Azure AD Domain Services Azure Resource Manager 利用の状況

先日の de:code 2017 でご紹介した 「Azure Active Directory Domain Services)」。PaaS としてAzureにドメインコントローラーを実装しKerberos認証が利用できるサービスです。

 

 

Azure AD  Domain Services (以下、AADDS) が、Azure Resource Manager(Azure New ポータル)(以下、ARM)でプレビューとなりました。以下のようにARM画面で表示されます。

 

 

 

 

 

 

これまではクラシックポータルのみで作成可能。作成したAADDSにドメイン参加するマシンもクラシックポータルで作成されたものに限られていました。よって、ARMで作成されたマシンをAADDSのドメインへ参加させるにはvNet ピアリングを利用するなどの工夫が必要でした。

ようやくARMでAADDSが作成できるようになりましたが、やはり一筋縄ではいかない「プレビュー版」。残念ながら現時点(2017.07.中旬時点)では動作が不完全のようです。

そもそも、上記画面から作成したAADDSをARM画面上で確認することができません。

 

 

 

 

詳細リンクを確認してみると、「ARMではまだ対応できてないからクラシックポータルでみてね」と記載されています。

※作成して15分経過後にクラシックポータルをみましたが作成された情報は確認できませんでした。(本当に作成されたんだろうか・・・)

また、ネットワークについてもまだARM対応ができていないとのこと。これが一番肝なのですが。残念。

詳細はこちらをご参照ください。

「New Public Preview: Azure AD Domain Services admin UX in the new Azure Portal」

つまり、今回は「予告編」といった印象ですね。また更新情報あれば掲載したいと思います。

 

 

 

Microsoft 365 が発表されました

ワシントンDCではグローバールなMicrosoft パートナー向けイベント「Inspire 2017」が開催されています。昨晩 (日本時間) の Keynoteでは「Microsoft 365」の発売が発表されました。

Office 365が名称変更?というわけではありません。

microsoft365-1

「Office 365」+「Windows 10」+「Enterprise Mobility +Security」の製品・サービスから「Creativity」・「Teamwork」・「Simplicity」・「Security」をテーマとして統合されたパッケージサービスのようです。

microsoft365-2

たとえば、「TeamWork」というキーワードには Office 365 で最近話題の Teams  やSkype for Business。当然Exchange online も含まれます。Security には Intune や AIP も入っています。

Office 365、Windows 10、EMSはこれまでも合わせてご利用いただけるとより効果を発揮できる・・とご紹介をしていたものなので、それをパッケージとしてよりご案内しやすくなった感じですね。

また、ただセットにしただけではなく、最近話題の「AI」の要素も組み込まれています。

今までもMyAnalyticsではAIが組み込まれていますが、Keynoteでは「Outlookで重要なメールを 「AI」 が選別して強調表示するという紹介がされていました。今後、ExcelなどOffice アプリケーションにもAI要素が含まれるようです。もう「AIは他人事・・」という訳にはいきません。

さて、販売されるMicrosoft 365のプランは EnterpriseとBusinessの2種類です。

Enterpriseが大企業向け(300名以上)、Businessが中小企業(300名以下)という区分けになっています。

詳細な情報はこれから増えてくると思われますが、現時点の情報は以下のサイトでも確認できます。

Microsoft 公式Blog(英語)

https://blogs.office.com/en-us/2017/07/10/introducing-microsoft-365/

Public Key(オンライン記事 日本語)

まずは8月からEnterpriseプランが提供されるようです。楽しみですね。

シチュエーション別 Active Directory デザインパターン

先月行われた Microsoft de:code 2017 の登壇資料と動画が公開されました。

こちらになります。

今回は認証基盤をAzure ADで一本化するとどんなメリットがあるのか?ということを主体にお話ししています。

登壇の後、この構成を検討しているという企業の方からご相談もいただきました。その企業では社内 (オンプレ) にはファイルサーバーと Active Directory 環境のみだそうです。また Office 365 などの SaaS をご利用されているとのこと。

徐々にこういう構成を検討される企業は増えているようですね。

 

 

 

 

 

de:code 2017 に登壇します

お知らせです。

2017年5月23-24日に開催されるMicrosoft 大型イベントであるde:code 2017 にSecurity トラックにて登壇させていただきます。

de:code 2017

私は以下の登壇をいたします。

SC02「シチュエーション別 Active Directory デザイン パターン」

Active Directory を中心としたアイデンティティ プロバイダはオンプレミスからハイブリッドやクラウドまで様々な構成が実現され飛躍的な進化を遂げています。
多様化する選択肢のなかからどれを選択しどのように設計すべきなのか?
Windows Server 2016 の認証新機能から Azure AD、Azure Active Directory Domain Services まで、それぞれの特徴を理解し企業にとっての Best Practice を見極めましょう!

Securityトラックは16セッション用意されており、個性豊かな面々が非常に濃いお話しをいたします。
お申込みは今週末で締め切りのようです。
検討中のかたはお早めに…

開発者向け、インフラエンジニア向けのおすすめセッション情報はこちら

de:code 2017 の歩き方公開!「開発者編」&「インフラエンジニア編」

資料は後日公開されるようです。
参加されていないかたもPDFで参照できるはずですので、アップされましたらまたお知らせいたします。

Power BI の共有

本日マイクロソフトで行われた「Power BI 勉強会#3」でLT登壇しました。

なかなかの盛況ぶりでキャンセル待ちも出ていました。Power BI 人気が高まっていますね。ほぼ定期的に実施されておりますので興味ある方はぜひ次回ご参加ください。

本日の登壇資料は以下でご覧いただけます。

SlideShare:「Power BIの共有

Office 365 へのアクセス場所制御

ずいぶん前から、Office 365のアクセス場所について「社内からのみアクセスさせたい」、「社外からのアクセスを制限したい」などご要望を耳にしていました。現在は3つの方法から選択することができます。

①ADFSによる制御

これらの制御を実現する方法として従来までだと、ADFSによる実装が代表的でした。利用状況により懸念(ADFSで認証・認可された状態で外出時など)はありますが…。

②Azure ADによる制御

また、昨年秋ごろからAzureAD側で実装することも可能になっています。(※現在プレビュー)Azure AD から該当ディレクトリを選択し、[構成] 画面をスクロールしていくと「組織のパブリックipアドレス範囲」項目が表示されます。こちらに利用を許可する場所からのパブリックIPを登録します。

③Onedrive(OneDrive for Business)管理画面による制御

外部からのアクセス制御したいサービスに「OneDrive for Business」やSharepoint」があげられます。

現在プレビュー段階(※2017年1月中にGA予定。)ですが、OneDrive for Businessに管理画面ができました。先行リリースを有効にしていると、Onedriveの画面メニューに「OneDrive 管理者プレビュー」というリンクが表示されます。表示されなかった場合は以下のリンクからご利用ください。(テナントにより表示されない可能性もあります)

https://admin.onedrive.com/

管理者プレビュー画面より「デバイスアクセス」をクリックします。「ネットワークの場所に基づいてアクセスを制限する」項目が表示されます。

チェックボックスにチェックをいれるとIPを登録する画面が表示されます。そこへアクセスを許可する場所のパブリックIPを登録します。

 

登録された場所以外からのアクセスは拒否されることが確認できます。

選択肢が増え柔軟に対応できるようになってきましたが、以下のような注意事項もありますので、自社の状況を考慮し適切な選択をする必要がありそうです。

●アクセスの許可/拒否はテナント単位です。

●現在はIPによるアクセスを許可されていない場合は、管理画面へのアクセスも不可能です。

※現在プレビューのため、GAされた際には仕様やUIなど変更されている可能性もあります。ご了承ください。

 

Microsoft Intune によるモバイルデバイスのマルウェア対策(後編)

Intuneと連携するためのLookoutの設定

前回の投稿で、IntuneとLookOutの連携を行うためにLookOutのサポートへ連絡をしました。2営業日後、無事にLookOutのMTPへアクセスが可能になったというメールが届きました。

①Lookoutダッシュボードへログイン

早速以下のURLへアクセスしLookOutの設定を行います。

https://aad.lookout.com

ディレクトリへのアクセス許可を促すページが表示されます。【承諾】をクリックします。

すると、このようなLookout MTP ダッシュボード画面が表示されます。
ポリシーのカスタマイズも可能です。

 

②Intuneコネクタの設定

システムメニューから「コネクタ」タブへ移動します。「コネクタを設定」画面で、[コネクタを追加]をクリックし、[Intune] を選択します。

「コネクタを設定」画面で、[コネクタを作成]をクリックします。

[変更を保存]メッセージが表示されたら、[閉じる] ボタンから画面を閉じます。コネクタが接続は完了です。Intune管理画面から[Lookoutの状態]メニューが利用できることが確認できます。

 

③デバイスへLookoutアプリを展開

今回はAndroidデバイスへ展開してみます。左メニューから[アプリ] – [アプリの追加]をクリックします。「セキュリティ警告」「画面が表示されたら[続行]をクリックします。ソフトウェアパブリッシャー画面にサインインします。

「開始する前に」画面で[次へ]をクリックします。「ソフトウェアセットアップ」画面で[外部リンク]を選択し、URLを入力し[次へ]をクリックします。

名前に[Lookout for work]、発行元、説明を適宜入力し、カテゴリで[コンピューターの管理]を選択し、[次へ]をクリックします。

概要画面で表示された内容を確認し[アップロード]をクリックします。「Microsoft Intune にデータが正常にアップロードされました」画面で、[閉じる]をクリックします。Intuneの管理コンソールでアップロードしたアプリが表示されていることが確認できます。

表示されたリストを右クリックし、[展開の管理]をクリックします。展開するグループを選択し[次へ]をクリックします。承認欄で[利用可能なインストール]あるいは[必須のインストール]を選択し、[完了]をクリックします。

Intune管理コンソール左メニューから[ポリシー]を選択し、コンプライアンスポリシーを作成します。「デバイスの脅威保護」欄で、「デバイス脅威保護を有効にする」を有効にし、[許容される最大脅威レベル]を高、中、低から選択し[ポリシーの保存]をクリックします。

「条件つきアクセス」ポリシーよりLookoutからマルウェアが検出されたデバイスに対し適応させるポリシーを設定します。

会社から配布したモバイルデバイスに対し、感染状況を把握し社内リソースを守ることが可能になりました。

現在は、Lookout側の設定画面を利用するにはメールによるやり取りが必要となるため、若干のタイムラグが発生することを考慮する必要があります。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Microsoft Intune によるモバイルデバイスのマルウェア対策(前編)

Lookout というモバイルセキュリティに定評のある企業と Microsoft が、2016年秋にパートナー提携を行いました。

<プレスリリース>

その結果、Microsoft Intuneに「Lookout」の製品を組み込みさらなるモバイルデバイスのセキュリティ強化が実現しました。どのような機能があるかをざっくりご紹介します。

Intuneの設定(ポリシー)に「条件付きアクセス」という項目があります。

ここでは、Office 365関連サービスを利用するための条件(どのグループのメンバーか?

どんな状態のデバイスからのアクセスか?などなど)を決めることができます。

Lookout」の機能で、モバイルデバイスにマルウェアなどの感染やマルウェア関連と推測されるアプリが発された場合、Lookout はその検出されたデバイスの情報を Intune へ送ります。

Intune では、「条件付きアクセス」で設定した内容で、例えばそのモバイルデバイスからは、ドキュメントやメール利用などのブロックを即座に行うことができるようになります。

 

[主なブロック例]

・会社のメール(Exchange Online ) の利用をブロック

・共有ドキュメント(Sharepoint Online / Onedrive for Business)へのアクセスをブロック

・社内Wifiへの接続をブロック

など

※利用可能なデバイス

Android 4.1以降  / iOS 8 以降

この機能を利用するには、Lookoutのサポートへ申請が必要です。メールでアカウント作成(サブスクリプション登録)の依頼をします。すると、だいたい2営業日程度で返信が届きます。

Azure AD上の必要な情報を送付する必要があるようです。送付されてくるPDFファイルにどのようにIDを取得すればよいか、詳細な手順が記載されています。

  • AAD Tenant ID

Azure AD からテナントを指定した状態のときに、ブラウザに表示されるURLの中にテナントIDがふくまれています。こちらもご参照下さい。URL で /directoryQuickStart の手前の部分がテナント ID です。

  •  Group Object ID

グループ – プロパティを選択すると、「オブジェクトID」がありますので、その情報をコピーします。

あとはこの情報をLookout Support Team へ送ります。

登録が完了すると、LookOut MTP ポータルにアクセスができるようになりますので、登録完了メールをまちます。

※最初のメールにAzure ADのテナントIDとグループオブジェクトIDを記載しておけば、その分、手続きの手間は省けます。

※年末年始のタイミングなので、通常より日数がかかるかもしれませんが、後編は完了メールが届いたらアップしようと思います。

新しくなったEMS

先日のIgniteでも発表がありましたが、EMS(Enterprise Mobility Suite )が新たにEnterprise Mobility +SecurityとしてGA (General Availability)されました。略称ではあいかわらずEMSなのですが・・・。

大きな変更点としては、EMSに上位プランが追加されました。

従来のEMSがE3となります。

E3

・Azure AD Premium (E3ではP1)

・Microsoft Intune(おなじみ)

・Microsoft Infomation Protection Premium (E3ではP1.従来のAzure RMSのこと)

・Microsoft Advanced Threat Analytics (こちらも変わらず)

E5

・E3の機能はすべて含まれます。

・Azure AD Premium (E5ではP2)

→P2ではP1機能に加え、特権IDなどの新たなID管理機能が増えています。アカウントの保護にはかなり力をいれていますね。

・Microsoft Infomation Protection Premium (E5ではP2)

→P2では、あらかじめ設定されたポリシーに基づき、ユーザーの作成・更新したドキュメントを保護対象として自動分類可能になります。

・Microsoft Cloud App Security

→すでに2016.4にGAになっています。SaaSアプリの利用状況監視(シャドウITの発見や不正なネットワークトラフィックの検知、アプリの承認/却下などの実施も可能)

こちらにも情報があがっています。

Securing your digital transformation with Microsoft Enterprise Mobility + Security

残念ながら2016.10上旬現在で、私の所有するテナントはまた新しいバージョンは表示されていません。

降ってきしだい、検証したいと思います。

 

 

 

Microsoft Ignite Live Viewing(基調講演日本語解説イベント)

お知らせです。

2016.09.26 22:00 (日本時間)より、アトランタで開催されるMicrosoft Igniteのキーノート。

こちらの日本語解説イベントがライブ中継されます。このイベントに参加させていただくことになりました。

Windows Server 2016 / System Center 2016 / Azure / Office 365 ・・・・などなど

Microsoft 技術の魅力的な情報が盛りだくさん発表される見込みです。

秋の夜長の1時間半、ぜひご自宅でくつろぎながらお楽しみください。

Microsoft Ignite Live Viewing