FIDO2 を使用して、Windows 10 と Azure AD にパスワードなしでサインインできるようになります (他にも朗報あり)
こんにちは。 本日は、現在作業中の便利な新機能についてお知らせします。きっと、皆様にも喜んでいただけるでしょう。具体的には、次のような内容です。 FIDO2 セキュリティ キーを使用したパスワードなしでのサインインが、Windows 10 の次の更新プログラム (今春を予定) の限定プレビューで利用できるようになります。 Windows Defender Advanced Threat Protection によるレポートのとおり、Azure AD 条件付きアクセス ポリシーでデバイスの正常性チェックができるようになりました。 Azure AD アクセス レビュー、Privileged Identity Management、利用規約の各機能がすべて一般公開になりました。 ドメインの許可/拒否リストを追加することで、共同作業するパートナー組織を Azure AD B2B コラボレーションで制御できるようになりました。 詳細を確認するには、引き続きスクロールしてください。 FIDO2 セキュリティ キーを使用したパスワードなしでのサインインが、Windows 10 の次の更新プログラム (今春を予定) の限定プレビューで利用できるようになります。 セキュリティ対策の大幅な強化、フィッシング攻撃のリスクの軽減、パスワード管理のコスト削減を望んでいるようでしたら、きっと Windows 10 への FIDO2 の導入を喜んでいただけるでしょう。 Windows 10 の次の更新プログラムで、FIDO2 セキュリティ キー サポートの限定プレビューを追加します。この新機能により、従業員はユーザー名やパスワードなしで、Azure Active Directory に参加している Windows 10 PCパスワード不要のサインインに向けて大きく前進: FIDO2/WebAuthn が勧告候補に!
こんにちは。 Microsoft では、Windows 10 の非常に早い段階から、パスワード不要のサインインに向けて懸命に取り組んできました。この取り組みは、Windows Hello や、iOS と Android で利用可能な Authenticator モバイル アプリによって大きく前進しました。しかし、これまでのところ、すべての業界プラットフォームやブラウザーで機能する相互運用可能なソリューションは実現されていません。 私が、今週 FIDO アライアンスと World Wide Web コンソーシアム (W3C) から届いたニュースに非常に興奮しているのはそのためです。 火曜日、W3C は、Web 認証の仕様 (WebAuthn) を勧告候補に進めました。 WebAuthn は、ブラウザーやサイトが FIDO 標準に基づいた外部認証キーを使用できるようにする Web API を定義するものです。つまり、パスワードを使用しない強力な認証機能を提供するためのクロスプラットフォーム オプションを実装できるようになります。 さらに、私たちは、Google、Microsoft、Mozilla の各ブラウザーで WebAuthn の実装を開始すれば、標準としての採用は広い範囲で急速に普及すると前向きに考えています。 WebAuthn は、もう 1 つの FIDO 標準である Client Authentication Protocol (CTAP) と組み合わせて使用されます。 CTAP は、外部セキュリティ キーおよびクライアント デバイスとの通信に関するプロトコルを規定します。 CTAP が策定されれば、Yubico、HID、Infineon、FeitanIntune Managed Browser の Azure AD SSO と条件付きアクセスをサポート開始!
こんにちは。 ブログをフォローされている方は、Azure AD の条件付きアクセス (CA) により、Office 365 や、Azure AD で使用する他のすべてのアプリへのアクセスを簡単に保護できることをご存知でしょう。Azure AD の条件付きアクセスは、これまでで最も成長の早い機能であり、現在、2,300 万を超えるユーザーが条件付きアクセス ポリシーで保護されています。条件付きアクセス (CA) はあっという間に普及し、条件付きアクセスの今後予定されている強化やお客様が期待される機能について多くのフィードバックをいただきました。 その中で最も要望の多かった機能の 1 つは、Intune Managed Browser との統合です。そこで本日は、次の 2 つの機能強化をパブリック プレビューで提供することをお知らせします。 Intune Managed Browser の SSO: 従業員は、すべての Azure AD 接続アプリ向けのネイティブ クライアント (Microsoft Outlook など) や Intune Managed Browser でシングル サインオンを使用できます。 Intune Managed Browser の条件付きアクセスのサポート: 従業員に対して、アプリケーションベースの条件付きアクセス ポリシーを使用して、Intune Managed Browser を使用するよう求めることができるようになりました。 以下で詳細に説明します。 IntuneAzure AD と ADFS のベスト プラクティス: パスワード スプレー攻撃からの防御
こんにちは。 今まで、パスワードを作るたびに、それを推測しようとする人々が必ず現れました。このブログでは、最近きわめて頻繁に目にするようになった一般的な攻撃について説明し、それから身を守るためのベスト プラクティスをご紹介します。この攻撃は、一般的にパスワード スプレーと呼ばれています。 パスワード スプレー攻撃を行う攻撃者は、使用されることの多いパスワードによるアクセスを大量のアカウントやサービスに対して試み、パスワード保護されている資産を入手しようとします。通常、これはさまざまな組織や ID プロバイダーが標的になります。たとえば、攻撃者は Mailsniper などの一般的に手に入るツールキットを使用して、複数の組織に属するすべてのユーザーを列挙し、すべてのアカウントでパスワード “P@$$w0rd” と “Password1”を試します。わかりやすく示すと、次のような攻撃が行われます。 標的となるユーザー 標的となるパスワード User1@org1.com Password1 User2@org1.com Password1 User1@org2.com Password1 User2@org2.com Password1 … … User1@org1.com P@$$w0rd User2@org1.com P@$$w0rd User1@org2.com P@$$w0rd User2@org2.com P@$$w0rd この攻撃パターンは、個々のユーザーまたは会社の立場からはログインの失敗にしか見えないため、ほとんどの検出手法をすり抜けてしまいます。 攻撃者の立場からすると、これは数当てゲームのようなもので、非常によく使用されるパスワードがいくつか存在するということがわかっているという状態です。そのような非常によく使用されるパスワードを使っているアカウントは全体のわずか 0.5 から 1.分散型デジタル ID とブロックチェーン: 将来の展望
こんにちは。 本日の記事では、気軽に楽しめる読み物として、デジタル ID の将来について今後期待される展望を簡単にまとめてみました。楽しんでいただければ幸いです。 Microsoft では、過去 1 年間にわたり、ブロックチェーン (およびその他の分散型台帳技術) を使用して新種のデジタル ID (個人のプライバシー、セキュリティ、コントロールを強化するために新規に設計された ID) を作成するためのさまざまなアイデアを検討してきました。その過程で学んだことや、培われたパートナーシップは、今後大いに役立つことが期待されます。本日はこの機会を利用して、私たちの考えや今後の方向性を皆さんにお伝えしたいと思います。このブログはシリーズ記事の一部であり、Peggy Johnson が投稿した、Microsoft が ID2020 イニシアチブに参加したことを発表したブログ記事に続くものです。Peggy の記事をまだお読みになっていない方は、まずその記事をお読みになることをおすすめします。 チームのプロジェクト マネージャーであり、分散型デジタル ID に関する検討を率いる Ankur Patel に、それをテーマとした議論を開始するよう依頼したところ、彼は以下の記事を投稿しました。この記事では、私たちがこれまでに学んだ中核的な教訓と、これらの教訓から生まれた、この分野を進展させるための投資を促進する際に利用している原則を共有することに重点が置かれています。 今回も、皆様からの感想やフィードバックをお待ちしております。 お読みいただき、ありがとうございました。 Alex Simons (Twitter: @Alex_A_Simons) Director of Program Management Microsoft Identity Division ———- こんにちは、皆さん。Microsoft Identity Division の Ankur Patel です。今回、ブロックチェーン/分散型台帳をベースとする分散型 ID について検討を重ねる中で学んだ教訓と、今後の方向性を皆さんにお伝えする機会を持てたことを非常に光栄に思っています。 私たちの見解 多くの方々が日々体験されているように、世界では今、グローバルなデジタル トランスフォーメーションが進んでおり、デジタルな現実と物理的な現実が現代的な生活様式として 1 つに融合され、その境目があいまいになってきています。この新しい世界では、新しいタイプのデジタルパブリック プレビュー: Azure AD 条件付きアクセス ポリシーの “What If” ツール
こんにちは。 Azure AD 条件付きアクセス (CA) はあっという間に世の中に広まりました。世界中の組織が、アプリケーションへのアクセスの安全性とコンプライアンスを確保するために Azure AD CA を使用するようになり、今では、毎月 1 万を超える組織と 1 千万人を超えるアクティブ ユーザーを保護しています。多くのお客様にすばやく導入していただいたことを非常に嬉しく思っています。 条件付きアクセスがユーザーに与える影響について、多数のフィードバックをいただきました。特に、この優れた機能をすぐに使用するには、さまざまなサインインの条件下で、CA ポリシーがユーザーにどのような影響を与えるかを確認する方法が必要になります。 お客様の声にお応えして、本日、条件付きアクセスの “What If” ツールのパブリック プレビューを発表しました。What If ツールは、指定された条件下でポリシーがユーザーのサインインに与える影響を把握するのに役立ちます。What If ツールを使用すれば、ユーザーからの報告を待たずに、簡単に状況を把握できます。 利用を開始するには ツールを使用する準備はできましたか? 次の手順を実行するだけです。 [Azure Active Directory]、[条件付きアクセス] の順に移動します。 [What If] をクリックします。 テストしたいユーザーを選択します。 [省略可能] 必要に応じて、アプリ、IP アドレス、デバイス プラットフォーム、クライアント アプリ、サインインのリスクを選択します。 [What If] をクリックすると、ユーザーのサインインに影響を与えるポリシーが表示されます。 「どのポリシーが適用されるか」ではなく、「どのポリシーが適用されないか」を知りたい場合があります。 “What If” ツールは、その答えもわかります。[適用しないポリシー] タブに切り替えると、ポリシー名と、より重要な項目である、ポリシーが適用されない理由が表示されます。素晴らしいと思いませんか?![Five people participate in a meeting.](https://www.microsoft.com/ja-jp/microsoft-365/blog/wp-content/uploads/sites/41/2017/11/M365-Compliance-Manager-card-2-300x183.jpg)
Microsoft 365 とコンプライアンス マネージャー プレビューで企業の信頼の向上とイノベーションの強化を支援
今回は、Microsoft 副社長 Ron Markezich の記事をご紹介します。 テクノロジの進化とクラウドの革新により、データが幅広く活用されるようになったことで、デジタル変革が一気に加速しました。企業では、デジタル変革のあらゆる側面を活用することで、顧客との関係強化、従業員の支援、製品やサービスの開発や提供の最適化などを実現できます。しかし、ユーザー エクスペリエンスのカスタマイズに個人データを使用されることが多くなった今日、一般データ保護規則 (GDPR) などのコンプライアンス法が、テクノロジ環境に欠かせないポリシーの要素となっています。Microsoft では、GDPR 準拠に最適なクラウド ソリューションである Microsoft 365 と、コンプライアンス リスクの評価と管理を行うコンプライアンス マネージャーを提供することでお客様を支援いたします。 テクノロジに対する信頼を築いて、イノベーションを促進するコンプライアンス GDPR の根幹にあるのは、EU 域内での個人のプライバシー権の強化であり、企業に対して、個人データを本人が制御できるようにすることを要求しています。テクノロジによる顧客データの管理に必要な信頼を構築し、維持していくために、企業は、所有する個人データの内容と、そのデータの管理や保護の方法をより厳格に制御する必要があります。また、データの違法な使用の防止、個人データに関する本人からの要求への対応、侵害発生の迅速な通知を可能にするために、システムやプロセスを最新にしておくことも必要です。 企業が求める付加価値のあるクラウド Microsoft が行った調査によると、顧客データの保護による信頼構築という長期的な価値を求めているだけでなく、コンプライアンス投資が生産性や共同作業などの他のビジネス分野にも効果をもたらすと考えている企業には、*— 生産性やコラボレーションなどのその他の分野でもよい影響がもたらされます。ヨーロッパや米国の企業で、IT に関する意思決定者を対象に、GDPR の準拠における最大の懸念事項について調査したところ、最も多かった回答は「顧客データの保護」で、「罰金の回避」は 8 位にとどまりました。また半数以上が、GDPR は共同作業、生産性、セキュリティの分野にもメリットがあると回答しています。準拠することでメリットが得られると企業が考える大きな理由の 1 つは、Microsoft 365 などのクラウド ソリューションにあります。回答者の 41% は、GDPR 準拠のために、社内インフラストラクチャのクラウド移行をさらに進める可能性があると答えています。また、大手クラウド ベンダーの中で、Microsoft (28%) が最も信頼できるという結果となり、2 位以下の IBM (16%)、Google (11%)、Amazon (10%) に大差を付けています。GDPR 準拠への対応に自信があるかどうかという質問では、主にクラウドにデータを保存している企業の 92% が「ある」と答えたのに対し、オンプレミスを主に利用している企業では 65% にとどまりました。 Microsoft 365 は組織がオンプレミスの ID を Azure AD に接続する方法
こんにちは。 ブログをフォローしている方は、Microsoft が、オンプレミスのディレクトリや IAM ソリューションを Azure AD に接続するためのさまざまなオプションをサポートしていることをご存知だと思います。実際、業界で Microsoft ほど多くのオプションをお客様に提供している企業はありません。 このため、推奨されるオプションはどれであるかという質問がお客様から非常に多く寄せられます。私はいつも、この質問への答えに悩みます。私は、ID 業界に 6 年以上従事してきた中で、組織はそれぞれに異なることを学びました。また、展開の速度、セキュリティ体制、投資能力、ネットワーク アーキテクチャ、会社の文化、コンプライアンス要件、職場環境に関する目標や要件も組織によって異なります。それが、Microsoft がさまざまなオプションの提供に投資している理由の 1 つです。お客様は自社のニーズに最も適したオプションを選択できます (もちろん、自分なりの考えはあります。私の組織であれば当然ながら、新しいパススルー認証機能と Azure AD Connect 同期を使用するでしょう。 どちらもすばやく展開でき、保守コストも低く抑えられます。ただしこれは、私の個人的な意見にすぎません)。 私や他の誰かが何を推奨するのだろうかと何時間も悩むより、他のお客様が実際に何を使用しているかを調べてみてはどうでしょうか?![](https://www.microsoft.com/ja-jp/microsoft-365/blog/wp-content/uploads/sites/41/2017/09/configmgr-25-2-300x169.jpg)
Configuration Manager 誕生から 25 年
先週、Configuration Manager が達成した重要な四半世紀のマイルストーンについて記事を書きました。本日は、このすばらしい製品の知られざる内側を詳しくお見せし、いくつかのお知らせをし、目を見張るようなドキュメンタリー (サンダンス映画祭にご注目ください) をご紹介します。この作品では、Windows PC 管理という業界を生み出した製品の誕生と成長を詳しく追っています。 次は、Configuration Manager に関するお知らせです。 現在のこのマイルストーンを踏まえて、皆さんが初めて目にするであろうストーリーをご紹介します。 すべての始まり 先週後半、ヘルメス プロジェクトの “仕様” とも言われる、ビジョンに関するドキュメントの原本を読み返す機会がありました。このドキュメントは数年間読んでいなかったのですが、Configuration Manager がいかに当初のビジョンを忠実に保っているかを見て驚きました。このドキュメントで説明されている基本的な構成要素は、現在も使用され、基礎の一部となっています。 1992 年という時期は、Microsoft による当初のミッション (すべての家庭とすべてのデスクの上に Windows PC を) がクリティカル マスに達したばかりでした。組織は端末エミュレーションから x86 マシンによる分散コンピューティング モデルへの移行を積極的に進めていました、大規模な Windows PC 管理のためのソリューションは存在していませんでした。チームは、ヘルメス プロジェクトにインパクトが必要であることを認識していました。 当初の SMS チームは、2 人のフルタイム開発者と、Ken Pan というインターンで構成されていましたが、 2003 年に私がこのチームに入ったときには、元インターンの Ken が 150 人のエンジニアのリーダーとなっていました。それから今日まで、Ken は SCCM と Intune へのエンジニアリングの取り組みを率いています。 楽しいエピソード: Systems Management![A woman sits in an airport working on her laptop.](https://www.microsoft.com/ja-jp/microsoft-365/blog/wp-content/uploads/sites/41/2017/09/New-Office-365-app-launcher-FI-1-300x183.png)