Azure AD B2Bでユーザーを招待し、Azureサブスクリプション上で単一RGにのみ権限を付与する

最近あるAzure Subscriptionに対して個別のユーザーに個別のRGのみ作成して権限を割り当てるということを都度都度行う必要が出てきました。 海よりも深い事情があり、普段利用している組織アカウントにはAzureサブスクリプションを紐付けられない理由があり(EA契約に紐付いているのでEA契約にコンバートされてしまう)、仕方なく別AADに紐づけて作成してあります。 でも、Azure環境は普段...

古いAzureStackのアプリケーションをAADから削除する

ASDKを毎月デプロイしていると、AADの中にAzure Stackのアプリケーションが沢山できてしまいます。最新のものを残して古いものを削除する為のスクリプトが無保証で参考に公開されていましたので、共有します。 AzureManagement/CleanAzureStackAADApps.ps1 at master · ebibibi/AzureManagement  

パスワードは無期限にすべき/「クラウドにパスワードを置くのは危険」は二重に間違い

過去から何度も言われていることですが、パスワードは無期限に設定したほうがセキュリティ対策上好ましいです。(反対派も根強く存在しますが) 先日、Office 365の管理者画面に久しぶりにアクセスしたところ、推奨事項として簡単にパスワードを無期限に設定できるようになっていました。感動してTwitterに投稿した所、3000回近くリツイート、お気に入り登録がなされました。   マイクロソフト...

Azure Stack上ではAADを認証基盤につかいましょう!

日経SYSTEMSの2017年9月号のAzure Stackに関連する記事に私のコメントも掲載されています。 日本ビジネスシステムズの胡田氏は「Azure StackでID管理に用いるAzure Active Directoryは、ユーザー企業のオンプレミス環境で一般的なActive Directoryとは別物。混乱を招く恐れがある」と指摘する。 私も、Web上や雑誌上でも記事を書いたり、インタビ...

ADFSのClaimルールでUser-Agentを参照するのはやめましょう

皆さんこんにちは。胡田です。   ADFSでクレームルールを書いて様々なコントロールを行う…ということは技術的に可能なのですが、ものによっては意味がない、正しくない実装になってしまいますので注意してください。 例えば1例として、User-Agentを用いてアクセスをコントロールするような実装があります。ぐぐると解説記事もいっぱい出てきます。例えば以下。 Restrict iOS apps...

Cloud Solution Providerへの顧客テナント作成~権限付与時のバリエーションやそこにまつわる色々な話

久しぶりにブログをまともに書きます。リハビリです。 今回のネタはCloud Solution Providerへの顧客テナント作成時のバリエーション…ということで、完全にエンタープライズの、さらにCSP Directパートナーにかなり特化した話なので一般向けではないですが…。それでも、結構色々なしくみの勉強や頭の体操にはなりますので面白くはあると思います。 ただ、私も全部完全にわかっているわけでは...

Azureサブスクリプションの既定のディレクトリをO365で利用しているAzure Active Directoryに変更する方法

Azureサブスクリプションには「既定のディレクトリ」という概念があり、紐付いているAzure Active Directoryのユーザーを管理に使用することが出来ます。企業で利用する場合にはAzureの管理にマイクロソフトアカウントではなく、組織アカウントを使用することがセキュリティの観点から良いと思います。アカウント生成、削除、多要素認証の適用等適切に管理可能だからです。 以下では新規のAzu...