皆様、こんにちは。認証・デバイス管理・セキュリティ担当の橘です。

Enterprise Mobility Suite (EMS) の無料試用版の利用が開始されましたので、ご案内を致します。


■Enterprise Mobility Suite (EMS) の無料試用版

http://www.microsoft.com/ja-jp/server-cloud/enterprise-mobility/overview.aspx

上記、ページの右上にある「今すぐ使用」のところから、EMS の無料使用版の利用手続きを進めて頂くことが可能となっています。

こちらの無料試用版を有効化していただくことで、下記の3つのプロダクトをご評価頂くことが可能となっております。

 
・Azure Active Directory Premium

・Microsoft Intune

・Azure RMS Premium

Azure RMS Premium では、先日利用可能になったばかりの RMS Tracking Portal のPreview 版の利用も可能となっています。

RMS Tracking Portal を利用することで、共有したデータの利用状況の確認や共有した後にデータを無効化することなどが可能となっています。

RMS Tracking Portal についての詳細については、こちらの Blog を通して今後ご案内していきたいと思います。

また、EMS には上記の3つのプロダクトに加え、8月にリリースされたばかりの製品である Advanced Threat Analytics (ATA)も含まれています。

Advanced Threat Analyticsはオンプレミスの AD に対する悪意のある標的的型攻撃や

行動分析を使用した疑わしいアクティビティや異常行動をレポートします。

Advanced Threat Analytics の評価用モジュールは下記のサイトにて入手可能となっております。
 

■Advanced Threat Analytics 試用版

https://www.microsoft.com/en-us/evalcenter/evaluate-microsoft-advanced-threat-analytics

 
是非、ご活用ください！

 
本Blog を通して、Azure Active Directory Premium、Microsoft Intune 、System Center Configuration Manager 、Azure RMS 、

Advanced Threat Analytics などに関する新しい機能や情報などを順次発信していきたいと思いますので、どうぞよろしくお願い致します。

皆様、こんにちは。認証・デバイス管理・セキュリティ担当の橘です。
Windows 10 がリリースされ約2か月が経とうとしていますが、
EMS の製品群も Windows 10 をスコープとした機能強化に順次対応を進めております。

今回は Windows 10 から新規で追加された機能である「Azure AD Join」を行った際に、
自動で Microsoft Intune に端末登録をする設定の手順をご案内致します。

■Step1. Azure ADの管理コンソールへログインをする
今回使用するパラメーターは、Azure AD の管理コンソールから設定を行います。
まずは、下記 URL から Microsoft Azure にログインをします。
＜Microsoft Azure＞https://manage.windowsazure.com/

 ■Step2. Microsoft Intuneの設定画面を表示する
Microsoft Azure へログインが完了したら、メニュー内「Active Directory」を
選択します。続いて、タブにある「アプリケーション」を選択し、表示された一覧から
「Microsoft Intune」が存在することを確認します。

■Step3. Microsoft Intune への自動登録設定を有効化する
Microsoft Intune のタブから「構成」を選択します。
Microsoft Intune の構成画面が表示されるため、以下の項目に適切なパラメーターが
登録されていることを確認します (※を除いて設定は自動的に入力されます)。

・MDM 登録 URL … Azure AD Join した端末の登録先 URL を指定します。
・MDM 使用条件 URL (※) … 必要に応じて Microsoft Intune の使用条件ページの URL を指定します。
・MDM 準拠 URL … デバイスが登録条件を満たしていない場合に、遷移するページのURLを指定します。
 
「これらのユーザーのデバイスの管理」項目では、Microsoft Intune へ登録する範囲を設定します。

・なし … Microsoft Intune への自動登録がされないようにします。
・グループ … 指定されたグループにユーザーが所属している場合、Microsoft Intune へ登録します。
・すべて … Azure AD Join された端末すべてを Microsoft Intune へ登録します。

最後にページ下部にある「保存」を選択し、設定を保存します。
以上ですべての設定が完了となりますので、今後設定されたルール通りに Azure AD Join された端末が
 Microsoft Intune へも登録されるようになります。


既に EMS をお使いになっている方以外に、現在 EMS を検討されているお客様も、
ぜひ無料試用版をご利用いただき、ご検証いただけますと幸いです。 

・[EMS] Enterprise Mobility Suite 無料試用版を開始しました！
　http://blogs.technet.com/b/mskk-deviceandmobility/archive/2015/09/20/ems-enterprise-mobility-suite.aspx


EMS は今後も機能を拡充していきます。
本 Blog を通し、最新の情報を皆様にお届けしてまいりますので、
今後ともどうぞよろしくお願い致します！

皆様、こんにちは。認証・デバイス管理・セキュリティ担当の橘です。

今回は Microsoft Intune が提供するOMA-DM ベースのWindows 10 管理用の管理テンプレートについてご紹介します。

11/1 現在、Microsoft Intune ではOMA-DM ベースのWindows 10 管理用の管理テンプレートとして、以下のテンプレートを提供しております。

 
・PKCS #12(.PFX) 証明書プロファイル

・SCEP 証明書プロファイル

・VPN プロファイル

・Wi-Fi インポート

・信頼済み証明書プロファイル

・全般構成

・カスタム構成 (OMA-URI)

■全般構成のポリシー

全般構成のポリシーではパスワードの構成、デバイスの制御 (リムーバブルデバイスやカメラ)、Windows Update などの設定を制御できます。

また、ユーザーによる Microsoft Intune からの手動登録解除の制限などの設定も用意されています。

全般構成ポリシーで設定可能な各項目の詳細については、下記の URL にてご確認ください。

 ・Microsoft Intune で Windows 10 の構成ポリシーを使用してデバイス設定を管理する

https://technet.microsoft.com/ja-jp/library/mt404697.aspx

■カスタム構成 (OMA-URI) ポリシー

現在 Microsoft Intune でポリシーのテンプレートが提供されていない場合でも、

下記の Configuration Service Provider を参照し、カスタム構成 (OMA-URI) ポリシーを利用することで、ポリシー適用等の動作検証が実施できます。

 
・Configuration Service Provider Reference

　https://msdn.microsoft.com/en-us/library/dn920025(v=vs.85).aspx

 
・Policy CSP

　https://msdn.microsoft.com/en-us/library/dn904962(v=vs.85).aspx

 
Insider Preview で提供される最新の Windows 10 Build をご利用いただき、

上記で記載される Configuration Service Provider の設定を参照の上、カスタム構成 (OMA-URI) ポリシーを利用して是非動作検証ください。

なお、カスタム構成 (OMA-URI) ポリシーの利用については、先日の FEST イベントのセッションの中でも簡単に触れさせていただいておりますので、こちらも是非ご参照下さい。

 
・FEST 2015 動画：Windows 10 の登場でどう変わる? 最新のマルチデバイス環境の統合管理

　https://channel9.msdn.com/Events/FEST/2015/CLM-351?CR_CC=200697260

 
Microsoft Intune は今後も Windows 10 の機能強化に追随するべく機能強化を進めていく予定です。

引き続き、よろしくお願いいたします。

皆様、こんにちは。認証・デバイス管理・セキュリティ担当の橘です。

今回は Microsoft Intune にて提供される iOS や Android デバイス向けの
Mobile Application Management (MAM) ポリシーと iOS 9 デバイスに対する
MAM ポリシーの適用に関する2つのトピックをご紹介します。

1. Microsoft Intune が提供するMAM ポリシー
既にご存じの方も多いかもしれませんが、iOS や Android 向けに
Word, Excel, PowerPoint, Outlook などの Office アプリを提供しています。
これらのアプリを利用はiOS や Android上での作業のおいて下記のような点においてメリットがあります。

・Excel：グラフや表を表示が崩れることなく参照可能
・PowerPoint：アニメーションを利用したダイナミックなプレゼンが可能
・Outlook：IRM で保護されたメール本文の参照が可能

更に、Microsoft Intune のMAMポリシーを利用することで、上記の Office アプリをより安全に利用することができます。
Microsoft Intune のMAMポリシーが提供するセキュリティ機能は下記のような機能となります。

・アプリ起動時のアプリレベルの認証の追加
・コピー & ペーストの制御
・共有の制御
・保存の制御

・Excel for iOS 上でのデータ保存の制御 (OneDrive や ローカルへの保存の制御) 

・Outlook for iOS 起動時の認証画面


 現在、Microsoft Intune がMAM ポリシーをサポートするアプリは下記 Link からもご参照頂けます。

• Microsoft Intune のモバイル アプリケーション管理ポリシーと共に使用できる Microsoft アプリ
  https://technet.microsoft.com/ja-jp/library/dn708489.aspx

iOS や Android デバイスにおけるOffice アプリの利用時は、是非 Microsoft Intune のご利用をご検討ください。

2. iOS 9 における MAM ポリシーの適用
iOS 8 以前では既に Office アプリがデバイス上にインストールされている場合には、MAM ポリシーの適用ができませんでした。
そのため、Office アプリのアンインストールと再インストールのステップが必要でしたが、
この問題を改善し、iOS 9 では、既にインストール済みの Office アプリに対しても MAM ポリシーが適用可能となっています。

・既にインストール済みのアプリを管理対象に変更する旨を利用者に通知

・管理対象に変更後のアプリ初回起動時のアラート画面

Microsoft Intune はWindows 10 はもちろんのこと、
iOS や Android などのモバイルデバイスの管理機能強化に継続して対応していきます。
引き続き、よろしくお願いいたします。

Microsoft Intune でMac OS X のデバイス管理ができるようになりました。

これまでMac 端末の管理はSystem Center Configuration Managerでの実施をご紹介しておりましたが、Microsoft Intune でもインターネット越しにOMA-DM というプロトコルを用いて管理することができます。

今回はMac 端末管理について、11月に機能拡張されたポイントをご紹介します。

■ ポリシーの構成

Intune の管理コンソールで新しいポリシーを作成するメニューを選択するとMac OS X 対応のポリシーテンプレートを利用できます。

現時点でテンプレートにあるのは下記の項目です。

• SCEP 証明書プロファイル

• VPN プロファイル、Wi-Fi プロファイル、証明書プロファイルなどのリソース配布設定

• 構成ポリシー設定

  • デバイスのセキュリティ設定

          ・パスワードの設定

          ・準拠しているアプリと非準拠アプリの設定（ブラックリスト・ホワイトリストの作成）

• カスタム構成

  • Apple Configurator で作成した構成プロファイルをIntune にアップロードし、モバイルデバイスに展開できます。（Apple Configurator を利用するためにはMac OS の端末が必要です。）

  • Apple Configurator で設定できる項目

    • デバイスのセキュリティポリシーや制限

    • VPN 構成情報

    • Wi-Fi 設定

    • メールとカレンダーのアカウント

    • iPad、iPhone、および iPod touch がエンタープライズシステムや学校のネットワークと連係するための認証資格情報

■ ポリシーの編集

構成ポリシー設定を選択してテンプレートを確認してみましょう。

パスワードの設定や、準拠しているアプリとそうでないアプリの一覧設定ができます。

■ Mac 端末をMicrosoft Intune に登録する

Microsoft Intune は、端末を所持するユーザー１名に対して１つの「セルフサービスポータル」が与えられます。ここで、ユーザーが所持し、Microsoft Intune の管理下にある端末の一覧を確認することができます。

　また、新しい端末を与えられたときは、ユーザー自身がこのセルフサービスポータルにアクセスし、端末を登録することができます。登録手順はとてもシンプルで簡単です。

余談ですが、ユーザーは、このセルフサービスポータルを利用することで、業務で利用するアプリケーションをご自身でインストールすることや、万が一端末を紛失してしまった・もしくは企業領域のデータを削除したいといった場合に、リモートワイプ、セレクティブワイプを実行できます。（もちろん、Microsoft Intune の管理コンソール側から、管理者がコマンドを強制実行することもできます。）

セルフサービスポータルでMac 端末をMicrosoft Intune への登録が完了すると、端末側に構成プロファイルがインストールされます。

そして、セルフサービスポータル側にも、Mac 端末が管理下に置かれたことを示すように、新たな端末の情報を確認できます。

ポリシーの準拠状況もセルフサービスポータルから確認できますね。

■ レポート

　Microsoft Intune に管理されているMac 端末は、ハードウェア・ソフトウェアのインベントリレポートを確認することもできるようになっております。

• ハードウェア レポート

  Mac 端末に対して最新のパッチが適用されているか、端末のシリアルナンバーを監査のために確認できること、そして、端末が暗号化されているかどうかを確認します。

• ソフトウェア レポート

  Mac OS X ソフトウェア レポートを確認し、レポートの表示をしてみると、端末にインストールされているアプリケーションの詳細情報を確認できます。

アプリケーションの識別子、バージョン、アプリケーションの短いバージョン名、インストール数がレポートとして表示されています。Mac 端末に対して最新のアプリケーションをインストールしたいという際や監査の際に、このレポート機能を活用できます。

■ まとめ

Microsoft Intune をご利用いただきますと、管理用のサーバーの構築する必要がなく、インターネット越しでMac 端末の管理を実現できます。今回の機能拡張ではデバイスレイヤーでの管理をポイントにしておりますが、今後も機能拡張予定ですので、ぜひご注目ください！

モバイル端末（Windows 10, iOS, Android のタブレット・スマートフォン）と一緒に、社内で利用しているMac 端末を管理しましょう。

参考情報：　TechNet Library 「Microsoft Intune の Mac OS X 構成ポリシー設定」

https://technet.microsoft.com/library/mt627823.aspx

皆様、こんにちは。認証・デバイス管理・セキュリティ担当の橘です。

今回は 12/8 にリリースされましたSystem Center Configuration Manager 次期バージョンのお知らせとなります。
こちらはバージョン名を従来のリリース年では無く、バージョンを 1511 とし、
System Center Configuration Manager version 1511 と呼びます。(Current Brunch とも表記されます)。

この System Center Configuration Manager Version 1511 は Windows 10 の November Update (TH2) を
サポートしており、Windows 10 から新たに導入された下記の3つのサービシングモデルの管理が可能です。

・Current Branch (CB)
・Current Brunch for Business (CBB)
・Long Term Servicing Brunch (LTSB)

System Center Configuration Manager Version 1511 では下記図のように、
社内の Windows 10 デバイスのサービシングモデルの対応状況の把握を行うためのダッシュボードや
展開を効率的・計画的に実施するための管理機能が新たに用意されています。




System Center Configuration Manager Version 1511 で提供される新機能についてはまずは下記 Blog をご参考下さい。

■BLOG : System Center Configuration Manager と Endpoint Protection (バージョン 1511) の一般提供を開始
http://blogs.technet.com/b/mssvrpmj/archive/2015/12/14/system-center-configuration-manager-endpoint-protection-1511.aspx

尚、System Center Configuration Manager Version 1511 は Windows 10 と同じように年に数回の更新が行われる予定
となっておりその都度バージョン名を変更する形となる予定です。
(例えば、2016年3月に更新版がリリースされた場合はバージョンを1603 とするようなイメージです。)

最後に、既に前バージョンである System Center Configuration Manager 2012 R2 をご利用のお客様には、
System Center Configuration Manager version 1511 へのインプレースアップグレードのシナリオも用意しております。
Windows 10の導入計画と合わせて、既存環境のアップグレードなどをご検討頂けますと幸いです。

■Supported operating systems for sites and clients for System Center Configuration Manager version 1511 (英語)
https://technet.microsoft.com/ja-jp/library/mt589738.aspx

■Recommended hardware for System Center Configuration Manager version 1511 (英語)
https://technet.microsoft.com/ja-jp/library/mt589500.aspx

■Upgrade To System Center Configuration Manager version 1511 (英語)
https://technet.microsoft.com/en-us/library/mt627853.aspx

■System Center Configuration Manager version 1511 – 180 日評価版
https://www.microsoft.com/en-us/evalcenter/evaluate-system-center-configuration-manager-and-endpoint-protection

今後も本 Blog を通して System Center Configuration Manager version 1511 の新機能をご紹介していきます。
引き続き、よろしくお願い致します。 

皆様、こんにちは。認証・デバイス管理・セキュリティ担当の橘です。

今回は この1月の機能強化で実装された Microsoft Intune による Windows 10へのリモートワイプの対応についてご紹介します。

Surface をはじめとした Windowsデバイスを社外に持ち出して利用することもかなり一般的になってきました。
それと同時に社外に持ち出すデバイスを紛失してしまった場合の情報漏洩対策として、
リモートワイプ機能の対応を非常に心待ちにされていた方が多いのではないかと思います。

そして、ようやく Microsoft Intune から OMA-DM ベースで管理される Windows 10 に対して
リモートワイプの実行が可能となります！
 
リモートワイプは Microsoft Intune の管理コンソールから管理者が実行することができます。
また、Microsoft Intune が提供する会社のポータルを通して、利用者自身がリモートワイプを
実行することも可能となっています。
 
尚、リモートワイプ可能な Windows 10 は Build 10586 (Version 1511) 以上となります。

管理コンソールからリモートワイプを実施する場合の操作は以下の様な流れとなります。

 ■管理コンソール利用時

利用者自身がリモートワイプを実施する場合は、会社のポータルを通して
対象となるデバイスを選択して、操作を実施します。
iOS 上での操作は以下のような流れとなります。

■会社のポータル利用時 (iOS)


 

リモートワイプの命令が発行されたWindows 10デバイス側は、
自動的に再起動を実施して初期化 (Factory Reset) が行われる形となります。

最後に、リモートワイプの操作の履歴はレポートより確認することができます。

早速お試しください！

皆様、こんにちは。認証・デバイス管理・セキュリティ担当の橘です。
今回は Cloud App Discovery についてご紹介します。

Cloud App Discovery は Azure Active Directory Premium で提供される機能です。
Cloud App Discovery を利用することで、組織内のPC からアクセスされた
SaaS/Web アプリケーションを監視し、それぞれのユーザーの利用状況を可視化することが出来ます。

例えば、

・組織内で利用が禁止されている個人のクラウドストレージ (OneDrive や Box など) を
「誰が、どの PC から」利用しているか

・業務中の利用が望ましくない TwitterやFacebook などのSNS の利用状況を
「誰が、どの PCから」利用しているか

を把握することが出来ます。

この他にも

・特定の部門だけが利用している SaaS アプリケーションの利用状況の把握
・新規導入した SaaS アプリの社内での活用・普及の状況の把握

などの用途でもご利用頂けます。

■管理されていないクラウド アプリケーションを Cloud App Discovery で検出する
https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-cloudappdiscovery-whatis/

Cloud App Discovery を利用するためには新しい Azure AD 管理ポータル上で有効化の作業を実施します。
また、監視対象とするデバイスに対してAzure AD 管理ポータルからダウンロードした
専用エージェントのインストールが必要となります (AD GPO や SCCM による展開も可能です)

尚、現時点 (2016年2月時点) では Windows 7 以降、Windows Server 2008 以降 の
Windows デバイスのみ対応しています。

専用エージェントが収集したデータは Cloud App Discovery 上で120日間保管されます。

 ■Cloud App Discovery ダッシュボード
Cloud App Discovery Agent が収集したデータの一覧画面です。

■特定の Web アプリの利用状況
Exchange Online の利用状況の例となります。

■Cloud App Discovery Agent の設定
利用者のプライバシーを考慮した同意のオプションも選択できます。

今回は Azure AD Premium で提供される機能の一つである Cloud App Discovery についてご紹介致しました。
引き続き、Azure AD Premium が提供するその他の素晴らしい機能についてもご紹介していきたいと思います。

■Azure Active Directory のエディション

https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-editions/

皆様、こんにちは。認証・デバイス管理・セキュリティ担当の橘です。
今回は Azure AD Connect Health についてご紹介します。

Azure AD Connect Health は Azure Active Directory Premium で提供される機能です。

■Azure AD Connect Health：クラウド内のオンプレミスの ID インフラストラクチャと同期サービスの監視
https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-aadconnect-health/

Azure AD Connect Health が提供するポータル画面を利用することで、
管理者は ADFS 2.0/3.0 や Web Application Proxy (ADFS Proxy)、Azure AD Connect の稼働状況を
監視し分析することが出来ます。

・ADFSや Azure AD Connect が正常稼働しているかどうか
・ADFS や Azure AD Connect に対してどのような負荷（認証トラフィック）が発生しているか
・ADFS や Azure AD Connect が正常に稼働するためにどのような設定や対処が必要か

例えば、ADFS に対して必要となる QFE が適用されていない場合には下記のようなメッセージを表示し管理者に通知することが出来ます。

また、誤ったパスワードを利用した回数の多いユーザーを表示することができます。

Azure AD Connect Health は下記の手順にてとても簡単に利用できます。

1. Azure AD Connect Health サービスの有効化 (Azure AD Premium のライセンスが必要となります)
2. Azure AD Connect Health エージェントのインストール
3. ADFS と Web Application Proxy (ADFS Proxy) が稼働するサーバーに
    Azure AD Connect Health エージェントをインストール
4. ADFS サーバ―上で監査設定を有効化

Azure AD Connect Health エージェントのインストールおよび ADFS の監査設定の
有効化手順の詳細は下記の Link よりご参照頂けます。

■Azure AD Connect Health エージェントのインストール
https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-aadconnect-health-agent-install/

尚、Azure AD Connect が稼働するサーバーに対するエージェントのインストールは不要です。
※Azure AD Connect インストール時に Azure AD Connect Health エージェントを自動インストール

最後に、Office 365 をご利用のお客様にとっては、
認証という非常に重要な屋台骨を支えることになる ADFSや  Web Application Proxy、
Azure AD Connect の稼働状況を監視し、分析していくことは非常に重要なミッションとなります。
 
是非、Azure AD Connect Health の活用をご検討ください！

Enterprise Mobility Suite (EMS) 担当の山野です。
Azure Active Directory Premium には、パスワードを管理する機能が充実していますが、今回は、その中からユーザー自身が自分のパスワードをリセットできる機能を紹介します。特に、Office 365 を利用中のお客様にはおすすめの機能です。

パスワードは重要ですので、容易に推測されないよう複雑にし、かつ定期的に変更するべきなのですが、世の中ではパスワードを忘れてしまった・・なんてことがよく起こります。

その場合、パスワードをリセットすることになるのですが、多くの組織においては、パスワードリセットは IT サポート部門の仕事のようです。一説によると、組織の IT 支出の 20% を占めるとも言われております。
パスワードリセット作業はサポート部門の本業ではありません。忘れたユーザー自身でやってもらいましょう。

しかし、第三者がなりすまして勝手にパスワードをリセットされては困りますので、Azure Active Directory では、本人確認をしたうえで実行可能となります。
本人確認の方法として、電話、連絡用の電子メール、秘密の質問といった項目から選択することができます。

Office 365 で多くのお客様が利用しているように、Azure Active Directory では、ADFS のフェデレーションサービスを使って、社内の Active Directory で認証させることも可能です。
この場合、フェデレーションユーザーは Azure Active Directory にパスワードを保持していません。パスワードは社内の Active Directory に存在しています。

では、パスワードリセット機能は使えないのでしょうか？

実は、ADFS 環境のフェデレーションユーザーに対してもパスワードリセットは可能です。
パスワードの書き戻し設定 (ライトバック) を使うことで、Azure Active Directory から社内の Active Directory のパスワードをリセットできます。

パスワードの書き戻し設定には、同期ツールとして Azure AD Connect が必要となります。
DirSync や Azure AD Sync などの旧バージョンを利用している場合は、早めにバージョンアップしましょう。

パスワードリセットの実装方法は、下記のサイトに詳しく書かれてますので、ぜひお試しください。
https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-passwords-getting-started/

パスワード管理の機能を活用することで、サポート部門の業務をもっとユーザーにIT を活用していただくための時間に割くことができると思います。
Azure Active Directory Premium では、様々なアプリケーションの認証基盤として利用できる利点を活かし、さらなる機能拡張を今後も続けていきますので、ご期待ください。

(参考情報)
Azure Active Directory Premium – パスワード管理のしくみ:
https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-passwords-how-it-works/

(追記)
一連のパスワードリセット作業の動画を Upload しましたので、こちらでイメージをご確認ください！
[View:~/cfs-file.ashx/__key/communityserver-blogs-components-weblogfiles/00-00-01-05-02/PasswordReset.mp4:0:0]

みなさま、いつも Device & Mobility Team Blog をご覧いただきありがとうございます。戸嶋です。

本日は、Azure Active Directory Premium で利用できる多要素認証（MFA）についてご紹介します。

Office 365 をはじめとしたクラウドサービスを活用する上で、ユーザーIDが中央集約されることによるパスワードの管理は今まで以上に重要度を増しており、ユーザーIDが正しい使われ方をしていること、正しく素早く本人確認を実施する必要があります。システムのセキュリティレベルを向上しつつ、ユーザー・そして管理者の生産性を維持してきたいですよね。

多要素認証自体は最近のクラウドサービスでも馴染みあるものになっており、みなさまも日頃からプライベートでもご活用されていらっしゃると思います。ご存知の通り非常にわかりやすいしくみで、IDとパスワードによる第一段階目の認証に併せて、もう一段階認証を加えることにより、認証フェーズでのセキュリティを強化することができるのがメリットです。ユーザーが知っているもの（パスワードやひみつの質問）、ユーザーが所持しているもの（携帯電話などの身近に持っており複製できない信頼できる端末）、ユーザー自身（生体認証）を組み合わせて本人確認を行います。

ユーザーのパスワードを解除する技術は日に日に進化を続け巧妙さを増している昨今、実際に個人のMicrosoft アカウントやGoogle アカウント、Instagram のアカウントが、何者かにより不正アクセスの試行が為されていたことをメール通知で知り、急いでパスワードを変える、なんて経験をされた方も、少なくないのではないでしょうか。（…実際、わたしも最近そんなことがありました。アクセスされる前に気づくことができてよかったです。便利かつセキュアな世の中に感謝ですね。）

ユーザーIDがいつの間にか使いまわされる、大事なデータが漏えいしてしまう…。想像しただけでも非常に恐ろしい自体です。

そんな事態になる前に、定期的なパスワードの変更に加え、

認証フェーズでのセキュリティを強化していきましょう！

■ どのようなシステムでMicrosoft の多要素認証サービスを利用できるの？

認証のシステムでいうと、大きく分けて オンプレミスのActive Directory と Azure Active Directory いずれでも多要素認証を利用できます。

上図、左側にかかれている、社内の IIS や RDS の認証で多要素認証を用いたい場合は、オンプレミスのMulti-Factor Authentication Server を構築していただきます。社内の Web サーバーをインターネットで利用できるようにする仕組み「Web Application Proxy」については過去の記事（[EMS] 社内の Web サイトに社外からアクセスしたいなぁ・・・。それも簡単で安全に。）にも記載があります。

また、右側にかかれている、特にAzure の多要素認証（クラウドサービス）をご利用になられる場合は、対象のユーザーがAzure ADのユーザー（オンプレAD ユーザーがAzure AD Connect もしくはDirSync によりAzure AD に同期されているユーザーも可能）となります。Office 365 をはじめとした、さまざまなSaaSアプリケーションの認証に利用できます。

・詳細はこちらのガイドに記載されておりますのでご参照くださいませ。

＜クラウドMFA＞Azure Multi-Factor Authentication Server の概要

https://azure.microsoft.com/ja-jp/documentation/articles/multi-factor-authentication-get-started-cloud/

＜クラウドMFA＞デプロイメントガイド

https://azure.microsoft.com/ja-jp/documentation/articles/multi-factor-authentication/

＜オンプレミスMFA＞Azure Multi-Factor Authentication Server の概要

https://azure.microsoft.com/ja-jp/documentation/articles/multi-factor-authentication-get-started-server/

今回は特に、クラウドサービスのAzure MFA のご紹介をさせていただいております。

■ 認証方式の選択肢は？

Azure MFA の認証に利用できるツールの選択肢は、大きく分けて３つあります。

・音声通話：ユーザーのスマートフォンが呼び出され、＃を押してサインイン・本人確認を完了させます。また、ユーザーが決めた数字コードを入力することでサインインするように、より複雑化することも可能です。

・テキストメッセージ：６桁のワンタイムパスコードを含むSMSメッセージが、ユーザーのスマートフォンに送信され、そのコードを入力することで認証を完了させます。

・モバイルアプリ：Azure MFA ではAzure Authenticator アプリが各スマートフォンOS に用意されております。

詳細はこちらのURLが参考になります。

https://azure.microsoft.com/ja-jp/documentation/articles/multi-factor-authentication-azure-authenticator/

 Azure Authenticator では、通知確認、検証コードの入力で認証を実施できるよう選択可能です。

また、iOS に関しては、Touch ID にも対応しておりますので、ユーザー様はスムーズに認証を行うことができます。

今後は、Touch ID に加え、様々な端末での認証に対応していくことができるよう鋭意開発中とのことです。

■ Office 365 多要素認証とAzure MFA (クラウドサービス/Azure AD Premium ライセンス）は何がちがうの？

Azure MFA では、Office 365 多要素認証のかゆいところに手が届く機能が追加されています！今回は大きく機能差のある４つのポイントをご紹介します。

（Office 365 をご利用中のみなさまはすでに多要素認証をご活用できる権利をお持ちですので、ぜひお試しください。一部のユーザーから、小規模展開・ご評価が可能です。）

・認証のバイパス

多要素認証はセキュリティを高める上では非常に重要な認証フェーズになりますが、アクセスしたい環境に対して毎回認証が行われてしまっては、ユーザーの生産性を落としかねません。そんな時に、バイパスの機能が利用して、管理者が決めたある一定の期間は、ユーザーの認証を1回だけに削減できます。バイパス有効期間は、MFAの管理コンソールのサービス設定から、1~60日の幅で指定ができます。

・信頼できるIP の設定

　企業のローカルイントラネットや信頼できるIPをあらかじめ設定しておくことで、企業内のネットワークからサインインするユーザーの多要素認証をバイパスすることができる機能です。社内ネットワークに接続しているときの2段階目の認証を省くことができるので、ユーザーのわずらわしさを削減できます。Azure MFA では、バイパス適応のIP アドレスとして、50個のサブネットを登録することができます。

・カスタム音声メッセージ

　Azure MFA （Azure AD Premium で利用できる機能）では、電話で多要素認証を実施する際に音声のカスタマイズを行うことができます。企業さま独自の音声メッセージを作成することで、社員のみなさまが親しみをもってご活用いただけるはずです。また、不正アクセスのアラート（後述）と組み合わせることで、認証段階のセキュリティレベルを向上する役割も担います。

・不正アクセスのアラート

多要素認証を有効化しているユーザーアカウントでは、万が一、他者がパスワードを見抜きアクセスを試みてきた場合に、不正アクセスのアラートを上げることが可能です。不正アクセスが通報されたときに、該当のユーザーIDをブロックすることができます。

■ Office 365 だけではなく、Google Apps やBox, Salesforce, SAP, Kinton, Workday …さまざまなSaaS アプリケーションの認証を強化！　Microsoft の注目 DaaS, Azure Remote App にも対応！

Azure MFA を利用すると、Office 365 の世界から飛び出して各SaaS アプリケーションとの多要素認証を実現できます。

・Azure AD と連携登録しているSaaSアプリケーションへの条件付きアクセスの設定

機密情報を含む業務アプリケーションに多要素認証を付け加えることができます。また、アプリケーション単位で適応できます。

条件付きアクセスについては下記が参考になります。

https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-conditional-access-technical-reference/

・Azure ADと連携しているSaaS アプリケーションへの条件付きアクセスは、信頼済みIPアドレス（前述）と連携利用も可能です。

・Azure RemoteApp やRDS（リモートデスクトップサービス）でもMFA をご利用できます。

ドキュメントは下記をご覧ください。

Azure RemoteApp 編　「Azure RemoteApp よく寄せられる質問」

https://azure.microsoft.com/ja-jp/documentation/articles/remoteapp-faq/#-3

RDS 編　「RADIUS を使用したリモート デスクトップ ゲートウェイと Multi-Factor Authentication Server」

https://azure.microsoft.com/ja-jp/documentation/articles/multi-factor-authentication-get-started-server-rdg/#azure-multi-factor-authentication

■ Azure AD Premium の機能「セルフサービスパスワードリセット」も、多要素認証で本人確認！

オンプレミスの Active Directory とAzure AD を連携利用されている企業様は、Azure AD Premium のセルフサービスパスワードリセットの機能を利用することで、社外ネットワークに居ながらも AD のパスワードをユーザー自身が書き換えることができます。その際の本人確認も、Azure MFA が連動しており、同じ電話番号・同じ手順で認証を行います。セルフサービスパスワードリセットの記事「[EMS] IT サポート部門の皆様へ。パスワードリセット作業からの解放」あわせてご覧ください。

・・・余談ですが、Azure AD や Office 365 のユーザー様には「アクセスパネル」がご用意されています。                                                                      

SaaS アプリケーションの SSO ができるユーザーページです。

実はここで、パスワードの変更や、ユーザーが利用しているAzure AD Join デバイスのBitLocker キーID, 回復キーを確認もできます。便利な機能です。

詳細は、アクセスパネルの概要をご参照ください。

https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-saas-access-panel-introduction/

■ まとめ

EMS のAzure AD Premium を利用すると、企業で活用できる高度な多要素認証を実現し、企業内のITシステムにおいて本人確認を実施してからサービスの利用を開始させるしくみを整えることができます。

多層的にIT環境の防御力を高めるソリューションとして、ぜひ、ご活用くださいませ！

皆様、こんにちは。認証・デバイス管理・セキュリティ担当の橘です。

少しご連絡が遅くなりましたが、Configuration Manager Current Branch Version 1602 が
3/11 にリリースされましたのでご案内いたします。

Version 1602 では Office 365 ProPlus モジュールの配信と管理や、
SCCM Agent 向けの Conditional Access (Preview) などが含まれております。

Version 1602 で新たに提供される機能については下記の Blog をご参考ください。

■ System Center Configuration Manager バージョン 1602 の提供を開始
http://blogs.technet.com/b/mssvrpmj/archive/2016/03/15/system-center-configuration-manager-1602.aspx

Version 1602 で実現可能となる Office 365 ProPlus モジュールの配信と管理については下記のLink も合わせてご参考ください。

■ New update options for Office 365 ProPlus using System Center Configuration Manager
https://blogs.office.com/2016/03/08/new-update-options-for-office-365-proplus-using-system-center-configuration-manager/

■ Manage Office 365 client updates with System Center Configuration Manager
https://technet.microsoft.com/library/mt628083.aspx

今回は非常に簡単な内容ではありますが Version 1602 リリースをご案内させて頂きました。
是非ご評価ください！

みなさま、いつも Device & Mobility Team Blog をご覧いただきありがとうございます。戸嶋です。

本日は、今すぐ評価環境が展開できる、Azure RemoteApp についてご紹介します。

Azure RemoteAppは、日頃、業務で利用しているアプリケーションを、クラウド上に展開し、 DaaS（Desktop as a Service）として活用できるサービスです。一番簡易なテンプレートイメージを選択すれば、1時間ほどでOffice 365 ProPlus のパッケージや各種ブラウザ（IE 11 やChrome, Firefox）を Azure RemoteApp としてストリーミング配信し利用開始できます♪ さらに、Azure RemoteApp では、IT管理者のみなさまの手を煩わせてしまう更新プログラム・パッチの配布をMicrosoft が全部承らせていただきますので、常に最新版のアプリケーションを、セキュアに活用できるのがポイントです。

■ Azure RemoteApp の３つの展開モデル

Azure RemoteAppは、企業様の利用シーンやニーズにあわせて、３つの展開モデルを提供しています。

a) クラウド展開モデル（簡易作成）

b) クラウド展開モデル（VNETで構成）

c) ハイブリッド展開モデル

▼クラウド展開モデルの概要図

注意： 展開モデルはAzure RemoteApp コレクションを作成するタイミングで指定します。後から変更はできません。

それぞれの展開のモデルの違いは、こちらの日本語Blogをご参照ください。

参考：Azure RemoteAppの展開モデルの違いを知る

前編 http://blogs.technet.com/b/mskk-cloudos/archive/2016/01/05/azureremoteapp02.aspx

後編 http://blogs.technet.com/b/mskk-cloudos/archive/2016/01/22/azureremoteapp03.aspx

■ Azure RemoteApp で展開・利用できるアプリケーション

Azure RemoteApp は、Windows Server 2012 R2 イメージの 32/64 bit の Windows ベース アプリケーションのストリーミングをサポートします。既存のWindows ベース アプリケーションのほとんどは、Azure RemoteApp 環境で動作しますが、快適にご利用になられるには、いくつかお作法やアプリケーションの特徴がありますので、Azure RemoteApp アプリの要件をご参照ください。

https://azure.microsoft.com/ja-jp/documentation/articles/remoteapp-appreqs/

■ 今すぐ無料評価がスタートできます！　＜Azure RemoteApp の簡易作成＞

Azure RemoteAppは、Azure のポータルサイトにアクセスしすぐに無料評価を開始することができます。Azure のサブスクリプションをお持ちのユーザー様は、是非こちらのアイコンをクリックしてみてください。新規作成をし、簡易作成で作成を選択できます！ 簡易作成では、ほんの数クリック＋約一時間の放置で、Azure RemoteAppの環境がすぐに利用開始できます。利用するデータセンターの地域（リージョン）も、東日本・西日本を含む15拠点から選択可能です。

簡易作成で選択できるテンプレートイメージは下記の3種があります。

・Office Professional Plus 2013

・Office 365 ProPlus

・Windows Server 2012 R2

VNETでのご評価の場合は、Azure RemoteApp のコレクションを作成するまえにVNET を作成しておく必要があります。同一VNET 上のIaaS（仮想マシン）と連携がしたい場合は、VNET で作成を試行してくださいませ。

■ 簡易作成で展開をし、約1時間後…

仮想マシンが用意されました。

ユーザーとしてご評価したいクライアント端末を用意し、「RemoteApp クライアント」をダウンロードします。RemoteApp クライアントのアプリは、Windows, iOS, Android, MacOS, Windows Phone 用にご用意しております。マルチOSに対応しているのです。比較的画面の大きいiPhone 6 Plus やAndroid タブレットでWindows 用のアプリケーションを使うことができるのは便利だったりします。（Azure RemoteApp は、Windows シンクライアントにも対応しています！）

参考：サポートしているOSについて / クライアント – Azure RemoteApp へのアクセスにはどのようなデバイスを使用できますか?

https://azure.microsoft.com/ja-jp/documentation/articles/remoteapp-faq/#–azure-remoteapp

Windows デスクトップ用のRemoteAppクライアントを起動すると、標準テンプレート＜ Office 365 ProPlus ＞でアプリケーションの利用を開始できます。

※簡易作成では、すべて英語テンプレートイメージのみですので、ご了承くださいませ。

■ セッションコントロールについて
Azure の管理画面から、Azure RemoteApp のセッションをコントロールすることができます。

ユーザーを選択し、ログオフや切断ができます。その際、事前にメッセージを送信することができます。

このように、管理者が該当ユーザーにメッセージを送信すると、ユーザーのクライアント端末にメッセージが届きます。

ほぼリアルタイム（東日本DCでDeployして4G回線で試したらだいたい1秒無いくらい）です。

ユーザーのクライアント端末上で、 Windows 10 の PC が Azure RemoteApp 管理者から メッセージを受信している図

■ Azure RemoteApp と連携できる Azure AD Premium のセキュリティ機能

Azure RemoteApp は、インターネットを経由してWindows PC, iOS, Android タブレットなど端末を選ばずに アプリケーションを利用できるメリットがあります。

利便性に加えてセキュリティを補うために、多要素認証（MFA）の機能と、条件付きアクセスの機能を併用することが可能です。

1. Azure の旧ポータル [Active Directory]タブ→構成するディレクトリをクリック。

2. [アプリケーション]タブをクリックし、[Azure RemoteApp]アプリを選択すると、下記の画面に遷移します。

＜多要素認証 と場所ベースのアクセス規則＞

この項目を設定していきます。[ルール]の設定で、Azure ADP の多要素認証機能と、場所ベースのアクセス(IPアドレスで判別）を組み合わせが可能です。

ルールの3つ目の項目[作業中でない場合、アクセスをブロック]を選択し、さらに[社外ネットワークの場所を定義]すると、管理者があらかじめ設定したIPアドレス以外からの、社外ネットワークアクセスをブロックすることができます。

様々な端末で利用できるソリューションであるからこそ、IPアドレス制御を加えるなどしてセキュアにしたい！というニーズを補う役割です。

参考：

・Azure RemoteApp とその先にあるリソースへのアクセスのセキュリティ保護

https://azure.microsoft.com/ja-jp/documentation/articles/remoteapp-secureaccess/

・過去Blog：[EMS] 進化する 企業内 多要素認証基盤！ Azure AD Premium 多要素認証（Multi-Factor Authentication /略語MFA）

http://blogs.technet.com/b/mskk-deviceandmobility/archive/2016/03/09/ems-azure-ad-premium-multi-factor-authentication-mfa.aspx

■ まとめ

Azure RemoteApp は、Azure のアカウントをお持ちの方に今すぐご評価いただけます！

日本のAzure データセンターを利用して、iOS, Android のモバイルデバイスから最新のWindows アプリケーションをAzure RemoteApp で展開してみましょう。ぜひ、Azure RemoteApp の使い心地をご堪能ください♪

こんにちは、Surface 担当の横田です。

Surface を企業で導入する際に、会社のマスターイメージを使用した展開をおこなうお客様も多いと思います。昨年夏の Windows 10、昨年秋の Surface Pro 4 のリリース以降、Windows 10 + Surface でのマスターイメージ展開の方法についてのお問い合わせも多くいただいています。皆様の Surface 展開の参考となるように、このたび、「Surface Device 展開および管理ガイド」をリリースしました。

「Surface Device 展開および管理ガイド」
 

このドキュメントでは、Windows 10 のマスターイメージを作成し、 Surface Pro 4 や Surface Book、Surface 3 に展開する一連の方法を、マイクロソフトが無償で提供する OS 展開ツール Microsoft Deployment Toolkit (MDT) を使用した方法を中心にステップ バイ ステップで解説しています。皆様が Surface を企業内で展開する際のご参考としてぜひご活用ください。

そんな都合のよい機能なんてあるわけな・・・あるんです！！

どうも、Enterprise Mobility Suite (EMS) 担当の成田です。
今回は、社内でお使いの Web サイトを社外からご利用いただくことができる機能 (Azure Active Directory Application Proxy、以降 AADAP) をご紹介します。

本機能は Azure Active Directory の特定エディション (Premium または Basic) でご利用いただくことができます。もちろん EMS にも含まれます。
Azure Active Directory のエディションの違いについては下記をご確認ください。(ページ内では “アプリケーション プロキシ” と記載されている機能です。)

Azure Active Directory のエディション
https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-editions/

●概要
AADAP とは、ずばり、社内の Web サイトを社外から安全に利用するための機能です！
クラウドやモバイルを活用した働き方の変化に伴い、「いつでも」「どこでも」「どんなデバイスからでも」業務を行える環境が求められています。
インターネット越しに社内リソースにアクセスしたい場合、Office 365 をはじめとする SaaS アプリを利用する場合は問題ないとして、社内の Web サイトについても社外から利用したいといったニーズも多いのではないでしょうか。
社内で利用している Web サイトを社外から利用する場合、一般的には VPN や SSL-VPN のリバース プロキシを DMZ に配置することをご検討いただくことも多いと思いますが、その場合はネットワーク構成の変更や追加コストが発生します。
Azure Active Directory Premium や EMS (Enterprise Mobility Suite) のライセンスを保有しているお客様は、今回ご紹介する AADAP を利用することができますので、ネットワーク構成の変更や追加コストが発生することなく、上記のニーズに応えることができます。

仕組みを簡単に表すと下図のようになります。

ユーザーは公開された Web アプリケーションの URL (クラウド サービスとして提供される AADAP) にアクセスし、AADAP と社内ネットワークにインストールされたコネクタが中継して通信を行い、ユーザーに Web コンテンツを提供します。
コネクタと AADAP 間は、コネクタから AADAP への 443 ポート (送信方向) の通信になっているため、DMZ 上のファイアウォールなどで受信方向の追加のポート開放は通常は不要です。(※必要なポートは後述)
当然、クライアントから AADAP への通信も HTTPS で行いますので、通信全体の安全を担保しながら社内の Web サイトを社外に公開することが可能です。

さらに、Azure Active Directory Premium を認証基盤として利用するため、下記のような Azure Active Directory の一般的なメリットも享受できます。

・社内のActive Directory と同期を行うことで、社内でお使いの資格情報を使用して認証を行うことができる (Office 365 をお使いの場合は、それと同じ資格情報で認証/SSO できる)
・MFA や条件付きアクセスなどの認証強化機能を利用できる

コネクタから AADAP への送信方向の通信では以下のポートが使用されます。これらのポートはすべて開放する必要があります。

●設定方法
AADAP の設定方法はについては、以下の URL に Step By Step が公開されておりますので参考にしてください。

Azure AD アプリケーション プロキシの有効化
https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-application-proxy-enable/

Azure AD アプリケーション プロキシを使用してアプリケーションを発行する
https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-application-proxy-publish/

上記にない情報を補足すると、コネクタは複数のサーバーにインストールすることで冗長構成をとることが可能です。
また、コネクタは ”コネクタ グループ” というグループで管理することができ、各グループごとに公開するアプリケーションを分けることができます。
コネクタ グループの使用イメージを 2 つ紹介します。

1 つ目の例です。

コネクタ グループ 1 には 2 台のコネクタが紐づけられており、2 つの Web サイトを公開しています。この構成の場合、コネクタ 1 のサービスがダウンした場合でもコネクタ 2 のみで Web サイトの公開を継続できます。
コネクタ グループ 2 には 1 台のコネクタが紐づけられており、1 つの Web サイトを公開しています。この構成の場合、コネクタ 3 のサービスがダウンするとユーザーに Web サイトを公開できなくなります。

2 つ目の例です。

コネクタ グループは 1 つだけであり、全てのコネクタがすべての Web サイトを公開しています。この構成の場合、コネクタ 1 とコネクタ 2 の 2 台のサービスがダウンした場合でも、コネクタ 3 がすべての Web サイトの公開を継続できます。(ただし、全てのユーザー リクエストの負荷を 1 台のコネクタで処理できるかは別の話ですが・・。)

●多要素認証
AADAP で公開する Web サイトを参照する際、ユーザーの本人確認を強化するために多要素認証を有効化することが可能です。
オプションは以下の 3 つです。

・多要素認証を常に要求する (Require Multi-factor authentication)
・会社のネットワーク外からアクセスする場合に多要素認証を要求する (Require Multi-factor authentication when not at work)
・会社のネットワーク外からのアクセスを拒否する (Block access when not at work)

AADAP で公開するアプリケーションの MFA 関連の設定は下記です。“ルール” セクションに記載されている 3 つのオプションがそれぞれ上記に該当します。(at work の翻訳が微妙ですが・・上記の意味に読み替えてください)

公開するアプリケーションに MFA を設定する場合は下記の URL もご確認ください。

条件付きアクセスの使用
https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-application-proxy-conditional-access/

●SSO の設定
これまで紹介してきた AADAP ですが、SSO の構成を行うことも可能です。
例えば、Office 365 にアクセスを行っていたユーザーが https://web1.contoso.com という URL で公開された Web サイトにアクセスを行うと、資格情報の入力なしで社内サイトの http://web1 のコンテンツをブラウザに表示することができます。
このような SSO は Kerberos の制約付き委任 (KCD) という仕組みを利用するため、認証方式として統合 Windows 認証 (IWA) を利用している Web サイトでなければならないという条件があります。
社内で使用している Web サイトが Windows Server でホストされている場合には IWA を認証方式として使用している場合も多いと思いますので、その場合は SPN などのいくつかの設定を行うことで SSO を構成できます。
IWA 以外の認証方式のサイトの場合 SSO はできませんが、サイトを公開すること自体は可能ですのでご安心ください。
SSO の設定方法については下記に詳細が紹介されています。

アプリケーション プロキシを使用したシングル サインオン
https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-application-proxy-sso-using-kcd/

●トラブル シューティング
AADAP の構成を行う上で問題が発生した場合、下記のトラブル シューティング ガイドが役に立ちます。

アプリケーション プロキシのトラブルシューティング
https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-application-proxy-troubleshoot/

例えば、統合 Windows 認証の Web サイトの SSO を構成する場合は SPN の設定を正しく行う必要がありますが、設定が正しくない場合のトラブルシューティングにはネットワークや認証の知識と経験が必要です。
上記のガイドには想定されるトラブルと対処方法が非常に細かく記載されているので、AADAP 関連の問題が発生した際にはきっとお役に立つと思います。是非参考にしてください。

●最後に
クラウドとモバイルを活用した働き方が今後ますます重要になることについては疑う余地がないと思われます。
例として、Office 365 や他の SaaS アプリを、様々なモバイル デバイス (iOS、Android、Windows) からアクセスして業務を行うという働き方が想定されます。
このようなワークスタイルにおいて業務生産性は間違いなく向上しますが、一方で ID/デバイス/データのセキュリティが懸念になる場面があることも事実であり、このような懸念に対するソリューションとしてマイクロソフトでは EMS (Enterprise Mobility Suite) を提供しています。
EMS には今回ご紹介した AADAP 以外にも、クラウドとモバイルを活用したワークスタイルを支える機能が提供されておりますので、ワークスタイル変革を計画されている企業様においては、ぜひご検討いただけると幸いです。

いつでも、どこでも、どのデバイスでも! ユーザーの生産性と企業のセキュリティを両立させるソリューション
https://www.microsoft.com/ja-jp/server-cloud/products-Enterprise-Mobility-Suite.aspx

皆さまこんにちは。

Windows Client 担当の野明です。Windows 10 に関してさまざまな情報が公開されてきたので、今回は少しまとめてみたいと思います。

まずはじめに、Windows 10 はご存知の通り WaaS モデルの採用により定期的に機能追加されていきます。コンシューマー向けの CB(Current Branch)、企業向けの CBB(Current Branch for Business)、特定用途向け LTSB(Long Term Servicing Branch)といったモデルが御座います。

これらサービスモデルの説明は https://technet.microsoft.com/ja-jp/library/mt598226(v=vs.85).aspx をご参照下さい。

Windows 10 は2015年 7 月 29 日にCB、CBB、LTSB がリリースされ、2015年 11 月にCB 向けのVer 1511(コードネーム TH2)がリリースされました、そして先日 CBB 向けの Ver 1511 がリリースされました。

CBB リリース情報： http://blogs.technet.com/b/windowsitpro/archive/2016/04/08/windows-10-1511-is-now-a-current-branch-for-business-cbb-release.aspx

今まで提供されてきた Windows 10 のビルド番号とサービシングモデル： https://technet.microsoft.com/ja-jp/windows/release-info

また、今までの Windows 10 の更新履歴は https://technet.microsoft.com/ja-jp/windows/release-info に記載しています。

今後どういった機能が追加されていくかを記載したロードマップ： https://www.microsoft.com/en-us/WindowsForBusiness/windows-roadmap

サービシングモデルとロードマップを参考にして頂き、Windows 10 の展開にお役立て下さい。

みなさま、いつも Device & Mobility Team Blog をご覧いただきありがとうございます。戸嶋です。
本日は、2016年4月より一般提供開始＆評価環境がリリースされた Cloud App Security (旧 Adallom) についてご紹介します。
 
＜サービスの機能概要＞
Cloud App Security は、企業内で利用されているSaaS アプリケーションの使用状況をダッシュボード形式で表示し、セキュリティリスクを検知したユーザーのアクセスを制御することができるサービスです。
クラウドアプリケーションを複数活用している企業様にとって、どの組織で、なんのクラウドアプリケーションが、どのように利用されているのか・そもそも正しく利用されているのか、といった、潜在的に活用されているクラウドアプリケーションを含め利用状況のすべてを把握することは非常に困難です。 利用するクラウドアプリケーションが増えれば増えるほど、それらを統合的に管理したいというニーズが出てきますよね。
Cloud App Security は、異なる複数のクラウドアプリケーションを、一元的に管理・利用状況を把握し、さらに万が一の事態に備えてすぐに制御を実施できます。SaaS アプリケーションを企業内で活用しはじめる企業様、そしてすでに複数個のSaaS アプリケーションを活用されていらっしゃり、セキュリティ向上したい 企業様に有効なサービスです。

 
こちらが、Cloud App Security の管理コンソール、ダッシュボードです。

組織内で利用されているクラウドアプリケーションの使用状況をユーザー、データ、アクティビティ、アクセスという切り口で把握します。
主なコントロールメニューに「Discover」「Investigate」「Control」「Alerts」があります。

それでは、Cloud App Security と各管理メニューについて、

①「Discovery」②「Data control」③「Threat protection」という３軸でご紹介します。

Office 365, Yammer, Dynamics CRM, OneDrive, Box, Twitter, Facebook などなど、様々なクラウドアプリケーションが検出されています。こちらには記載されておりませんが、Salesforce, ServiceNow, Ariva などを利用しているお客様でしたら、それらも検出対象になります。

 
① Discovery：クラウドアプリケーションの利用に関わる リスクアセスメントと 検出・解析

・シャドーITの検知と対策
エージェントを利用することなく、13,000を超えるクラウドアプリケーションの利用を検知できます。（Cloud App Security では、エージェントをエンドポイントやユーザーのデバイスにインストールする必要がありません。代わりに、ファイヤーウォール、ルーター、Web アプリケーション ゲートウェイ、その他のプロキシー デバイスなど、各種の送信ネットワーク デバイスからインポートされたログ ファイルに基づいて検出が行われます。）
ユーザー・IPアドレスを識別し、最も利用されているアプリケーション/最も利用しているユーザーを認識し、ダッシュボードに表示します。

・リスク評価

60を超えるリスク評価パラメーターを元に、利用中のクラウドアプリケーションが正しい使われ方をしているのか、確認できます。

-> どのアプリケーションが、どの組織・部門で利用されているのかを検出し、さらに利用中の機密データを保護されていること

-> クラウドアプリケーションが利用されている傾向、アップロードされたデータボリューム、よく利用しているユーザー

-> アプリケーションごとに、特定のユーザーやアクティビティをドリルダウンし、リスクアセスメントの結果

・不審な要素を検出

-> ネットワーク上のあらゆるデバイスの、すべてのクラウド アプリを検出
-> クラウドサービス使用上の異常、新たなサービス、不審なユーザーを監視し、検出
-> 既存の SIEMやIAMソリューション、SSO、および分析ソリューションと統合可能

・解析を実施、ダッシュボードに表示

-> トラフィックログを利用することで、組織内でどんなクラウドアプリケーションが検出・解析を行う
-> ファイヤーウォールやプロキシーからログファイルを自動/手動でアップロードして、解析に使うことが可能

サポートされるファイヤーウォール・プロキシーについてはこちらをご参照ください。

What is Microsoft Cloud App Security? 　How Cloud Discovery works
https://msdn.microsoft.com/en-us/library/mt489024.aspx

② Data control: クラウドアプリケーションで利用されるデータを保護するために、ポリシーを適用

・ポリシーの定義

-> アクセス、アクティビティ、データ共有に関するポリシーを作成

例えば、顧客のクレジットカードナンバー、ファイル重要度をヒエラルキー、リスクを最小限に抑え脅威の回避とポリシーの適用を自動化できます。
-> 認可したクラウドアプリケーションのセキュリティポリシーを詳細に設定することが可能
-> 事前定義されたテンプレートか、既存のデータ漏えいを防止 (DLP) ポリシーを拡張して利用
rest フォーマットのデータも、文書データそのものも、データ紛失を防ぐことができます。
-> クラウドで活用するデータのガバナンスを効かせることが可能

例えば、クラウドストレージやクラウドアプリケーションに保有されたファイルや、添付資料などが対象です。

・ポリシーの強制適用
-> ポリシー違反やユーザーの調査、ファイルやアクティビティのレベルを識別
-> 検疫や、許可のはく奪といったポリシーの強制適用が可能
-> 許可されていない端末からの、トランザクションのブロックやセッションの制御

・API を利用し、サード パーティのクラウド アプリケーションに拡張可能

App Connectors は、3rd Party クラウドアプリケーションから提供されるAPI を利用し、他のアプリと統合したり、コントロールや保護機能を 拡張することができます。

クラウドアプリケーションに接続し、拡張保護をするために、管理者は Cloud App Security がクラウドアプリケーションに接続できるようにし、アプリのアクティビティログを問い合わせし、データやクラウドのコンテンツをスキャンできるように、認証する必要があります。

そうすることで、Cloud App Security は、ポリシーを強制適用させることができたり、脅威を検知できたり、ガバナンスをよりきかせることができるようになります。

③ Threat protection: セキュリティ脅威の防止

こちらが [Alerts] のダッシュボードです。

クラウドアプリケーション環境内の、違反の可能性が高い利用をしているユーザーを行動・習性の解析し表示。攻撃のパターンアクティビティを可視化。すべてのクラウド アプリについて、ユーザー、データ、使用状況、および脅威をより詳細に把握します。リスク検出後、リスクの高いアクティビティ・異常な動作・脅威を自動的に識別。また、機械学習を用いた、高度な異常検出とユーザー行動分析を実施します。

また下記のアクションを実行できます。

・アクションの適用: 検疫、駆除、アクセス許可の削除など
・データ損失の防止: 送信中と保存中の両方のデータに対応
・ブロック: 機密性の高いトランザクションをブロック
・クラウド環境の構成: すぐに使用できるポリシーとカスタム ポリシーを利用
・セッションの制限: 管理されていないデバイスに対応
・統合: 既存の MDM、DLP、暗号化、SIEM、IAM、および SSO ソリューションと統合

Cloud App Security 関連情報は、今後も引き続き、 Update をいたします。

＜参考資料＞
[MSDN] What is Microsoft Cloud App Security?
https://msdn.microsoft.com/en-us/library/mt489024.aspx

[TechNet] Getting started with Cloud App Security
https://technet.microsoft.com/en-us/library/mt668458.aspx

みなさま、いつも Device & Mobility Team Blog をご覧いただきありがとうございます。EMS担当の鈴木です。しばらく更新が滞っておりましたが、こちらのBlogを再開させていただきます。最近、EMSは大きく進化しました。本日は現在のEMSの製品構成を一度おさらいしておきたいと思います。

Enterprise Mobility + Security
EMSはEnterprise Mobility SuiteからEnterprise Mobility + Security に名称が変更されました。またエディションもEMS E3とEMS E5の2種類になりました。リリース情報は以下で紹介しています。
https://blogs.technet.microsoft.com/mpn_japan/2016/10/09/new-ems-and-spe-e5-launches-from-october-2016/

EMS E3
EMS E3 はいままでEnterprise Mobility Suiteとして提供してきたものと同等になります。
それぞれの製品の特長は以下の通りです

• Azure Active Directory Premium P1
  クラウドベースの認証基盤です。マイクロソフトのSaaSサービス全般の認証基盤だけでなく、3rd PartyのSaaSアプリの認証基盤、社内アプリの公開を実現します。また社内のADと連携してID管理を行うことができます。最近では管理するSaaSアプリへのアクセスを管理する条件付きアクセスや多要素認証の機能を実装し、よりセキュリティを重視した認証基盤になっています。
• Intune
  モバイルデバイスの管理（MDM）や、モバイルデバイス上のアプリケーション管理（MAM）の機能を提供します。特にMAMは情報漏洩の対策として、ユーザーの生産性を落とさずに利用することが可能です。また、MAMはIntuneで管理されてなくても利用することができるため、BYODでの利用も可能です。
• Azure Information Protection P1
  以前はAzure Rights Management Serviceと呼ばれていましたが、新しく Azure Information Protection としてリニューアルされました。IRMによる暗号化のほか、文書へのラベル付けもできるようになりました。また Azure Information Protection のクライアントが提供されラベル付けや暗号化がワンクリックで実現できるようになりました。
• Advanced Threat Analytics
  オンプレミスのActive Directoryを監視して不正な攻撃やアクセスがないかを監視します。最近の標的型攻撃などを検出することが可能です。

EMS E5
EMS E5 はEMS E3に加えてえよりセキュリティを強化する目的で追加された製品群です。

• Azure Active Directory Premium P2
  Azure Active Directory Premium P1に加え、より高度なIDの保護を行います。また、管理者IDの管理を提供し、ワークフローを流したり、一時的な管理者特権の付与を行います。
• Azure Infomation Protection P2
  Azure Infomation Protection P1 の機能に自動保護の機能を追加しました、キーワードや正規表現に基づき自動的にラベリングと暗号化を行います。
• Cloud App Security
  CASB (Cloud Access Security Broker)製品になります。社内のファイアーウオールのログからシャドーITを検出たり、利用しているSaaSアプリのスコアを確認することができます。またAPI連携している製品はクラウドアプリをポリシーに基づいて制御することができます。

今後は各製品のアップデート情報を提供してまいります。

みなさま、いつも Device & Mobility Team Blog をご覧いただきありがとうございます。EMS 担当の鈴木です。
昨年12月に今までプレビュー機能であったフェデレーション環境での証明書ベースの認証機能が一般公開されました。

[元の記事]
#AzureAD Certificate Based Authentication is Generally Available!
https://blogs.technet.microsoft.com/enterprisemobility/2016/12/14/azuread-certificate-based-authentication-is-generally-available/

この発表では以下の2つの内容が発表されました

1. フェデレーション環境において、iOS,Android環境のOffice アプリでフェデレーションサーバへの証明書認証がサポートされます。対象アプリは以下になります。

2. Exchange OnlineにExchange Active Syncでアクセスする際にも証明書ベースでの認証ができるようになりました。これらはモバイルデバイスの対応アプリ（iOSの標準メールなど）が対象になります。

詳細の設定は以下に記載があります
iOS
https://docs.microsoft.com/en-us/azure/active-directory/active-directory-certificate-based-authentication-ios#getting-started
Android
https://docs.microsoft.com/en-us/azure/active-directory/active-directory-certificate-based-authentication-android#getting-started