先日ExchangeOnlineの基本認証(Basic)が非推奨となり、2020年10月13日には廃止されることが発表されました。
※2020/4/6 追記 基本認証の廃止はCOVID-19の影響を鑑みて2021年後半へ延期するとの発表がありました。
Office365管理者は基本認証が 廃止されるまでに先進認証(ADAL)を有効にし、基本認証を利用するクライアントを先進認証を使うクライアントにリプレースする必要があります。
ExchangeOnlineの先進認証の有効化及び基本認証の廃止に伴う対応について記載します。
Continue reading “ExchangeOnlineの基本認証廃止に備え先進認証を有効化する”Microsoftは昨今Power Platformの推進を進めており、Office365管理者がライセンスを購入してユーザーに配布するのではなく、ユーザー自身が課金して自由に有料ライセンスを利用できるセルフサービス購入の仕組みを先日発表しました。
しかし、このセルフサービス購入の仕組みについて多数のOffice365管理者からの抗議が行われた結果、管理者がセルフサービス購入を無効化するオプションが提供されました。
セルフサービス購入を無効化した場合、従来通り管理者がライセンスを購入してユーザーに割り当てる仕組みが適用されます。
この記事ではOffice365管理者が自社テナントのユーザーがセルフサービス購入を利用できないよう制限するための手順を記載します。
前回まででスマートカード証明書のテンプレート発行までを説明しました。
これで事前準備はすべて整いましたのでようやく証明書の発行と実際のログインについて説明します。
前回はスマートカード認証の説明とYubikey用ドライバのインストールまでを説明しました。
今回はサーバ側でスマートカードに登録する証明書のテンプレートの作成・発行手順について説明します。
社員数がある程度以上の規模の企業ではActiveDirectoryが導入されていることが多く、その企業のIT基盤の中心にいることも少なくありません。
ユーザー/コンピュータの管理、アプリケーションへのシングルサインオン、アクセス権限管理など便利な機能が多数備わっており、その利便性ゆえに不正アクセスされた場合の被害も甚大なものとなります。
侵入経路や特権IDの奪取など、詳細な攻撃手法については説明を省きますが対策が不十分な企業のActiveDirectoryの特権IDを取得することは攻撃者にとってそこまで困難なものではなくなってきています。
もちろんそれらに対抗するためのセキュリティ施策も多数あるのですが、今回は特権IDを保護するためにActiveDirectoryでスマートカード認証の仕組みを構築し、それをYubikeyで実施する方法を紹介します。