AzureAD

Microsoft Authenticatorアプリを復元する

/ buchizo / 3件のコメント

Office 365やAzureの管理者アカウントで多要素認証(MFA)が利用できますが、多要素の1つとしてMicrosoft Authenticatorアプリが利用できます。
Microsoft AuthenticatorアプリをiOSやAndroid上で構成すると単にMFA用のコードを表示するだけではなく、対応していればPush通知で知らせてくれるのでいちいちコードを入力しなくても承認/却下するだけですごくお手軽です。

続きを読む

MSアカウントと組織アカウントのメールアドレス重複について

/ buchizo / 2件のコメント

結構耳の痛い話ですが、同じメールアドレスの組織アカウントとMSアカウントが重複しないようにしましょうという話。ざっくり見たので細かいところはできれば原文参照推奨。

Office 365などでもおなじみのAzure ADアカウント(組織アカウント)とLive IDなどで呼ばれていたMSアカウントはそれぞれ別物で、同じメールアドレスを使用することができます。
その場合、よくあるサインイン画面で入力した際に組織アカウント(表示は職場または学校アカウント)とMSアカウント(表示は個人のアカウント)を最初に選択することができます。

image

これまでは別段問題ないといえば問題なかったのですが、混乱の原因になることもありました。また主に組織のIT部門の管理上の都合などにより昨今ではこの重複した状態は悪手だということに。

ということでMicrosoftは今後この状態にならないように、新規MSアカウント作成時に組織アカウントのメールアドレスを使用して作成できなくしました。

image

※Azure ADに登録されてない(アクティブになっていない)ドメイン名なら取得可能です。

細かな理由などは原文のBlogを参照して頂くとして、今後は注意しましょう。

さて困ったことにすでに重複状態にある場合ですが、特に影響はないようです。ただ主旨に乗っ取り重複状態を避けたい場合、現状サインインに使用するアドレスを変更することが可能ですのでオプションとして実施することができます。

こちらの手順に従って変更してください。(ただしWindows Phone 8で使っている場合は電話のリセットが必要になったり、Xbox 開発者コミュニティに参加している場合、一部の開発者ツールにアクセスできなくなったりするようです)

具体的には https://account.microsoft.com/profile にアクセスして「Microsoftにサインインする方法を管理」リンクをクリックします。
image

次に「メールの追加」を選択して新しいメールアドレスを追加し、そちらをプライマリアドレスに設定します。
image

その後、組織アカウントのメールアドレスを削除します。※なお一度プライマリアドレスを組織アカウントのメールアドレスから移動させてしまうと、もう戻せない(新しく追加できない)ようですので注意。他のメールアドレスならプライマリを変更することは可能です。

まとめと推奨事項

一応Microsoftからの推奨事項です。

IT Proへ: 企業ユーザーの為の個人用MSアカウントを作成しないでください。Windows 10ではAzure AD(組織アカウント)を使用してMDMやデバイス登録などなどが利用できるようになっています。また企業ユーザーへ会社のメールアドレスでMSアカウントを作るように依頼しないでください。

エンドユーザーへ: エンドユーザーの都合で会社のメールアドレスを使用しているMSアカウントがある場合はアカウント名の変更を検討してください。

アプリ開発者へ: おそらくMSアカウントと組織アカウントを両方サポートするようにする必要があります。Microsoftのアイデンティティスタックについてはこちらのまとめを参照してください。

Azure Active Directory のポータル対応 (Public Preview)

/ buchizo / 1件のコメント

苦節n年(?)、やっとこさAzrue PortalでAzure Active Directoryが管理できるようになりました。クラシックポータルを強要されてた人もこれでオサラバできそうですね。

というわけで今時点でポータル上のメニューから操作できます。
image

こんな感じ。
image

一部機能はAzureAD Premiumの機能だったりするので(自分のアカウントでは)見れなくて残念ですが。
ユーザーの一覧とか。プロファイル情報だったりサインイン回数など見たりできます。ロールの変更など一通りの機能もすでに使えますね。個別ユーザーのパスワードリセットはユーザーのブレードの上部メニューから可能です。
imageimageimage

エンタープライズアプリケーション(AzureADに登録したアプリケーション)の管理も可能です。
image
サインイン数の概要みたりもできますね(サンプル画像がろくなのありませんでした)

あとよくわからないけど、自分のリージョンは中国だった。謎い。
image

基本的に現状まだPreviewなので、一部機能を触りたいときはまだまだクラシックポータルを操作することになります。(そのうち来ると思いますけどね)
例えばMFAの設定やAzure AD ドメインサービスとか組織のパブリックIPアドレス範囲の設定などはクラシックポータルのみです。
imageimage

カスタムブランディングはPremium機能なんで触れてません。
image

昔、Freeのでもサインインページの画像変更など最低限できてたんですけど(実際バナー画像ぐらい変えたりしてた)、今クラシックポータルみたらメニューがなくなってました。まぁBasicおよびPremiumのみの機能みたいなのでしょうがないですね。

という感じでPreviewではありますがご活用ください。

Azureサブスクリプション管理者向けに多要素認証する

/ buchizo / コメントする

以前のPostで組織アカウントのみを使ってAzure サブスクリプションを契約することができました。
あとはサインアップに使ったアカウント(全体管理者)をきちんと管理したいですよね。

Microsoftアカウントであればそちら側で多要素認証(MFA)が使えますが、Azrue ADの組織アカウントでの多要素認証ってどうなんでしょうか?

基本的に無料ではなさそう?いいえ実は上記Blogに書いてないことが1つあります。ユーザー向けではなくAzrueの全体管理者向けにはMFAが無料で提供されるのです。

管理者用の Azure Multi-Factor Authentication の無料版はありますか?

対応する Azure Active Directory がディレクトリ ユーザーに対して Azure Multi-Factor Authentication を使ってプロビジョニングされていない場合、Azure の全体管理者は Azure Multi-Factor Authentication 機能の一部を無料でご利用いただけます。

https://azure.microsoft.com/ja-jp/pricing/details/multi-factor-authentication/

image

https://azure.microsoft.com/ja-jp/documentation/articles/multi-factor-authentication/

意外と知られてそうで知られてない事実のようです。早速使ってみましょう。操作はClassicポータルで行います。

続きを読む