Mitteilung3

買収とか統合とかのときに Entraでマルチテナント機能がGAされたようです。 文中にはTeamsやViva Engageで組織間でシームレスなコミュニケーションが取れると書かれています。他のサービスはどうかとかユーザーの同期を解除したいときにどうかとか、ちょっと試してみたい。 会社増えたときの対応として楽にかつ効果的なものであるといいですね。少なくともTeamsの外部ユーザーとして持ち合えるのは楽かな。 マルチテナント組織 (MTO) が一般公開されました！ | Japan Azure Identity Support Blog (jpazureid.github.io)

 ユーザーに一緒にログインしてもらう必要なし Entraでアプリの権限を承諾したいときに、下段のURLルールでそのアプリの権限を承諾する画面に行けます。 誰かがアクセスを試みたアクセスログがあればAppID (cilent-id) は分かるので、ユーザーに管理者同意の画面まで行ってもらう必要がないです。 Grant tenant-wide admin consent to an application - Microsoft Entra ID | Microsoft Learn

端末認証とかでブロックされているが原因がよく分からない 端末認証がうまく動作しておらずブロックされたりしている ユーザーの端末の状態をAAD側で確認すると状態がPendingになっている Pendingになる条件 以下サイトで説明されているとおり、 AADCで端末を同期されていないOUへ移動した後に元のOUに戻したりすると発生。 AAD側は同期対象外のOUに端末を移動したことで削除されたものと認識する。元のOUに戻しても既に登録済みの端末なので登録が正常に完了できない、という理解で大体OKかな。 対処方法 ” To fix the problem, unregister the device by running  dsregcmd /leave  at an elevated command prompt, and restart the device. ” これでAAD側で端末が削除され、クライアント側の端末登録タスクが次回走ったときに正常登録される。 Intune側に登録されている端末はそのままで問題ないようです。 reference:  Pending devices in Azure Active Directory - Active Directory | Microsoft Learn

全メールボックスに対して権限を持たせたくない Exchange Onlineのメールボックスに対して権限を持つ、AAD Applicationを委任ではなくApplication権限で作成すると、そのままでは組織内の全メールボックスに対して権限を持つことになります。 意図してそういていれば問題はないですが、実際は一部のメールボックスだけ触れればいいケースもあり、そういった場合は当然権限の範囲をスコーピングして、定義したメールボックスだけ触れるようにしたいです。 そのための方法がApplication Access Policyの設定、Exchange Online PowerShellモジュールが要ります。 Application Access Policy cmdlet 新規作成： New-ApplicationAccessPolicy -AppId e7e4dbfc-046f-4074-9b3b-2ae8f144f59b -PolicyScopeGroupId EvenUsers@contoso.com -AccessRight RestrictAccess -Description "Restrict this app to members of distribution group EvenUsers." スコープを設定するためのDLが必要になります。 テスト： Test-ApplicationAccessPolicy -Identity user1@contoso.com -AppId e7e4dbfc-046-4074-9b3b-2ae8f144f59b Limiting application permissions to specific Exchange Online mailboxes - Microsoft Graph | Microsoft Learn

Azure AD Connect (AADC) サーバーを利用してオンプレミスのオブジェクトをAAD (365) に同期している環境の場合、既定で30分に一回の同期 (AADC -> AAD) が行われますが、いますぐ同期したいときはAADCサーバー上でこちらを実行。 Start-ADSyncSyncCycle -PolicyType Delta 大きな変更を行っていない限り通常差分同期が30分に一回行われるので、それを上記cmdletにより手動実行できます。 参考・引用： PowerShell Basics: How to Force AzureAD Connect to Sync (microsoft.com)

パスワードが失効すると困るサービス用のアカウントとかに Azure AD上のクラウドユーザーのパスワードを無期限にする方法、無期限に設定されているか確認する方法のメモです。 オンプレミスのADだとユーザーのプロパティを開いてチェックボックスにチェックを入れるだけで無期限にできますが、365やAADからはできなそうなので手段はPowerShell (+ Azure AD PowerShellモジュール)です。 パスワード無期限化/パスワード無期限確認方法 AAD PowerShellモジュールのインストールについてはこちら https://docs.microsoft.com/en-us/powershell/azure/active-directory/install-adv2?view=azureadps-2.0 PowerShellモジュールのインストールが済んでいれば、まずはAADにつなぎます。 Connect-AzureAD 管理者の認証情報を入力後、以下cmdletで対象ユーザーのパスワードが無期限に設定されているか確認できます。 対象AADユーザーのパスワードが無期限に設定されているか確認する 実行cmdlet Get-AzureADUser -ObjectId <対象ユーザーのUPN> | Select-Object UserprincipalName,@{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}} 結果 無期限に設定されている場合 UserPrincipalName                                     PasswordNeverExpires-----------------                              ...

リモートワーク環境の早急な整備 新型コロナウィルス（COVID-19）の影響が日に日に深刻化していっている中、リモートワーク環境の早急な用意が各企業に求められているように感じます。 既存のVPN設備のみで業務が回ればそのままフルリモートで構わないと個人的には思いますが、VPN設備自体が全社員一斉のリモートワークや、Office 365をはじめとしたクラウドサービスへの接続を考慮に入れた設計になっていないことが多いと思います。 結果、VPNやネットワーク機器のキャパシティ不足、Web会議のようなリアルタイム通信系の通話やビデオのシステムで社内ほどのパフォーマンスが出ない、などのユーザークレームがあがり課題となることも多いかと存じます。 以前紹介したVPN利用時にいくつかのURLやIPレンジ、ポートをスプリットトンネリングすること（ こちら ）でこれらの問題を解消できる可能性はありますが、そもそもVPNを使わせずに各社員にインターネットを通してクラウドサービスにアクセスさせたい場合はAzure ADの条件付きアクセスを使うことになります。 Azure AD条件付きアクセスをすぐに展開するためのTips集 FAQ形式で、Microsoftが条件付きアクセスを迅速に展開するためのヒント集を公開しました。 Frequent questions about using Conditional Access to secure remote access Industry trends and changes in the way we work usually span years, with organizations evolving at their own pace. But we’re living in unusual times. Organizations asking employees to work from home to slow the spread of COVID-19 are making huge organizational and process changes in a matter of we… 実際に条件付きアクセスのサンプル設定やトラブルシュート方法も併せて記載されているので条件付きアクセスをすぐに展開したい...

デバイスをAADに登録することとIntuneと条件付きアクセス すごく今更な感はありますがこれらの関係性を少しまとめてみました。言葉として参加と登録ってややこしいですよね。 Azure ADへのWindows 10登録手法 Azure AD参加 感覚的にはAADにマシンをドメイン参加するイメージ。 AADアカウントでPCにログイン。 オンプレミスのADドメインに参加しているとできない。 Azure AD参加可能ユーザーを制限するか事前にデバイス情報を登録することでBYODの参加を防げる。 Intuneにも自動登録される。（自動登録できる） オンプレミスのADに参加していると選択できない方法なので既にADを使って歴史が長い会社がすぐにAAD参加に切り替えるのはハードルが高そうです。逆に既存のオンプレミスAD資産がない組織はこちらが最有力選択肢です。 Hybrid Azure AD参加 オンプレミスADに参加したコンピューターの情報がAADCを通してAADにも参加される。 今まで通りADユーザーアカウントでPCにログインし、オンプレミスADリソースにも今まで通りにアクセス可能。 AADCでユーザーとコンピューター両方同期していないとならない。 Intuneにも自動登録される。（できる） 多分既存オンプレミスのADリソースはそのまま利用したい会社はこちらが検討の筆頭になると思います。 Azure AD登録 オンプレADドメインに参加しててもできる。 マシンの情報をAADに”登録”だけするイメージ。 ローカルアカウントかADアカウントでPCにログインする。 条件付きアクセスでIntune Enrollmentを特定IPから以外ブロックすることである程度はBYODの登録を防げる。 Android, iOS Intuneにも自動登録される。（できる） スマートフォンが主たる対象ですかね。オンプレミスADに参加しているけどAADCで同期していない環境はハイブリッドAAD参加できないのでこちらを選択かな？ Intuneに登録されることのメリット 上記いずれの方法でもIntune（クラウド）にもデバイスが自動登録がされます（少し設定は要ります）。 そうすることのメリットはIntuneからデバイスの設定を管理やアプリケーションの配布などを行えることに加え、Intune管理下にあることを...