Mitteilung3

リモートワーク環境の早急な整備 新型コロナウィルス（COVID-19）の影響が日に日に深刻化していっている中、リモートワーク環境の早急な用意が各企業に求められているように感じます。 既存のVPN設備のみで業務が回ればそのままフルリモートで構わないと個人的には思いますが、VPN設備自体が全社員一斉のリモートワークや、Office 365をはじめとしたクラウドサービスへの接続を考慮に入れた設計になっていないことが多いと思います。 結果、VPNやネットワーク機器のキャパシティ不足、Web会議のようなリアルタイム通信系の通話やビデオのシステムで社内ほどのパフォーマンスが出ない、などのユーザークレームがあがり課題となることも多いかと存じます。 以前紹介したVPN利用時にいくつかのURLやIPレンジ、ポートをスプリットトンネリングすること（ こちら ）でこれらの問題を解消できる可能性はありますが、そもそもVPNを使わせずに各社員にインターネットを通してクラウドサービスにアクセスさせたい場合はAzure ADの条件付きアクセスを使うことになります。 Azure AD条件付きアクセスをすぐに展開するためのTips集 FAQ形式で、Microsoftが条件付きアクセスを迅速に展開するためのヒント集を公開しました。 Frequent questions about using Conditional Access to secure remote access Industry trends and changes in the way we work usually span years, with organizations evolving at their own pace. But we’re living in unusual times. Organizations asking employees to work from home to slow the spread of COVID-19 are making huge organizational and process changes in a matter of we… 実際に条件付きアクセスのサンプル設定やトラブルシュート方法も併せて記載されているので条件付きアクセスをすぐに展開したい...

デバイスをAADに登録することとIntuneと条件付きアクセス すごく今更な感はありますがこれらの関係性を少しまとめてみました。言葉として参加と登録ってややこしいですよね。 Azure ADへのWindows 10登録手法 Azure AD参加 感覚的にはAADにマシンをドメイン参加するイメージ。 AADアカウントでPCにログイン。 オンプレミスのADドメインに参加しているとできない。 Azure AD参加可能ユーザーを制限するか事前にデバイス情報を登録することでBYODの参加を防げる。 Intuneにも自動登録される。（自動登録できる） オンプレミスのADに参加していると選択できない方法なので既にADを使って歴史が長い会社がすぐにAAD参加に切り替えるのはハードルが高そうです。逆に既存のオンプレミスAD資産がない組織はこちらが最有力選択肢です。 Hybrid Azure AD参加 オンプレミスADに参加したコンピューターの情報がAADCを通してAADにも参加される。 今まで通りADユーザーアカウントでPCにログインし、オンプレミスADリソースにも今まで通りにアクセス可能。 AADCでユーザーとコンピューター両方同期していないとならない。 Intuneにも自動登録される。（できる） 多分既存オンプレミスのADリソースはそのまま利用したい会社はこちらが検討の筆頭になると思います。 Azure AD登録 オンプレADドメインに参加しててもできる。 マシンの情報をAADに”登録”だけするイメージ。 ローカルアカウントかADアカウントでPCにログインする。 条件付きアクセスでIntune Enrollmentを特定IPから以外ブロックすることである程度はBYODの登録を防げる。 Android, iOS Intuneにも自動登録される。（できる） スマートフォンが主たる対象ですかね。オンプレミスADに参加しているけどAADCで同期していない環境はハイブリッドAAD参加できないのでこちらを選択かな？ Intuneに登録されることのメリット 上記いずれの方法でもIntune（クラウド）にもデバイスが自動登録がされます（少し設定は要ります）。 そうすることのメリットはIntuneからデバイスの設定を管理やアプリケーションの配布などを行えることに加え、Intune管理下にあることを...

How to restrict to access to o365 from unsupported OS like Ubuntu ,CentOS using Conditional Access | All about Microsoft Endpoint Manager If you are using o365 services ,you might hit requirement to block unsupported OS (Ubuntu,CentOS etc) accessing o365 resources . There are couple of ways that you can restrict unsupported using Azure Active Directory Conditional Access. The only devices that are supported at the moment are iOS,Android,Mac and Windows. 条件付きアクセスでデバイスプラットフォームを条件にして、特定OSからのアクセスの場合のみMFAを強制する、とかできるんですがLinuxとかどうやって指定するのか分かっていなかったのでメモです。 「全部」を指定して除外したいOS（WindowsとかAndroidとか）を選ぶことで選択肢にないOSに適用させるんですね・・。

条件付きアクセスの基本的な考え方 条件付きアクセスで条件が被った時にどうなるか忘れてしまったのですが、以下のように上記サイトに分かりやすくまとまっていました。 どれか１つのポリシーでブロックの対象となった場合、アクセスはブロックされます。 複数のポリシーでアクセスを制限された場合、すべての条件を満たさないかぎり、アクセスはブロックされます。 どのポリシーの対象にもならない場合、あるいはすべての条件を満たした場合、アクセスが許可されます。 被ったら全部の条件が課されるけどブロックがあったらその時点でブロック確定なんですね。 条件付きアクセスってシンプルなケースだけの時はいいんですが、デバイスやネットワーク等複雑な条件で許可をすると、その隙間を埋めるブロック条件が複雑、もしくは多くなってきて抜けてるケースがないか不安になりますね、定義されていないパターンは普通にアクセスできてしまうので。 ただ条件付きアクセスって概念は分かりやすいので技術に疎い人でも設計に口出せるのは良いと思います。