることや表示されている/されていない属性の差があることで、それぞれの見方で得た情報の対応付けで困ったことはありませんか?

上記のようなお悩みを抱えている方に向けて、本ブログはデバイス オブジェクトの代表的な確認方法と、それぞれの方法で参照した属性の対応付けについて紹介します。

2. デバイス オブジェクトとは

ME-ID というディレクトリ上に登録された、種類がデバイスであるオブジェクト レコードのことを意味します。以下の公開情報の Microsoft Graph API のデバイス リソース型の説明にも含まれていますが、デバイス オブジェクトには複数のプロパティ情報が含まれています。

デバイス リソース型 - Microsoft Graph v1.0 | Microsoft Learn

3. デバイス オブジェクトの確認方法

それでは、以下のデバイス オブジェクトの代表的な 3 つの確認方法をご紹介します。

a. Microsoft Entra 管理センターでの確認方法
b. Graph Explorer での確認方法
c. Microsoft Graph PowerShell での確認方法

a. Microsoft Entra 管理センターでの確認方法

Microsoft Entra 管理センターのポータルからデバイス オブジェクトの情報を参照する手順は以下の通りです。

  1. ブラウザーから Microsoft Entra 管理センター にアクセスしてサインインします。
  2. 画面左のメニューより [ID] > [デバイス] > [すべてのデバイス] の順に移動します。
  3. 確認したいデバイス オブジェクトの名前をクリックします。

上記の操作をすると以下のようにデバイス オブジェクトの情報が表示されます。以下の表示結果からは、該当デバイス オブジェクトの複数の属性情報 (名前やデバイス ID など) を把握することができますが、実はこれが該当デバイスの属性情報のすべてではありません。

なお、Microsoft Entra 管理センターからでは確認できない属性は、以降にご案内する b. Graph Explorer や c. Microsoft Graph PowerShell の方法から確認できます。

ME-ID のデバイス オブジェクトの属性の一覧と、上記の [Microsoft Entra 管理センターで確認できるデバイスの属性] との対応付けは、4 章の [デバイス オブジェクト属性の各確認方法で表示される内容の比較表] に記載の表 1 をご確認ください。

b. Graph Explorer での確認方法

Graph Explorer からデバイス オブジェクトの情報を参照する手順は以下の通りです。

  1. ブラウザーから Graph Explorer にアクセスしてサインインします。

  2. 左のブレードの [ID とアクセス] > Azure AD デバイスの一覧を選択します。

  3. Modify permissions から Device.Read.All を同意します。

  4. クエリ として、https://graph.microsoft.com/v1.0/devices/{確認したいデバイスのオブジェクト ID を指定し、Run query をクリックします。

上記の操作をすると以下のようにデバイス オブジェクトの情報が表示されます。以下の表示結果からは、Microsoft Entra 管理センターで確認できるデバイス オブジェクトの属性の数より多くの属性を確認できました。

ご参考: 弊社環境での Graph Explorer でのデバイス オブジェクトの情報取得例

Microsoft Graph API クエリ: https://graph.microsoft.com/v1.0/devices/03305133-d59c-4f4e-b6cb-2ad2c5d1a6f1

出力結果:

ME-ID のデバイス オブジェクトの属性の一覧と、上記の [Graph Explorer で確認できるデバイスの属性] との対応付けは、4 章の [デバイス オブジェクト属性の各確認方法で表示される内容の比較表] に記載の表 1 をご確認ください。

c. Microsoft Graph PowerShell での確認方法

上記の a. および b. はブラウザーを用いて情報が確認できましたが、Microsoft Graph PowerShell でデバイス オブジェクトの情報を取得するには、最初に作業する端末上に PowerShell モジュールのインストールが必要です。インストール方法については以下の参考情報があります。

MSOnline / AzureAD PowerShell から Graph PowerShell SDK への移行について 3_インストール・接続編

Microsoft Graph PowerShell からデバイス オブジェクトの情報を参照する手順は以下の通りです。

  1. Windows のスタートボタンから Windows PowerShell を起動します。

  2. 以下のコマンドを入力し、Microsoft Graph で ME-ID テナントにサインインします。認証画面が表示されるので、サインインしたい ME-ID テナントのユーザーとしてサインインします。

    Connect-MgGraph -Scopes “Device.Read.All”

  3. Get-MgDevice -DeviceId コマンドで確認したいデバイスのオブジェクト ID を入力します。

    Get-MgDevice -DeviceId “オブジェクト ID” | fl

    ※ 少々紛らわしくて恐縮ですが、-DeviceId パラメーターで指定するのは [(デバイス ID ではなく) オブジェクト ID] です。

今回使った Get-MgDevice コマンドの詳細につきましては、英語の公開情報ですが、以下に記載があります。

Get-MgDevice (Microsoft.Graph.Identity.DirectoryManagement) | Microsoft Learn

上記の操作をすると以下のようにデバイス オブジェクトの情報が表示されます。以下の表示結果からは、Microsoft Entra 管理センターより多くの該当デバイス オブジェクトの属性情報を把握することができます。また、OnPremisesSecurityIdentifier については項目に表示されますが、値は入りません。

ご参考: 弊社環境での Microsoft Graph PowerShell でのデバイス オブジェクトの情報取得例

ME-ID のデバイス オブジェクトの属性の一覧と、上記の [Microsoft Graph PowerShell で確認できるデバイスの属性] との対応付けは、4 章の [デバイス オブジェクト属性の各確認方法で表示される内容の比較表] に記載の表 1 をご確認ください。

4. デバイス オブジェクト属性の各確認方法で表示される内容の比較表

上記の 3 つの確認方法で得られた情報を、以下の表 1 にまとめました。N/A の記載は [その項目の表示が存在していない] ことを意味します。Microsoft Entra 管理センターで表示されている属性名と、実際のオブジェクトの属性名では微妙に表記が異なっていることも確認できます。これは、ポータル上でオブジェクトの情報を確認する際に、見えている情報の意味が分かりやすいよう表現を変えている場合があるためです。たとえば、Microsoft Entra 管理センターで見ることができる “準拠している” は、isCompliant に対応していることが以下の表 1 からわかります。また、Microsoft Entra 管理センターから得ることができない情報については、Graph Explorer / Microsoft Graph PowerShell で確認でき、Graph Explorer / Microsoft Graph PowerShell いずれも同じ情報を得られることがわかりました。以下の表 1 を元に、お客様のご用途に合うデバイス オブジェクトの確認方法をご利用ください。

表1. デバイス属性と、Microsoft Entra 管理センター、Graph Explorer、Microsoft Graph PowerShell で確認できる属性の対応表

5. 条件付きアクセスのデバイスのフィルターでデバイス属性を利用する際の比較表

これまで、デバイス オブジェクトの属性情報を確認する複数の方法についてご紹介しました。この複数の視点での情報の見方がどのような場合に役立つのか、という例として、条件付きアクセス ポリシーでデバイス フィルター条件でのアクセス制御を行う際の設定シナリオを元に例をご紹介します。条件付きアクセスのデバイスのフィルターに関しては、以下の公開情報にてご案内しております。

条件付きアクセス ポリシーの条件としてのデバイスのフィルター - Microsoft Entra ID | Microsoft Learn

デバイスのフィルターで利用可能なデバイス属性は複数ありますが、Microsoft Entra 管理センターでデバイス オブジェクトを参照した際は、これまでのご案内の通り一部の属性情報のみが確認可能です。そこで、Microsoft Graph PowerShell や Graph Explorer も併用いただくことで利用したい属性の情報をご確認いただくことが可能です。

以下に [デバイスのフィルターで利用可能な属性] という視点で、抜き出した状態で上記 a. b. c. それぞれの確認方法で取得可能なデバイス オブジェクトの属性情報の対応をおまとめしました。

表2. デバイスのフィルターで利用可能な属性と各確認方法で確認できる属性の対応表

※ mdmAppId は [該当の ME-ID デバイスが MDM 管理されている] 場合、MDM 管理アプリケーションのアプリケーション ID 表示されますので、以下の表 3 に対応表をまとめました。

表3. MDM と mdmAppId の対応表

6. おわりに

本ブログでは、デバイス オブジェクトの属性の代表的な確認方法と、対応付けについてをまとめ、デバイス情報の活用例をご紹介しました。これらの情報を条件付きアクセスのデバイスのフィルターの作成などのシナリオでご活用ください。

なお、2024 年 9 月現在の情報を元に本記事を作成しております。

]]> @@ -477,7 +477,7 @@ https://jpazureid.github.io/blog/azure-active-directory-connect/azure-ad-connect-2-3-20/ 2024-09-18T03:00:00.000Z - 2025-01-04T14:47:56.584Z + 2025-01-04T15:03:22.756Z こんにちは、Azure & Identity サポート チームの野呂です。弊社サポートチームでは、特定の環境において Microsoft Entra Connect 2.3.20 のインストールおよびアップグレードに失敗する、またはアップグレード後に同期に失敗するお問い合わせを多数お寄せいただいております。本記事では、これらの一般的な原因と対処方法をご紹介します。

事象の概要

Microsoft Entra Connect 2.3.20 のインストールおよびアップグレードを試みた際にエラーが出力され、インストールおよびアップグレードに失敗します。もしくは、インストールおよびアップグレードには成功しますが、その後の同期処理に失敗します。これは Microsoft Entra Connect と Microsoft Entra ID の間で TLS 1.2 にて通信を行えていない事が原因です。以下に、問題が発生した場合に出力される可能性のあるエラー例をお伝えします。

インストール時およびアップグレード時のエラー

インストールを試みた際に、インストール ウィザードの構成画面にて、”An error occurred executing Configure AAD Sync task: An error occurred while sending the request.” のエラーが表示されインストールに失敗する事象が確認されております。

インストール時のエラー画面例:

また、アップグレードを試みた際に、インストール ウィザードの資格情報入力画面にて、正しい権限を持つ有効なアカウントを入力したのにも関わらず、エラーが出力される事象が発生するとのお問い合わせを多数お寄せいただいております。

アップグレード時のエラー画面例:

アップグレード後の同期エラー

アップグレード以降の同期サイクルにおいて、Microsoft Entra ID のコネクタにおける Import 処理や Export 処理が、”no-start-ma” や “stopped-extension-dll-exeption”, “stopped-server” などが記録されて失敗する事象を確認しています。

Synchronization Service Manager の例:

システム イベント ログの例:

アプリケーション イベント ログの例:

原因

Microsoft Entra Connect と Microsoft Entra ID の間で TLS 1.2 にて通信を行えていない事がエラー発生の原因です。Microsoft Entra Connect のバージョン 1.2.65.0 以降では、 Microsoft Entra ID との通信に対して TLS 1.2 のみの使用が完全にサポートされております。また、Microsoft Entra Connect 2.3.20 では、導入サーバーにてレジストリにて TLS 1.2 を明示的に有効化することがインストールの要件となっております。

対応方法

Microsoft Entra Connect 2.3.20 のインストールおよびアップグレードを行う前に、導入サーバーにてレジストリに TLS 1.2 を有効化する値を登録して明示的に有効化する必要がございます。以下に、TLS 1.2 のレジストリ登録状況の確認方法と TLS 1.2 のレジストリ登録方法を記載いたします。

TLS 1.2 のレジストリ登録状況の確認方法

まず、Microsoft Entra Connect を導入するサーバーで PowerShell を管理者権限で開き、下記のドキュメントに記載された [TLS 1.2 をチェックするための PowerShell スクリプト] を実行し、TLS 1.2 のレジストリ登録状況を確認します (スクリプトを実行した結果、Value が Not Found となっている場合は、TLS 1.2 用のレジストリが構成されていないと判断可能です)。

Microsoft Entra Connect に対する TLS 1.2 の強制 | TLS 1.2 をチェックするための PowerShell スクリプト

TLS 1.2 が構成されていないことを示す出力の例:

適切な TLS 1.2 構成を示す出力の例:

TLS 1.2 のレジストリ登録方法

まず、下記のドキュメントに記載された [TLS 1.2 を有効にする PowerShell スクリプト] を実行し、レジストリに TLS 1.2 を登録して明示的に有効化します。

Microsoft Entra Connect に対する TLS 1.2 の強制 | TLS 1.2 を有効にする PowerShell スクリプト

次に、導入サーバーを再起動します。これらのレジストリを登録することにより、これまで .NET Framework アプリケーションが TLS 1.2 以外を用いて通信を行っていた場合には TLS 1.2 を用いて通信を行うようになります。一般的には TLS 1.2 が推奨されており、 TLS 1.2 を用いて通信を行うことに問題はございませんが、もし問題が生じた際にはこれらのレジストリを削除頂いた上で、再度再起動頂くことで元の状態に戻すことが可能です。

TLS 1.2 のレジストリを設定後も同期が行えない、インストールが行えない場合には弊社サポートまでお問い合わせください。

]]> @@ -503,7 +503,7 @@ https://jpazureid.github.io/blog/azure-active-directory/migrate-adal-apps-to-msal-with-enhanced-insights/ 2024-08-31T00:00:00.000Z - 2025-01-04T14:47:57.412Z + 2025-01-04T15:03:23.604Z こんにちは、Azure Identity サポート チームの 五十嵐 です。

本記事は、2024 年 7 月 26 日に米国の Microsoft Entra (Azure AD) Blog で公開された Migrate ADAL apps to MSAL with enhanced insights の抄訳です。ご不明点等ございましたらサポート チームまでお問い合わせください。

Microsoft Entra 管理センターのサインイン ワークブックの大幅なアップデートを発表いたします。このツールは、Azure Active Directory Authentication Libraries (ADAL) から Microsoft Authentication Libraries (MSAL) へ移行する組織で有用活用いただけるものです。これらのアップデートは、ADAL を利用するアプリケーションの関連データについて包括的な分析情報を提供することで、ADAL の移行プロセスを最適化することを目的としています。

どうして今回の発表が重要なのか?

弊社は 2020 年 6 月に ADAL の終了を、2023 年 6 月にセキュリティ アップデートのサポート終了を 発表 しました。つまり、ADAL を使用しているアプリケーションは最新のセキュリティ機能を利用できず、将来のセキュリティの脅威に対して脆弱なままとなります。クライアント アプリケーションの認証と認可のセキュリティ態勢と耐障害性を改善するために、ADAL を使用しているアプリケーションを MSAL に移行することを強くお勧めします。

MSAL は、マネージド ID、継続的アクセス評価 (CAE)、パスキー、その他もろもろなど、Microsoft Entra ID の最新のセキュリティ機能をサポートしています。このたび更新されたサインイン ワークブックはこの移行に不可欠なツールであり、移行を実行するにあたって十分な情報に基づいた意思決定に必要な分析情報とデータを提供します。

サインイン ワークブックの新機能は?

サインイン ワークブックは、テナント内で ADAL を使用しているアプリケーションを一元的かつ詳細に表示したいという要望を持つ管理者向けに再設計されています。これらの追加された分析情報により、MSAL への移行を成功させるための ADAL アプリケーションの特定、調査、検証が容易になります。

以下は、最新の機能強化で得られるものの一覧です:

  1. サインイン ログを包括的に集約: ワークブックでは、対話型、非対話型、サービス プリンシパルのサインインを含む、さまざまな種類のサインイン イベントのログが統合されるようになりました。
  2. データの視覚化を強化: ADAL アプリケーション全体のサインインを一覧として確認できるように、新しく集約したメトリクスでレポートを更新しました。特定の分析ニーズにも応えられるよう、ワークブックにはカスタム フィルターとクエリも適用が可能です。このような柔軟性により、ADAL 移行作業にとって最も重要な情報に集中することができます。
  3. Microsoft Entra レコメンデーションとの統合: ADAL から MSAL への推奨事項のページからこのサインイン ワークブックに直接アクセスして、推奨事項の詳細ページに一覧された ADAL アプリケーションのリストを深く掘り下げることができるようになりました。Microsoft Entra ID 用のワークブックを使用するには、P1 ライセンスを持つ Microsoft Entra ID テナントが必要です。

図 1: ADAL アプリのサインイン データ

図 2: アプリのサインイン データ

アプリケーションの更新を計画しましょう

まずは、ワークブックにアクセスして、すべての ADAL アプリケーションと、それらに関連する詳細のリストを取得する ことから始めましょう。移行ガイド では、ADAL を使用するアプリケーションから MSAL を使用するアプリケーションに移行するためのすべての手順について説明しています。

Neha Goel
Senior Product Manager, Microsoft

]]> diff --git a/azure-active-directory-connect/aad-notification/index.html b/azure-active-directory-connect/aad-notification/index.html index d627af11cb3..1ef9bc543d5 100644 --- a/azure-active-directory-connect/aad-notification/index.html +++ b/azure-active-directory-connect/aad-notification/index.html @@ -15,7 +15,7 @@ - + @@ -156,14 +156,14 @@

feedback - 共有 + 共有

Note

本記事は Technet Blog の更新停止に伴い https://blogs.technet.microsoft.com/jpazureid/2018/04/18/aad-notification/ の内容を移行したものです。

元の記事の最新の更新情報については、本内容をご参照ください。

Azure Identity サポートの橋本です。

-

日本時間の 4 月 18 日に、一部の Azure AD Connect のご利用者様 (テナント管理者) 宛に、以下のような、”Action required: your sync solution is no longer supported and you need to upgrade to a newer version “ という件名のメールが AAD Notification aad-notification-noreply@azureemail.microsoft.com より配信されました。

+

日本時間の 4 月 18 日に、一部の Azure AD Connect のご利用者様 (テナント管理者) 宛に、以下のような、”Action required: your sync solution is no longer supported and you need to upgrade to a newer version “ という件名のメールが AAD Notification aad-notification-noreply@azureemail.microsoft.com より配信されました。

本メールは弊社システムにより誤って配信されてしまったメールであることが確認できました。

DirSync や ADSync をご利用の場合はアップグレードいただく必要がございますが、Azure AD Connect をすでにご利用の場合は必要ございません。

diff --git a/azure-active-directory-connect/aadc-import-export-config-upgrade/index.html b/azure-active-directory-connect/aadc-import-export-config-upgrade/index.html index 6cbce8d585c..ecfdaf41fee 100644 --- a/azure-active-directory-connect/aadc-import-export-config-upgrade/index.html +++ b/azure-active-directory-connect/aadc-import-export-config-upgrade/index.html @@ -14,7 +14,7 @@ - + @@ -154,7 +154,7 @@

feedback - 共有 + 共有

diff --git a/azure-active-directory-connect/aadc-import-export-config/index.html b/azure-active-directory-connect/aadc-import-export-config/index.html index 7d1fe9e9fb1..1b388cfb822 100644 --- a/azure-active-directory-connect/aadc-import-export-config/index.html +++ b/azure-active-directory-connect/aadc-import-export-config/index.html @@ -14,7 +14,7 @@ - + @@ -154,7 +154,7 @@

feedback - 共有 + 共有

diff --git a/azure-active-directory-connect/aadc_hardmatch/index.html b/azure-active-directory-connect/aadc_hardmatch/index.html index acc03f105a5..deabd5fa405 100644 --- a/azure-active-directory-connect/aadc_hardmatch/index.html +++ b/azure-active-directory-connect/aadc_hardmatch/index.html @@ -46,7 +46,7 @@ - + @@ -187,7 +187,7 @@

feedback - 共有 + 共有

@@ -204,7 +204,7 @@

③ [ソースアンカー] に属性が表示されます。

ソースアンカーが objectGUID に設定されている場合は、事前に mS-DS-ConsistencyGuid に変更しておく必要があります。

-

・なぜ変更する必要があるの?
objectGUID はオブジェクト (ここではユーザーのこと) ごとに一意の変更不可の値で、別のユーザー (上図でいうと移行先のフォレストの 12345@contoso.com) には同じ値を設定できません。
よって、ハードマッチで切り替えを行うことができません。(ハードマッチについては後述します。)
一方、mS-DS-ConsistencyGUID 属性値は変更が可能なので、移行元の旧同期ユーザー (上図で言うと 12345@contoso.local) で使用している値と同じ値を移行先の新同期ユーザー (上図で言うと移行先のフォレストの 12345@contoso.com) でも保持させることができるため、ハードマッチによる切り替えを行うことができます。

+

・なぜ変更する必要があるの?
objectGUID はオブジェクト (ここではユーザーのこと) ごとに一意の変更不可の値で、別のユーザー (上図でいうと移行先のフォレストの 12345@contoso.com) には同じ値を設定できません。
よって、ハードマッチで切り替えを行うことができません。(ハードマッチについては後述します。)
一方、mS-DS-ConsistencyGUID 属性値は変更が可能なので、移行元の旧同期ユーザー (上図で言うと 12345@contoso.local) で使用している値と同じ値を移行先の新同期ユーザー (上図で言うと移行先のフォレストの 12345@contoso.com) でも保持させることができるため、ハードマッチによる切り替えを行うことができます。

・ソースアンカーを変更するリスクは?
ソースアンカーを変更する場合のリスクを気にされる方も多いと思いますが、AADC は通常 objectGUID の値を Base64 でエンコードし、初回の同期処理で Azure AD の ImmutableID の値にセットします。
つまり、ソースアンカーを mS-DS-ConsistencyGuid に変更しても、ImmutableID の値は元の objectGUID をエンコードした値のまま変わりません。
したがって、同じ ImmutableID の値が mS-DS-ConsistencyGuid に書き戻されるため、既存の同期ユーザーが同期できなくなるといった影響は生じません。

ソースアンカーの変更

では、以下の手順でソースアンカーを mS-DS-ConsistencyGuid に変更します。
既にソースアンカーを mS-DS-ConsistencyGuid または objectGUID 以外に設定されている方は、この項目はスキップして次に進んでください。

① 構成ウィザードを起動し、 [追加のタスク] で [ソースアンカーの構成] を選択し、[次へ] をクリックします。

@@ -229,11 +229,11 @@

Step 3: ソースアンカーの値がコピーされていることを確認する

既存の AD フォレストのユーザーの mS-DS-ConsistencyGuid の値が、新 AD フォレストのユーザーの mS-DS-ConsistencyGuid にコピーされていることを確認します。

もしコピーができていない場合は、以下の手順で値をコピーします。

① contoso.local の サーバー マネージャーで、[ツール] > [Active Directory ユーザーとコンピューター] を開きます。

-

② 同期対象のユーザー (12345@contoso.local) の[属性エディター] で、 mS-DS-ConsistencyGuid を選択し、[編集] をクリックします。

+

② 同期対象のユーザー (12345@contoso.local) の[属性エディター] で、 mS-DS-ConsistencyGuid を選択し、[編集] をクリックします。

③ 値をコピーし、[OK] をクリックします。

④ メモ帳にコピーした値を貼り付けます。

⑤ 移行先フォレストの contoso.com の サーバー マネージャーで、[ツール] > [Active Directory ユーザーとコンピューター] を開きます。

-

⑥ 同期対象のユーザー (12345@contoso.com) の[属性エディター] で、 mS-DS-ConsistencyGuid を選択し、[編集] をクリックします。

+

⑥ 同期対象のユーザー (12345@contoso.com) の[属性エディター] で、 mS-DS-ConsistencyGuid を選択し、[編集] をクリックします。

⑦ 値を入れ、[OK] をクリックします。

⑧ [OK] を押して、プロパティ画面を閉じます。

すべての同期ユーザーが同様に値がコピーされていることを確認します。

diff --git a/azure-active-directory-connect/aboutSoftMatching/index.html b/azure-active-directory-connect/aboutSoftMatching/index.html index 05831b39816..20517ce24b5 100644 --- a/azure-active-directory-connect/aboutSoftMatching/index.html +++ b/azure-active-directory-connect/aboutSoftMatching/index.html @@ -25,7 +25,7 @@ - + @@ -169,7 +169,7 @@

feedback - 共有 + 共有

diff --git a/azure-active-directory-connect/auto-upgrade-issue/index.html b/azure-active-directory-connect/auto-upgrade-issue/index.html index ddfd146a700..0026f030be4 100644 --- a/azure-active-directory-connect/auto-upgrade-issue/index.html +++ b/azure-active-directory-connect/auto-upgrade-issue/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

feedback - 共有 + 共有

@@ -217,7 +217,7 @@

https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnect-version-history

管理者への通知

テナントの管理者に対しては、Azure AD Connect のアップグレード機能に問題があり、最新版へ手動アップグレードすることを促すメールが通知されます。
本メールを受け取った管理者は、本ブログに記載された [対象の確認方法] を参照し、現在の AADC 設定を確認いただきますようお願いいたします。

-

※送信元 : AAD Notification [aad-notification-noreply@azureemail.microsoft.com]

+

※送信元 : AAD Notification [aad-notification-noreply@azureemail.microsoft.com]

2017/6/8 追記

diff --git a/azure-active-directory-connect/azure-ad-connect-117490/index.html b/azure-active-directory-connect/azure-ad-connect-117490/index.html index b58460769ab..5a523aeec45 100644 --- a/azure-active-directory-connect/azure-ad-connect-117490/index.html +++ b/azure-active-directory-connect/azure-ad-connect-117490/index.html @@ -15,7 +15,7 @@ - + @@ -156,7 +156,7 @@

feedback - 共有 + 共有

diff --git a/azure-active-directory-connect/azure-ad-connect-2-3-20/index.html b/azure-active-directory-connect/azure-ad-connect-2-3-20/index.html index 47ee3259b61..1d57051014f 100644 --- a/azure-active-directory-connect/azure-ad-connect-2-3-20/index.html +++ b/azure-active-directory-connect/azure-ad-connect-2-3-20/index.html @@ -21,7 +21,7 @@ - + @@ -164,7 +164,7 @@

feedback - 共有 + 共有

diff --git a/azure-active-directory-connect/azure-ad-connect-AADConnectConfigDocumenter/index.html b/azure-active-directory-connect/azure-ad-connect-AADConnectConfigDocumenter/index.html index 2b6daca1087..9d64d797874 100644 --- a/azure-active-directory-connect/azure-ad-connect-AADConnectConfigDocumenter/index.html +++ b/azure-active-directory-connect/azure-ad-connect-AADConnectConfigDocumenter/index.html @@ -15,7 +15,7 @@ - + @@ -156,7 +156,7 @@

feedback - 共有 + 共有

diff --git a/azure-active-directory-connect/azure-ad-connect-general-information/index.html b/azure-active-directory-connect/azure-ad-connect-general-information/index.html index ef80636fd5c..2e5af35319e 100644 --- a/azure-active-directory-connect/azure-ad-connect-general-information/index.html +++ b/azure-active-directory-connect/azure-ad-connect-general-information/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

feedback - 共有 + 共有

diff --git a/azure-active-directory-connect/azure-ad-connect-health-notification/index.html b/azure-active-directory-connect/azure-ad-connect-health-notification/index.html index c049b959739..ff7420beca8 100644 --- a/azure-active-directory-connect/azure-ad-connect-health-notification/index.html +++ b/azure-active-directory-connect/azure-ad-connect-health-notification/index.html @@ -16,7 +16,7 @@ - + @@ -157,7 +157,7 @@

feedback - 共有 + 共有

diff --git a/azure-active-directory-connect/azure-ad-connect-mc125948/index.html b/azure-active-directory-connect/azure-ad-connect-mc125948/index.html index 539f2ad04b8..993477f80a5 100644 --- a/azure-active-directory-connect/azure-ad-connect-mc125948/index.html +++ b/azure-active-directory-connect/azure-ad-connect-mc125948/index.html @@ -16,7 +16,7 @@ - + @@ -157,7 +157,7 @@

feedback - 共有 + 共有

diff --git a/azure-active-directory-connect/azure-ad-connect-tls/index.html b/azure-active-directory-connect/azure-ad-connect-tls/index.html index f5b539e68d6..e77b86699aa 100644 --- a/azure-active-directory-connect/azure-ad-connect-tls/index.html +++ b/azure-active-directory-connect/azure-ad-connect-tls/index.html @@ -20,7 +20,7 @@ - + @@ -163,7 +163,7 @@

feedback - 共有 + 共有

diff --git a/azure-active-directory-connect/azureadconnect_faq/index.html b/azure-active-directory-connect/azureadconnect_faq/index.html index cbbf7d47c61..717ed6fd926 100644 --- a/azure-active-directory-connect/azureadconnect_faq/index.html +++ b/azure-active-directory-connect/azureadconnect_faq/index.html @@ -18,7 +18,7 @@ - + @@ -159,7 +159,7 @@

feedback - 共有 + 共有

@@ -251,7 +251,7 @@

Q. AADC からの同期エラーの通知メールを受信しました。受信者はどこで確認できますか?

A. 同期処理での問題について、以前通知は 2 種類ありましたが、現在は統一されています。下記手順にてご確認ください。

-

Azure AD Connect Health Agent : azure-noreply@microsoft.com

+

Azure AD Connect Health Agent : azure-noreply@microsoft.com

Azure AD Connect Health Agent 通知先設定手順

設定箇所 : [Azure ポータル] - [Azure AD Connect] - [Azure AD Connect Health] - [同期エラー] - [通知設定]

設定項目 : 追加の電子メール受信者

diff --git a/azure-active-directory-connect/basic-points-directory-synchronization/index.html b/azure-active-directory-connect/basic-points-directory-synchronization/index.html index 37a397753db..13f0584d1b8 100644 --- a/azure-active-directory-connect/basic-points-directory-synchronization/index.html +++ b/azure-active-directory-connect/basic-points-directory-synchronization/index.html @@ -17,7 +17,7 @@ - + @@ -158,7 +158,7 @@

feedback - 共有 + 共有

@@ -190,7 +190,7 @@

UPNSource (と、この Blog では呼称します)

構成ウィザードの設定項目ではこのような呼称ではないのですが、同期先である AAD 同期ユーザーの UserPrincipalName (UPN、名前) を決定する、同期元オンプレミス AD ユーザーの属性の指定を UPNSource と、この Blog では呼称します。
デフォルトではオンプレミス AD ユーザーの UPN 属性の値が選択され、この値が AAD 同期ユーザー側の UPN の値になります。

オンプレミス AD ユーザーの UPN と AAD ユーザーの UPN を同じ値にすることができないようなご都合があるケースもあるかと思います。
例えば、元々オンプレミス AD のドメイン名を contoso.local としており、これからご利用になる AAD に登録するカスタム ドメインを contoso.com にするようなケースにおいては、オンプレミス AD 側のドメイン名を contoso.com に変えることができない、というような場合です。

-

このような場合においても、オンプレミス AD の [代替 UPN サフィックス] の機能を使用して、contoso.com を代替 UPN として登録してオンプレミス AD ユーザーの UPN を username@contoso.com にすることは可能です。
しかし、オンプレミス AD ユーザーの UPN 値に依存した他のシステムがあり、AD ユーザーの UPN を変えられない、という場合もあるかと思います。

+

このような場合においても、オンプレミス AD の [代替 UPN サフィックス] の機能を使用して、contoso.com を代替 UPN として登録してオンプレミス AD ユーザーの UPN を username@contoso.com にすることは可能です。
しかし、オンプレミス AD ユーザーの UPN 値に依存した他のシステムがあり、AD ユーザーの UPN を変えられない、という場合もあるかと思います。

このようなケースでは、UPNSource の設定として UPN 属性を選択できず、例えば mail 属性などを選択される場合もありますが、このような [UPNSource として UPN 属性以外を選択する] 構成を一般的に [(UPN 以外の属性を UPN の代わりに指定する) 代替 ID 構成] と呼びます。

AADC 構成ウィザードにて、SourceAnchor と UPNSource それぞれの設定値を選択する画面を以下にご紹介します。

SourceAnchor

diff --git a/azure-active-directory-connect/cantphsback-aadc/index.html b/azure-active-directory-connect/cantphsback-aadc/index.html index 07896758470..bbbfe1e22ba 100644 --- a/azure-active-directory-connect/cantphsback-aadc/index.html +++ b/azure-active-directory-connect/cantphsback-aadc/index.html @@ -15,7 +15,7 @@ - + @@ -156,7 +156,7 @@

feedback - 共有 + 共有

diff --git a/azure-active-directory-connect/checklist-before-installing-aad-connect/index.html b/azure-active-directory-connect/checklist-before-installing-aad-connect/index.html index 51e95431895..78b59f6cfe4 100644 --- a/azure-active-directory-connect/checklist-before-installing-aad-connect/index.html +++ b/azure-active-directory-connect/checklist-before-installing-aad-connect/index.html @@ -14,7 +14,7 @@ - + @@ -154,7 +154,7 @@

feedback - 共有 + 共有

diff --git a/azure-active-directory-connect/directory-synchronization-accounts/index.html b/azure-active-directory-connect/directory-synchronization-accounts/index.html index 848bb47ad19..048e85d6835 100644 --- a/azure-active-directory-connect/directory-synchronization-accounts/index.html +++ b/azure-active-directory-connect/directory-synchronization-accounts/index.html @@ -17,7 +17,7 @@ - + @@ -161,7 +161,7 @@

feedback - 共有 + 共有

diff --git a/azure-active-directory-connect/dirsync-adsync-20171231/index.html b/azure-active-directory-connect/dirsync-adsync-20171231/index.html index 4d876924888..7693d7f4c5b 100644 --- a/azure-active-directory-connect/dirsync-adsync-20171231/index.html +++ b/azure-active-directory-connect/dirsync-adsync-20171231/index.html @@ -14,7 +14,7 @@ - + @@ -156,7 +156,7 @@

feedback - 共有 + 共有

diff --git a/azure-active-directory-connect/error-code-8344/index.html b/azure-active-directory-connect/error-code-8344/index.html index 8e9b975dd72..288b6f4d2cf 100644 --- a/azure-active-directory-connect/error-code-8344/index.html +++ b/azure-active-directory-connect/error-code-8344/index.html @@ -19,7 +19,7 @@ - + @@ -160,7 +160,7 @@

feedback - 共有 + 共有

diff --git a/azure-active-directory-connect/how-to-create-a-custom-aadsync-synchronization-rule/index.html b/azure-active-directory-connect/how-to-create-a-custom-aadsync-synchronization-rule/index.html index 0f49f5389b5..c3d13724d23 100644 --- a/azure-active-directory-connect/how-to-create-a-custom-aadsync-synchronization-rule/index.html +++ b/azure-active-directory-connect/how-to-create-a-custom-aadsync-synchronization-rule/index.html @@ -19,7 +19,7 @@ - + @@ -160,7 +160,7 @@

feedback - 共有 + 共有

diff --git a/azure-active-directory-connect/how-to-upgrade-details/index.html b/azure-active-directory-connect/how-to-upgrade-details/index.html index 9bafc44f87a..0fa0a74aeb2 100644 --- a/azure-active-directory-connect/how-to-upgrade-details/index.html +++ b/azure-active-directory-connect/how-to-upgrade-details/index.html @@ -15,7 +15,7 @@ - + @@ -156,7 +156,7 @@

feedback - 共有 + 共有

diff --git a/azure-active-directory-connect/introduction-staging-server/index.html b/azure-active-directory-connect/introduction-staging-server/index.html index 1285dee0d85..d2773a43199 100644 --- a/azure-active-directory-connect/introduction-staging-server/index.html +++ b/azure-active-directory-connect/introduction-staging-server/index.html @@ -18,7 +18,7 @@ - + @@ -159,7 +159,7 @@

feedback - 共有 + 共有

@@ -240,7 +240,7 @@

oldmail@contoso.com から newmail@contoso.com に変更している前提です。 +
  • この例では、既存のユーザーの mail 属性を oldmail@contoso.com から newmail@contoso.com に変更している前提です。
  • 最下部にオブジェクト単位の処理数の集計結果があります。

    • なお、サンプル csv の原本も以下からダウンロード可能です。拡張子を .txt から .csv にしてご参照ください。
    AADexportSample

    diff --git a/azure-active-directory-connect/move-attribute-values-between-objects/index.html b/azure-active-directory-connect/move-attribute-values-between-objects/index.html index 45616561dc1..724dd0b4591 100644 --- a/azure-active-directory-connect/move-attribute-values-between-objects/index.html +++ b/azure-active-directory-connect/move-attribute-values-between-objects/index.html @@ -16,7 +16,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    @@ -195,9 +195,9 @@

    “次回の同期で新 AD ユーザーの mail 属性値が改めて新 AAD の mail 属性に更新されるのでは?” と考える方もいるかもしれません。
    しかし、次回の同期時には AD からの Import において、AADC の MV 情報は何も更新されないため、AADC は AAD に改めて Export すべき更新が無いと判断します。
    つまり、次回同期でも新 AD ユーザーの mail 属性値は更新されず Null のままとなりオンプレミス AD の情報とも不整合が生じた状態となります。

    この場合の対処としては、オンプレミス AD にて新 AD ユーザーの mail 属性値を変更して同期を行い、再度目的の値に戻して同期を行います。具体的な作業は次のとおりです。

      -
    • 新 AD ユーザーの mail 属性に一時的な値 (username-temp@contoso.com 等) をセットする
      • +
    • 新 AD ユーザーの mail 属性に一時的な値 (username-temp@contoso.com 等) をセットする
    • この状態で一度 AADC による同期を行い、一時的なメール アドレス値を新 AAD ユーザーの mail 属性に反映させる
      • -
    • 改めて新 AD ユーザーの mail 属性に本来セットしたかった値 (username@contoso.com 等) をセットする
      • +
    • 改めて新 AD ユーザーの mail 属性に本来セットしたかった値 (username@contoso.com 等) をセットする
    • 再度 AADC による同期を行い、本来の目的であるメール アドレス値を新 AAD ユーザーの mail 属性に反映させる

    そもそものお話として、上記のような症状が発生することが無いよう削除する情報を先に AAD に同期して、追加する情報は後から同期する運用をぜひ留意いただければ幸いです。
    以下の技術情報でも、AADC のアーキテクチャに関する情報を公開しておりますので、興味を持っていただけた方はぜひ併せてご参照ください。

    diff --git a/azure-active-directory-connect/password-writeback-overview/index.html b/azure-active-directory-connect/password-writeback-overview/index.html index 5d54ccf91af..5104216b4b7 100644 --- a/azure-active-directory-connect/password-writeback-overview/index.html +++ b/azure-active-directory-connect/password-writeback-overview/index.html @@ -26,7 +26,7 @@ - + @@ -169,7 +169,7 @@

    feedback - 共有 + 共有

    @@ -211,11 +211,11 @@

    ● Azure AD Connect サーバーのアプリケーション イベントログ

    PasswordResetService
    Event ID: 31001
    PasswordResetRequestStart, Details: user1@contoso.com

    +

    ● Azure AD Connect サーバーのアプリケーション イベントログ

    PasswordResetService
    Event ID: 31001
    PasswordResetRequestStart, Details: user1@contoso.com

    ADSync
    Event ID: 405
    Call sync ldap_bind for DomainName=CONTOSO.COM, UserName=MSOL_xxxxxxxxx.

    ADSync
    Event ID: 403
    ImpersonationHelper call LogonUser for DomainName=CONTOSO.COM, UserName=MSOL_xxxxxxxxx.

    ADSync
    Event ID: 405
    Call sync ldap_bind for DomainName=CONTOSO.COM, UserName=MSOL_xxxxxxxxx.

    -

    PasswordResetService
    Event ID: 31002
    TrackingId: xxxxxxxxx-xxxx-xxxxxxxxx-xxxxxxxxx, PasswordResetSuccess, Details: Context: cloudAnchor: User_xxxxxxxxx-xxxxxxxxx, SourceAnchorValue: xxxxxxxxxxxxxxxxxx, UserPrincipalName: user1@contoso.com, unblockUser: True

    +

    PasswordResetService
    Event ID: 31002
    TrackingId: xxxxxxxxx-xxxx-xxxxxxxxx-xxxxxxxxx, PasswordResetSuccess, Details: Context: cloudAnchor: User_xxxxxxxxx-xxxxxxxxx, SourceAnchorValue: xxxxxxxxxxxxxxxxxx, UserPrincipalName: user1@contoso.com, unblockUser: True

    ● Azure AD の監査ログ

    Self-service password reset flow activity progress
    User submitted a new password

    Reset user password

    Update StsRefreshTokenValidFrom Timestamp

    diff --git a/azure-active-directory-connect/port-used-by-aadc/index.html b/azure-active-directory-connect/port-used-by-aadc/index.html index cf9f06bb081..1c98805f1f1 100644 --- a/azure-active-directory-connect/port-used-by-aadc/index.html +++ b/azure-active-directory-connect/port-used-by-aadc/index.html @@ -20,7 +20,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory-connect/problem-cpu-usage-100-aadc-server/index.html b/azure-active-directory-connect/problem-cpu-usage-100-aadc-server/index.html index a6c90059727..e160da5fc06 100644 --- a/azure-active-directory-connect/problem-cpu-usage-100-aadc-server/index.html +++ b/azure-active-directory-connect/problem-cpu-usage-100-aadc-server/index.html @@ -14,7 +14,7 @@ - + @@ -154,7 +154,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory-connect/seamless-sso/index.html b/azure-active-directory-connect/seamless-sso/index.html index be415799272..ac4f7dd26f0 100644 --- a/azure-active-directory-connect/seamless-sso/index.html +++ b/azure-active-directory-connect/seamless-sso/index.html @@ -17,7 +17,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory-connect/upn-hard-match/index.html b/azure-active-directory-connect/upn-hard-match/index.html index 03abac39c62..507ddb39355 100644 --- a/azure-active-directory-connect/upn-hard-match/index.html +++ b/azure-active-directory-connect/upn-hard-match/index.html @@ -17,7 +17,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/20180406-rca-azure-ad/index.html b/azure-active-directory/20180406-rca-azure-ad/index.html index 7b4da99a653..a5ad5039916 100644 --- a/azure-active-directory/20180406-rca-azure-ad/index.html +++ b/azure-active-directory/20180406-rca-azure-ad/index.html @@ -14,7 +14,7 @@ - + @@ -154,7 +154,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/20200928-rca-azure-ad/index.html b/azure-active-directory/20200928-rca-azure-ad/index.html index 75e46e3010b..70f6a6184d2 100644 --- a/azure-active-directory/20200928-rca-azure-ad/index.html +++ b/azure-active-directory/20200928-rca-azure-ad/index.html @@ -14,7 +14,7 @@ - + @@ -154,7 +154,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/20210318-rca-azure-ad/index.html b/azure-active-directory/20210318-rca-azure-ad/index.html index 68cee2a4791..b69bb9a7975 100644 --- a/azure-active-directory/20210318-rca-azure-ad/index.html +++ b/azure-active-directory/20210318-rca-azure-ad/index.html @@ -14,7 +14,7 @@ - + @@ -154,7 +154,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/2023-state-of-cloud-permissions-risks-report-now-published/index.html b/azure-active-directory/2023-state-of-cloud-permissions-risks-report-now-published/index.html index 27e05aa1bf3..2c45049ca03 100644 --- a/azure-active-directory/2023-state-of-cloud-permissions-risks-report-now-published/index.html +++ b/azure-active-directory/2023-state-of-cloud-permissions-risks-report-now-published/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/3-ways-aad-ca-balances-security-and-productivity/index.html b/azure-active-directory/3-ways-aad-ca-balances-security-and-productivity/index.html index 974af470260..133368ab739 100644 --- a/azure-active-directory/3-ways-aad-ca-balances-security-and-productivity/index.html +++ b/azure-active-directory/3-ways-aad-ca-balances-security-and-productivity/index.html @@ -14,7 +14,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/5-identity-priorities-for-2020/index.html b/azure-active-directory/5-identity-priorities-for-2020/index.html index 9f54d4bf156..415646dfcab 100644 --- a/azure-active-directory/5-identity-priorities-for-2020/index.html +++ b/azure-active-directory/5-identity-priorities-for-2020/index.html @@ -16,7 +16,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/Achieving-ZeroTrust-readiness-in-your-apps1-Why-it-matters/index.html b/azure-active-directory/Achieving-ZeroTrust-readiness-in-your-apps1-Why-it-matters/index.html index 3e67b7b8aad..062e33bedc6 100644 --- a/azure-active-directory/Achieving-ZeroTrust-readiness-in-your-apps1-Why-it-matters/index.html +++ b/azure-active-directory/Achieving-ZeroTrust-readiness-in-your-apps1-Why-it-matters/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/Announcing-a-New-Azure-AD-part-of-Microsoft-Entra-region-in-Japan/index.html b/azure-active-directory/Announcing-a-New-Azure-AD-part-of-Microsoft-Entra-region-in-Japan/index.html index 71f6b9ef0d9..1f36a6a54cf 100644 --- a/azure-active-directory/Announcing-a-New-Azure-AD-part-of-Microsoft-Entra-region-in-Japan/index.html +++ b/azure-active-directory/Announcing-a-New-Azure-AD-part-of-Microsoft-Entra-region-in-Japan/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/AzureAD-Quota-enhancements/index.html b/azure-active-directory/AzureAD-Quota-enhancements/index.html index 1f33353b3fc..82d1cfa96e2 100644 --- a/azure-active-directory/AzureAD-Quota-enhancements/index.html +++ b/azure-active-directory/AzureAD-Quota-enhancements/index.html @@ -17,7 +17,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/CloudKnox-acquisition-whats-available-now-and-whats-coming-soon/index.html b/azure-active-directory/CloudKnox-acquisition-whats-available-now-and-whats-coming-soon/index.html index f1588e31eb0..d9377883c75 100644 --- a/azure-active-directory/CloudKnox-acquisition-whats-available-now-and-whats-coming-soon/index.html +++ b/azure-active-directory/CloudKnox-acquisition-whats-available-now-and-whats-coming-soon/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/GuestUser-Inventory/index.html b/azure-active-directory/GuestUser-Inventory/index.html index ec1707e0e53..5816c4673c4 100644 --- a/azure-active-directory/GuestUser-Inventory/index.html +++ b/azure-active-directory/GuestUser-Inventory/index.html @@ -30,7 +30,7 @@ - + @@ -173,7 +173,7 @@

    feedback - 共有 + 共有

    @@ -309,7 +309,7 @@

    アクセス レビューの作成手順

    アクセス レビューの実施 (セルフ レビュー編)

      -

    1. アクセス レビューが開始されると、レビュー対象者の元に azure-noreply@microsoft.com からメールが届くので、[レビューを開始する(Review Access)] をクリックします。

      +

    2. アクセス レビューが開始されると、レビュー対象者の元に azure-noreply@microsoft.com からメールが届くので、[レビューを開始する(Review Access)] をクリックします。

    3. 以下のような画面が表示されるので、セルフ レビューを実施します。

      @@ -326,7 +326,7 @@

      アクセス レビューの実施 (管理者編)

      上記まではゲスト ユーザー自身にレビューを実施してもらう手順となりますが、もしゲスト ユーザーの数が少ない場合などは管理者が代表してレビューを行うことも可能です。この場合の手順を後述します。

        -

      1. アクセス レビューが開始されると、レビュー対象者の元に azure-noreply@microsoft.com からメールが届くので、[レビューを開始する] をクリックします。

        +

      2. アクセス レビューが開始されると、レビュー対象者の元に azure-noreply@microsoft.com からメールが届くので、[レビューを開始する] をクリックします。

      3. ユーザーの状況を確認します。各ユーザーを選択すると、 [承認する] と [拒否] がクリックできるようになるので、承認もしくは拒否を指定します。

        diff --git a/azure-active-directory/Important-Update-to-deviceRegistrationPolicy-Resource-Type-for-MS-Graph-Beta-API-Version/index.html b/azure-active-directory/Important-Update-to-deviceRegistrationPolicy-Resource-Type-for-MS-Graph-Beta-API-Version/index.html index 6ffdf31d2b9..20e6a50e37b 100644 --- a/azure-active-directory/Important-Update-to-deviceRegistrationPolicy-Resource-Type-for-MS-Graph-Beta-API-Version/index.html +++ b/azure-active-directory/Important-Update-to-deviceRegistrationPolicy-Resource-Type-for-MS-Graph-Beta-API-Version/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

        feedback - 共有 + 共有

    diff --git a/azure-active-directory/Introducing-More-Granular-Certificate-Based-Authentication-Configuration/index.html b/azure-active-directory/Introducing-More-Granular-Certificate-Based-Authentication-Configuration/index.html index 6ed9f637d59..7957b90414a 100644 --- a/azure-active-directory/Introducing-More-Granular-Certificate-Based-Authentication-Configuration/index.html +++ b/azure-active-directory/Introducing-More-Granular-Certificate-Based-Authentication-Configuration/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/MC862873-azure-portal-mfaenforcement-update-grace-period/index.html b/azure-active-directory/MC862873-azure-portal-mfaenforcement-update-grace-period/index.html index 743721be7b9..dac6a51c122 100644 --- a/azure-active-directory/MC862873-azure-portal-mfaenforcement-update-grace-period/index.html +++ b/azure-active-directory/MC862873-azure-portal-mfaenforcement-update-grace-period/index.html @@ -19,7 +19,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/MFA_configuration_scenarios/index.html b/azure-active-directory/MFA_configuration_scenarios/index.html index 5e52954c7b9..f54ca18999d 100644 --- a/azure-active-directory/MFA_configuration_scenarios/index.html +++ b/azure-active-directory/MFA_configuration_scenarios/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/Microsoft-Entra-ID-Governance-licensing-for-business-guests/index.html b/azure-active-directory/Microsoft-Entra-ID-Governance-licensing-for-business-guests/index.html index 4ee32ee72a5..54cf89f7bcb 100644 --- a/azure-active-directory/Microsoft-Entra-ID-Governance-licensing-for-business-guests/index.html +++ b/azure-active-directory/Microsoft-Entra-ID-Governance-licensing-for-business-guests/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/Microsoft-Entra-change-announcements-June-2022-train/index.html b/azure-active-directory/Microsoft-Entra-change-announcements-June-2022-train/index.html index 7bf217b8bd3..77b9fb379a1 100644 --- a/azure-active-directory/Microsoft-Entra-change-announcements-June-2022-train/index.html +++ b/azure-active-directory/Microsoft-Entra-change-announcements-June-2022-train/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    @@ -189,7 +189,7 @@

    以下に、2022 年 6 月分として発表された機能変更の一覧をご紹介します。

    アプリの構成におけるアクセス許可の最大数

    マイクロソフトでは、直近でアプリ登録にて構成できるアクセス許可の最大数について、弊社が定めた制限が適用されるよう変更しました。この制限を超えたアプリはアクセス許可に対する同意を行うことができず、動作しない状態となります。2022 年 10 月 31日より、”requiredResourceAccess” 属性にすでに 400 以上アクセス許可を構成されているアプリは、この制限値以上のアクセス許可を追加することができなくなる予定です。現在アプリにすでに構成されているアクセス許可は維持されますが、新たにアクセス許可を追加するためには、合計数が弊社にて定められた制限値以下となるよう、アプリの所有者にて既存のアクセス許可を削除する必要があります。この対応を行うことで、お客様がアクセス許可に同意できずアプリが利用できない状態になることを回避可能となります。詳細については、アプリごとの要求されたアクセス許可の制限 および サポートされているアカウントの種類別の検証の相違点 をご参照ください。

    Directory.AccessAsUser.All における管理者の同意について

    2022 年 8 月 31 日より、すべてのサービスにおいて、”Directory.AccessAsUser.All” に対して、既定で管理者の同意を要求するようになります。Azure AD Graph (graph.windows.net) および Microsoft Graph (graph.microsoft.com) のいずれにおいてもアクセス許可が要求された場合は既定で管理者の同意が必要になります。以前は、特定のシナリオでは、既定で本アクセス許可に対して管理者の同意は不要でした。この変更は、新たな同意の要求にのみ影響し、セキュリティを向上させるとともに、”Directory.AccessAsUser.All” の挙動を現在のドキュメントの動作に合わせるものです。詳細については、アクセス許可スコープ をご参照ください。

    -

    グループ メール

    グループ関連のメール送信が、より新しく、向上したサービスに切り替わります。以下のシナリオにおけるグループ関連のメールは従来のままですが、新しいエイリアス (msgroupsteam@microsoft.com) から送信されるようになります:

    +

    グループ メール

    グループ関連のメール送信が、より新しく、向上したサービスに切り替わります。以下のシナリオにおけるグループ関連のメールは従来のままですが、新しいエイリアス (msgroupsteam@microsoft.com) から送信されるようになります:

    diff --git a/azure-active-directory/Microsoft-Entra-change-announcements-September-2022-train/index.html b/azure-active-directory/Microsoft-Entra-change-announcements-September-2022-train/index.html index 383f25ab0c0..152dbd5c92f 100644 --- a/azure-active-directory/Microsoft-Entra-change-announcements-September-2022-train/index.html +++ b/azure-active-directory/Microsoft-Entra-change-announcements-September-2022-train/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/Remediate-User-Risks-in-Microsoft-Entra-ID-Protection-Through-On-premises-Password-Changes/index.html b/azure-active-directory/Remediate-User-Risks-in-Microsoft-Entra-ID-Protection-Through-On-premises-Password-Changes/index.html index 9d8ea77e6f5..59c1f4da85a 100644 --- a/azure-active-directory/Remediate-User-Risks-in-Microsoft-Entra-ID-Protection-Through-On-premises-Password-Changes/index.html +++ b/azure-active-directory/Remediate-User-Risks-in-Microsoft-Entra-ID-Protection-Through-On-premises-Password-Changes/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/User-at-risk-detected/index.html b/azure-active-directory/User-at-risk-detected/index.html index 11a6e9c189d..ce5e5b55157 100644 --- a/azure-active-directory/User-at-risk-detected/index.html +++ b/azure-active-directory/User-at-risk-detected/index.html @@ -17,7 +17,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/Windows-Local-Administrator-Password-Solution-with-Microsoft-Entra-ID-now-Generally-Available!/index.html b/azure-active-directory/Windows-Local-Administrator-Password-Solution-with-Microsoft-Entra-ID-now-Generally-Available!/index.html index e376940a7e7..9f878f02693 100644 --- a/azure-active-directory/Windows-Local-Administrator-Password-Solution-with-Microsoft-Entra-ID-now-Generally-Available!/index.html +++ b/azure-active-directory/Windows-Local-Administrator-Password-Solution-with-Microsoft-Entra-ID-now-Generally-Available!/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/WorkPlaceJoin/index.html b/azure-active-directory/WorkPlaceJoin/index.html index c0c77608958..0a8db7bac2b 100644 --- a/azure-active-directory/WorkPlaceJoin/index.html +++ b/azure-active-directory/WorkPlaceJoin/index.html @@ -18,7 +18,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/aad-changes-impacting-azurecli-azureps/index.html b/azure-active-directory/aad-changes-impacting-azurecli-azureps/index.html index 0054c68beed..30753dd5d71 100644 --- a/azure-active-directory/aad-changes-impacting-azurecli-azureps/index.html +++ b/azure-active-directory/aad-changes-impacting-azurecli-azureps/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/aad-token-lifetime/index.html b/azure-active-directory/aad-token-lifetime/index.html index 8f4c300aaa2..f4b7f875376 100644 --- a/azure-active-directory/aad-token-lifetime/index.html +++ b/azure-active-directory/aad-token-lifetime/index.html @@ -24,7 +24,7 @@ - + @@ -167,7 +167,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/aadj-link-is-not-displayed/index.html b/azure-active-directory/aadj-link-is-not-displayed/index.html index 24f0eb0de4b..d273124c203 100644 --- a/azure-active-directory/aadj-link-is-not-displayed/index.html +++ b/azure-active-directory/aadj-link-is-not-displayed/index.html @@ -22,7 +22,7 @@ - + @@ -166,7 +166,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/aadsts75011/index.html b/azure-active-directory/aadsts75011/index.html index 6b4c56d7c0d..476a2b22778 100644 --- a/azure-active-directory/aadsts75011/index.html +++ b/azure-active-directory/aadsts75011/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/about-baseline-policy-require-mfa-for-admins/index.html b/azure-active-directory/about-baseline-policy-require-mfa-for-admins/index.html index d14dd22b4dd..c06874f7ddc 100644 --- a/azure-active-directory/about-baseline-policy-require-mfa-for-admins/index.html +++ b/azure-active-directory/about-baseline-policy-require-mfa-for-admins/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/about-rbac/index.html b/azure-active-directory/about-rbac/index.html index f739e3d9b18..d18af6d0597 100644 --- a/azure-active-directory/about-rbac/index.html +++ b/azure-active-directory/about-rbac/index.html @@ -21,7 +21,7 @@ - + @@ -163,7 +163,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/about-staged-rollout/index.html b/azure-active-directory/about-staged-rollout/index.html index 64d369defbe..f9ac9d04932 100644 --- a/azure-active-directory/about-staged-rollout/index.html +++ b/azure-active-directory/about-staged-rollout/index.html @@ -18,7 +18,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/access-azure-resources-from-software-workload-in-different/index.html b/azure-active-directory/access-azure-resources-from-software-workload-in-different/index.html index 334712efdf4..8219543a2b4 100644 --- a/azure-active-directory/access-azure-resources-from-software-workload-in-different/index.html +++ b/azure-active-directory/access-azure-resources-from-software-workload-in-different/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/access-management-with-access-package/index.html b/azure-active-directory/access-management-with-access-package/index.html index 91fce031ca0..e5b089fd88c 100644 --- a/azure-active-directory/access-management-with-access-package/index.html +++ b/azure-active-directory/access-management-with-access-package/index.html @@ -26,7 +26,7 @@ - + @@ -169,7 +169,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/access-package-with-custom-extension/index.html b/azure-active-directory/access-package-with-custom-extension/index.html index bcab1858628..7b294cc41c4 100644 --- a/azure-active-directory/access-package-with-custom-extension/index.html +++ b/azure-active-directory/access-package-with-custom-extension/index.html @@ -59,7 +59,7 @@ - + @@ -201,7 +201,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/access-restriction-azure-portal/index.html b/azure-active-directory/access-restriction-azure-portal/index.html index 8e1572faed6..d2aae562de7 100644 --- a/azure-active-directory/access-restriction-azure-portal/index.html +++ b/azure-active-directory/access-restriction-azure-portal/index.html @@ -18,7 +18,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/achieve-a-least-privilege-model-using-azure-ad-s-new-multi-stage/index.html b/azure-active-directory/achieve-a-least-privilege-model-using-azure-ad-s-new-multi-stage/index.html index 70dfd04a7db..66ee29fc05b 100644 --- a/azure-active-directory/achieve-a-least-privilege-model-using-azure-ad-s-new-multi-stage/index.html +++ b/azure-active-directory/achieve-a-least-privilege-model-using-azure-ad-s-new-multi-stage/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/achieving-zero-trust-readiness-in-your-apps-2-designing-for-least-privilege/index.html b/azure-active-directory/achieving-zero-trust-readiness-in-your-apps-2-designing-for-least-privilege/index.html index 2801d34f5ee..10b9c8e8a3b 100644 --- a/azure-active-directory/achieving-zero-trust-readiness-in-your-apps-2-designing-for-least-privilege/index.html +++ b/azure-active-directory/achieving-zero-trust-readiness-in-your-apps-2-designing-for-least-privilege/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/act-fast-by-moving-to-tls-1-2/index.html b/azure-active-directory/act-fast-by-moving-to-tls-1-2/index.html index af6ee85ff84..524d5e28e5a 100644 --- a/azure-active-directory/act-fast-by-moving-to-tls-1-2/index.html +++ b/azure-active-directory/act-fast-by-moving-to-tls-1-2/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/act-now-turn-on-or-customize-microsoft-managed-conditional-access-policies/index.html b/azure-active-directory/act-now-turn-on-or-customize-microsoft-managed-conditional-access-policies/index.html index ef87909f50f..a46ecbd63bd 100644 --- a/azure-active-directory/act-now-turn-on-or-customize-microsoft-managed-conditional-access-policies/index.html +++ b/azure-active-directory/act-now-turn-on-or-customize-microsoft-managed-conditional-access-policies/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/action-required-azure-ad-graph-api-retirement/index.html b/azure-active-directory/action-required-azure-ad-graph-api-retirement/index.html index 39d96c79dc1..12f7623fd27 100644 --- a/azure-active-directory/action-required-azure-ad-graph-api-retirement/index.html +++ b/azure-active-directory/action-required-azure-ad-graph-api-retirement/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/add-modify-delete-directory/index.html b/azure-active-directory/add-modify-delete-directory/index.html index 9fe35bff7d0..fe830aeb201 100644 --- a/azure-active-directory/add-modify-delete-directory/index.html +++ b/azure-active-directory/add-modify-delete-directory/index.html @@ -18,7 +18,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    @@ -250,7 +250,7 @@

    temp@conotoso.onmicrosoft.com

    +

    例) 削除対象のディレクトリ名が contoso.onmicrosoft.com の場合: temp@conotoso.onmicrosoft.com

  • 手順 5. で作成したグローバル管理者のアカウントで https://portal.azure.com にサインインします。

    • diff --git a/azure-active-directory/addressing-data-exfiltration-token-theft-talk/index.html b/azure-active-directory/addressing-data-exfiltration-token-theft-talk/index.html index c289030ac70..9c4d8ac247e 100644 --- a/azure-active-directory/addressing-data-exfiltration-token-theft-talk/index.html +++ b/azure-active-directory/addressing-data-exfiltration-token-theft-talk/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/advances-in-azure-ad-resilience/index.html b/azure-active-directory/advances-in-azure-ad-resilience/index.html index e5a36439ad4..0571d677d4a 100644 --- a/azure-active-directory/advances-in-azure-ad-resilience/index.html +++ b/azure-active-directory/advances-in-azure-ad-resilience/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/advancing-cybersecurity-the-latest-enhancement-in-phishing-resistant-authentication/index.html b/azure-active-directory/advancing-cybersecurity-the-latest-enhancement-in-phishing-resistant-authentication/index.html index b1edf6fb775..b18296e480b 100644 --- a/azure-active-directory/advancing-cybersecurity-the-latest-enhancement-in-phishing-resistant-authentication/index.html +++ b/azure-active-directory/advancing-cybersecurity-the-latest-enhancement-in-phishing-resistant-authentication/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/advancing-modern-strong-authentication/index.html b/azure-active-directory/advancing-modern-strong-authentication/index.html index 4d97f99b16a..253e5933c41 100644 --- a/azure-active-directory/advancing-modern-strong-authentication/index.html +++ b/azure-active-directory/advancing-modern-strong-authentication/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/all-your-creds-are-belong-to-us/index.html b/azure-active-directory/all-your-creds-are-belong-to-us/index.html index 08aa733b111..3b66a46b824 100644 --- a/azure-active-directory/all-your-creds-are-belong-to-us/index.html +++ b/azure-active-directory/all-your-creds-are-belong-to-us/index.html @@ -17,7 +17,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/android-grayed-out/index.html b/azure-active-directory/android-grayed-out/index.html index e525f4f13bc..1f3296f762e 100644 --- a/azure-active-directory/android-grayed-out/index.html +++ b/azure-active-directory/android-grayed-out/index.html @@ -22,7 +22,7 @@ - + @@ -165,7 +165,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/announcement-of-otp/index.html b/azure-active-directory/announcement-of-otp/index.html index a222e8e9a79..4a5e0e86aac 100644 --- a/azure-active-directory/announcement-of-otp/index.html +++ b/azure-active-directory/announcement-of-otp/index.html @@ -17,7 +17,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    @@ -179,18 +179,18 @@

    今回の影響は、フローの 9 において セルフサービスサインアップアカウントが作成される場合においてユーザーのホーム テナントが存在しない場合、あるいは検証済みのテナントではない場合に生じます。

    -

    フロー 9 について abc.onmicrosoft.com というテナントに user1@contoso.com というユーザーを招待しようとしたときを例に説明します。

    +

    フロー 9 について abc.onmicrosoft.com というテナントに user1@contoso.com というユーザーを招待しようとしたときを例に説明します。

    パターン 1 :

    -

    Azure AD にカスタム ドメインとして contoso.com というドメイン名を登録したテナントがすでに存在している。
    contoso.com ドメイン名を登録したテナントには user1@contoso.com は存在しない。

    +

    Azure AD にカスタム ドメインとして contoso.com というドメイン名を登録したテナントがすでに存在している。
    contoso.com ドメイン名を登録したテナントには user1@contoso.com は存在しない。

    パターン 2 :

    なお、セルフサービス サインアップとは、電子メール ドメインに基づいた ID がどの Azure AD にも存在しない場合に自動でユーザーが作成されることを指します。
    後述に関連する公開情報もございますので、必要に応じご確認いただけると幸いです。

    diff --git a/azure-active-directory/announcing-account-switching-for-microsoft-365-web-apps/index.html b/azure-active-directory/announcing-account-switching-for-microsoft-365-web-apps/index.html index f1caa47c382..c5ae924d1e7 100644 --- a/azure-active-directory/announcing-account-switching-for-microsoft-365-web-apps/index.html +++ b/azure-active-directory/announcing-account-switching-for-microsoft-365-web-apps/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/announcing-general-availability-of-microsoft-entra-external-id/index.html b/azure-active-directory/announcing-general-availability-of-microsoft-entra-external-id/index.html index d2d0da498cd..81d2e4bc4df 100644 --- a/azure-active-directory/announcing-general-availability-of-microsoft-entra-external-id/index.html +++ b/azure-active-directory/announcing-general-availability-of-microsoft-entra-external-id/index.html @@ -19,7 +19,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/announcing-improved-identity-protection-signal-quality-and/index.html b/azure-active-directory/announcing-improved-identity-protection-signal-quality-and/index.html index cd699aaf67c..98edd5cbb93 100644 --- a/azure-active-directory/announcing-improved-identity-protection-signal-quality-and/index.html +++ b/azure-active-directory/announcing-improved-identity-protection-signal-quality-and/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/app-service-auth-multi-tenant/index.html b/azure-active-directory/app-service-auth-multi-tenant/index.html index 2d52960d786..f2ce26a24c2 100644 --- a/azure-active-directory/app-service-auth-multi-tenant/index.html +++ b/azure-active-directory/app-service-auth-multi-tenant/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    @@ -196,7 +196,7 @@

    test@contoso.com +test@contoso.com X-MS-CLIENT-PRINCIPAL-ID @@ -210,7 +210,7 @@

    test@fabrikam.com) を入力して、招待ボタンを押します。 +
  • 招待したい外部校テナントのユーザーの E メール アドレス (test@fabrikam.com) を入力して、招待ボタンを押します。
  • 指定されたユーザーで招待メールが届いているかを確認します。
  • 招待メールを受け取ったユーザーは、メールに従い招待の処理を完了します。
    • diff --git a/azure-active-directory/aspdotnet-from-v1-to-v2/index.html b/azure-active-directory/aspdotnet-from-v1-to-v2/index.html index a8bf68269cb..da831182df5 100644 --- a/azure-active-directory/aspdotnet-from-v1-to-v2/index.html +++ b/azure-active-directory/aspdotnet-from-v1-to-v2/index.html @@ -19,7 +19,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/authentication-strength-choose-the-right-auth-method-for-your/index.html b/azure-active-directory/authentication-strength-choose-the-right-auth-method-for-your/index.html index 8d277c69f75..66d8ca8cda3 100644 --- a/azure-active-directory/authentication-strength-choose-the-right-auth-method-for-your/index.html +++ b/azure-active-directory/authentication-strength-choose-the-right-auth-method-for-your/index.html @@ -17,7 +17,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    @@ -206,7 +206,7 @@

    https://aka.ms/authStrengthExternalUserdocs

    今後の予定

    今後、数週間のうちに、認証方法のポリシーに新しい制御方法を追加し、Azure AD で利用可能な認証方法を一箇所で簡単に管理できるようにする予定です。このアップデートにより、認証方式をよりきめ細やかに管理することが可能になります。たとえば、認証方法を全ユーザーでオン/オフにするのではなく、認証方法のスコープとして特定のグループを指定することができるようになります。これにより、すべてのシナリオで、SMS のような安全性の低い認証方法の使用を管理し、認証強度を使用してシナリオ固有の要件に対応することが可能になります。これらを組み合わせることで、パスワードレスかつフィッシング耐性のある未来へ踏み出すために必要な制御を行えるようになります。

    -

    ぜひ皆様にもお試しいただきたく思います。フィードバックは authstrengthfeedback@microsoft.com、Azure フォーラム、または Twitter で @AzureAD をタグ付けして、意見をお聞かせください。

    +

    ぜひ皆様にもお試しいただきたく思います。フィードバックは authstrengthfeedback@microsoft.com、Azure フォーラム、または Twitter で @AzureAD をタグ付けして、意見をお聞かせください。

    Inbar and Namrata

    diff --git a/azure-active-directory/authenticator-mobile-only-setup/index.html b/azure-active-directory/authenticator-mobile-only-setup/index.html index 7ba84e3605a..800a8e2cc22 100644 --- a/azure-active-directory/authenticator-mobile-only-setup/index.html +++ b/azure-active-directory/authenticator-mobile-only-setup/index.html @@ -32,7 +32,7 @@ - + @@ -175,7 +175,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/authenticator-setup/index.html b/azure-active-directory/authenticator-setup/index.html index 704ac572ec4..0d1a5697b88 100644 --- a/azure-active-directory/authenticator-setup/index.html +++ b/azure-active-directory/authenticator-setup/index.html @@ -35,7 +35,7 @@ - + @@ -178,7 +178,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/authorization-code-reuse/index.html b/azure-active-directory/authorization-code-reuse/index.html index be334183776..7ba698495fd 100644 --- a/azure-active-directory/authorization-code-reuse/index.html +++ b/azure-active-directory/authorization-code-reuse/index.html @@ -15,7 +15,7 @@ - + @@ -156,7 +156,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/auto-rollout-of-conditional-access-policies-in-microsoft-entra-id/index.html b/azure-active-directory/auto-rollout-of-conditional-access-policies-in-microsoft-entra-id/index.html index 2a929ae28c7..e248c67cbe7 100644 --- a/azure-active-directory/auto-rollout-of-conditional-access-policies-in-microsoft-entra-id/index.html +++ b/azure-active-directory/auto-rollout-of-conditional-access-policies-in-microsoft-entra-id/index.html @@ -14,7 +14,7 @@ - + @@ -154,7 +154,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/autofill-your-addresses-and-payment-info-with-microsoft/index.html b/azure-active-directory/autofill-your-addresses-and-payment-info-with-microsoft/index.html index 8d73fb90f62..bf2d40cdc1b 100644 --- a/azure-active-directory/autofill-your-addresses-and-payment-info-with-microsoft/index.html +++ b/azure-active-directory/autofill-your-addresses-and-payment-info-with-microsoft/index.html @@ -19,7 +19,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/automate-provisioning-and-governance-of-your-on-premises/index.html b/azure-active-directory/automate-provisioning-and-governance-of-your-on-premises/index.html index 7b6680edd3f..454766bb254 100644 --- a/azure-active-directory/automate-provisioning-and-governance-of-your-on-premises/index.html +++ b/azure-active-directory/automate-provisioning-and-governance-of-your-on-premises/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azure-ad-b2c-authorization-code-and-refresh-token-size-increase/index.html b/azure-active-directory/azure-ad-b2c-authorization-code-and-refresh-token-size-increase/index.html index 89bf42e6e7c..9213e9665e7 100644 --- a/azure-active-directory/azure-ad-b2c-authorization-code-and-refresh-token-size-increase/index.html +++ b/azure-active-directory/azure-ad-b2c-authorization-code-and-refresh-token-size-increase/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azure-ad-b2c-fundamentals/index.html b/azure-active-directory/azure-ad-b2c-fundamentals/index.html index 22d248a0211..59abd4d20e9 100644 --- a/azure-active-directory/azure-ad-b2c-fundamentals/index.html +++ b/azure-active-directory/azure-ad-b2c-fundamentals/index.html @@ -20,7 +20,7 @@ - + @@ -162,7 +162,7 @@

    feedback - 共有 + 共有

    @@ -249,14 +249,14 @@

    admin@contosob2c.onmicrosoft.com など) を作成いただき、グローバル管理者権限を付与することで、このユーザーを管理者としてご利用いただくことも可能です。その場合、直接 Azure AD B2C テナントにアクセスするためテナントの切り替えが不要となるほか、Graph Explorer などで Azure AD B2C テナントに対して API 呼び出しを実施いただくことも可能になります。このため、検証用に Azure AD B2C テナントに対しメンバー ユーザーとして管理ユーザーを作成いただくことをお勧めします。

    +

    なお、Azure ポータルから Azure AD B2C テナントにアクセスしてユーザー (admin@contosob2c.onmicrosoft.com など) を作成いただき、グローバル管理者権限を付与することで、このユーザーを管理者としてご利用いただくことも可能です。その場合、直接 Azure AD B2C テナントにアクセスするためテナントの切り替えが不要となるほか、Graph Explorer などで Azure AD B2C テナントに対して API 呼び出しを実施いただくことも可能になります。このため、検証用に Azure AD B2C テナントに対しメンバー ユーザーとして管理ユーザーを作成いただくことをお勧めします。

    Azure AD B2C のコンシューマー ユーザー アカウントとはなんですか

    Azure AD B2C のサインアップ フローで作成されたアカウントは、コンシューマー ユーザー アカウントと呼ばれます。コンシューマー ユーザー アカウントは、サインアップ フロー以外に Azure ポータル、あるいは Microsoft Graph API を利用して作成することが可能です。

    技術的にはコンシューマー アカウントは、連携している IdP のアカウント情報、またはローカル アカウントのメール アドレスを “ID プロパティ” として保持しています。ID プロパティ (identities 属性) のほか、表示名 (DisplayName) や拡張属性 (extension) を Microsoft Graph API を利用することで編集、またはユーザーの新規作成を行うことが可能です。

    詳細については、以下の公開情報をご確認ください。

    -

    Azure AD B2C の職場アカウント (管理ユーザー) とは何ですか

    Azure AD B2C テナントにはコンシューマー ユーザー以外にも、管理用の Azure AD ユーザーを登録することが可能です。これらの職場アカウント (B2B ゲストユーザーを含む) は管理ユーザーとして Azure AD を直接利用することができ、Azure ポータルにサインインをしユーザーを操作を行う、Microsoft Graph API を呼び出すといったことが可能です。上記の admin@contosob2c.onmicrosoft.com がこの例に該当します。

    +

    Azure AD B2C の職場アカウント (管理ユーザー) とは何ですか

    Azure AD B2C テナントにはコンシューマー ユーザー以外にも、管理用の Azure AD ユーザーを登録することが可能です。これらの職場アカウント (B2B ゲストユーザーを含む) は管理ユーザーとして Azure AD を直接利用することができ、Azure ポータルにサインインをしユーザーを操作を行う、Microsoft Graph API を呼び出すといったことが可能です。上記の admin@contosob2c.onmicrosoft.com がこの例に該当します。

    diff --git a/azure-active-directory/azure-ad-certificate-based-authentication-cba-on-mobile-now/index.html b/azure-active-directory/azure-ad-certificate-based-authentication-cba-on-mobile-now/index.html index 45bfc02a9b0..1fe0152cf50 100644 --- a/azure-active-directory/azure-ad-certificate-based-authentication-cba-on-mobile-now/index.html +++ b/azure-active-directory/azure-ad-certificate-based-authentication-cba-on-mobile-now/index.html @@ -21,7 +21,7 @@ - + @@ -162,7 +162,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azure-ad-certificate-based-authentication-cba-on-mobile/index.html b/azure-active-directory/azure-ad-certificate-based-authentication-cba-on-mobile/index.html index f36040d6f58..d7a2dfc9b54 100644 --- a/azure-active-directory/azure-ad-certificate-based-authentication-cba-on-mobile/index.html +++ b/azure-active-directory/azure-ad-certificate-based-authentication-cba-on-mobile/index.html @@ -19,7 +19,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azure-ad-certificate-based-authentication-now-in-public-preview/index.html b/azure-active-directory/azure-ad-certificate-based-authentication-now-in-public-preview/index.html index e7402adac51..749a2e37173 100644 --- a/azure-active-directory/azure-ad-certificate-based-authentication-now-in-public-preview/index.html +++ b/azure-active-directory/azure-ad-certificate-based-authentication-now-in-public-preview/index.html @@ -17,7 +17,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azure-ad-change-management-simplified/index.html b/azure-active-directory/azure-ad-change-management-simplified/index.html index 797f4275759..484bd75f612 100644 --- a/azure-active-directory/azure-ad-change-management-simplified/index.html +++ b/azure-active-directory/azure-ad-change-management-simplified/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azure-ad-consent-framework-advance/index.html b/azure-active-directory/azure-ad-consent-framework-advance/index.html index cbf4803c172..10d2bc5311f 100644 --- a/azure-active-directory/azure-ad-consent-framework-advance/index.html +++ b/azure-active-directory/azure-ad-consent-framework-advance/index.html @@ -21,7 +21,7 @@ - + @@ -164,7 +164,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azure-ad-consent-framework/index.html b/azure-active-directory/azure-ad-consent-framework/index.html index 2d68da9a460..96046d1c85d 100644 --- a/azure-active-directory/azure-ad-consent-framework/index.html +++ b/azure-active-directory/azure-ad-consent-framework/index.html @@ -33,7 +33,7 @@ - + @@ -176,7 +176,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azure-ad-ds-qa/index.html b/azure-active-directory/azure-ad-ds-qa/index.html index 2cd853e44e2..b08ab9a011c 100644 --- a/azure-active-directory/azure-ad-ds-qa/index.html +++ b/azure-active-directory/azure-ad-ds-qa/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    @@ -187,7 +187,7 @@

    以下それぞれの詳細です。

    1. ユーザー名・パスワードが誤っている

    ドメイン参加時に指定したアカウントが Azure AD Domain Services に同期されているアカウントであるか、並びにパスワードが正しいかをご確認ください。
    いずれも問題がない場合には一度 Azure AD 上でパスワードの変更・リセットをご実施ください。

    -

    また、 Azure AD Domain Services に Azure AD から同期したユーザーでサインインを試行する場合には、 NetBIOS 形式 (contoso\user) ではなく、 UPN 形式 (user@contoso.onmicrosoft.com 等) でサインインしてください。
    Azure AD から Azure AD Domain Services に同期したユーザーは Azure AD の UPN と同じ UPN を持ちます。
    NetBIOS 名の場合、名前の長さなどが要因で Azure AD 上のユーザー名と異なる名前が設定されている可能性があります。

    +

    また、 Azure AD Domain Services に Azure AD から同期したユーザーでサインインを試行する場合には、 NetBIOS 形式 (contoso\user) ではなく、 UPN 形式 (user@contoso.onmicrosoft.com 等) でサインインしてください。
    Azure AD から Azure AD Domain Services に同期したユーザーは Azure AD の UPN と同じ UPN を持ちます。
    NetBIOS 名の場合、名前の長さなどが要因で Azure AD 上のユーザー名と異なる名前が設定されている可能性があります。

    Azure AD から Azure AD Domain Services に同期される属性や内容は次のリンクの情報を参照ください。

    属性の同期と Azure AD DS へのマッピング

    2. Azure AD Domain Services を構築する前から Azure AD 上に存在するユーザーを利用している (そしてパスワード ハッシュが Azure AD Domain Services に同期されていない)

    diff --git a/azure-active-directory/azure-ad-ds-scenario/index.html b/azure-active-directory/azure-ad-ds-scenario/index.html index b1edd58edd9..5c1c71a89b4 100644 --- a/azure-active-directory/azure-ad-ds-scenario/index.html +++ b/azure-active-directory/azure-ad-ds-scenario/index.html @@ -15,7 +15,7 @@ - + @@ -156,7 +156,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azure-ad-endpoints/index.html b/azure-active-directory/azure-ad-endpoints/index.html index 8fd6f5a8afb..0098d8c4b8a 100644 --- a/azure-active-directory/azure-ad-endpoints/index.html +++ b/azure-active-directory/azure-ad-endpoints/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azure-ad-get-lastSignInDateTime/index.html b/azure-active-directory/azure-ad-get-lastSignInDateTime/index.html index 38c972280ef..6f29a4d8511 100644 --- a/azure-active-directory/azure-ad-get-lastSignInDateTime/index.html +++ b/azure-active-directory/azure-ad-get-lastSignInDateTime/index.html @@ -14,7 +14,7 @@ - + @@ -156,7 +156,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azure-ad-go-local-data-residency-goes-public-preview-in-japan/index.html b/azure-active-directory/azure-ad-go-local-data-residency-goes-public-preview-in-japan/index.html index e498eb34814..7e35583fdf4 100644 --- a/azure-active-directory/azure-ad-go-local-data-residency-goes-public-preview-in-japan/index.html +++ b/azure-active-directory/azure-ad-go-local-data-residency-goes-public-preview-in-japan/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azure-ad-graph-api-retirement/index.html b/azure-active-directory/azure-ad-graph-api-retirement/index.html index 11a2d62a21e..b33115334b4 100644 --- a/azure-active-directory/azure-ad-graph-api-retirement/index.html +++ b/azure-active-directory/azure-ad-graph-api-retirement/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azure-ad-join-vs-azure-ad-device-registration/index.html b/azure-active-directory/azure-ad-join-vs-azure-ad-device-registration/index.html index 0876fb30b1f..771f9bbc0b9 100644 --- a/azure-active-directory/azure-ad-join-vs-azure-ad-device-registration/index.html +++ b/azure-active-directory/azure-ad-join-vs-azure-ad-device-registration/index.html @@ -18,7 +18,7 @@ - + @@ -163,7 +163,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azure-ad-provisioning/index.html b/azure-active-directory/azure-ad-provisioning/index.html index 6739cb8eadc..14d666a2619 100644 --- a/azure-active-directory/azure-ad-provisioning/index.html +++ b/azure-active-directory/azure-ad-provisioning/index.html @@ -19,7 +19,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azure-ad-provisioning2/index.html b/azure-active-directory/azure-ad-provisioning2/index.html index 78ce8f5a202..d3321912590 100644 --- a/azure-active-directory/azure-ad-provisioning2/index.html +++ b/azure-active-directory/azure-ad-provisioning2/index.html @@ -19,7 +19,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azure-ad-purchase/index.html b/azure-active-directory/azure-ad-purchase/index.html index 874f8891a09..161a2fd41f3 100644 --- a/azure-active-directory/azure-ad-purchase/index.html +++ b/azure-active-directory/azure-ad-purchase/index.html @@ -14,7 +14,7 @@ - + @@ -154,7 +154,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azure-ad-rbac-custom-roles-amp-administrative-units-for-devices/index.html b/azure-active-directory/azure-ad-rbac-custom-roles-amp-administrative-units-for-devices/index.html index aa462a51103..de7348dd004 100644 --- a/azure-active-directory/azure-ad-rbac-custom-roles-amp-administrative-units-for-devices/index.html +++ b/azure-active-directory/azure-ad-rbac-custom-roles-amp-administrative-units-for-devices/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azure-ad-rbac-dynamic-administrative-units-now-in-public-preview/index.html b/azure-active-directory/azure-ad-rbac-dynamic-administrative-units-now-in-public-preview/index.html index 918f322d463..7bac7f66c4f 100644 --- a/azure-active-directory/azure-ad-rbac-dynamic-administrative-units-now-in-public-preview/index.html +++ b/azure-active-directory/azure-ad-rbac-dynamic-administrative-units-now-in-public-preview/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azure-ad-rename-rollout/index.html b/azure-active-directory/azure-ad-rename-rollout/index.html index 0ad08fb9819..637123fd15e 100644 --- a/azure-active-directory/azure-ad-rename-rollout/index.html +++ b/azure-active-directory/azure-ad-rename-rollout/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azure-ad-reporting-api/index.html b/azure-active-directory/azure-ad-reporting-api/index.html index cb4ab374f41..bd60f458305 100644 --- a/azure-active-directory/azure-ad-reporting-api/index.html +++ b/azure-active-directory/azure-ad-reporting-api/index.html @@ -16,7 +16,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azure-ad-security-defaults/index.html b/azure-active-directory/azure-ad-security-defaults/index.html index 3e70dd53e02..3f193bb85ad 100644 --- a/azure-active-directory/azure-ad-security-defaults/index.html +++ b/azure-active-directory/azure-ad-security-defaults/index.html @@ -21,7 +21,7 @@ - + @@ -162,7 +162,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azure-ad-sign-in-experience/index.html b/azure-active-directory/azure-ad-sign-in-experience/index.html index 5bb93b25338..b9562226f59 100644 --- a/azure-active-directory/azure-ad-sign-in-experience/index.html +++ b/azure-active-directory/azure-ad-sign-in-experience/index.html @@ -21,7 +21,7 @@ - + @@ -162,7 +162,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azure-mfa-timing/index.html b/azure-active-directory/azure-mfa-timing/index.html index d26de627ada..1c75d577930 100644 --- a/azure-active-directory/azure-mfa-timing/index.html +++ b/azure-active-directory/azure-mfa-timing/index.html @@ -17,7 +17,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azuread-access-denied/index.html b/azure-active-directory/azuread-access-denied/index.html index d6dfdb13eab..940eaec37d0 100644 --- a/azure-active-directory/azuread-access-denied/index.html +++ b/azure-active-directory/azuread-access-denied/index.html @@ -16,7 +16,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azuread-b2b-troubleshooting/index.html b/azure-active-directory/azuread-b2b-troubleshooting/index.html index e5aaf49ac4b..8793674c940 100644 --- a/azure-active-directory/azuread-b2b-troubleshooting/index.html +++ b/azure-active-directory/azuread-b2b-troubleshooting/index.html @@ -19,7 +19,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    @@ -177,7 +177,7 @@

    招待 E メールは下記のようなメールです。

    -

    アドレス: invites@microsoft.com
    件名: 組織内のアプリケーションにアクセスするための <招待者> さんからの招待

    +

    アドレス: invites@microsoft.com
    件名: 組織内のアプリケーションにアクセスするための <招待者> さんからの招待

    Note

    件名に招待者の名前がない場合、ProxyAddresses 属性に値が入っていないユーザーで招待操作を行ったことが考えられます。この場合、特定のユーザー名の代わりにテナント名が記載されます。

    もし、招待されたユーザーが E メールを利用できない場合や、E メール ボックスの作成前の場合は、招待の再送信後に表示される下記、「招待 URL ※」をコピーして、何らかの手段でその URL を招待されたユーザーにお渡しください。招待されたユーザーは、その URL にブラウザーからアクセスすることで招待の完了作業を進めることができます。

    @@ -191,9 +191,9 @@

    おわりに

    上記内容でもご要望の動作が完了しない場合は、ぜひ弊社サポート サービスをご利用ください。その際は下記の情報を事前にご提供いただけると幸いです。

    例としては、「招待 E メールが届かない」、「招待 E メールは届くが招待の操作が完了しない」、「招待は完了したが、その後に目的のリソースにアクセスできない」などが挙げられます。それぞれ、上記の情報を添えてお問い合わせを発行いただけますと幸いです。

    diff --git a/azure-active-directory/azuread-clientsecrets-202104/index.html b/azure-active-directory/azuread-clientsecrets-202104/index.html index deea16f07b6..46e10a188c0 100644 --- a/azure-active-directory/azuread-clientsecrets-202104/index.html +++ b/azure-active-directory/azuread-clientsecrets-202104/index.html @@ -15,7 +15,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azuread-module-retirement1/index.html b/azure-active-directory/azuread-module-retirement1/index.html index 2969b693708..c0842e51b36 100644 --- a/azure-active-directory/azuread-module-retirement1/index.html +++ b/azure-active-directory/azuread-module-retirement1/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azuread-module-retirement2/index.html b/azure-active-directory/azuread-module-retirement2/index.html index 326c03f52aa..9d745d73c49 100644 --- a/azure-active-directory/azuread-module-retirement2/index.html +++ b/azure-active-directory/azuread-module-retirement2/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azuread-module-retirement3/index.html b/azure-active-directory/azuread-module-retirement3/index.html index 2947009ea86..86b6bfe510e 100644 --- a/azure-active-directory/azuread-module-retirement3/index.html +++ b/azure-active-directory/azuread-module-retirement3/index.html @@ -17,7 +17,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azuread-module-retirement4/index.html b/azure-active-directory/azuread-module-retirement4/index.html index 66d3ff174bd..4cd1c2f7db8 100644 --- a/azure-active-directory/azuread-module-retirement4/index.html +++ b/azure-active-directory/azuread-module-retirement4/index.html @@ -26,7 +26,7 @@ - + @@ -168,7 +168,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azuread-module-retirement5/index.html b/azure-active-directory/azuread-module-retirement5/index.html index 7cdc619463b..680ffa78602 100644 --- a/azure-active-directory/azuread-module-retirement5/index.html +++ b/azure-active-directory/azuread-module-retirement5/index.html @@ -25,7 +25,7 @@ - + @@ -167,7 +167,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azuread-module-retirement6/index.html b/azure-active-directory/azuread-module-retirement6/index.html index e1db1c40bd9..627a45f2fc1 100644 --- a/azure-active-directory/azuread-module-retirement6/index.html +++ b/azure-active-directory/azuread-module-retirement6/index.html @@ -28,7 +28,7 @@ - + @@ -169,7 +169,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/azuread-user-group-limitation/index.html b/azure-active-directory/azuread-user-group-limitation/index.html index 83156a1d10c..9c5a4ef4d5a 100644 --- a/azure-active-directory/azuread-user-group-limitation/index.html +++ b/azure-active-directory/azuread-user-group-limitation/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/b2b-invitation/index.html b/azure-active-directory/b2b-invitation/index.html index e4894283746..0985e0fad51 100644 --- a/azure-active-directory/b2b-invitation/index.html +++ b/azure-active-directory/b2b-invitation/index.html @@ -15,7 +15,7 @@ - + @@ -156,7 +156,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/b2b-mfa/index.html b/azure-active-directory/b2b-mfa/index.html index 8f48e1c138c..411c0001e43 100644 --- a/azure-active-directory/b2b-mfa/index.html +++ b/azure-active-directory/b2b-mfa/index.html @@ -18,7 +18,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/b2bfaq/index.html b/azure-active-directory/b2bfaq/index.html index 25cbc3a2c74..c495570154c 100644 --- a/azure-active-directory/b2bfaq/index.html +++ b/azure-active-directory/b2bfaq/index.html @@ -32,7 +32,7 @@ - + @@ -174,7 +174,7 @@

    feedback - 共有 + 共有

    @@ -193,18 +193,18 @@

    Q. ゲスト ユーザーを 2 人招待したはずなのに、 1 人分しかゲスト ユーザー オブジェクトが作成されませんでした。なぜですか?

    A. ホーム テナント側で招待に使用した 2 つの E メール アドレスが同じ 1 つのアカウントに紐づいているために、 新しいゲスト ユーザー オブジェクトが作成されなかったことが考えられます。

    -

    たとえば、user1@adatum.comuser1_tokyo@adatum.com という二つの異なる E メール アドレスが、どちらも同じユーザー アカウントに紐づいているとします。具体的には、どちらの E メール アドレスに E メールを送信しても同じユーザーに届く状態です。このような状態で、まず user1@adatum.com を招待するとそのテナント上にゲスト ユーザー オブジェクトが作成されます。その後、同じテナント上でさらに user1_tokyo@adatum.com を招待しても、新しいゲスト ユーザー オブジェクトは作成されません。これはこれら二つの E メール アドレスの実体が一つのユーザー オブジェクトであるからです。

    -

    より詳細には、user1@adatum.com のゲスト ユーザーがいる状態で、Azure ポータルの画面から user1_tokyo@adatum.com のアドレスを招待すると、以下のような動作となります (2023/4/28 現在)。

    +

    たとえば、user1@adatum.comuser1_tokyo@adatum.com という二つの異なる E メール アドレスが、どちらも同じユーザー アカウントに紐づいているとします。具体的には、どちらの E メール アドレスに E メールを送信しても同じユーザーに届く状態です。このような状態で、まず user1@adatum.com を招待するとそのテナント上にゲスト ユーザー オブジェクトが作成されます。その後、同じテナント上でさらに user1_tokyo@adatum.com を招待しても、新しいゲスト ユーザー オブジェクトは作成されません。これはこれら二つの E メール アドレスの実体が一つのユーザー オブジェクトであるからです。

    +

    より詳細には、user1@adatum.com のゲスト ユーザーがいる状態で、Azure ポータルの画面から user1_tokyo@adatum.com のアドレスを招待すると、以下のような動作となります (2023/4/28 現在)。

    -

    なお、上記のとおり、この動作はホーム テナント側でユーザー アカウントがどのような状態になっているかで決まります。そのため、アドレスのドメイン名や名前のみで一概に決まるものではございません。例えば、test1@contoso.comtest@contoso.jp という一見似たような E メール アドレスであっても、これらの E メール アドレスがホーム テナントで別々のユーザーに登録されていれば、ゲスト ユーザー オブジェクトは通常どおり 2 つ作成されます。

    +

    なお、上記のとおり、この動作はホーム テナント側でユーザー アカウントがどのような状態になっているかで決まります。そのため、アドレスのドメイン名や名前のみで一概に決まるものではございません。例えば、test1@contoso.comtest@contoso.jp という一見似たような E メール アドレスであっても、これらの E メール アドレスがホーム テナントで別々のユーザーに登録されていれば、ゲスト ユーザー オブジェクトは通常どおり 2 つ作成されます。

    「ホーム テナント側でアカウントが紐づいているかどうか」は、招待するリソース テナント側からのお問い合わせでは確認できないため、招待されるホーム テナントの管理者様に確認を依頼ください。

    Q. 招待したゲスト ユーザーからサインインができないと連絡がありました。対処方法を教えて下さい

    A. ゲスト ユーザーであっても、サインインはホーム ディレクトリにて行われます。そのため、まずはゲスト ユーザーがホーム ディレクトリにサインインができるかを切り分けてください。ホーム ディレクトリにもサインインができない場合には、ホーム ディレクトリ側での対応が必要となりますので招待した側のディレクトリの管理者で対応できません。一方で、ホーム ディレクトリにはサインインができるが、招待したディレクトリにはサインインができない場合には、招待した側のディレクトリにて調査します。

    ゲスト ユーザーのよくある サインインができない問題については、2.招待された側のよくある質問 に記載しています。

    -

    Q. 招待したいユーザーが E メールを受信できないアカウントです。E メールを受信できなければゲスト ユーザーとして招待できませんか?

    A. E メールを受信できないユーザーであっても招待することが可能です。(E メールを受信できないユーザーとは xxx@contso.onmicrosoft.com のような Azure AD 上のユーザーも含みます)。E メールを受信できないアカウントの場合、招待 E メールを受け取ることができないため、直接リンクを利用して招待に承諾します。以下の URL をゲスト ユーザーに送付し、招待への承諾を依頼ください。

    +

    Q. 招待したいユーザーが E メールを受信できないアカウントです。E メールを受信できなければゲスト ユーザーとして招待できませんか?

    A. E メールを受信できないユーザーであっても招待することが可能です。(E メールを受信できないユーザーとは xxx@contso.onmicrosoft.com のような Azure AD 上のユーザーも含みます)。E メールを受信できないアカウントの場合、招待 E メールを受け取ることができないため、直接リンクを利用して招待に承諾します。以下の URL をゲスト ユーザーに送付し、招待への承諾を依頼ください。

    https://portal.azure.com/<招待先ディレクトリのテナントID>

    E メールを利用しない招待については、B2B コラボレーションの招待の利用 - Azure AD | Microsoft Docs を参照ください。(直接リンクによる利用の項に記載があります)

    diff --git a/azure-active-directory/biometrics-keep-your-fingers-close/index.html b/azure-active-directory/biometrics-keep-your-fingers-close/index.html index 1cfaea160a0..168d3941c7a 100644 --- a/azure-active-directory/biometrics-keep-your-fingers-close/index.html +++ b/azure-active-directory/biometrics-keep-your-fingers-close/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/build-a-strong-zero-trust-foundation-starting-with-identity-and-endpoint-management/index.html b/azure-active-directory/build-a-strong-zero-trust-foundation-starting-with-identity-and-endpoint-management/index.html index 737d56919db..45db859a146 100644 --- a/azure-active-directory/build-a-strong-zero-trust-foundation-starting-with-identity-and-endpoint-management/index.html +++ b/azure-active-directory/build-a-strong-zero-trust-foundation-starting-with-identity-and-endpoint-management/index.html @@ -19,7 +19,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/building-api-first-solutions-that-aid-modern-zero-trust/index.html b/azure-active-directory/building-api-first-solutions-that-aid-modern-zero-trust/index.html index 749c9312265..519e14f5ee3 100644 --- a/azure-active-directory/building-api-first-solutions-that-aid-modern-zero-trust/index.html +++ b/azure-active-directory/building-api-first-solutions-that-aid-modern-zero-trust/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/built-in-security-controls-for-external-facing-apps/index.html b/azure-active-directory/built-in-security-controls-for-external-facing-apps/index.html index 7ae197718cf..10218c41ed3 100644 --- a/azure-active-directory/built-in-security-controls-for-external-facing-apps/index.html +++ b/azure-active-directory/built-in-security-controls-for-external-facing-apps/index.html @@ -19,7 +19,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/ca-authentication-strength-ga/index.html b/azure-active-directory/ca-authentication-strength-ga/index.html index 0c70d635460..13aa9182026 100644 --- a/azure-active-directory/ca-authentication-strength-ga/index.html +++ b/azure-active-directory/ca-authentication-strength-ga/index.html @@ -15,7 +15,7 @@ - + @@ -156,7 +156,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/ca-filter-for-apps/index.html b/azure-active-directory/ca-filter-for-apps/index.html index 5a897b7bb05..2e05fd3e7ac 100644 --- a/azure-active-directory/ca-filter-for-apps/index.html +++ b/azure-active-directory/ca-filter-for-apps/index.html @@ -24,7 +24,7 @@ - + @@ -166,7 +166,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/ca_client_default/index.html b/azure-active-directory/ca_client_default/index.html index fc453570a7a..d71be16659c 100644 --- a/azure-active-directory/ca_client_default/index.html +++ b/azure-active-directory/ca_client_default/index.html @@ -18,7 +18,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    @@ -173,7 +173,7 @@

  • 新しく作成した条件付きアクセスポリシーは、既定でレガシー認証クライアントに適用されます。
  • クライアントアプリという条件において、どのアプリを対象としているかが視覚的にわかりやすくなりました。
    • -

    Conditional Access チームのプログラムマネージャーである Daniel Wood が、これらの変更が組織のセキュリティ確保にどのように役立つかを説明するブログを書いてくれました。
    フィードバックや質問がありましたら、intelligentaccesspm@microsoft.com までご連絡ください。

    +

    Conditional Access チームのプログラムマネージャーである Daniel Wood が、これらの変更が組織のセキュリティ確保にどのように役立つかを説明するブログを書いてくれました。
    フィードバックや質問がありましたら、intelligentaccesspm@microsoft.com までご連絡ください。

    管理者が最新の認証クライアントとレガシ認証クライアントを対象としたポリシーを簡単に作成できるように、管理者の操作性を簡素化しました。
    既定では、クライアントアプリの条件が構成されていない場合、新しく作成する条件付きアクセスポリシーでは、すべてのクライアントアプリが対象になります。
    レガシー認証クライアントからのサインインは、MFA をサポートしておらず、デバイスの状態情報を Azure AD に渡しません。そのため、MFA や準拠デバイスを要求するなどを条件付き アクセス ポリシーのアクセス制御の要件に含めた場合には、レガシー認証はブロックされます。
    レガシー認証を使用しなければならないアカウントがある場合は、明示的に例外をポリシーで設定し、ブロックされないようにすることができます。
    レガシー認証クライアントのみを対象とする条件付きアクセスポリシーを作成する場合は、クライアントアプリの構成の 「はい」、 「いいえ」 を切り替える箇所を 「はい」 に切り替え、Exchange ActiveSync クライアントと他のクライアントを選択したまま、ブラウザーとモバイルアプリとデスクトップクライアントの選択を解除します。

    Client Apps

    @@ -183,7 +183,7 @@

    組織でのクライアントアプリの使用状況を理解しましょう

    新しいポリシーを作成する前に、組織で誰がレガシー認証を使用しているかを理解しておくとよいでしょう。サインイン時に組織で使用されているクライアントアプリとプロトコルを確認するには、「サインイン」ページに移動し、クライアントアプリの種類で結果をフィルタリングします。

    Sign in activity

    -

    フィードバックを共有してください

    今回の変更により、レガシ認証をブロックすることで、管理者が組織のセキュリティを確保しやすくなることを願っています。フィードバックや質問がありましたら、daniel.wood@microsoft.com までご連絡ください。

    +

    フィードバックを共有してください

    今回の変更により、レガシ認証をブロックすることで、管理者が組織のセキュリティを確保しやすくなることを願っています。フィードバックや質問がありましたら、daniel.wood@microsoft.com までご連絡ください。

    diff --git a/azure-active-directory/cae-overview/index.html b/azure-active-directory/cae-overview/index.html index f95c054c843..28cd77a8b28 100644 --- a/azure-active-directory/cae-overview/index.html +++ b/azure-active-directory/cae-overview/index.html @@ -17,7 +17,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    @@ -169,7 +169,7 @@

    みなさんは CAE (Continuous Access Evaluation: 継続的アクセス評価) という機能をご存知でしょうか。
    2021 年 11 月現在、以下のようなお知らせがあり、目にされた方も多いのではないかと思います。

    • Microsoft 365 管理ポータルのメッセージ センターに MC255540 (Continuous access evaluation on by default) として情報が公開
      • -
    • 送信元 : Microsoft Azure azure-noreply@microsoft.com から TRACKING ID: 5T93-LTG として以下の件名のメールでお知らせ
      -> Continuous access evaluation will be enabled in premium Azure AD tenants beginning on 15 June 2021
      • +
    • 送信元 : Microsoft Azure azure-noreply@microsoft.com から TRACKING ID: 5T93-LTG として以下の件名のメールでお知らせ
      -> Continuous access evaluation will be enabled in premium Azure AD tenants beginning on 15 June 2021
    • Microsoft 365 管理ポータルのメッセージ センターに MC273937 (Update: CAE On By Default) として展開時期が変更となる情報が公開
    • Microsoft 365 管理ポータルのメッセージ センターに MC297566 (Continuous access evaluation feature coming to general availability! ) として一般公開に伴い、CAE の設定が条件付きアクセスポリシーに移行する情報が公開
    diff --git a/azure-active-directory/capolicy-for-csp-account/index.html b/azure-active-directory/capolicy-for-csp-account/index.html index fd4d4b4cb51..1c5ee303b84 100644 --- a/azure-active-directory/capolicy-for-csp-account/index.html +++ b/azure-active-directory/capolicy-for-csp-account/index.html @@ -21,7 +21,7 @@ - + @@ -164,7 +164,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/change-device-owner/index.html b/azure-active-directory/change-device-owner/index.html index c70c8f91a1f..a28bbbd0e53 100644 --- a/azure-active-directory/change-device-owner/index.html +++ b/azure-active-directory/change-device-owner/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/change-mfa-verification-method/index.html b/azure-active-directory/change-mfa-verification-method/index.html index 44986e7594c..f4f0c433014 100644 --- a/azure-active-directory/change-mfa-verification-method/index.html +++ b/azure-active-directory/change-mfa-verification-method/index.html @@ -19,7 +19,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/changed_aad_ip_range/index.html b/azure-active-directory/changed_aad_ip_range/index.html index c8e32685295..98b58f64c57 100644 --- a/azure-active-directory/changed_aad_ip_range/index.html +++ b/azure-active-directory/changed_aad_ip_range/index.html @@ -14,7 +14,7 @@ - + @@ -154,7 +154,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/check-out-new-azure-ad-certificate-based-authentication-cba/index.html b/azure-active-directory/check-out-new-azure-ad-certificate-based-authentication-cba/index.html index 0fd9c4a8003..477dca05f69 100644 --- a/azure-active-directory/check-out-new-azure-ad-certificate-based-authentication-cba/index.html +++ b/azure-active-directory/check-out-new-azure-ad-certificate-based-authentication-cba/index.html @@ -27,7 +27,7 @@ - + @@ -169,7 +169,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/cloudknox-permissions-management-is-now-in-public-preview/index.html b/azure-active-directory/cloudknox-permissions-management-is-now-in-public-preview/index.html index 6354e3b462e..a372020d276 100644 --- a/azure-active-directory/cloudknox-permissions-management-is-now-in-public-preview/index.html +++ b/azure-active-directory/cloudknox-permissions-management-is-now-in-public-preview/index.html @@ -17,7 +17,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/collaborate-more-securely-with-new-cross-tenant-access-settings/index.html b/azure-active-directory/collaborate-more-securely-with-new-cross-tenant-access-settings/index.html index 2d698045d21..c580c59aeed 100644 --- a/azure-active-directory/collaborate-more-securely-with-new-cross-tenant-access-settings/index.html +++ b/azure-active-directory/collaborate-more-securely-with-new-cross-tenant-access-settings/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/collaborate-securely-across-organizational-boundaries-and-microsoft-clouds/index.html b/azure-active-directory/collaborate-securely-across-organizational-boundaries-and-microsoft-clouds/index.html index 06f15565dbd..f90566f159c 100644 --- a/azure-active-directory/collaborate-securely-across-organizational-boundaries-and-microsoft-clouds/index.html +++ b/azure-active-directory/collaborate-securely-across-organizational-boundaries-and-microsoft-clouds/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/combatting-risky-sign-ins/index.html b/azure-active-directory/combatting-risky-sign-ins/index.html index da3464959d8..db6c356c0e7 100644 --- a/azure-active-directory/combatting-risky-sign-ins/index.html +++ b/azure-active-directory/combatting-risky-sign-ins/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/coming-soon-platform-SSO-for-macOS/index.html b/azure-active-directory/coming-soon-platform-SSO-for-macOS/index.html index f94585ddf82..ed9e0f79d30 100644 --- a/azure-active-directory/coming-soon-platform-SSO-for-macOS/index.html +++ b/azure-active-directory/coming-soon-platform-SSO-for-macOS/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/company-branding-ga/index.html b/azure-active-directory/company-branding-ga/index.html index d325f1261e7..0ac38d4110f 100644 --- a/azure-active-directory/company-branding-ga/index.html +++ b/azure-active-directory/company-branding-ga/index.html @@ -24,7 +24,7 @@ - + @@ -165,7 +165,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/comprehend-account-lockout/index.html b/azure-active-directory/comprehend-account-lockout/index.html index 5b2e1e60f6d..c1c615d206e 100644 --- a/azure-active-directory/comprehend-account-lockout/index.html +++ b/azure-active-directory/comprehend-account-lockout/index.html @@ -26,7 +26,7 @@ - + @@ -167,7 +167,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/comprehend-password-policy/index.html b/azure-active-directory/comprehend-password-policy/index.html index 0fc06572adc..b85b10f1671 100644 --- a/azure-active-directory/comprehend-password-policy/index.html +++ b/azure-active-directory/comprehend-password-policy/index.html @@ -28,7 +28,7 @@ - + @@ -170,7 +170,7 @@

    feedback - 共有 + 共有

    @@ -214,7 +214,7 @@

    ヒント

    上記の設定でパスワード有効期限を 90 日などに設定している環境でも、システム用アカウントなど、一部のユーザーだけ無期限にしたいシナリオがあるかと思います。この場合は、上記の設定に加え、そのアカウントに対してのみ Update-MgUser コマンドで DisablePasswordExpiration を設定することで、個別に無期限にできます。詳細は、個別のユーザーのパスワードを無期限に設定する の情報をご確認ください。

    -

    シナリオ C-4: ゲスト ユーザー

    ゲスト ユーザーのパスワード有効期限は、ゲストがもともと登録されているホーム テナントの組織で管理されています。そのため、ゲストを招待したテナント側 (リソース テナント側) では管理する必要がなく、ホーム テナント側の組織の設定を確認します。ゲスト ユーザーが user@outlook.com などの Microsoft アカウントの場合は、各サービスで定義されているパスワード ポリシーが適用されます。

    +

    シナリオ C-4: ゲスト ユーザー

    ゲスト ユーザーのパスワード有効期限は、ゲストがもともと登録されているホーム テナントの組織で管理されています。そのため、ゲストを招待したテナント側 (リソース テナント側) では管理する必要がなく、ホーム テナント側の組織の設定を確認します。ゲスト ユーザーが user@outlook.com などの Microsoft アカウントの場合は、各サービスで定義されているパスワード ポリシーが適用されます。

    D. 補足情報 (FAQ)

    パスワード ポリシー関連でよくある質問をおまとめしております。

    Q: パスワード ハッシュ同期の環境で、オンプレミス AD 側の有効期限が切れたときに、 Entra ID 側に引き続き古いパスワードでアクセスできてしまいます。同期ユーザーの Entra ID 側のパスワードの有効期限を無期限から変更することはできますか。

    A: はい、テナント側の CloudPasswordPolicyForPasswordSyncedUsersEnabled オプションを適用することで可能です。 Entra ID 側からパスワードを変更するためには、Entra Connect でパスワード ライトバックを有効にする必要もあります。

    以下のコマンドを実行すると、Entra ID 側のユーザーにもパスワード有効期限を設定することができます。

    @@ -230,7 +230,7 @@

    Q: Entra ID のパスワード ポリシーがいつのまにか無期限になっています。誰が変更したか確認する方法はありますか?

    A: 直近でポリシーが変更されている場合は、Microsoft Entra ID の監査ログで確認することが可能です。Set password policy のアクティビティでフィルターをかけたのちに、開始者(アクター)に記載のユーザーを確認ください。

    Q: PowerShell で Get-MgDomain コマンドを実行し、テナントに設定されているパスワード有効期限を調べました。2147483647 日と表示されるのですが、どのような意味ですか?

    A: そのドメインについては、テナントのパスワード有効期限が無期限になっていることを示しています。

    Q: Microsoft 365 管理センターや PowerShell からパスワード ポリシーを編集しましたが、期限切れの通知が来ません。

    A: 以前は Microsoft 365 ポータルの右上にベル アイコンが表示されていましたが、通知設定自体が廃止されたため、”もうすぐ期限切れ” の通知は現在送信されません。

    -

    Q: Microsoft Entra 参加している端末にサインインしています。パスワードが切れているのに、端末にサインインできてしまうのですが、いつパスワード変更が求められますか?

    A: 端末にログオンし、Windows のデスクトップを表示するところまでは、パスワードが切れていても実施できます。Azure ポータルや Microsoft 365 管理センター、Exchange Online など Entra ID と連携するクラウド上のリソースにサインインした時にパスワード変更が求められます。端末に UPN (例: user@contoso.onmicrosoft.com) などでサインインした場合には、端末ログオン後、右下に以下のメッセージが表示される動作を現時点で確認しております。こちらもパスワード変更の際の目安となりましたら幸いです。

    +

    Q: Microsoft Entra 参加している端末にサインインしています。パスワードが切れているのに、端末にサインインできてしまうのですが、いつパスワード変更が求められますか?

    A: 端末にログオンし、Windows のデスクトップを表示するところまでは、パスワードが切れていても実施できます。Azure ポータルや Microsoft 365 管理センター、Exchange Online など Entra ID と連携するクラウド上のリソースにサインインした時にパスワード変更が求められます。端末に UPN (例: user@contoso.onmicrosoft.com) などでサインインした場合には、端末ログオン後、右下に以下のメッセージが表示される動作を現時点で確認しております。こちらもパスワード変更の際の目安となりましたら幸いです。

    Q: テナントに設定されている値ではなく、各ユーザーのパスワード有効期限を知りたいです。方法はありますか?

    A: Azure ポータル上から簡単に確認することはできません。 PowerShell で取得した値をもとに計算ください。テナントに設定されている有効期限を確認するには以下のように実施ください。

      diff --git a/azure-active-directory/conditional-access-basic/index.html b/azure-active-directory/conditional-access-basic/index.html index 8f63ef8a60d..ffca1a5508b 100644 --- a/azure-active-directory/conditional-access-basic/index.html +++ b/azure-active-directory/conditional-access-basic/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

      feedback - 共有 + 共有

    diff --git a/azure-active-directory/conditional-access-compliant-ios-android/index.html b/azure-active-directory/conditional-access-compliant-ios-android/index.html index 09d369d891c..4e1d2e2a8bd 100644 --- a/azure-active-directory/conditional-access-compliant-ios-android/index.html +++ b/azure-active-directory/conditional-access-compliant-ios-android/index.html @@ -21,7 +21,7 @@ - + @@ -164,7 +164,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/conditional-access-compliant-windows/index.html b/azure-active-directory/conditional-access-compliant-windows/index.html index e676d2c2784..3153fb04571 100644 --- a/azure-active-directory/conditional-access-compliant-windows/index.html +++ b/azure-active-directory/conditional-access-compliant-windows/index.html @@ -17,7 +17,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/conditional-access-for-protected-actions/index.html b/azure-active-directory/conditional-access-for-protected-actions/index.html index b195cf7a0fd..d18a4187cb3 100644 --- a/azure-active-directory/conditional-access-for-protected-actions/index.html +++ b/azure-active-directory/conditional-access-for-protected-actions/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/conditional-access-overview-and-templates/index.html b/azure-active-directory/conditional-access-overview-and-templates/index.html index 4fc2114e02b..bbe112b550a 100644 --- a/azure-active-directory/conditional-access-overview-and-templates/index.html +++ b/azure-active-directory/conditional-access-overview-and-templates/index.html @@ -20,7 +20,7 @@ - + @@ -162,7 +162,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/conditional-cannot-access-rightnow/index.html b/azure-active-directory/conditional-cannot-access-rightnow/index.html index 1d8cf9dd44e..5b68d63e981 100644 --- a/azure-active-directory/conditional-cannot-access-rightnow/index.html +++ b/azure-active-directory/conditional-cannot-access-rightnow/index.html @@ -24,7 +24,7 @@ - + @@ -167,7 +167,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/connect-command-troubleshooting/index.html b/azure-active-directory/connect-command-troubleshooting/index.html index 5d6e6d21b2f..219ae37d2c1 100644 --- a/azure-active-directory/connect-command-troubleshooting/index.html +++ b/azure-active-directory/connect-command-troubleshooting/index.html @@ -14,7 +14,7 @@ - + @@ -154,7 +154,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/continuous-access-evaluation-in-azure-ad-is-now-generally/index.html b/azure-active-directory/continuous-access-evaluation-in-azure-ad-is-now-generally/index.html index 1c72eec074e..8cb7d1289e6 100644 --- a/azure-active-directory/continuous-access-evaluation-in-azure-ad-is-now-generally/index.html +++ b/azure-active-directory/continuous-access-evaluation-in-azure-ad-is-now-generally/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/control-ios-nativemailapp-by-conditionalaccess/index.html b/azure-active-directory/control-ios-nativemailapp-by-conditionalaccess/index.html index 1636aedf0ea..6c096318310 100644 --- a/azure-active-directory/control-ios-nativemailapp-by-conditionalaccess/index.html +++ b/azure-active-directory/control-ios-nativemailapp-by-conditionalaccess/index.html @@ -28,7 +28,7 @@ - + @@ -170,7 +170,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/create-nested-groups-with-azure-ad-dynamic-groups/index.html b/azure-active-directory/create-nested-groups-with-azure-ad-dynamic-groups/index.html index c4720a055d9..831181febdb 100644 --- a/azure-active-directory/create-nested-groups-with-azure-ad-dynamic-groups/index.html +++ b/azure-active-directory/create-nested-groups-with-azure-ad-dynamic-groups/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/create-subscription-error/index.html b/azure-active-directory/create-subscription-error/index.html index de1e6c210d3..b79fa583f7e 100644 --- a/azure-active-directory/create-subscription-error/index.html +++ b/azure-active-directory/create-subscription-error/index.html @@ -19,7 +19,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/credentials-for-psscripts/index.html b/azure-active-directory/credentials-for-psscripts/index.html index a68957714f7..fd166e4bbbe 100644 --- a/azure-active-directory/credentials-for-psscripts/index.html +++ b/azure-active-directory/credentials-for-psscripts/index.html @@ -17,7 +17,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/cross-tenant-access-setting-ga/index.html b/azure-active-directory/cross-tenant-access-setting-ga/index.html index 58f7fe5b5c0..f9503be1ce6 100644 --- a/azure-active-directory/cross-tenant-access-setting-ga/index.html +++ b/azure-active-directory/cross-tenant-access-setting-ga/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/cross-tenant-access-settings-notes-from-the-field/index.html b/azure-active-directory/cross-tenant-access-settings-notes-from-the-field/index.html index 7743076491a..b2321170687 100644 --- a/azure-active-directory/cross-tenant-access-settings-notes-from-the-field/index.html +++ b/azure-active-directory/cross-tenant-access-settings-notes-from-the-field/index.html @@ -25,7 +25,7 @@ - + @@ -167,7 +167,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/cross-tenant-sync-publicpreview/index.html b/azure-active-directory/cross-tenant-sync-publicpreview/index.html index c12f7a28908..21c0e33720f 100644 --- a/azure-active-directory/cross-tenant-sync-publicpreview/index.html +++ b/azure-active-directory/cross-tenant-sync-publicpreview/index.html @@ -18,7 +18,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/custom-attribute-aadds-preview/index.html b/azure-active-directory/custom-attribute-aadds-preview/index.html index 2b76a82af03..d559044cf65 100644 --- a/azure-active-directory/custom-attribute-aadds-preview/index.html +++ b/azure-active-directory/custom-attribute-aadds-preview/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/custom-roles-for-app-management-now-available/index.html b/azure-active-directory/custom-roles-for-app-management-now-available/index.html index f348d2e0149..cce8ce16eb6 100644 --- a/azure-active-directory/custom-roles-for-app-management-now-available/index.html +++ b/azure-active-directory/custom-roles-for-app-management-now-available/index.html @@ -21,7 +21,7 @@ - + @@ -163,7 +163,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/customize-your-authentication-flows-with-custom-claims-providers/index.html b/azure-active-directory/customize-your-authentication-flows-with-custom-claims-providers/index.html index 8250b23fb85..fc4e2f4c122 100644 --- a/azure-active-directory/customize-your-authentication-flows-with-custom-claims-providers/index.html +++ b/azure-active-directory/customize-your-authentication-flows-with-custom-claims-providers/index.html @@ -25,7 +25,7 @@ - + @@ -167,7 +167,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/defeating-adversary-in-the-middle-phishing-attacks/index.html b/azure-active-directory/defeating-adversary-in-the-middle-phishing-attacks/index.html index a23de130065..88b20c6c47e 100644 --- a/azure-active-directory/defeating-adversary-in-the-middle-phishing-attacks/index.html +++ b/azure-active-directory/defeating-adversary-in-the-middle-phishing-attacks/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/defend-your-users-from-mfa-fatigue-attacks/index.html b/azure-active-directory/defend-your-users-from-mfa-fatigue-attacks/index.html index 9509946c6f3..60eb06fd439 100644 --- a/azure-active-directory/defend-your-users-from-mfa-fatigue-attacks/index.html +++ b/azure-active-directory/defend-your-users-from-mfa-fatigue-attacks/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/device-based-access-control/index.html b/azure-active-directory/device-based-access-control/index.html index 0b52c3c7310..acddf178872 100644 --- a/azure-active-directory/device-based-access-control/index.html +++ b/azure-active-directory/device-based-access-control/index.html @@ -15,7 +15,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/device-object/index.html b/azure-active-directory/device-object/index.html index 1838021f12a..904640c4f2d 100644 --- a/azure-active-directory/device-object/index.html +++ b/azure-active-directory/device-object/index.html @@ -22,7 +22,7 @@ - + @@ -166,7 +166,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/do-more-with-external-identities-user-flows-in-just-a-few-clicks/index.html b/azure-active-directory/do-more-with-external-identities-user-flows-in-just-a-few-clicks/index.html index 833bc5a767e..e2f2c399589 100644 --- a/azure-active-directory/do-more-with-external-identities-user-flows-in-just-a-few-clicks/index.html +++ b/azure-active-directory/do-more-with-external-identities-user-flows-in-just-a-few-clicks/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/dynamic-automated-access-with-entitlment-management/index.html b/azure-active-directory/dynamic-automated-access-with-entitlment-management/index.html index f9ac1143242..cb3a2f53374 100644 --- a/azure-active-directory/dynamic-automated-access-with-entitlment-management/index.html +++ b/azure-active-directory/dynamic-automated-access-with-entitlment-management/index.html @@ -19,7 +19,7 @@ - + @@ -162,7 +162,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/easily-manage-privileged-role-assignments-with-auditlogs/index.html b/azure-active-directory/easily-manage-privileged-role-assignments-with-auditlogs/index.html index c951d1f6982..badabed321b 100644 --- a/azure-active-directory/easily-manage-privileged-role-assignments-with-auditlogs/index.html +++ b/azure-active-directory/easily-manage-privileged-role-assignments-with-auditlogs/index.html @@ -19,7 +19,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/effective-strategies-for-conducting-mass-password-resets-during-cybersecurity-incidents/index.html b/azure-active-directory/effective-strategies-for-conducting-mass-password-resets-during-cybersecurity-incidents/index.html index 2ef3f6d6ef1..2fdc1a550f7 100644 --- a/azure-active-directory/effective-strategies-for-conducting-mass-password-resets-during-cybersecurity-incidents/index.html +++ b/azure-active-directory/effective-strategies-for-conducting-mass-password-resets-during-cybersecurity-incidents/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/emphasizing-security-by-default-with-advanced-microsoft/index.html b/azure-active-directory/emphasizing-security-by-default-with-advanced-microsoft/index.html index e71a33a4a7c..a367666449f 100644 --- a/azure-active-directory/emphasizing-security-by-default-with-advanced-microsoft/index.html +++ b/azure-active-directory/emphasizing-security-by-default-with-advanced-microsoft/index.html @@ -17,7 +17,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/end-of-support-for-azure-ad-graph-permission-sign-up-through/index.html b/azure-active-directory/end-of-support-for-azure-ad-graph-permission-sign-up-through/index.html index 28b3c76028f..bdbc71d2acb 100644 --- a/azure-active-directory/end-of-support-for-azure-ad-graph-permission-sign-up-through/index.html +++ b/azure-active-directory/end-of-support-for-azure-ad-graph-permission-sign-up-through/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/end-user-passwordless-utopia/index.html b/azure-active-directory/end-user-passwordless-utopia/index.html index 9df4eb8bdf6..d04fe983356 100644 --- a/azure-active-directory/end-user-passwordless-utopia/index.html +++ b/azure-active-directory/end-user-passwordless-utopia/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/enforce-least-privilege-for-entra-iD-company-branding-with-the-new-organizational-branding-role/index.html b/azure-active-directory/enforce-least-privilege-for-entra-iD-company-branding-with-the-new-organizational-branding-role/index.html index 7b603fe2346..d5cfe7d02bd 100644 --- a/azure-active-directory/enforce-least-privilege-for-entra-iD-company-branding-with-the-new-organizational-branding-role/index.html +++ b/azure-active-directory/enforce-least-privilege-for-entra-iD-company-branding-with-the-new-organizational-branding-role/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/enhance-end-user-experiences-with-custom-otp-email-provider-support/index.html b/azure-active-directory/enhance-end-user-experiences-with-custom-otp-email-provider-support/index.html index effab876c93..876bf9a67c3 100644 --- a/azure-active-directory/enhance-end-user-experiences-with-custom-otp-email-provider-support/index.html +++ b/azure-active-directory/enhance-end-user-experiences-with-custom-otp-email-provider-support/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/enhancements-to-microsoft-entra-certificate-based-authentication/index.html b/azure-active-directory/enhancements-to-microsoft-entra-certificate-based-authentication/index.html index f3ed6f71fc8..8c760b806b2 100644 --- a/azure-active-directory/enhancements-to-microsoft-entra-certificate-based-authentication/index.html +++ b/azure-active-directory/enhancements-to-microsoft-entra-certificate-based-authentication/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/ensure-compliance-using-separation-of-duties-checks-in-access-jp/index.html b/azure-active-directory/ensure-compliance-using-separation-of-duties-checks-in-access-jp/index.html index af97fc2c4de..6e6cf1464c4 100644 --- a/azure-active-directory/ensure-compliance-using-separation-of-duties-checks-in-access-jp/index.html +++ b/azure-active-directory/ensure-compliance-using-separation-of-duties-checks-in-access-jp/index.html @@ -16,7 +16,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/enterprise-applications-app-registrations/index.html b/azure-active-directory/enterprise-applications-app-registrations/index.html index c8d50a67179..b8ff8deebb0 100644 --- a/azure-active-directory/enterprise-applications-app-registrations/index.html +++ b/azure-active-directory/enterprise-applications-app-registrations/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/enterprise-sso-ga/index.html b/azure-active-directory/enterprise-sso-ga/index.html index 41b3c666b2d..2bd42026510 100644 --- a/azure-active-directory/enterprise-sso-ga/index.html +++ b/azure-active-directory/enterprise-sso-ga/index.html @@ -15,7 +15,7 @@ - + @@ -156,7 +156,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/enterpriseapps-multitenantapps/index.html b/azure-active-directory/enterpriseapps-multitenantapps/index.html index aaf3953f3a9..3d214a989ea 100644 --- a/azure-active-directory/enterpriseapps-multitenantapps/index.html +++ b/azure-active-directory/enterpriseapps-multitenantapps/index.html @@ -22,7 +22,7 @@ - + @@ -164,7 +164,7 @@

    feedback - 共有 + 共有

    @@ -190,7 +190,7 @@

    どのような操作で、ユーザーによって「マルチテナント アプリケーション」が追加されるのか?

    ここでは、弊社が公開しているマルチテナント アプリケーション “Microsoft Graph Explorer” を例に説明します。

    “Microsoft Graph Explorer” は、Microsoft Graph REST API 要求を簡単に作成し、対応する応答を表示できる開発者ツールです。このアプリケーションは、弊社の Azure AD テナント (microsoft.com) の [アプリの登録] 上で、マルチテナント アプリケーションとして登録されています。

    userA さんによってマルチテナント アプリ「Graph Explorer」が追加される時の操作

      @@ -204,7 +204,7 @@

      -

    1. userA@contoso.comでのサインインが成功します。

      +

    2. userA@contoso.comでのサインインが成功します。

      fig3

    3. 次回以降 userA が Graph Explorer にアクセスする際は、openid, profile, User.Read, offline_access のアクセス許可への同意が要求されることはありません。

      diff --git a/azure-active-directory/entitlement-management-ga/index.html b/azure-active-directory/entitlement-management-ga/index.html index 5ee801a057a..a425d6fac1f 100644 --- a/azure-active-directory/entitlement-management-ga/index.html +++ b/azure-active-directory/entitlement-management-ga/index.html @@ -22,7 +22,7 @@ - + @@ -163,7 +163,7 @@

      feedback - 共有 + 共有

    diff --git a/azure-active-directory/evaluate-and-update-any-ca-policies-for-ipados/index.html b/azure-active-directory/evaluate-and-update-any-ca-policies-for-ipados/index.html index 3b0e2cdde93..f24584b2b83 100644 --- a/azure-active-directory/evaluate-and-update-any-ca-policies-for-ipados/index.html +++ b/azure-active-directory/evaluate-and-update-any-ca-policies-for-ipados/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/evolve-your-ciam-strategy-with-external-id/evolve-your-ciam-strategy-with-external-id/index.html b/azure-active-directory/evolve-your-ciam-strategy-with-external-id/evolve-your-ciam-strategy-with-external-id/index.html index b8465b4464d..d56d2f52f11 100644 --- a/azure-active-directory/evolve-your-ciam-strategy-with-external-id/evolve-your-ciam-strategy-with-external-id/index.html +++ b/azure-active-directory/evolve-your-ciam-strategy-with-external-id/evolve-your-ciam-strategy-with-external-id/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/expanding-the-public-preview-of-verifiable-credentials/index.html b/azure-active-directory/expanding-the-public-preview-of-verifiable-credentials/index.html index 2622b2a6876..1778eb37d21 100644 --- a/azure-active-directory/expanding-the-public-preview-of-verifiable-credentials/index.html +++ b/azure-active-directory/expanding-the-public-preview-of-verifiable-credentials/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/expansion-of-fido-standard-and-new-updates-for-microsoft/index.html b/azure-active-directory/expansion-of-fido-standard-and-new-updates-for-microsoft/index.html index 599911803a0..bbaf6c5fccd 100644 --- a/azure-active-directory/expansion-of-fido-standard-and-new-updates-for-microsoft/index.html +++ b/azure-active-directory/expansion-of-fido-standard-and-new-updates-for-microsoft/index.html @@ -17,7 +17,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/expressroute-support/index.html b/azure-active-directory/expressroute-support/index.html index 8370ec264d5..51c16a8ae17 100644 --- a/azure-active-directory/expressroute-support/index.html +++ b/azure-active-directory/expressroute-support/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/extend-the-reach-of-azure-ad-identity-protection-into-workload/index.html b/azure-active-directory/extend-the-reach-of-azure-ad-identity-protection-into-workload/index.html index 2e95edc61c9..ab361c63f67 100644 --- a/azure-active-directory/extend-the-reach-of-azure-ad-identity-protection-into-workload/index.html +++ b/azure-active-directory/extend-the-reach-of-azure-ad-identity-protection-into-workload/index.html @@ -17,7 +17,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/external-collaboration-setting-b2b-access/index.html b/azure-active-directory/external-collaboration-setting-b2b-access/index.html index f823c4b0d15..78296457433 100644 --- a/azure-active-directory/external-collaboration-setting-b2b-access/index.html +++ b/azure-active-directory/external-collaboration-setting-b2b-access/index.html @@ -24,7 +24,7 @@ - + @@ -166,7 +166,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/external-identities-b2c-supports-authenticator-apps-and-new-data/index.html b/azure-active-directory/external-identities-b2c-supports-authenticator-apps-and-new-data/index.html index b7b8b4ff116..3fb50a184ef 100644 --- a/azure-active-directory/external-identities-b2c-supports-authenticator-apps-and-new-data/index.html +++ b/azure-active-directory/external-identities-b2c-supports-authenticator-apps-and-new-data/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/face-check-is-now-generally-available/index.html b/azure-active-directory/face-check-is-now-generally-available/index.html index d609c8da4f7..d16b081de7a 100644 --- a/azure-active-directory/face-check-is-now-generally-available/index.html +++ b/azure-active-directory/face-check-is-now-generally-available/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/faq-using-ca-to-secure-remote-access/index.html b/azure-active-directory/faq-using-ca-to-secure-remote-access/index.html index 36e24f129ea..47a32aeffba 100644 --- a/azure-active-directory/faq-using-ca-to-secure-remote-access/index.html +++ b/azure-active-directory/faq-using-ca-to-secure-remote-access/index.html @@ -17,7 +17,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/fq-device-based-ca-for-remote-work/index.html b/azure-active-directory/fq-device-based-ca-for-remote-work/index.html index 8e6d6662e25..afa33a0ea9e 100644 --- a/azure-active-directory/fq-device-based-ca-for-remote-work/index.html +++ b/azure-active-directory/fq-device-based-ca-for-remote-work/index.html @@ -17,7 +17,7 @@ - + @@ -163,7 +163,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/ga-is-locked-out/index.html b/azure-active-directory/ga-is-locked-out/index.html index 6d6d89cfda2..9c03577a4d6 100644 --- a/azure-active-directory/ga-is-locked-out/index.html +++ b/azure-active-directory/ga-is-locked-out/index.html @@ -16,7 +16,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    @@ -176,7 +176,7 @@

    そこで本記事では、テナントへのアクセスが失われないようマイクロソフトとして推奨する Azure AD テナント運用のベスト プラクティスを紹介いたします。

    まず確認すること

    まずは、このような事態を未然に防ぐために、Azure AD 管理者が確認しておくべきことを以下におまとめしました。

    社内にグローバル管理者ロールを持つ管理者を複数名確保する

    Office 365 や Azure AD の利用を開始した直後のタイミングでは、そのテナントにはグローバル管理者ロールを持つアカウントが 1 つのみ存在しています。このため、引き継ぎなくそのアカウントの管理者が退職するなどすると、だれもそのテナントを管理できなくなります。

    -

    このような事態を防ぐため、社内の IT 部門において、必ず 2-3 名の信頼できるテナント管理者を任命し、それぞれの管理者ごとに Azure AD のユーザー (ゲスト ユーザーではなくテナント内のメンバーであり xxx@contoso.onmicrosoft.com のような UPN を持つクラウド ユーザー) を発行することをお勧めします。ここで、一つの管理者アカウント (Azure AD ユーザー) を複数名で使いまわすことはお勧めしません。これは、アカウントが使いまわされることで、どの管理者がいつサインインし、どのような操作を行ったかの監査が困難となるためです。必ず異なる UPN と異なるパスワードで、管理者の数だけ、管理専用の Azure AD ユーザーを発行ください。グローバル管理者のロールを持つユーザーの数は、テナント全体で 5 人未満がおすすめです。また、グローバル管理者のロールを持つユーザーには MFA を構成することを強くお勧めします。

    +

    このような事態を防ぐため、社内の IT 部門において、必ず 2-3 名の信頼できるテナント管理者を任命し、それぞれの管理者ごとに Azure AD のユーザー (ゲスト ユーザーではなくテナント内のメンバーであり xxx@contoso.onmicrosoft.com のような UPN を持つクラウド ユーザー) を発行することをお勧めします。ここで、一つの管理者アカウント (Azure AD ユーザー) を複数名で使いまわすことはお勧めしません。これは、アカウントが使いまわされることで、どの管理者がいつサインインし、どのような操作を行ったかの監査が困難となるためです。必ず異なる UPN と異なるパスワードで、管理者の数だけ、管理専用の Azure AD ユーザーを発行ください。グローバル管理者のロールを持つユーザーの数は、テナント全体で 5 人未満がおすすめです。また、グローバル管理者のロールを持つユーザーには MFA を構成することを強くお勧めします。

    その他の推奨事項 (特に MFA の構成など) については、Azure AD ロールのベスト プラクティス もご覧ください。

    なお、いわゆる一人情シスなど、グローバル管理者ロールを持つユーザーが一名しか確保できない場合は、後述の緊急アクセス アカウントを必ず作成ください。2-3 名のテナント管理者を任命できる場合でも、緊急アクセスアカウントの準備を極力お勧めいたします。

    また、Azure AD の管理者アカウントとして Microsoft アカウントを使用しているお客様は、上記のとおり管理者アカウントとして Azure AD のユーザーを利用することを特にご検討ください。Microsoft アカウントはコンシューマー向けの無料アカウントであり、その復旧を Azure 技術サポートで支援することはできません。Azure 技術サポートから支援を受けるには、Microsoft アカウントではなく、Azure AD の組織アカウントをご利用ください。

    diff --git a/azure-active-directory/ga-system-preferred-multifactor-authentication/index.html b/azure-active-directory/ga-system-preferred-multifactor-authentication/index.html index f1cdc1177a0..bbc6537f082 100644 --- a/azure-active-directory/ga-system-preferred-multifactor-authentication/index.html +++ b/azure-active-directory/ga-system-preferred-multifactor-authentication/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/general-information-KeyVault/index.html b/azure-active-directory/general-information-KeyVault/index.html index e0d6bfaf6d8..5b1e9428118 100644 --- a/azure-active-directory/general-information-KeyVault/index.html +++ b/azure-active-directory/general-information-KeyVault/index.html @@ -14,7 +14,7 @@ - + @@ -156,7 +156,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/generate-strong-passwords-with-microsoft-authenticator/index.html b/azure-active-directory/generate-strong-passwords-with-microsoft-authenticator/index.html index fa2de13dacd..db6a18a3b9f 100644 --- a/azure-active-directory/generate-strong-passwords-with-microsoft-authenticator/index.html +++ b/azure-active-directory/generate-strong-passwords-with-microsoft-authenticator/index.html @@ -17,7 +17,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/get-bitlocker-key/index.html b/azure-active-directory/get-bitlocker-key/index.html index af3f8d83ade..46843412173 100644 --- a/azure-active-directory/get-bitlocker-key/index.html +++ b/azure-active-directory/get-bitlocker-key/index.html @@ -15,7 +15,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/get-certificates-secrets-expirydateandtime/index.html b/azure-active-directory/get-certificates-secrets-expirydateandtime/index.html index b56d7263e75..095ae30cfbf 100644 --- a/azure-active-directory/get-certificates-secrets-expirydateandtime/index.html +++ b/azure-active-directory/get-certificates-secrets-expirydateandtime/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/graph-activity-log-in-preview/index.html b/azure-active-directory/graph-activity-log-in-preview/index.html index 9e849457118..897f4d667c2 100644 --- a/azure-active-directory/graph-activity-log-in-preview/index.html +++ b/azure-active-directory/graph-activity-log-in-preview/index.html @@ -17,7 +17,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/graph-activity-logs-ga/index.html b/azure-active-directory/graph-activity-logs-ga/index.html index 8e4557ba728..d20a8cc238d 100644 --- a/azure-active-directory/graph-activity-logs-ga/index.html +++ b/azure-active-directory/graph-activity-logs-ga/index.html @@ -17,7 +17,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/guidance-on-using-azure-ad-to-meet-zero-trust-architecture-and/index.html b/azure-active-directory/guidance-on-using-azure-ad-to-meet-zero-trust-architecture-and/index.html index 4774e096290..72fdd1e1aa7 100644 --- a/azure-active-directory/guidance-on-using-azure-ad-to-meet-zero-trust-architecture-and/index.html +++ b/azure-active-directory/guidance-on-using-azure-ad-to-meet-zero-trust-architecture-and/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/haadj-and-upn/index.html b/azure-active-directory/haadj-and-upn/index.html index 1434b268a6b..4c9d1a717a4 100644 --- a/azure-active-directory/haadj-and-upn/index.html +++ b/azure-active-directory/haadj-and-upn/index.html @@ -14,7 +14,7 @@ - + @@ -156,7 +156,7 @@

    feedback - 共有 + 共有

    @@ -183,15 +183,15 @@

    オンプレミス AD 側の UPN -xxxxx@contoso.local -xxxxx@contoso.co.jp -xxxxx@contoso.com +xxxxx@contoso.local +xxxxx@contoso.co.jp +xxxxx@contoso.com Azure AD 側の UPN -xxxxx@contoso.com -xxxxx@contoso.com -xxxxx@contoso.com +xxxxx@contoso.com +xxxxx@contoso.com +xxxxx@contoso.com Azure AD に登録されているカスタムドメイン @@ -226,15 +226,15 @@

    オンプレミス AD 側の UPN -xxxxx@contoso.local -xxxxx@contoso.co.jp -xxxxx@contoso.com +xxxxx@contoso.local +xxxxx@contoso.co.jp +xxxxx@contoso.com Azure AD 側の UPN -xxxxx@contoso.com -xxxxx@contoso.com -xxxxx@contoso.com +xxxxx@contoso.com +xxxxx@contoso.com +xxxxx@contoso.com Azure AD に登録されているカスタムドメイン diff --git a/azure-active-directory/haadj-re-registration/index.html b/azure-active-directory/haadj-re-registration/index.html index 8bf5180ba2d..d6331f1a85d 100644 --- a/azure-active-directory/haadj-re-registration/index.html +++ b/azure-active-directory/haadj-re-registration/index.html @@ -23,7 +23,7 @@ - + @@ -166,7 +166,7 @@

    feedback - 共有 + 共有

    @@ -202,7 +202,7 @@

    (表示されない場合は以下の 4. から 7. の手順は実施しないでください)**。

    +

  • 以下のコマンドを実行し、Enrollment ID (GUID の形式となる想定) が表示されるかを確認します (表示されない場合は以下の 4. から 7. の手順は実施しないでください)

    Get-ChildItem HKLM:\Software\Microsoft\Enrollments | ForEach-Object {Get-ItemProperty $_.pspath} | where-object {$_.DiscoveryServiceFullURL} | Foreach-Object {$_.PSChildName}

  • 以下のコマンドを実行し、Enrollment ID を変数に格納します。

    $EnrollmentGUID = Get-ChildItem HKLM:\Software\Microsoft\Enrollments | ForEach-Object {Get-ItemProperty $_.pspath} | where-object {$_.DiscoveryServiceFullURL} | Foreach-Object {$_.PSChildName}
    • @@ -211,7 +211,7 @@ 

    foreach ($Key in $RegistryKeys) {if (Test-Path -Path $Key) {Get-ChildItem -Path $Key | Where-Object {$_.Name -match $EnrollmentGUID} | Remove-Item -Recurse -Force -Confirm:$false -ErrorAction SilentlyContinue}}
    -

  • 以下のコマンドを実行し、デバイス登録のタスクを削除します。**変数 $EnrollmentGUID がブランクの状態で以下のコマンドを実行すると必要なタスクが削除される恐れがありますので注意ください (念のため IF 文で誤削除を予防しています)。**

    +

  • 以下のコマンドを実行し、デバイス登録のタスクを削除します。変数 $EnrollmentGUID がブランクの状態で以下のコマンドを実行すると必要なタスクが削除される恐れがありますので注意ください (念のため if 文で誤削除を予防しています)。

    if ($EnrollmentGUID -eq $null) {Write-Warning "EnrollmentGUID is NULL"} elseif ($EnrollmentGUID -eq "") {Write-Warning "EnrollmentGUID is BLANK (but it is not NULL)"} else {Get-ScheduledTask | Where-Object {$_.Taskpath -match $EnrollmentGUID} | Unregister-ScheduledTask -Confirm:$false}

    • 3. MEHJ の再構成: 再構成前の既存情報のクリア

    MEHJ の再登録を行うに際して既存の情報をクリアしておきます。

    diff --git a/azure-active-directory/hashicorp-s-azure-ad-provider-migrates-to-microsoft-graph/index.html b/azure-active-directory/hashicorp-s-azure-ad-provider-migrates-to-microsoft-graph/index.html index 8e9e2d7b406..b781fb9a6a3 100644 --- a/azure-active-directory/hashicorp-s-azure-ad-provider-migrates-to-microsoft-graph/index.html +++ b/azure-active-directory/hashicorp-s-azure-ad-provider-migrates-to-microsoft-graph/index.html @@ -15,7 +15,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/have-you-updated-your-applications-to-use-the-microsoft/index.html b/azure-active-directory/have-you-updated-your-applications-to-use-the-microsoft/index.html index 117354a1997..a8af30427bd 100644 --- a/azure-active-directory/have-you-updated-your-applications-to-use-the-microsoft/index.html +++ b/azure-active-directory/have-you-updated-your-applications-to-use-the-microsoft/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/holistic-compromised-identity-signals-from-microsoft/index.html b/azure-active-directory/holistic-compromised-identity-signals-from-microsoft/index.html index 1630b1915f7..a1be6870913 100644 --- a/azure-active-directory/holistic-compromised-identity-signals-from-microsoft/index.html +++ b/azure-active-directory/holistic-compromised-identity-signals-from-microsoft/index.html @@ -20,7 +20,7 @@ - + @@ -162,7 +162,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/how-azuread-kerberos-works/index.html b/azure-active-directory/how-azuread-kerberos-works/index.html index 7388e7e1607..dc957e8dd4a 100644 --- a/azure-active-directory/how-azuread-kerberos-works/index.html +++ b/azure-active-directory/how-azuread-kerberos-works/index.html @@ -22,7 +22,7 @@ - + @@ -164,7 +164,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/how-tenant-restrictions-v2-can-be-used-to-prevent-data/index.html b/azure-active-directory/how-tenant-restrictions-v2-can-be-used-to-prevent-data/index.html index 5acda2865ee..cf69cbd97ef 100644 --- a/azure-active-directory/how-tenant-restrictions-v2-can-be-used-to-prevent-data/index.html +++ b/azure-active-directory/how-tenant-restrictions-v2-can-be-used-to-prevent-data/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/how-to-authentication-methods-manage/index.html b/azure-active-directory/how-to-authentication-methods-manage/index.html index 52c94f039c4..c20d36fdc85 100644 --- a/azure-active-directory/how-to-authentication-methods-manage/index.html +++ b/azure-active-directory/how-to-authentication-methods-manage/index.html @@ -31,7 +31,7 @@ - + @@ -174,7 +174,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/how-to-break-the-token-theft-cyber-attack-chain/index.html b/azure-active-directory/how-to-break-the-token-theft-cyber-attack-chain/index.html index 85f183228cf..1cfadfa272e 100644 --- a/azure-active-directory/how-to-break-the-token-theft-cyber-attack-chain/index.html +++ b/azure-active-directory/how-to-break-the-token-theft-cyber-attack-chain/index.html @@ -17,7 +17,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/how-to-create-hybridazureadjoin-federated/index.html b/azure-active-directory/how-to-create-hybridazureadjoin-federated/index.html index d9722aca29d..3c4fe90ab35 100644 --- a/azure-active-directory/how-to-create-hybridazureadjoin-federated/index.html +++ b/azure-active-directory/how-to-create-hybridazureadjoin-federated/index.html @@ -65,7 +65,7 @@ - + @@ -210,7 +210,7 @@

    feedback - 共有 + 共有

    @@ -336,7 +336,7 @@

    この時点で Azure AD Join は完了しているので確認します。
    Windows 10 コンピューターにログオンし、dsregcmd /status コマンド レットを実行すると、下記のとおり、AzureAdJoined が YES になっていることが分かります。

    -

    PRT を取得する。

    PRT を取得するためには、Azure AD に同期済みのオンプレミス AD ユーザーでログオンする必要があるのは、フェデレーション ドメインの場合でも同様です。
    Azure AD に同期済みの下記「test001@xxx.work」で Windows 10 コンピューター (Windows10-18091) にログオンします。

    +

    PRT を取得する。

    PRT を取得するためには、Azure AD に同期済みのオンプレミス AD ユーザーでログオンする必要があるのは、フェデレーション ドメインの場合でも同様です。
    Azure AD に同期済みの下記「test001@xxx.work」で Windows 10 コンピューター (Windows10-18091) にログオンします。

    資格情報を入力してログオンします。

    コマンドプロンプトを起動し、このタイミングで dsregcmd /status のコマンドレットをたたくと AzureADPrt の値が YES になることが確認できます。

    diff --git a/azure-active-directory/how-to-create-hybridazureadjoin-managed/index.html b/azure-active-directory/how-to-create-hybridazureadjoin-managed/index.html index a90e3b96280..2b345d14e90 100644 --- a/azure-active-directory/how-to-create-hybridazureadjoin-managed/index.html +++ b/azure-active-directory/how-to-create-hybridazureadjoin-managed/index.html @@ -56,7 +56,7 @@ - + @@ -200,7 +200,7 @@

    feedback - 共有 + 共有

    @@ -342,7 +342,7 @@

    PRT (Primary Refresh Token) の取得

    現在、目次の「1. ~ 6.」までの作業が完了しています。
    Azure AD にデバイスは登録されましたが、まだ Hybrid Azure AD Join の構成は完了してません。
    最後の工程として、 Azure AD に同期済みの Azure AD ユーザーにて、対象の Windows 10 コンピューターにサインインし認証が成功したあとに、 Azure AD から PRT (Primary Refresh Token) を取得する必要があります。

    -

    オンプレミス AD から Azure AD に同期済みの test001 から test003 のユーザーがいますので、対象の Windows 10 コンピューターに test001@xxx.work ユーザーでサインインします。

    +

    オンプレミス AD から Azure AD に同期済みの test001 から test003 のユーザーがいますので、対象の Windows 10 コンピューターに test001@xxx.work ユーザーでサインインします。

    資格情報を入力し、サインインします。

    diff --git a/azure-active-directory/how-to-deploy-cloud-kerberos-trust/index.html b/azure-active-directory/how-to-deploy-cloud-kerberos-trust/index.html index cce6c3f0340..8b4e9d7ce33 100644 --- a/azure-active-directory/how-to-deploy-cloud-kerberos-trust/index.html +++ b/azure-active-directory/how-to-deploy-cloud-kerberos-trust/index.html @@ -15,7 +15,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/how-to-determine-depreacated-azuread-msol/index.html b/azure-active-directory/how-to-determine-depreacated-azuread-msol/index.html index 986c08fad10..d0be8082421 100644 --- a/azure-active-directory/how-to-determine-depreacated-azuread-msol/index.html +++ b/azure-active-directory/how-to-determine-depreacated-azuread-msol/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/how-to-disable-whfb/index.html b/azure-active-directory/how-to-disable-whfb/index.html index 273d0ce7b0c..ab0755923eb 100644 --- a/azure-active-directory/how-to-disable-whfb/index.html +++ b/azure-active-directory/how-to-disable-whfb/index.html @@ -26,7 +26,7 @@ - + @@ -169,7 +169,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/how-to-get-sign-in-logs/index.html b/azure-active-directory/how-to-get-sign-in-logs/index.html index 21444062bba..2321a043fbe 100644 --- a/azure-active-directory/how-to-get-sign-in-logs/index.html +++ b/azure-active-directory/how-to-get-sign-in-logs/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/how-to-update-samlsigningcertificate/index.html b/azure-active-directory/how-to-update-samlsigningcertificate/index.html index 1111f78b918..5a6a8958525 100644 --- a/azure-active-directory/how-to-update-samlsigningcertificate/index.html +++ b/azure-active-directory/how-to-update-samlsigningcertificate/index.html @@ -22,7 +22,7 @@ - + @@ -164,7 +164,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/howto-deal-with-aadsts1002016/index.html b/azure-active-directory/howto-deal-with-aadsts1002016/index.html index 14039c14bb9..4143ed47f54 100644 --- a/azure-active-directory/howto-deal-with-aadsts1002016/index.html +++ b/azure-active-directory/howto-deal-with-aadsts1002016/index.html @@ -14,7 +14,7 @@ - + @@ -156,7 +156,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/howto-deal-with-throttling/index.html b/azure-active-directory/howto-deal-with-throttling/index.html index 79c8220f79a..afa942638db 100644 --- a/azure-active-directory/howto-deal-with-throttling/index.html +++ b/azure-active-directory/howto-deal-with-throttling/index.html @@ -16,7 +16,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/howto-deal-with-user-at-risk-detected-email/index.html b/azure-active-directory/howto-deal-with-user-at-risk-detected-email/index.html index 186f0423eb8..8d2ad8dae82 100644 --- a/azure-active-directory/howto-deal-with-user-at-risk-detected-email/index.html +++ b/azure-active-directory/howto-deal-with-user-at-risk-detected-email/index.html @@ -41,7 +41,7 @@ - + @@ -184,7 +184,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/hybrid-azuread-joined-devices-setup/index.html b/azure-active-directory/hybrid-azuread-joined-devices-setup/index.html index 8552a682630..5811f488125 100644 --- a/azure-active-directory/hybrid-azuread-joined-devices-setup/index.html +++ b/azure-active-directory/hybrid-azuread-joined-devices-setup/index.html @@ -23,7 +23,7 @@ - + @@ -164,7 +164,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/hybrid-pending-device/index.html b/azure-active-directory/hybrid-pending-device/index.html index bc4e63dba17..8c5ce257f5f 100644 --- a/azure-active-directory/hybrid-pending-device/index.html +++ b/azure-active-directory/hybrid-pending-device/index.html @@ -18,7 +18,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/identity-at-ignite-strengthen-resilience-with-identity/index.html b/azure-active-directory/identity-at-ignite-strengthen-resilience-with-identity/index.html index 27f8901826b..3e0574e58f7 100644 --- a/azure-active-directory/identity-at-ignite-strengthen-resilience-with-identity/index.html +++ b/azure-active-directory/identity-at-ignite-strengthen-resilience-with-identity/index.html @@ -17,7 +17,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/identity-at-microsoft-ignite-securing-access-in-the-era-of-ai/index.html b/azure-active-directory/identity-at-microsoft-ignite-securing-access-in-the-era-of-ai/index.html index 1c54ba59465..59725717c22 100644 --- a/azure-active-directory/identity-at-microsoft-ignite-securing-access-in-the-era-of-ai/index.html +++ b/azure-active-directory/identity-at-microsoft-ignite-securing-access-in-the-era-of-ai/index.html @@ -19,7 +19,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/identity-governance-with-verified-id/index.html b/azure-active-directory/identity-governance-with-verified-id/index.html index 5d476f12b5e..2c13802b518 100644 --- a/azure-active-directory/identity-governance-with-verified-id/index.html +++ b/azure-active-directory/identity-governance-with-verified-id/index.html @@ -21,7 +21,7 @@ - + @@ -164,7 +164,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/identity-innovation-for-a-more-secure-nation/index.html b/azure-active-directory/identity-innovation-for-a-more-secure-nation/index.html index 56013c513fb..7a835dc82c7 100644 --- a/azure-active-directory/identity-innovation-for-a-more-secure-nation/index.html +++ b/azure-active-directory/identity-innovation-for-a-more-secure-nation/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/identity-protection-riskpolicy-introduction/index.html b/azure-active-directory/identity-protection-riskpolicy-introduction/index.html index 88dc25616e3..5b8fa6b5642 100644 --- a/azure-active-directory/identity-protection-riskpolicy-introduction/index.html +++ b/azure-active-directory/identity-protection-riskpolicy-introduction/index.html @@ -40,7 +40,7 @@ - + @@ -183,7 +183,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/ignite-ai-and-sase-innovations-in-microsoft-entra/index.html b/azure-active-directory/ignite-ai-and-sase-innovations-in-microsoft-entra/index.html index 4ae36b551d7..40b401fa066 100644 --- a/azure-active-directory/ignite-ai-and-sase-innovations-in-microsoft-entra/index.html +++ b/azure-active-directory/ignite-ai-and-sase-innovations-in-microsoft-entra/index.html @@ -14,7 +14,7 @@ - + @@ -156,7 +156,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/important-azure-ad-graph-retirement-and-powershell-module/index.html b/azure-active-directory/important-azure-ad-graph-retirement-and-powershell-module/index.html index 415a1ab294b..0455540e299 100644 --- a/azure-active-directory/important-azure-ad-graph-retirement-and-powershell-module/index.html +++ b/azure-active-directory/important-azure-ad-graph-retirement-and-powershell-module/index.html @@ -14,7 +14,7 @@ - + @@ -154,7 +154,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/important-update-azure-ad-graph-api-retirement/index.html b/azure-active-directory/important-update-azure-ad-graph-api-retirement/index.html index 90079134aa9..5d15e639155 100644 --- a/azure-active-directory/important-update-azure-ad-graph-api-retirement/index.html +++ b/azure-active-directory/important-update-azure-ad-graph-api-retirement/index.html @@ -15,7 +15,7 @@ - + @@ -156,7 +156,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/important-update-deprecation-of-azure-ad-powershell-and-msonline/index.html b/azure-active-directory/important-update-deprecation-of-azure-ad-powershell-and-msonline/index.html index a70d9c2045a..600d16da9bf 100644 --- a/azure-active-directory/important-update-deprecation-of-azure-ad-powershell-and-msonline/index.html +++ b/azure-active-directory/important-update-deprecation-of-azure-ad-powershell-and-msonline/index.html @@ -14,7 +14,7 @@ - + @@ -154,7 +154,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/integration-guidance-helps-partners-deliver-zero-trust-solutions/index.html b/azure-active-directory/integration-guidance-helps-partners-deliver-zero-trust-solutions/index.html index 9fbf893438e..00afb3c92e7 100644 --- a/azure-active-directory/integration-guidance-helps-partners-deliver-zero-trust-solutions/index.html +++ b/azure-active-directory/integration-guidance-helps-partners-deliver-zero-trust-solutions/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/introducing-a-new-flexible-way-of-bringing-identities-from-any/index.html b/azure-active-directory/introducing-a-new-flexible-way-of-bringing-identities-from-any/index.html index 3bd79a06521..da4681e16f7 100644 --- a/azure-active-directory/introducing-a-new-flexible-way-of-bringing-identities-from-any/index.html +++ b/azure-active-directory/introducing-a-new-flexible-way-of-bringing-identities-from-any/index.html @@ -19,7 +19,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/introducing-a-new-way-to-verify-your-workplace-on-linkedIn-with-microsoft-entra-verified-id/index.html b/azure-active-directory/introducing-a-new-way-to-verify-your-workplace-on-linkedIn-with-microsoft-entra-verified-id/index.html index e6b18c7a630..9b07aac7e3c 100644 --- a/azure-active-directory/introducing-a-new-way-to-verify-your-workplace-on-linkedIn-with-microsoft-entra-verified-id/index.html +++ b/azure-active-directory/introducing-a-new-way-to-verify-your-workplace-on-linkedIn-with-microsoft-entra-verified-id/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/introducing-authentication-context/index.html b/azure-active-directory/introducing-authentication-context/index.html index 75572a0bf5d..dbec22e8598 100644 --- a/azure-active-directory/introducing-authentication-context/index.html +++ b/azure-active-directory/introducing-authentication-context/index.html @@ -34,7 +34,7 @@ - + @@ -176,7 +176,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/introducing-azure-ad-access-reviews-for-service-principals/index.html b/azure-active-directory/introducing-azure-ad-access-reviews-for-service-principals/index.html index 45d877f14b8..fdb94d94107 100644 --- a/azure-active-directory/introducing-azure-ad-access-reviews-for-service-principals/index.html +++ b/azure-active-directory/introducing-azure-ad-access-reviews-for-service-principals/index.html @@ -16,7 +16,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/introducing-azuread-custom-security-attributes/index.html b/azure-active-directory/introducing-azuread-custom-security-attributes/index.html index e22c51bc806..e7c0dd5b69c 100644 --- a/azure-active-directory/introducing-azuread-custom-security-attributes/index.html +++ b/azure-active-directory/introducing-azuread-custom-security-attributes/index.html @@ -20,7 +20,7 @@ - + @@ -162,7 +162,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/introducing-ca-for-workload-id/index.html b/azure-active-directory/introducing-ca-for-workload-id/index.html index 69c98a567af..662a799dc0f 100644 --- a/azure-active-directory/introducing-ca-for-workload-id/index.html +++ b/azure-active-directory/introducing-ca-for-workload-id/index.html @@ -20,7 +20,7 @@ - + @@ -162,7 +162,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/introducing-diagnostic-settings-for-identity-protection-august/index.html b/azure-active-directory/introducing-diagnostic-settings-for-identity-protection-august/index.html index eee5e3db7ec..05f7cb506b0 100644 --- a/azure-active-directory/introducing-diagnostic-settings-for-identity-protection-august/index.html +++ b/azure-active-directory/introducing-diagnostic-settings-for-identity-protection-august/index.html @@ -17,7 +17,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/introducing-enhanced-company-branding-for-sign-in-experiences/index.html b/azure-active-directory/introducing-enhanced-company-branding-for-sign-in-experiences/index.html index a4b6a46ebf2..98a676f5f91 100644 --- a/azure-active-directory/introducing-enhanced-company-branding-for-sign-in-experiences/index.html +++ b/azure-active-directory/introducing-enhanced-company-branding-for-sign-in-experiences/index.html @@ -19,7 +19,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/introducing-entra-id-governance/index.html b/azure-active-directory/introducing-entra-id-governance/index.html index f64c5748c6e..03de62475ae 100644 --- a/azure-active-directory/introducing-entra-id-governance/index.html +++ b/azure-active-directory/introducing-entra-id-governance/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/introducing-entra-powershell/index.html b/azure-active-directory/introducing-entra-powershell/index.html index 6d8e2fc4def..4346ad73592 100644 --- a/azure-active-directory/introducing-entra-powershell/index.html +++ b/azure-active-directory/introducing-entra-powershell/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/introducing-microsoft-entra-license-utilization-insights/index.html b/azure-active-directory/introducing-microsoft-entra-license-utilization-insights/index.html index 2c3821f77ff..128104820c6 100644 --- a/azure-active-directory/introducing-microsoft-entra-license-utilization-insights/index.html +++ b/azure-active-directory/introducing-microsoft-entra-license-utilization-insights/index.html @@ -17,7 +17,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/introducing-microsoft-entra-modern-identity-and-access-solutions/index.html b/azure-active-directory/introducing-microsoft-entra-modern-identity-and-access-solutions/index.html index ae8a8d45215..fbccd80d103 100644 --- a/azure-active-directory/introducing-microsoft-entra-modern-identity-and-access-solutions/index.html +++ b/azure-active-directory/introducing-microsoft-entra-modern-identity-and-access-solutions/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/introducing-new-and-upcoming-entra-recommendations/index.html b/azure-active-directory/introducing-new-and-upcoming-entra-recommendations/index.html index f002038e9cf..233b2a44363 100644 --- a/azure-active-directory/introducing-new-and-upcoming-entra-recommendations/index.html +++ b/azure-active-directory/introducing-new-and-upcoming-entra-recommendations/index.html @@ -18,7 +18,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/introducing-new-features-of-microsoft-entra-permissions-management/index.html b/azure-active-directory/introducing-new-features-of-microsoft-entra-permissions-management/index.html index 358f667cad7..5043e6c5d47 100644 --- a/azure-active-directory/introducing-new-features-of-microsoft-entra-permissions-management/index.html +++ b/azure-active-directory/introducing-new-features-of-microsoft-entra-permissions-management/index.html @@ -17,7 +17,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/introducing-password-removal-for-microsoft-accounts/index.html b/azure-active-directory/introducing-password-removal-for-microsoft-accounts/index.html index e3cb5b07917..16019989f2c 100644 --- a/azure-active-directory/introducing-password-removal-for-microsoft-accounts/index.html +++ b/azure-active-directory/introducing-password-removal-for-microsoft-accounts/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/introducing-restricted-management-au-in-microsoft-entra-id/index.html b/azure-active-directory/introducing-restricted-management-au-in-microsoft-entra-id/index.html index a180dcfd7af..cb745c0e756 100644 --- a/azure-active-directory/introducing-restricted-management-au-in-microsoft-entra-id/index.html +++ b/azure-active-directory/introducing-restricted-management-au-in-microsoft-entra-id/index.html @@ -19,7 +19,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/introducing-windows-local-administrator-password-solution-with/index.html b/azure-active-directory/introducing-windows-local-administrator-password-solution-with/index.html index f6cd0be22be..f301f4b35a2 100644 --- a/azure-active-directory/introducing-windows-local-administrator-password-solution-with/index.html +++ b/azure-active-directory/introducing-windows-local-administrator-password-solution-with/index.html @@ -24,7 +24,7 @@ - + @@ -165,7 +165,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/ios-accounts/index.html b/azure-active-directory/ios-accounts/index.html index 862e1106ca6..09cbf696fe1 100644 --- a/azure-active-directory/ios-accounts/index.html +++ b/azure-active-directory/ios-accounts/index.html @@ -17,7 +17,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/ipv6-coming-to-azuread/index.html b/azure-active-directory/ipv6-coming-to-azuread/index.html index cb61bfc5ac5..db9c2c1e01b 100644 --- a/azure-active-directory/ipv6-coming-to-azuread/index.html +++ b/azure-active-directory/ipv6-coming-to-azuread/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/it-s-time-to-hang-up-on-phone-transports-for-authentication/index.html b/azure-active-directory/it-s-time-to-hang-up-on-phone-transports-for-authentication/index.html index d5e0d8077ab..caabaa6a4ca 100644 --- a/azure-active-directory/it-s-time-to-hang-up-on-phone-transports-for-authentication/index.html +++ b/azure-active-directory/it-s-time-to-hang-up-on-phone-transports-for-authentication/index.html @@ -14,7 +14,7 @@ - + @@ -154,7 +154,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/join-us-at-microsoft-ignite-fall-2021/index.html b/azure-active-directory/join-us-at-microsoft-ignite-fall-2021/index.html index cd479f71301..39fb4565ab5 100644 --- a/azure-active-directory/join-us-at-microsoft-ignite-fall-2021/index.html +++ b/azure-active-directory/join-us-at-microsoft-ignite-fall-2021/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/join-us-to-build-solutions-using-decentralized-identities/index.html b/azure-active-directory/join-us-to-build-solutions-using-decentralized-identities/index.html index 90aa57d16de..0b7b46c3d11 100644 --- a/azure-active-directory/join-us-to-build-solutions-using-decentralized-identities/index.html +++ b/azure-active-directory/join-us-to-build-solutions-using-decentralized-identities/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/keep-track-object-deletions/index.html b/azure-active-directory/keep-track-object-deletions/index.html index 88364baed53..5959332e131 100644 --- a/azure-active-directory/keep-track-object-deletions/index.html +++ b/azure-active-directory/keep-track-object-deletions/index.html @@ -18,7 +18,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/lifecycle-workflow/index.html b/azure-active-directory/lifecycle-workflow/index.html index dfee5f428a4..a2d4f167669 100644 --- a/azure-active-directory/lifecycle-workflow/index.html +++ b/azure-active-directory/lifecycle-workflow/index.html @@ -51,7 +51,7 @@ - + @@ -193,7 +193,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/lifecycle-workflows-ga/index.html b/azure-active-directory/lifecycle-workflows-ga/index.html index dec3b8d340a..00b1a710245 100644 --- a/azure-active-directory/lifecycle-workflows-ga/index.html +++ b/azure-active-directory/lifecycle-workflows-ga/index.html @@ -25,7 +25,7 @@ - + @@ -167,7 +167,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/machine-learning-recommendations-in-access-review/index.html b/azure-active-directory/machine-learning-recommendations-in-access-review/index.html index 7dfa8ddf8e4..8fa17c7f158 100644 --- a/azure-active-directory/machine-learning-recommendations-in-access-review/index.html +++ b/azure-active-directory/machine-learning-recommendations-in-access-review/index.html @@ -19,7 +19,7 @@ - + @@ -162,7 +162,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/managing-governing-and-securing-identities-for-apps-and-services/index.html b/azure-active-directory/managing-governing-and-securing-identities-for-apps-and-services/index.html index 66366603a4f..1c27aff326c 100644 --- a/azure-active-directory/managing-governing-and-securing-identities-for-apps-and-services/index.html +++ b/azure-active-directory/managing-governing-and-securing-identities-for-apps-and-services/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/mc705680-20240110/index.html b/azure-active-directory/mc705680-20240110/index.html index 4d679f0f326..8a3978c1510 100644 --- a/azure-active-directory/mc705680-20240110/index.html +++ b/azure-active-directory/mc705680-20240110/index.html @@ -14,7 +14,7 @@ - + @@ -156,7 +156,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/mc933540-microsoft-365-admin-center-mfa-enforcement/index.html b/azure-active-directory/mc933540-microsoft-365-admin-center-mfa-enforcement/index.html index 222be55afa7..6cf3876353a 100644 --- a/azure-active-directory/mc933540-microsoft-365-admin-center-mfa-enforcement/index.html +++ b/azure-active-directory/mc933540-microsoft-365-admin-center-mfa-enforcement/index.html @@ -14,7 +14,7 @@ - + @@ -154,7 +154,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/member-and-guest-user/index.html b/azure-active-directory/member-and-guest-user/index.html index 4ae67f9e331..acafa873642 100644 --- a/azure-active-directory/member-and-guest-user/index.html +++ b/azure-active-directory/member-and-guest-user/index.html @@ -20,7 +20,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    @@ -173,7 +173,7 @@

    はじめに

    下記のように、個人アカウントや別テナントの職場または学校アカウント (組織アカウント) を追加した (Azure AD B2B の機能を利用した) 場合に、ユーザーの種類が「ゲスト」として追加されます。

    -

    これ以外の Azure のサブスクリプションのサインアップで利用した個人アカウントや組織内のドメイン (上記の例の場合: contso.com) をユーザー名 (例: test@contoso.com) に持つユーザーは「メンバー」として登録されます。また、現在は利用できないクラシック ポータル (旧ポータル) より追加した外部ユーザーについては「メンバー」として登録されております。

    +

    これ以外の Azure のサブスクリプションのサインアップで利用した個人アカウントや組織内のドメイン (上記の例の場合: contso.com) をユーザー名 (例: test@contoso.com) に持つユーザーは「メンバー」として登録されます。また、現在は利用できないクラシック ポータル (旧ポータル) より追加した外部ユーザーについては「メンバー」として登録されております。

    詳細

    既定ではゲスト ユーザーに対しては、 Azure AD のデータへのアクセスが制限されています。このため、ゲスト ユーザーで Azure AD テナントにサインインした場合、招待された Azure AD のユーザーの一覧を参照することはできませんし、各種設定の参照および変更も制限されています。もちろん、サブスクリプションに対する権限を付与していない場合は、サブスクリプションのリソースを操作することもできません。一般ユーザーとゲスト ユーザーがそれぞれできること (アクセス許可の比較) は、こちらをご参照ください。

    diff --git a/azure-active-directory/mfa-reset-2022/index.html b/azure-active-directory/mfa-reset-2022/index.html index 2412300e2ac..dd209faaaf5 100644 --- a/azure-active-directory/mfa-reset-2022/index.html +++ b/azure-active-directory/mfa-reset-2022/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/mfa-reset/index.html b/azure-active-directory/mfa-reset/index.html index 24728a1b1dd..05183a4db82 100644 --- a/azure-active-directory/mfa-reset/index.html +++ b/azure-active-directory/mfa-reset/index.html @@ -17,7 +17,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/mfasetupinteg/index.html b/azure-active-directory/mfasetupinteg/index.html index 847a36cd6ee..9bd27191f78 100644 --- a/azure-active-directory/mfasetupinteg/index.html +++ b/azure-active-directory/mfasetupinteg/index.html @@ -38,7 +38,7 @@ - + @@ -181,7 +181,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/microsoft-authenticator-app/index.html b/azure-active-directory/microsoft-authenticator-app/index.html index a5f0e831726..1a370341812 100644 --- a/azure-active-directory/microsoft-authenticator-app/index.html +++ b/azure-active-directory/microsoft-authenticator-app/index.html @@ -19,7 +19,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/microsoft-brings-fips-140-compliance/index.html b/azure-active-directory/microsoft-brings-fips-140-compliance/index.html index 2d68c86d2ef..ca2b0962fe4 100644 --- a/azure-active-directory/microsoft-brings-fips-140-compliance/index.html +++ b/azure-active-directory/microsoft-brings-fips-140-compliance/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/microsoft-entra-adds-identity-skills-to-copilot-for-security/index.html b/azure-active-directory/microsoft-entra-adds-identity-skills-to-copilot-for-security/index.html index b6d05756826..124aaffdb64 100644 --- a/azure-active-directory/microsoft-entra-adds-identity-skills-to-copilot-for-security/index.html +++ b/azure-active-directory/microsoft-entra-adds-identity-skills-to-copilot-for-security/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/microsoft-entra-certificate-based-authentication-enhancements/index.html b/azure-active-directory/microsoft-entra-certificate-based-authentication-enhancements/index.html index b103fd7ce26..b6900d92721 100644 --- a/azure-active-directory/microsoft-entra-certificate-based-authentication-enhancements/index.html +++ b/azure-active-directory/microsoft-entra-certificate-based-authentication-enhancements/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/microsoft-entra-change-announcements-march-2023-train/index.html b/azure-active-directory/microsoft-entra-change-announcements-march-2023-train/index.html index 9b82d59f686..9a8a198d7e3 100644 --- a/azure-active-directory/microsoft-entra-change-announcements-march-2023-train/index.html +++ b/azure-active-directory/microsoft-entra-change-announcements-march-2023-train/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/microsoft-entra-delivers-increased-transparency/index.html b/azure-active-directory/microsoft-entra-delivers-increased-transparency/index.html index 839b89abf05..a57a0576dac 100644 --- a/azure-active-directory/microsoft-entra-delivers-increased-transparency/index.html +++ b/azure-active-directory/microsoft-entra-delivers-increased-transparency/index.html @@ -15,7 +15,7 @@ - + @@ -156,7 +156,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/microsoft-entra-expands-into-securityserviceedge-with-two-new-offerings/index.html b/azure-active-directory/microsoft-entra-expands-into-securityserviceedge-with-two-new-offerings/index.html index e663a73867e..431d3669434 100644 --- a/azure-active-directory/microsoft-entra-expands-into-securityserviceedge-with-two-new-offerings/index.html +++ b/azure-active-directory/microsoft-entra-expands-into-securityserviceedge-with-two-new-offerings/index.html @@ -18,7 +18,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/microsoft-entra-hybrid-joined-re-registration-simplified/index.html b/azure-active-directory/microsoft-entra-hybrid-joined-re-registration-simplified/index.html index 941b6c20168..b6bb3f90ae6 100644 --- a/azure-active-directory/microsoft-entra-hybrid-joined-re-registration-simplified/index.html +++ b/azure-active-directory/microsoft-entra-hybrid-joined-re-registration-simplified/index.html @@ -17,7 +17,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/microsoft-entra-id-governance-introduces-two-new-features-in-access-reviews/index.html b/azure-active-directory/microsoft-entra-id-governance-introduces-two-new-features-in-access-reviews/index.html index 9eb319c3e4a..2d0ac61445e 100644 --- a/azure-active-directory/microsoft-entra-id-governance-introduces-two-new-features-in-access-reviews/index.html +++ b/azure-active-directory/microsoft-entra-id-governance-introduces-two-new-features-in-access-reviews/index.html @@ -17,7 +17,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/microsoft-entra-internet-access-now-generally-available/index.html b/azure-active-directory/microsoft-entra-internet-access-now-generally-available/index.html index ce4a4e7c7d6..4c92f8d444b 100644 --- a/azure-active-directory/microsoft-entra-internet-access-now-generally-available/index.html +++ b/azure-active-directory/microsoft-entra-internet-access-now-generally-available/index.html @@ -23,7 +23,7 @@ - + @@ -165,7 +165,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/microsoft-entra-internet-access-unify-security-service-edge-with/index.html b/azure-active-directory/microsoft-entra-internet-access-unify-security-service-edge-with/index.html index 0632c2e376f..4ddd96b9ab9 100644 --- a/azure-active-directory/microsoft-entra-internet-access-unify-security-service-edge-with/index.html +++ b/azure-active-directory/microsoft-entra-internet-access-unify-security-service-edge-with/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/microsoft-entra-internet-access/index.html b/azure-active-directory/microsoft-entra-internet-access/index.html index b3f0ef1fd71..b6bf9b6a23e 100644 --- a/azure-active-directory/microsoft-entra-internet-access/index.html +++ b/azure-active-directory/microsoft-entra-internet-access/index.html @@ -29,7 +29,7 @@ - + @@ -170,7 +170,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/microsoft-entra-new-feature-and-change-announcements/index.html b/azure-active-directory/microsoft-entra-new-feature-and-change-announcements/index.html index 7b9c5cc179a..e437bf3a849 100644 --- a/azure-active-directory/microsoft-entra-new-feature-and-change-announcements/index.html +++ b/azure-active-directory/microsoft-entra-new-feature-and-change-announcements/index.html @@ -14,7 +14,7 @@ - + @@ -154,7 +154,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/microsoft-entra-permissions-management-is-now-generally/index.html b/azure-active-directory/microsoft-entra-permissions-management-is-now-generally/index.html index 5c54e1b42b3..3be2ba18250 100644 --- a/azure-active-directory/microsoft-entra-permissions-management-is-now-generally/index.html +++ b/azure-active-directory/microsoft-entra-permissions-management-is-now-generally/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/microsoft-entra-private-access-an-identity-centric-zero-trust-network-access-solution/index.html b/azure-active-directory/microsoft-entra-private-access-an-identity-centric-zero-trust-network-access-solution/index.html index f89eac7b3fb..948698b23ad 100644 --- a/azure-active-directory/microsoft-entra-private-access-an-identity-centric-zero-trust-network-access-solution/index.html +++ b/azure-active-directory/microsoft-entra-private-access-an-identity-centric-zero-trust-network-access-solution/index.html @@ -22,7 +22,7 @@ - + @@ -164,7 +164,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/microsoft-entra-private-access-for-on-prem-users/index.html b/azure-active-directory/microsoft-entra-private-access-for-on-prem-users/index.html index 6503f5453f4..5f51d545785 100644 --- a/azure-active-directory/microsoft-entra-private-access-for-on-prem-users/index.html +++ b/azure-active-directory/microsoft-entra-private-access-for-on-prem-users/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/microsoft-entra-resilience-update-workload-identity-authentication/index.html b/azure-active-directory/microsoft-entra-resilience-update-workload-identity-authentication/index.html index 3699c9ff8b8..4e52cd48cc8 100644 --- a/azure-active-directory/microsoft-entra-resilience-update-workload-identity-authentication/index.html +++ b/azure-active-directory/microsoft-entra-resilience-update-workload-identity-authentication/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/microsoft-entra-suite-now-generally-available/index.html b/azure-active-directory/microsoft-entra-suite-now-generally-available/index.html index 64ff1019c89..047302d1cd4 100644 --- a/azure-active-directory/microsoft-entra-suite-now-generally-available/index.html +++ b/azure-active-directory/microsoft-entra-suite-now-generally-available/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/microsoft-entra-updates-you-may-have-missed/index.html b/azure-active-directory/microsoft-entra-updates-you-may-have-missed/index.html index 7eda8a2af8d..3bbfff1695d 100644 --- a/azure-active-directory/microsoft-entra-updates-you-may-have-missed/index.html +++ b/azure-active-directory/microsoft-entra-updates-you-may-have-missed/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/microsoft-entra-workload-id-ga/index.html b/azure-active-directory/microsoft-entra-workload-id-ga/index.html index e764c8d8a9d..3400d27ab52 100644 --- a/azure-active-directory/microsoft-entra-workload-id-ga/index.html +++ b/azure-active-directory/microsoft-entra-workload-id-ga/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/microsoft-entras-top-50-features-of-2023/index.html b/azure-active-directory/microsoft-entras-top-50-features-of-2023/index.html index 483322f8228..ca1f05a5f11 100644 --- a/azure-active-directory/microsoft-entras-top-50-features-of-2023/index.html +++ b/azure-active-directory/microsoft-entras-top-50-features-of-2023/index.html @@ -19,7 +19,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/microsoft-graph-api-signin-activity-reports-v2/index.html b/azure-active-directory/microsoft-graph-api-signin-activity-reports-v2/index.html index 5db8467a9c4..574e7aff688 100644 --- a/azure-active-directory/microsoft-graph-api-signin-activity-reports-v2/index.html +++ b/azure-active-directory/microsoft-graph-api-signin-activity-reports-v2/index.html @@ -14,7 +14,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/microsoft-graph-api-signin-activity-reports/index.html b/azure-active-directory/microsoft-graph-api-signin-activity-reports/index.html index 0eb8d480907..de2ad2f9170 100644 --- a/azure-active-directory/microsoft-graph-api-signin-activity-reports/index.html +++ b/azure-active-directory/microsoft-graph-api-signin-activity-reports/index.html @@ -14,7 +14,7 @@ - + @@ -156,7 +156,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/microsoft-graph-powershell-v2.0/index.html b/azure-active-directory/microsoft-graph-powershell-v2.0/index.html index 7f91c4d2de7..6962b98c958 100644 --- a/azure-active-directory/microsoft-graph-powershell-v2.0/index.html +++ b/azure-active-directory/microsoft-graph-powershell-v2.0/index.html @@ -15,7 +15,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/microsoft-managed-conditional-access-policies/index.html b/azure-active-directory/microsoft-managed-conditional-access-policies/index.html index 1ab9d667dc9..99a8132a7da 100644 --- a/azure-active-directory/microsoft-managed-conditional-access-policies/index.html +++ b/azure-active-directory/microsoft-managed-conditional-access-policies/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/microsoft-security-service-edge-now-generally-available/index.html b/azure-active-directory/microsoft-security-service-edge-now-generally-available/index.html index 05aba2a4bd3..cb02cbc2615 100644 --- a/azure-active-directory/microsoft-security-service-edge-now-generally-available/index.html +++ b/azure-active-directory/microsoft-security-service-edge-now-generally-available/index.html @@ -17,7 +17,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/microsoft-will-require-mfa-for-all-azure-users/index.html b/azure-active-directory/microsoft-will-require-mfa-for-all-azure-users/index.html index 577984f76e3..e08cd535619 100644 --- a/azure-active-directory/microsoft-will-require-mfa-for-all-azure-users/index.html +++ b/azure-active-directory/microsoft-will-require-mfa-for-all-azure-users/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/migrate-aadgraph-to-msgraph/index.html b/azure-active-directory/migrate-aadgraph-to-msgraph/index.html index 14e773d50ef..69d4a084012 100644 --- a/azure-active-directory/migrate-aadgraph-to-msgraph/index.html +++ b/azure-active-directory/migrate-aadgraph-to-msgraph/index.html @@ -14,7 +14,7 @@ - + @@ -154,7 +154,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/migrate-adal-apps-to-msal-with-enhanced-insights/index.html b/azure-active-directory/migrate-adal-apps-to-msal-with-enhanced-insights/index.html index b547af56e59..f171bbf58d1 100644 --- a/azure-active-directory/migrate-adal-apps-to-msal-with-enhanced-insights/index.html +++ b/azure-active-directory/migrate-adal-apps-to-msal-with-enhanced-insights/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/migrate-your-apps-to-access-the-license-managements/index.html b/azure-active-directory/migrate-your-apps-to-access-the-license-managements/index.html index 51e1671e3da..27bf8555044 100644 --- a/azure-active-directory/migrate-your-apps-to-access-the-license-managements/index.html +++ b/azure-active-directory/migrate-your-apps-to-access-the-license-managements/index.html @@ -14,7 +14,7 @@ - + @@ -156,7 +156,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/modernizing-authentication-management/index.html b/azure-active-directory/modernizing-authentication-management/index.html index 66cf1580261..4fc6b3c09af 100644 --- a/azure-active-directory/modernizing-authentication-management/index.html +++ b/azure-active-directory/modernizing-authentication-management/index.html @@ -19,7 +19,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/more-control-and-better-insights-for-your-zero-trust-deployments/index.html b/azure-active-directory/more-control-and-better-insights-for-your-zero-trust-deployments/index.html index af3d25d2f39..4f000ada0d7 100644 --- a/azure-active-directory/more-control-and-better-insights-for-your-zero-trust-deployments/index.html +++ b/azure-active-directory/more-control-and-better-insights-for-your-zero-trust-deployments/index.html @@ -20,7 +20,7 @@ - + @@ -162,7 +162,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/more-coverage-to-protect-your-identities/index.html b/azure-active-directory/more-coverage-to-protect-your-identities/index.html index 5f3c741b392..475aab2589a 100644 --- a/azure-active-directory/more-coverage-to-protect-your-identities/index.html +++ b/azure-active-directory/more-coverage-to-protect-your-identities/index.html @@ -17,7 +17,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/move-authenticator-to-new-phone/index.html b/azure-active-directory/move-authenticator-to-new-phone/index.html index fcf4bdcc9cc..724b6b37ac4 100644 --- a/azure-active-directory/move-authenticator-to-new-phone/index.html +++ b/azure-active-directory/move-authenticator-to-new-phone/index.html @@ -20,7 +20,7 @@ - + @@ -163,7 +163,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/move-to-cloud-authentication-with-the-ad-fs-migration-tool!/index.html b/azure-active-directory/move-to-cloud-authentication-with-the-ad-fs-migration-tool!/index.html index 650a66b510e..0c2909b9924 100644 --- a/azure-active-directory/move-to-cloud-authentication-with-the-ad-fs-migration-tool!/index.html +++ b/azure-active-directory/move-to-cloud-authentication-with-the-ad-fs-migration-tool!/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/moving-towards-real-time-policy-and-security-enforcement/index.html b/azure-active-directory/moving-towards-real-time-policy-and-security-enforcement/index.html index b56446816cf..60d7b89948c 100644 --- a/azure-active-directory/moving-towards-real-time-policy-and-security-enforcement/index.html +++ b/azure-active-directory/moving-towards-real-time-policy-and-security-enforcement/index.html @@ -15,7 +15,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/mto-ga/index.html b/azure-active-directory/mto-ga/index.html index 05eb7f8f3d7..e326b11d8bf 100644 --- a/azure-active-directory/mto-ga/index.html +++ b/azure-active-directory/mto-ga/index.html @@ -16,7 +16,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/nesting-group/index.html b/azure-active-directory/nesting-group/index.html index 61fc8964484..f1b64926de9 100644 --- a/azure-active-directory/nesting-group/index.html +++ b/azure-active-directory/nesting-group/index.html @@ -16,7 +16,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/new-admin-center-unifies-azure-ad-with-other-identity-and-access-product/index.html b/azure-active-directory/new-admin-center-unifies-azure-ad-with-other-identity-and-access-product/index.html index 5d734066e0a..460115db33a 100644 --- a/azure-active-directory/new-admin-center-unifies-azure-ad-with-other-identity-and-access-product/index.html +++ b/azure-active-directory/new-admin-center-unifies-azure-ad-with-other-identity-and-access-product/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/new-app-health-recommendations-in-microsoft-entra-workload-identities/index.html b/azure-active-directory/new-app-health-recommendations-in-microsoft-entra-workload-identities/index.html index 48538760210..b80105b2a53 100644 --- a/azure-active-directory/new-app-health-recommendations-in-microsoft-entra-workload-identities/index.html +++ b/azure-active-directory/new-app-health-recommendations-in-microsoft-entra-workload-identities/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/new-authenticator-security-features/index.html b/azure-active-directory/new-authenticator-security-features/index.html index 8512fcffa0c..5797fd3248f 100644 --- a/azure-active-directory/new-authenticator-security-features/index.html +++ b/azure-active-directory/new-authenticator-security-features/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/new-capabilities-that-empower-you-to-migrate-more-of-your-apps/index.html b/azure-active-directory/new-capabilities-that-empower-you-to-migrate-more-of-your-apps/index.html index a0c68496ff1..565060ed681 100644 --- a/azure-active-directory/new-capabilities-that-empower-you-to-migrate-more-of-your-apps/index.html +++ b/azure-active-directory/new-capabilities-that-empower-you-to-migrate-more-of-your-apps/index.html @@ -19,7 +19,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    @@ -177,7 +177,7 @@

    追加のユーザー属性をクレームとして構成する

    より多くの SaaS アプリケーションを採用するにつれ、SAML トークンで送信する必要のあるユーザー属性 (クレーム) の要件がアプリケーションごとに異なることに気付くと思います。たとえば、Box を使用している一部のお客様は、すべてのユーザーの proxyAddresses を SAML トークンに含めるという要件があります。しかし、このように複数の値を持つ属性は、これまで Azure AD のクレーム発行の仕組みでは利用できませんでした。

    今回、新たなユーザー属性を Azure AD のクレームとして追加しました。これらの新しい属性は、Azure Portal にて「属性およびクレーム」の設定もしくは Microsoft Graph のクレーム マッピング ポリシーにおいてソースとして使用することができます。これにより、より多くのアプリケーションを AD FS や他の ID プロバイダーから、Azure AD に移行することができます。現在サポートされている新しい属性をすべて確認するには、弊社のクレーム マッピングの公開情報をご覧ください。

    -

    新しい変換機能で SAML トークンのクレームをカスタマイズする

    多くのお客様は、AD FS 上に SaaS アプリケーションを追加し、ユーザー クレームに対して追加の情報を付け加えるよう構成しています。例えば、一部のお客様では Salesforce のユーザー名にインスタンス名 (例: user@domain.com.stage) を含めるように構成しており、AD FS が NameID クレームを発行する際には、末尾に適切な値を付け加えてます。これまで、Azure AD では、テナントで確認されていない UPN ドメイン (@domain.com) を NameID に含めることができなかったため、このようなことはできませんでした。今回パブリック プレビューとなったこの新機能では、確認されていないドメインにおいても、NameID に情報を追加できるようになりました。

    +

    新しい変換機能で SAML トークンのクレームをカスタマイズする

    多くのお客様は、AD FS 上に SaaS アプリケーションを追加し、ユーザー クレームに対して追加の情報を付け加えるよう構成しています。例えば、一部のお客様では Salesforce のユーザー名にインスタンス名 (例: user@domain.com.stage) を含めるように構成しており、AD FS が NameID クレームを発行する際には、末尾に適切な値を付け加えてます。これまで、Azure AD では、テナントで確認されていない UPN ドメイン (@domain.com) を NameID に含めることができなかったため、このようなことはできませんでした。今回パブリック プレビューとなったこの新機能では、確認されていないドメインにおいても、NameID に情報を追加できるようになりました。

    加えて、ドメインの検証を行わずとも NameID のクレームに対して結合の変換機能を使用することが可能です。結合の変換も、他のクレームと同じように NameID クレームで使用できるようになり、より柔軟な変換が可能になりました。

    部分文字列の関数 についても、クレーム設定 UI にて一般提供が開始されました。ソース属性から特定の文字を抽出して作成されたクレームを必要とするアプリケーションでは、この部分文字列の関数を使用可能です。

    diff --git a/azure-active-directory/new-capolicy-for-csp-account/index.html b/azure-active-directory/new-capolicy-for-csp-account/index.html index e4b7c8afe5b..0a68e717984 100644 --- a/azure-active-directory/new-capolicy-for-csp-account/index.html +++ b/azure-active-directory/new-capolicy-for-csp-account/index.html @@ -16,7 +16,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/new-developments-in-microsoft-entra-id-protection/index.html b/azure-active-directory/new-developments-in-microsoft-entra-id-protection/index.html index adeca7f083e..abf2ffa00fb 100644 --- a/azure-active-directory/new-developments-in-microsoft-entra-id-protection/index.html +++ b/azure-active-directory/new-developments-in-microsoft-entra-id-protection/index.html @@ -17,7 +17,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/new-identity-partnerships-and-integrations-to-strengthen-your/index.html b/azure-active-directory/new-identity-partnerships-and-integrations-to-strengthen-your/index.html index 240a74bab76..12647f0d215 100644 --- a/azure-active-directory/new-identity-partnerships-and-integrations-to-strengthen-your/index.html +++ b/azure-active-directory/new-identity-partnerships-and-integrations-to-strengthen-your/index.html @@ -21,7 +21,7 @@ - + @@ -163,7 +163,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/new-microsoft-entra-id-governance-2024Nov/index.html b/azure-active-directory/new-microsoft-entra-id-governance-2024Nov/index.html index ebf0e2dcf9f..34b3e11bc61 100644 --- a/azure-active-directory/new-microsoft-entra-id-governance-2024Nov/index.html +++ b/azure-active-directory/new-microsoft-entra-id-governance-2024Nov/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/new-microsoft-entra-id-governance-dashboard-experience-rolling/index.html b/azure-active-directory/new-microsoft-entra-id-governance-dashboard-experience-rolling/index.html index b491450984a..6a0fb349225 100644 --- a/azure-active-directory/new-microsoft-entra-id-governance-dashboard-experience-rolling/index.html +++ b/azure-active-directory/new-microsoft-entra-id-governance-dashboard-experience-rolling/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/new-require-reauthentication-for-intune-enrollment-or-risk/index.html b/azure-active-directory/new-require-reauthentication-for-intune-enrollment-or-risk/index.html index 58ac4c7775b..687e2be6ad2 100644 --- a/azure-active-directory/new-require-reauthentication-for-intune-enrollment-or-risk/index.html +++ b/azure-active-directory/new-require-reauthentication-for-intune-enrollment-or-risk/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/new-tools-to-block-legacy-auth/index.html b/azure-active-directory/new-tools-to-block-legacy-auth/index.html index 311fa35b4ff..262122fb4f6 100644 --- a/azure-active-directory/new-tools-to-block-legacy-auth/index.html +++ b/azure-active-directory/new-tools-to-block-legacy-auth/index.html @@ -24,7 +24,7 @@ - + @@ -168,7 +168,7 @@

    feedback - 共有 + 共有

    @@ -225,7 +225,7 @@

    ステップ 3:組織内のレガシー認証をブロックする

    Azure AD の条件付きアクセスを使用したレガシー認証のブロック

    数日間レポート専用モードでポリシーを監視し、ポリシーの影響を理解できたら、レガシー認証のブロックを開始する準備が整ったと言えるでしょう。最も簡単な方法は、ポリシーの状態を レポート専用 から オン に変更することです。または、まだ準備ができていないユーザーがおり、それらに対してレポート専用モードでレガシー認証をブロックした場合の影響を監視し続けたい場合は、レガシー認証をブロックする条件付きアクセス ポリシーを別個に作成します。

    サービス サイドでのレガシー認証のブロック

    条件付きアクセスに加えて、従来の認証をサービス側またはリソース側 (認証プラットフォーム側ではなく) でブロックすることも可能です。たとえば、Exchange Online では、ユーザーに対して POP3 または IMAP4 を無効にすることができます。ここで問題となるのは、レガシー認証と最新の認証が両方可能なプロトコル (EWS、MAPI など) を完全にブロックできないということです。この問題を解決するために、Exchange Online は認証ポリシーと呼ばれる機能をリリースしました。プロトコルの接続は、Azure AD または AD FS に対して資格情報をチェックする前に拒否されるため、認証前にポリシーが強制されます。

    -

    このブログ記事が、組織内のレガシー認証をブロックするために必要なすべての情報を提供できていれば幸いです。ご質問がある場合は、以下のコメント欄でこのブログ記事に返信するか、弊社チーム (intelligentaccesspm@microsoft.com) にメールを送る、もしくは Twitter で Alex (@alex_t_weinert) と私 (@daniel_e_wood) まで連絡ください。

    +

    このブログ記事が、組織内のレガシー認証をブロックするために必要なすべての情報を提供できていれば幸いです。ご質問がある場合は、以下のコメント欄でこのブログ記事に返信するか、弊社チーム (intelligentaccesspm@microsoft.com) にメールを送る、もしくは Twitter で Alex (@alex_t_weinert) と私 (@daniel_e_wood) まで連絡ください。

    diff --git a/azure-active-directory/non-destructive-pin-reset/index.html b/azure-active-directory/non-destructive-pin-reset/index.html index 3b029925812..e4f214b44bb 100644 --- a/azure-active-directory/non-destructive-pin-reset/index.html +++ b/azure-active-directory/non-destructive-pin-reset/index.html @@ -15,7 +15,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/oauth2-application-resource-and-api-permissions/index.html b/azure-active-directory/oauth2-application-resource-and-api-permissions/index.html index 3f18c44ef52..b38090dfc2e 100644 --- a/azure-active-directory/oauth2-application-resource-and-api-permissions/index.html +++ b/azure-active-directory/oauth2-application-resource-and-api-permissions/index.html @@ -49,7 +49,7 @@ - + @@ -191,7 +191,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/onboard-partners-more-easily-with-new-azure-ad-entitlement/index.html b/azure-active-directory/onboard-partners-more-easily-with-new-azure-ad-entitlement/index.html index 37cf444697d..5778749ae15 100644 --- a/azure-active-directory/onboard-partners-more-easily-with-new-azure-ad-entitlement/index.html +++ b/azure-active-directory/onboard-partners-more-easily-with-new-azure-ad-entitlement/index.html @@ -17,7 +17,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/operating-license-with-microsoft-graph/index.html b/azure-active-directory/operating-license-with-microsoft-graph/index.html index 9387ce68884..6dc0127fc71 100644 --- a/azure-active-directory/operating-license-with-microsoft-graph/index.html +++ b/azure-active-directory/operating-license-with-microsoft-graph/index.html @@ -22,7 +22,7 @@ - + @@ -164,7 +164,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/operating-license-with-microsoft-graph2/index.html b/azure-active-directory/operating-license-with-microsoft-graph2/index.html index 5a6c8db38a4..2a42f7a2e2b 100644 --- a/azure-active-directory/operating-license-with-microsoft-graph2/index.html +++ b/azure-active-directory/operating-license-with-microsoft-graph2/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/output-directory-roll-members/index.html b/azure-active-directory/output-directory-roll-members/index.html index f93cd40d729..17aebcee422 100644 --- a/azure-active-directory/output-directory-roll-members/index.html +++ b/azure-active-directory/output-directory-roll-members/index.html @@ -15,7 +15,7 @@ - + @@ -156,7 +156,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/password-sprey-attack/index.html b/azure-active-directory/password-sprey-attack/index.html index 3d67cc765de..f3639000dd1 100644 --- a/azure-active-directory/password-sprey-attack/index.html +++ b/azure-active-directory/password-sprey-attack/index.html @@ -17,7 +17,7 @@ - + @@ -162,7 +162,7 @@

    feedback - 共有 + 共有

    @@ -182,19 +182,19 @@

    -User1@org1.com +User1@org1.com Password1 -User2@org1.com +User2@org1.com Password1 -User1@org2.com +User1@org2.com Password1 -User2@org2.com +User2@org2.com Password1 @@ -206,19 +206,19 @@

    … -User1@org1.com +User1@org1.com P@$$w0rd -User2@org1.com +User2@org1.com P@$$w0rd -User1@org2.com +User1@org2.com P@$$w0rd -User2@org2.com +User2@org2.com P@$$w0rd diff --git a/azure-active-directory/permissions-management-terms-and-their-impact-in-multicloud/index.html b/azure-active-directory/permissions-management-terms-and-their-impact-in-multicloud/index.html index 411eaa5cd11..93968d50ed7 100644 --- a/azure-active-directory/permissions-management-terms-and-their-impact-in-multicloud/index.html +++ b/azure-active-directory/permissions-management-terms-and-their-impact-in-multicloud/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/pim-for-group-ga/index.html b/azure-active-directory/pim-for-group-ga/index.html index 05ea7abb609..4d7a4d1ea89 100644 --- a/azure-active-directory/pim-for-group-ga/index.html +++ b/azure-active-directory/pim-for-group-ga/index.html @@ -25,7 +25,7 @@ - + @@ -166,7 +166,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/pim-overview/index.html b/azure-active-directory/pim-overview/index.html index 07756de5953..a155eeea12e 100644 --- a/azure-active-directory/pim-overview/index.html +++ b/azure-active-directory/pim-overview/index.html @@ -26,7 +26,7 @@ - + @@ -169,7 +169,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/platform-sso-for-macos-now-in-public-preview/index.html b/azure-active-directory/platform-sso-for-macos-now-in-public-preview/index.html index 773c1107c6d..89b232387e2 100644 --- a/azure-active-directory/platform-sso-for-macos-now-in-public-preview/index.html +++ b/azure-active-directory/platform-sso-for-macos-now-in-public-preview/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/powershell-module/index.html b/azure-active-directory/powershell-module/index.html index 000afdf4c3b..38d324f437f 100644 --- a/azure-active-directory/powershell-module/index.html +++ b/azure-active-directory/powershell-module/index.html @@ -17,7 +17,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/preferred-language-in-identity-governance/index.html b/azure-active-directory/preferred-language-in-identity-governance/index.html index c22c8ee14f5..61917c6c1b0 100644 --- a/azure-active-directory/preferred-language-in-identity-governance/index.html +++ b/azure-active-directory/preferred-language-in-identity-governance/index.html @@ -20,7 +20,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/preview-for-verified-coupons-with-entra-verified-id/index.html b/azure-active-directory/preview-for-verified-coupons-with-entra-verified-id/index.html index d678fc13206..b9e90ee299b 100644 --- a/azure-active-directory/preview-for-verified-coupons-with-entra-verified-id/index.html +++ b/azure-active-directory/preview-for-verified-coupons-with-entra-verified-id/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/prompt-users-for-reauthentication-on-sensitive-apps-and-high-risk-actions-with-conditional-access/index.html b/azure-active-directory/prompt-users-for-reauthentication-on-sensitive-apps-and-high-risk-actions-with-conditional-access/index.html index 44399f46b96..168b4b11939 100644 --- a/azure-active-directory/prompt-users-for-reauthentication-on-sensitive-apps-and-high-risk-actions-with-conditional-access/index.html +++ b/azure-active-directory/prompt-users-for-reauthentication-on-sensitive-apps-and-high-risk-actions-with-conditional-access/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/provision-users-into-apps-using-sql-as-a-user-store-more-easily/index.html b/azure-active-directory/provision-users-into-apps-using-sql-as-a-user-store-more-easily/index.html index 1b78198aa37..73759d2388a 100644 --- a/azure-active-directory/provision-users-into-apps-using-sql-as-a-user-store-more-easily/index.html +++ b/azure-active-directory/provision-users-into-apps-using-sql-as-a-user-store-more-easily/index.html @@ -19,7 +19,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/public-preview-authenticator-lite/index.html b/azure-active-directory/public-preview-authenticator-lite/index.html index e0ca1ece024..644d1bd31eb 100644 --- a/azure-active-directory/public-preview-authenticator-lite/index.html +++ b/azure-active-directory/public-preview-authenticator-lite/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/public-preview-expanding-passkey-support-in-microsoft-entra-id/index.html b/azure-active-directory/public-preview-expanding-passkey-support-in-microsoft-entra-id/index.html index 10d7c299fd1..c52222852be 100644 --- a/azure-active-directory/public-preview-expanding-passkey-support-in-microsoft-entra-id/index.html +++ b/azure-active-directory/public-preview-expanding-passkey-support-in-microsoft-entra-id/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/public-preview-external-authentication-methods-in-microsoft/index.html b/azure-active-directory/public-preview-external-authentication-methods-in-microsoft/index.html index ef56a0df342..eb4f112499e 100644 --- a/azure-active-directory/public-preview-external-authentication-methods-in-microsoft/index.html +++ b/azure-active-directory/public-preview-external-authentication-methods-in-microsoft/index.html @@ -17,7 +17,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/public-preview-microsoft-entra-id-fido2-provisioning-apis/index.html b/azure-active-directory/public-preview-microsoft-entra-id-fido2-provisioning-apis/index.html index 18da2f18ebe..107a043eb45 100644 --- a/azure-active-directory/public-preview-microsoft-entra-id-fido2-provisioning-apis/index.html +++ b/azure-active-directory/public-preview-microsoft-entra-id-fido2-provisioning-apis/index.html @@ -16,7 +16,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/public-preview-strictly-enforce-location-policies-with-contiunuous-access-evaluation/index.html b/azure-active-directory/public-preview-strictly-enforce-location-policies-with-contiunuous-access-evaluation/index.html index bebd18a7719..7555fe3eb8e 100644 --- a/azure-active-directory/public-preview-strictly-enforce-location-policies-with-contiunuous-access-evaluation/index.html +++ b/azure-active-directory/public-preview-strictly-enforce-location-policies-with-contiunuous-access-evaluation/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/public-preview-token-protection-for-sign-in-sessions/index.html b/azure-active-directory/public-preview-token-protection-for-sign-in-sessions/index.html index 92b5fdd6b5f..09948414203 100644 --- a/azure-active-directory/public-preview-token-protection-for-sign-in-sessions/index.html +++ b/azure-active-directory/public-preview-token-protection-for-sign-in-sessions/index.html @@ -17,7 +17,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/publicpreview-myapps/index.html b/azure-active-directory/publicpreview-myapps/index.html index 2bb8d1a4f5d..6c806a5501c 100644 --- a/azure-active-directory/publicpreview-myapps/index.html +++ b/azure-active-directory/publicpreview-myapps/index.html @@ -19,7 +19,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/publisher-domain/index.html b/azure-active-directory/publisher-domain/index.html index 49560c691d3..c831d72a415 100644 --- a/azure-active-directory/publisher-domain/index.html +++ b/azure-active-directory/publisher-domain/index.html @@ -19,7 +19,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/qanda-conditional-access/index.html b/azure-active-directory/qanda-conditional-access/index.html index 665cca594e8..0c4099558e1 100644 --- a/azure-active-directory/qanda-conditional-access/index.html +++ b/azure-active-directory/qanda-conditional-access/index.html @@ -20,7 +20,7 @@ - + @@ -162,7 +162,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/quick-wins-to-strengthen-your-azure-ad-security/index.html b/azure-active-directory/quick-wins-to-strengthen-your-azure-ad-security/index.html index 607891f4212..0186025f2c6 100644 --- a/azure-active-directory/quick-wins-to-strengthen-your-azure-ad-security/index.html +++ b/azure-active-directory/quick-wins-to-strengthen-your-azure-ad-security/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/rbac-role-assignment-using-conditions/index.html b/azure-active-directory/rbac-role-assignment-using-conditions/index.html index 565fab1bfaf..27088042f22 100644 --- a/azure-active-directory/rbac-role-assignment-using-conditions/index.html +++ b/azure-active-directory/rbac-role-assignment-using-conditions/index.html @@ -30,7 +30,7 @@ - + @@ -171,7 +171,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/recognized-by-idc-marketscape-as-a-leader/index.html b/azure-active-directory/recognized-by-idc-marketscape-as-a-leader/index.html index bfc6192a959..fd3ab455cdc 100644 --- a/azure-active-directory/recognized-by-idc-marketscape-as-a-leader/index.html +++ b/azure-active-directory/recognized-by-idc-marketscape-as-a-leader/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/reducing-extra-prompts-with-authentication-prompt-analysis-workbook/index.html b/azure-active-directory/reducing-extra-prompts-with-authentication-prompt-analysis-workbook/index.html index 87470f7f833..25f6c412f89 100644 --- a/azure-active-directory/reducing-extra-prompts-with-authentication-prompt-analysis-workbook/index.html +++ b/azure-active-directory/reducing-extra-prompts-with-authentication-prompt-analysis-workbook/index.html @@ -26,7 +26,7 @@ - + @@ -168,7 +168,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/registerd_device_managemant/index.html b/azure-active-directory/registerd_device_managemant/index.html index 85c33810dd8..bf9f35f280f 100644 --- a/azure-active-directory/registerd_device_managemant/index.html +++ b/azure-active-directory/registerd_device_managemant/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/registration-campaign-qanda/index.html b/azure-active-directory/registration-campaign-qanda/index.html index f1f8cd643bc..635295766e5 100644 --- a/azure-active-directory/registration-campaign-qanda/index.html +++ b/azure-active-directory/registration-campaign-qanda/index.html @@ -17,7 +17,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/remote-workforce-with-zero-trust/index.html b/azure-active-directory/remote-workforce-with-zero-trust/index.html index dcf90614701..3ff47f29f61 100644 --- a/azure-active-directory/remote-workforce-with-zero-trust/index.html +++ b/azure-active-directory/remote-workforce-with-zero-trust/index.html @@ -16,7 +16,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/reporting_unusualSignInActivity/index.html b/azure-active-directory/reporting_unusualSignInActivity/index.html index 529ddae69fa..3d5304ba77c 100644 --- a/azure-active-directory/reporting_unusualSignInActivity/index.html +++ b/azure-active-directory/reporting_unusualSignInActivity/index.html @@ -22,7 +22,7 @@ - + @@ -164,7 +164,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/review-and-remove-aad-inactive-users-in-public-preview/index.html b/azure-active-directory/review-and-remove-aad-inactive-users-in-public-preview/index.html index 181b8253331..0bbda009aff 100644 --- a/azure-active-directory/review-and-remove-aad-inactive-users-in-public-preview/index.html +++ b/azure-active-directory/review-and-remove-aad-inactive-users-in-public-preview/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/review-ca/index.html b/azure-active-directory/review-ca/index.html index 69a96beccf1..182d749f447 100644 --- a/azure-active-directory/review-ca/index.html +++ b/azure-active-directory/review-ca/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/rm64-fsz-info/index.html b/azure-active-directory/rm64-fsz-info/index.html index 839df2e5b3b..8b0627a5ed1 100644 --- a/azure-active-directory/rm64-fsz-info/index.html +++ b/azure-active-directory/rm64-fsz-info/index.html @@ -19,7 +19,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/roles-and-administrators/index.html b/azure-active-directory/roles-and-administrators/index.html index b2f9531fcdd..5c2670512a2 100644 --- a/azure-active-directory/roles-and-administrators/index.html +++ b/azure-active-directory/roles-and-administrators/index.html @@ -22,7 +22,7 @@ - + @@ -163,7 +163,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/run-custom-workflows-in-azure-ad-entitlement-management/index.html b/azure-active-directory/run-custom-workflows-in-azure-ad-entitlement-management/index.html index 3b29ed1f92f..e7e98223657 100644 --- a/azure-active-directory/run-custom-workflows-in-azure-ad-entitlement-management/index.html +++ b/azure-active-directory/run-custom-workflows-in-azure-ad-entitlement-management/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/salesforce-now-enforcing-multi-factor-authentication-azure-ad/index.html b/azure-active-directory/salesforce-now-enforcing-multi-factor-authentication-azure-ad/index.html index 1b3c8eb83f1..db9eddacc64 100644 --- a/azure-active-directory/salesforce-now-enforcing-multi-factor-authentication-azure-ad/index.html +++ b/azure-active-directory/salesforce-now-enforcing-multi-factor-authentication-azure-ad/index.html @@ -23,7 +23,7 @@ - + @@ -165,7 +165,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/say-goodbye-to-unmanaged-azuread-account-for-b2b/index.html b/azure-active-directory/say-goodbye-to-unmanaged-azuread-account-for-b2b/index.html index 01d1aa74528..ff886b6c14e 100644 --- a/azure-active-directory/say-goodbye-to-unmanaged-azuread-account-for-b2b/index.html +++ b/azure-active-directory/say-goodbye-to-unmanaged-azuread-account-for-b2b/index.html @@ -20,7 +20,7 @@ - + @@ -162,7 +162,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/search-sort-and-filter-for-ca/index.html b/azure-active-directory/search-sort-and-filter-for-ca/index.html index 8cc312816ac..d9f4fa72066 100644 --- a/azure-active-directory/search-sort-and-filter-for-ca/index.html +++ b/azure-active-directory/search-sort-and-filter-for-ca/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/secure-access-to-amazon-managed-grafana-with-azure-ad/index.html b/azure-active-directory/secure-access-to-amazon-managed-grafana-with-azure-ad/index.html index 7223ee4d6cc..b902b3d1a55 100644 --- a/azure-active-directory/secure-access-to-amazon-managed-grafana-with-azure-ad/index.html +++ b/azure-active-directory/secure-access-to-amazon-managed-grafana-with-azure-ad/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/secure-authentication-method-provisioning-with-temporary-access/index.html b/azure-active-directory/secure-authentication-method-provisioning-with-temporary-access/index.html index 49420c10c51..6256acc7490 100644 --- a/azure-active-directory/secure-authentication-method-provisioning-with-temporary-access/index.html +++ b/azure-active-directory/secure-authentication-method-provisioning-with-temporary-access/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/secure-collaboration-with-AAD-guest-access-reviews/index.html b/azure-active-directory/secure-collaboration-with-AAD-guest-access-reviews/index.html index a137327df5c..7b79cfa616e 100644 --- a/azure-active-directory/secure-collaboration-with-AAD-guest-access-reviews/index.html +++ b/azure-active-directory/secure-collaboration-with-AAD-guest-access-reviews/index.html @@ -16,7 +16,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/securing-access-to-any-resource,-anywhere/index.html b/azure-active-directory/securing-access-to-any-resource,-anywhere/index.html index 15e3addcad7..e3592566191 100644 --- a/azure-active-directory/securing-access-to-any-resource,-anywhere/index.html +++ b/azure-active-directory/securing-access-to-any-resource,-anywhere/index.html @@ -17,7 +17,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/security-copilot-for-microsoft-entra/index.html b/azure-active-directory/security-copilot-for-microsoft-entra/index.html index c5d32536ecd..a1e995b3f61 100644 --- a/azure-active-directory/security-copilot-for-microsoft-entra/index.html +++ b/azure-active-directory/security-copilot-for-microsoft-entra/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/security-default-2022/index.html b/azure-active-directory/security-default-2022/index.html index e11d7b83f84..3a1ba3b54a9 100644 --- a/azure-active-directory/security-default-2022/index.html +++ b/azure-active-directory/security-default-2022/index.html @@ -18,7 +18,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/simplify-your-identity-provisioning-with-these-new-azure-ad/index.html b/azure-active-directory/simplify-your-identity-provisioning-with-these-new-azure-ad/index.html index 169b52feeb8..b820d264ca7 100644 --- a/azure-active-directory/simplify-your-identity-provisioning-with-these-new-azure-ad/index.html +++ b/azure-active-directory/simplify-your-identity-provisioning-with-these-new-azure-ad/index.html @@ -17,7 +17,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/starter-series-conditional-access/index.html b/azure-active-directory/starter-series-conditional-access/index.html index d41ac073c0b..a763d9e14dd 100644 --- a/azure-active-directory/starter-series-conditional-access/index.html +++ b/azure-active-directory/starter-series-conditional-access/index.html @@ -29,7 +29,7 @@ - + @@ -171,7 +171,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/step-guide-access-review/index.html b/azure-active-directory/step-guide-access-review/index.html index bca1f1af8ec..5240461495d 100644 --- a/azure-active-directory/step-guide-access-review/index.html +++ b/azure-active-directory/step-guide-access-review/index.html @@ -23,7 +23,7 @@ - + @@ -165,7 +165,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/strengthen-your-security-posture-with-new-azure-ad-partner/index.html b/azure-active-directory/strengthen-your-security-posture-with-new-azure-ad-partner/index.html index a76867020b7..aa4418afe60 100644 --- a/azure-active-directory/strengthen-your-security-posture-with-new-azure-ad-partner/index.html +++ b/azure-active-directory/strengthen-your-security-posture-with-new-azure-ad-partner/index.html @@ -19,7 +19,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/subscription-azure-ad-relationship/index.html b/azure-active-directory/subscription-azure-ad-relationship/index.html index 9778757739d..57658ac26fd 100644 --- a/azure-active-directory/subscription-azure-ad-relationship/index.html +++ b/azure-active-directory/subscription-azure-ad-relationship/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    @@ -187,13 +187,13 @@

    Azure サブスクリプションの管理者と Azure AD の管理者

    Azure サブスクリプションと Azure AD はそれぞれ独立したものです。

    管理者についてもそれぞれ独立していますので Azure サブスクリプションの管理者であっても Azure AD の全体管理者でなければ、 Azure AD の管理 (ユーザー追加、削除など) はできません。同様に Azure AD の全体管理者であっても、必ずしも紐づく Azure サブスクリプションの管理者ではありません。

    例えば次のような関係を考えてみましょう。

    -

    company1 という会社ではすでに Azure AD を保持しており、その Azure AD のディレクトリ名は company1com.onmicrosoft.com です。この Azure AD にはカスタムドメインとして company1.com というドメイン名が紐づけられています (*注3)。以下の図では user1@company1.com というアカウントが Azure のサブスクリプションを作成した状態での関係を示しています。

    +

    company1 という会社ではすでに Azure AD を保持しており、その Azure AD のディレクトリ名は company1com.onmicrosoft.com です。この Azure AD にはカスタムドメインとして company1.com というドメイン名が紐づけられています (*注3)。以下の図では user1@company1.com というアカウントが Azure のサブスクリプションを作成した状態での関係を示しています。

    -

    user1@company1.com というアカウントは Azure のサブスクリプションのアカウント管理者でありサービス管理者です。そのため、サブスクリプション内のすべての権限を持ちます。例えばこのサブスクリプション内で仮想マシンを作成したり、仮想ネットワークを設定したりすることができます。しかし、関連づけられている Azure AD に対しては user1 は管理者権限を持ちません。Azure AD に対して管理者権限を必要とする作業を実施する場合には admin1@company1com.onmicrosoft.com または admin2@company1.com という全体管理者に、作業を依頼するか、あるいは自身に Azure AD の権限を与えてくれるように依頼する必要があります。

    +

    user1@company1.com というアカウントは Azure のサブスクリプションのアカウント管理者でありサービス管理者です。そのため、サブスクリプション内のすべての権限を持ちます。例えばこのサブスクリプション内で仮想マシンを作成したり、仮想ネットワークを設定したりすることができます。しかし、関連づけられている Azure AD に対しては user1 は管理者権限を持ちません。Azure AD に対して管理者権限を必要とする作業を実施する場合には admin1@company1com.onmicrosoft.com または admin2@company1.com という全体管理者に、作業を依頼するか、あるいは自身に Azure AD の権限を与えてくれるように依頼する必要があります。

    別のパターンを考えてみます。

    -

    ここでは Microsoft アカウントの user2@outlook.com を指定して Azure サブスクリプションを作成しています。この例の outlook.com のように企業に紐づかない Microsoft アカウントを利用して Azure サブスクリプションを作成した場合など、サブスクリプション作成時に利用したアカウントが所属する Azure AD が無い場合には、新規で Azure AD ディレクトリが自動的に作成されます。この場合、特に役割の追加作業をしていなくても Azure サブスクリプションのアカウント管理者 = Azure AD の全体管理者になります。

    -

    この場合でも以下のようにサブスクリプションに別のアカウント user3@outlook.com を所有者として追加した場合には、このアカウントは Azure AD の管理者ではありませんので、もしそのアカウントにも権限を付与したいのであれば user2@outlook.com が、 user3@outlook.com を全体管理者にする作業が必要です。

    +

    ここでは Microsoft アカウントの user2@outlook.com を指定して Azure サブスクリプションを作成しています。この例の outlook.com のように企業に紐づかない Microsoft アカウントを利用して Azure サブスクリプションを作成した場合など、サブスクリプション作成時に利用したアカウントが所属する Azure AD が無い場合には、新規で Azure AD ディレクトリが自動的に作成されます。この場合、特に役割の追加作業をしていなくても Azure サブスクリプションのアカウント管理者 = Azure AD の全体管理者になります。

    +

    この場合でも以下のようにサブスクリプションに別のアカウント user3@outlook.com を所有者として追加した場合には、このアカウントは Azure AD の管理者ではありませんので、もしそのアカウントにも権限を付与したいのであれば user2@outlook.com が、 user3@outlook.com を全体管理者にする作業が必要です。

    注 3: Azure AD では必ず設定される xxxxx.onmicrosoft.com というドメイン名に加えてカスタムドメイン名を追加することができます。カスタムドメイン名を追加するためには、そのドメインに対して権限を持っている (ドメインのゾーンをインターネットで名前解決でき、そのゾーンを管理している) 必要があります。詳しくはこちらのサイトを参照ください。

    diff --git a/azure-active-directory/subscription-azuread/index.html b/azure-active-directory/subscription-azuread/index.html index 2b27c92b826..0bcecec24eb 100644 --- a/azure-active-directory/subscription-azuread/index.html +++ b/azure-active-directory/subscription-azuread/index.html @@ -18,7 +18,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    @@ -176,7 +176,7 @@

    これは会社で利用しているアカウントを Microsoft アカウントとして登録しているケースが当てはまります。(* 現在は新規で職場または学校アカウントとして登録されているアカウントを Microsoft アカウントとしても登録することはできなくなっています。詳しくはリンクを参照ください)

    同じユーザー名であっても Microsoft アカウントと職場または学校アカウントは別物で、サブスクリプションの権限が割り当たっているユーザーもどちらかの種類のユーザーになります。

    -

    例えば、Azure AD に職場または学校アカウントの user01@contoso.com が登録されている状況でそのユーザーにサブスクリプションの権限を付与した場合、下記のように Microsoft アカウントは同じユーザー名であるもののサブスクリプションの権限を所有していないことになります。

    +

    例えば、Azure AD に職場または学校アカウントの user01@contoso.com が登録されている状況でそのユーザーにサブスクリプションの権限を付与した場合、下記のように Microsoft アカウントは同じユーザー名であるもののサブスクリプションの権限を所有していないことになります。

    よって、Azure ポータル にログインする際に下記のように、2 種類のアカウントが表示される場合には、サブスクリプションの権限を割り当てた種類のアカウントを選択してログインする必要があります。

    diff --git a/azure-active-directory/support-q-and-a/index.html b/azure-active-directory/support-q-and-a/index.html index b479a3253d6..29f5be34fe9 100644 --- a/azure-active-directory/support-q-and-a/index.html +++ b/azure-active-directory/support-q-and-a/index.html @@ -15,7 +15,7 @@ - + @@ -156,7 +156,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/support-sevA/index.html b/azure-active-directory/support-sevA/index.html index 7c97dbd023b..fcf7b8afc8d 100644 --- a/azure-active-directory/support-sevA/index.html +++ b/azure-active-directory/support-sevA/index.html @@ -14,7 +14,7 @@ - + @@ -154,7 +154,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/tenant-health-transparency-and-observability/index.html b/azure-active-directory/tenant-health-transparency-and-observability/index.html index 410ae859e31..23f2b9f722d 100644 --- a/azure-active-directory/tenant-health-transparency-and-observability/index.html +++ b/azure-active-directory/tenant-health-transparency-and-observability/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/tenant-restriction-v2-is-now-public-preview/index.html b/azure-active-directory/tenant-restriction-v2-is-now-public-preview/index.html index 05975eb591a..113c43ff154 100644 --- a/azure-active-directory/tenant-restriction-v2-is-now-public-preview/index.html +++ b/azure-active-directory/tenant-restriction-v2-is-now-public-preview/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/tenant-restriction/index.html b/azure-active-directory/tenant-restriction/index.html index f4e78f7402c..7e3ff696894 100644 --- a/azure-active-directory/tenant-restriction/index.html +++ b/azure-active-directory/tenant-restriction/index.html @@ -16,7 +16,7 @@ - + @@ -159,7 +159,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/the-false-identifier-anti-pattern/index.html b/azure-active-directory/the-false-identifier-anti-pattern/index.html index d2dd9f4539d..a0d053ed359 100644 --- a/azure-active-directory/the-false-identifier-anti-pattern/index.html +++ b/azure-active-directory/the-false-identifier-anti-pattern/index.html @@ -20,7 +20,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    @@ -181,7 +181,7 @@

    ローカルでの一意な識別子

    識別子がローカルで一意である場合、ID プロバイダーはドメイン内のユーザー間で値が重複しないように検出し、重複を防止します。ローカルでの一意性が強制されていれば、シングル サインオン (SSO) 時に 2 つの異なる ID プロバイダーのアカウントが同じ文字列で表されることはありません。しかし、現在の ID 基盤では、ユーザーが複数の組織や企業、学校などのコミュニティに属している場合があり、それらのコミュニティが重複または反復する通信チャネルを保持している可能性は十分にあります。

    テスト用アカウントと本番用アカウントを持っている社員は、両方のアカウントで同じ電話番号を設定するかもしれません。また、非従業員が企業間コラボレーションのために招待されたゲスト アカウントと顧客アカウントを持ち (ID プロバイダの小売サービスを使用するため)、両方とも同じ電子メール アドレスを使用する場合もあります。これらの例では、電子メールと電話番号はローカルで一意ではなく、アカウントを区別するには不十分です。しかし、トークンに含めるペイロードとしては許容されます。これは、これら属性がトークン内で一意性の要件を持たないペイロードの一部であり、トークンの Subject (一意性の要件がある) に関する追加情報を提供するためのものだからです。

    単一の発行者内で再割り当てを行わない

    セクション 5.7 の 2 つ目の節は、属性のライフサイクルに言及しています。電子メール アドレスおよび電話番号とユーザーとの紐づけが解かれるタイミングとしては様々なものがあり得ます。問題はその次に何が起こるかです。識別子が 2 つの異なるタイミングで 2 つの異なるユーザに割り当てられると、後に割り当てられたユーザーが、その前に割り当てられていたユーザーの権限とデータを得てしまうリスクがあります。

    -

    例えば、ある組織が Fred Smith という人を雇い、fsmith@company.com という電子メール アドレスを割り当てたとします。Fred がやがて退職し、Frida Smith が採用され、同じ電子メール アドレスが割り当てられました。この時、例え電子メール アドレスが同じでも、トークンの Subject は Fred と Frida で異なる値である必要があります。これにより、Frida が Fred のデータにアクセスする可能性を防ぐことができます。

    +

    例えば、ある組織が Fred Smith という人を雇い、fsmith@company.com という電子メール アドレスを割り当てたとします。Fred がやがて退職し、Frida Smith が採用され、同じ電子メール アドレスが割り当てられました。この時、例え電子メール アドレスが同じでも、トークンの Subject は Fred と Frida で異なる値である必要があります。これにより、Frida が Fred のデータにアクセスする可能性を防ぐことができます。

    時間が経過した際の安定性

    企業の合併や買収のような事が生じた際に、社外のゲストやパートナーで連絡先情報の変更が生じる可能性についても考慮が必要です。例えば A 社が B 社を買収した場合には、社員の連絡先情報 (電子メール アドレスなど) を変更する必要が生じますが、同時にユーザーが引き続き SSO 可能とすることが重要です。トークンの Subject は、社名の変更、企業の移行、新しい市外局番へのオフィスの移転、その他のイベントが生じても影響を受けないだけの安定性が必要となります。

    現実世界での例

    実例を見ていきましょう。Frida という会計士がいるとします。この人は Company3 という企業で働き、Company1 と Company2 という企業にサービスを提供しています (Company2 では 2 つの部門で働いている)。Frida の専門は RP.com という SaaS の会計アプリケーションで、彼女は一日中そのアプリケーションで様々な顧客のために業務を行っています。Frida が持っている電子メール アドレスは 1 つだけで、これは雇用主である Company3 から得たものです。彼女が 4 つの ID プロバイダーのアカウントにサインインし、RP.com に SSO しようとするとどうなるでしょうか?

    Frida は 3 つの会社において、4 つの異なるアカウントに 1 つの電子メール アドレスを使ってサインインします。トークンの Subject のマッピングはどのようになるべきでしょうか?

    diff --git a/azure-active-directory/the-latest-enhancements-in-microsoft-authenticator/index.html b/azure-active-directory/the-latest-enhancements-in-microsoft-authenticator/index.html index 0d4cba8162e..c9bc1fab77e 100644 --- a/azure-active-directory/the-latest-enhancements-in-microsoft-authenticator/index.html +++ b/azure-active-directory/the-latest-enhancements-in-microsoft-authenticator/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/the-mfa-server-migration-utility/index.html b/azure-active-directory/the-mfa-server-migration-utility/index.html index 5bde6fd8389..16e3ca213ec 100644 --- a/azure-active-directory/the-mfa-server-migration-utility/index.html +++ b/azure-active-directory/the-mfa-server-migration-utility/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/tkpg-f8g-changes-to-signing-key-rollover-frequency/index.html b/azure-active-directory/tkpg-f8g-changes-to-signing-key-rollover-frequency/index.html index af10f5208a6..828e27c657d 100644 --- a/azure-active-directory/tkpg-f8g-changes-to-signing-key-rollover-frequency/index.html +++ b/azure-active-directory/tkpg-f8g-changes-to-signing-key-rollover-frequency/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/token-lifetime-2023/index.html b/azure-active-directory/token-lifetime-2023/index.html index 5f26c68d7df..1a1d3d59de5 100644 --- a/azure-active-directory/token-lifetime-2023/index.html +++ b/azure-active-directory/token-lifetime-2023/index.html @@ -19,7 +19,7 @@ - + @@ -162,7 +162,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/troubleshoot-azure-ad/index.html b/azure-active-directory/troubleshoot-azure-ad/index.html index c58f2d372e2..01d737a2b3a 100644 --- a/azure-active-directory/troubleshoot-azure-ad/index.html +++ b/azure-active-directory/troubleshoot-azure-ad/index.html @@ -14,7 +14,7 @@ - + @@ -154,7 +154,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/troubleshoot-browser-auth/index.html b/azure-active-directory/troubleshoot-browser-auth/index.html index 8332cc2e02e..11b9abe63dc 100644 --- a/azure-active-directory/troubleshoot-browser-auth/index.html +++ b/azure-active-directory/troubleshoot-browser-auth/index.html @@ -14,7 +14,7 @@ - + @@ -154,7 +154,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/troubleshoot-hybrid-azure-ad-join-federated/index.html b/azure-active-directory/troubleshoot-hybrid-azure-ad-join-federated/index.html index 2ce8e30e7a1..7c589925e69 100644 --- a/azure-active-directory/troubleshoot-hybrid-azure-ad-join-federated/index.html +++ b/azure-active-directory/troubleshoot-hybrid-azure-ad-join-federated/index.html @@ -15,7 +15,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/troubleshoot-hybrid-azure-ad-join-managed/index.html b/azure-active-directory/troubleshoot-hybrid-azure-ad-join-managed/index.html index 4351c86dbbe..c7fbcb473fa 100644 --- a/azure-active-directory/troubleshoot-hybrid-azure-ad-join-managed/index.html +++ b/azure-active-directory/troubleshoot-hybrid-azure-ad-join-managed/index.html @@ -18,7 +18,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/understand-the-state-of-devices-across-your-organization/index.html b/azure-active-directory/understand-the-state-of-devices-across-your-organization/index.html index a7851a18dd8..4d02f40796a 100644 --- a/azure-active-directory/understand-the-state-of-devices-across-your-organization/index.html +++ b/azure-active-directory/understand-the-state-of-devices-across-your-organization/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/upcoming-changes-to-managing-mfa-methods-for-hybrid-customers/index.html b/azure-active-directory/upcoming-changes-to-managing-mfa-methods-for-hybrid-customers/index.html index c8f839d9258..1a95fd8d503 100644 --- a/azure-active-directory/upcoming-changes-to-managing-mfa-methods-for-hybrid-customers/index.html +++ b/azure-active-directory/upcoming-changes-to-managing-mfa-methods-for-hybrid-customers/index.html @@ -18,7 +18,7 @@ - + @@ -161,7 +161,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/update-B2B-user-address/index.html b/azure-active-directory/update-B2B-user-address/index.html index a4962c65ac8..abd2729f971 100644 --- a/azure-active-directory/update-B2B-user-address/index.html +++ b/azure-active-directory/update-B2B-user-address/index.html @@ -16,7 +16,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/update-on-mfa-requirements-for-azure-sign-in/index.html b/azure-active-directory/update-on-mfa-requirements-for-azure-sign-in/index.html index 66ae7ec5478..345eef28c72 100644 --- a/azure-active-directory/update-on-mfa-requirements-for-azure-sign-in/index.html +++ b/azure-active-directory/update-on-mfa-requirements-for-azure-sign-in/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/update-to-security-default/index.html b/azure-active-directory/update-to-security-default/index.html index a22feff3bff..32e8564b00f 100644 --- a/azure-active-directory/update-to-security-default/index.html +++ b/azure-active-directory/update-to-security-default/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/upgrade-your-tenant-restrictions-to-v2/index.html b/azure-active-directory/upgrade-your-tenant-restrictions-to-v2/index.html index a1e733f7647..3154ccd8092 100644 --- a/azure-active-directory/upgrade-your-tenant-restrictions-to-v2/index.html +++ b/azure-active-directory/upgrade-your-tenant-restrictions-to-v2/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/use-cloud-groups-in-on-premises-active-directory-with-group/index.html b/azure-active-directory/use-cloud-groups-in-on-premises-active-directory-with-group/index.html index c492f0c509c..13e5f8cf084 100644 --- a/azure-active-directory/use-cloud-groups-in-on-premises-active-directory-with-group/index.html +++ b/azure-active-directory/use-cloud-groups-in-on-premises-active-directory-with-group/index.html @@ -16,7 +16,7 @@ - + @@ -158,7 +158,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/user-insights-analyze-customer-identity-data/index.html b/azure-active-directory/user-insights-analyze-customer-identity-data/index.html index 425c6855a09..f1478e94d90 100644 --- a/azure-active-directory/user-insights-analyze-customer-identity-data/index.html +++ b/azure-active-directory/user-insights-analyze-customer-identity-data/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/users-can-register-applications/index.html b/azure-active-directory/users-can-register-applications/index.html index 47cb0350cc5..a35eed35e90 100644 --- a/azure-active-directory/users-can-register-applications/index.html +++ b/azure-active-directory/users-can-register-applications/index.html @@ -15,7 +15,7 @@ - + @@ -156,7 +156,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/visualize-entra-sign-in-logs-using-an-interactive-map/index.html b/azure-active-directory/visualize-entra-sign-in-logs-using-an-interactive-map/index.html index b3869002bad..1e81a726c9c 100644 --- a/azure-active-directory/visualize-entra-sign-in-logs-using-an-interactive-map/index.html +++ b/azure-active-directory/visualize-entra-sign-in-logs-using-an-interactive-map/index.html @@ -25,7 +25,7 @@ - + @@ -166,7 +166,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/what-is-b2b/index.html b/azure-active-directory/what-is-b2b/index.html index cad501cdb05..188ff9bfdb0 100644 --- a/azure-active-directory/what-is-b2b/index.html +++ b/azure-active-directory/what-is-b2b/index.html @@ -20,7 +20,7 @@ - + @@ -163,7 +163,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/what-s-new-in-microsoft-entra-2023-11/index.html b/azure-active-directory/what-s-new-in-microsoft-entra-2023-11/index.html index 8c096bbf7c2..4e48e473e3c 100644 --- a/azure-active-directory/what-s-new-in-microsoft-entra-2023-11/index.html +++ b/azure-active-directory/what-s-new-in-microsoft-entra-2023-11/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/what-s-new-in-microsoft-entra-2024-04/index.html b/azure-active-directory/what-s-new-in-microsoft-entra-2024-04/index.html index 2654ee913f4..62d106c941a 100644 --- a/azure-active-directory/what-s-new-in-microsoft-entra-2024-04/index.html +++ b/azure-active-directory/what-s-new-in-microsoft-entra-2024-04/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/what-s-new-in-microsoft-entra/index.html b/azure-active-directory/what-s-new-in-microsoft-entra/index.html index e1e864d0891..6e3409b5071 100644 --- a/azure-active-directory/what-s-new-in-microsoft-entra/index.html +++ b/azure-active-directory/what-s-new-in-microsoft-entra/index.html @@ -14,7 +14,7 @@ - + @@ -154,7 +154,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/what-s-new-with-microsoft-entra-id-protection/index.html b/azure-active-directory/what-s-new-with-microsoft-entra-id-protection/index.html index aa70fe37d3b..90948f2aa3d 100644 --- a/azure-active-directory/what-s-new-with-microsoft-entra-id-protection/index.html +++ b/azure-active-directory/what-s-new-with-microsoft-entra-id-protection/index.html @@ -24,7 +24,7 @@ - + @@ -166,7 +166,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/what-to-do-error-tpm/index.html b/azure-active-directory/what-to-do-error-tpm/index.html index 3322a783301..32f5f2d8735 100644 --- a/azure-active-directory/what-to-do-error-tpm/index.html +++ b/azure-active-directory/what-to-do-error-tpm/index.html @@ -34,7 +34,7 @@ - + @@ -181,7 +181,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/what-to-do-errorcode-135011/index.html b/azure-active-directory/what-to-do-errorcode-135011/index.html index 3acc1cdcce6..857ee7bf19e 100644 --- a/azure-active-directory/what-to-do-errorcode-135011/index.html +++ b/azure-active-directory/what-to-do-errorcode-135011/index.html @@ -18,7 +18,7 @@ - + @@ -160,7 +160,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/what-to-do-errorcode-700003/index.html b/azure-active-directory/what-to-do-errorcode-700003/index.html index d5a6d3ce1b1..ae49dd29a61 100644 --- a/azure-active-directory/what-to-do-errorcode-700003/index.html +++ b/azure-active-directory/what-to-do-errorcode-700003/index.html @@ -22,7 +22,7 @@ - + @@ -166,7 +166,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/whats-new-in-microsoft-entra-in-202409/index.html b/azure-active-directory/whats-new-in-microsoft-entra-in-202409/index.html index cd97293d149..e85b0158be6 100644 --- a/azure-active-directory/whats-new-in-microsoft-entra-in-202409/index.html +++ b/azure-active-directory/whats-new-in-microsoft-entra-in-202409/index.html @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/whats-new-in-microsoft-entra-november-2024/index.html b/azure-active-directory/whats-new-in-microsoft-entra-november-2024/index.html index 70487e4dbb0..fdfc0ef737c 100644 --- a/azure-active-directory/whats-new-in-microsoft-entra-november-2024/index.html +++ b/azure-active-directory/whats-new-in-microsoft-entra-november-2024/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git "a/azure-active-directory/whats-new-in-microsoft-entra\342\200\223june2024/index.html" "b/azure-active-directory/whats-new-in-microsoft-entra\342\200\223june2024/index.html" index a442e6d6dba..a2fc48891ba 100644 --- "a/azure-active-directory/whats-new-in-microsoft-entra\342\200\223june2024/index.html" +++ "b/azure-active-directory/whats-new-in-microsoft-entra\342\200\223june2024/index.html" @@ -14,7 +14,7 @@ - + @@ -155,7 +155,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/whfb-configuration-explanation/index.html b/azure-active-directory/whfb-configuration-explanation/index.html index 86173c84d39..a4eb1a710b7 100644 --- a/azure-active-directory/whfb-configuration-explanation/index.html +++ b/azure-active-directory/whfb-configuration-explanation/index.html @@ -14,7 +14,7 @@ - + @@ -156,7 +156,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/why-are-my-users-not-prompted-for-mfa-as-expected/index.html b/azure-active-directory/why-are-my-users-not-prompted-for-mfa-as-expected/index.html index d9b8373d0cc..e567d68818f 100644 --- a/azure-active-directory/why-are-my-users-not-prompted-for-mfa-as-expected/index.html +++ b/azure-active-directory/why-are-my-users-not-prompted-for-mfa-as-expected/index.html @@ -20,7 +20,7 @@ - + @@ -164,7 +164,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/xtap-new-feature/index.html b/azure-active-directory/xtap-new-feature/index.html index 392e166fe57..ff6fe7035e0 100644 --- a/azure-active-directory/xtap-new-feature/index.html +++ b/azure-active-directory/xtap-new-feature/index.html @@ -24,7 +24,7 @@ - + @@ -166,7 +166,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/your-password-doesnt-matter/index.html b/azure-active-directory/your-password-doesnt-matter/index.html index c4ea0e11997..f808e49047c 100644 --- a/azure-active-directory/your-password-doesnt-matter/index.html +++ b/azure-active-directory/your-password-doesnt-matter/index.html @@ -15,7 +15,7 @@ - + @@ -157,7 +157,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/zero-hype/index.html b/azure-active-directory/zero-hype/index.html index cfc7f9c190d..49174c61138 100644 --- a/azure-active-directory/zero-hype/index.html +++ b/azure-active-directory/zero-hype/index.html @@ -18,7 +18,7 @@ - + @@ -162,7 +162,7 @@

    feedback - 共有 + 共有

    diff --git a/azure-active-directory/zero-trust-network/index.html b/azure-active-directory/zero-trust-network/index.html index 43e774bda19..3a870c6ae6c 100644 --- a/azure-active-directory/zero-trust-network/index.html +++ b/azure-active-directory/zero-trust-network/index.html @@ -19,7 +19,7 @@ - + @@ -165,7 +165,7 @@

    feedback - 共有 + 共有

    diff --git a/index.html b/index.html index 4fd639ed4a9..230b5e3210c 100644 --- a/index.html +++ b/index.html @@ -128,7 +128,7 @@