こんにちは。

本日は画期的な最新情報をお届けします。このたび、標準規格に準拠した FIDO2 対応デバイスを使用して、ユーザー名とパスワードの入力なしで Microsoft アカウントに安全にサインインできるようになりました。FIDO2 では、標準規格のデバイスを活用してオンライン サービスに対する認証を、モバイルとデスクトップのどちらの環境でも簡単に行うことができます。これは、米国では既に提供が開始されており、今後数週間をかけて世界各国で提供される予定です。

使いやすさとセキュリティを兼ね備え、幅広い業界に対応するこのサインインのしくみは、家庭でもモダン ワークプレイスでも革新的な存在になるでしょう。毎月 8 億人を超えるユーザーが、仕事や趣味のために、Microsoft アカウントを使用して、あらゆる場所から Outlook、Office、OneDrive、Bing、Skype、Xbox Live にアクセスし、何かを作成したり、つながったり、共有したりしています。そうしたユーザーの皆様に、このシンプルなユーザー エクスペリエンスと格段に強化されたセキュリティのメリットを大いに活用していただけるようになります。

本日より、FIDO2 対応デバイスまたは Windows Hello を使用して、Microsoft Edge ブラウザーから Microsoft アカウントにサインインできます。

次のビデオで、このしくみを簡単に紹介しています。

Microsoft は、パスワード不要のサインインを目指しており、ユーザーがデータやアカウントを脅威から保護できるよう支援しています。Fast Identity Online (FIDO) アライアンスと World Wide Web コンソーシアム (W3C) にも参加しており、他のメンバーと共に次世代の認証方式のオープン標準を策定しています。Microsoft は、Fortune 500 企業の中では初めて、WebAuthn と FIDO2 仕様によるパスワード不要の認証をサポートすることになりました。また Microsoft Edge は、他のどの主要ブラウザーよりも幅広い認証方式をサポートしております。

認証のしくみや使用方法については、以下で詳しくご説明していきます。

使用を開始する

FIDO2 セキュリティ キーを使用して Microsoft アカウントにサインインする手順は次のとおりです。

1. Windows 10 October 2018 Update に更新済みであることを確認します。
2. Microsoft Edge で Microsoft アカウント ページに移動し、通常どおりサインインします。
3. [セキュリティ]、[その他のセキュリティ オプション] の順に選択し、[Windows Hello とセキュリティ キー] で、表示された手順に従ってセキュリティ キーを設定します(セキュリティ キーは、Yubico や Feitian Technologies など、FIDO2 標準をサポートする Microsoft パートナーから購入できます*)。
4. 次回サインイン時に、[その他のオプション]、[セキュリティ キーを使用する] の順にクリックするか、ユーザー名を入力するかを選択できます。前者を選択すると、セキュリティ キーを使用してサインインするよう指示されます。

ちなみに、Windows Hello を使用して Microsoft アカウントにサインインする方法は以下のとおりです。

1. Windows 10 October 2018 Update に更新済みであることを確認します。
2. Windows Hello をセットアップします (未設定の場合)。Windows Hello がセットアップ済みの場合は次に進みます。
3. 次回 Microsoft Edge でサインインするときに、[その他のオプション]、[Windows Hello またはセキュリティ キーの使用] の順にクリックするか、ユーザー名を入力するかを選択できます。前者を選択すると、Windows Hello またはセキュリティ キーを使用してサインインするよう指示されます。

詳細については、設定方法に関する詳しいヘルプ記事をご覧ください。

* FIDO2 仕様で省略可と規定されている機能のうちいくつかは、Microsoft のセキュリティに必須です。キーが機能するには、これらの機能が実装されている必要があります。詳細については、Microsoft 対応セキュリティ キーに関するドキュメントをご覧ください。

しくみ

内部的には、WebAuthn と FIDO2 CTAP2 の仕様をサービス内部に実装することによってこのサインイン方法を実現しています。

パスワードとは異なり、FIDO2 は公開/秘密キー暗号化を使用してユーザー資格情報を保護します。ユーザーが FIDO2 の資格情報を作成して登録すると、デバイス (PC または FIDO2 デバイス) が秘密キーと公開キーをデバイス上に生成します。秘密キーはデバイス上に安全に保管されており、使用するにはローカル ジェスチャ (生体認証や PIN など) を使用してロックを解除する必要があります。生体認証や PIN の情報がデバイスの外に流出することは決してありません。秘密キーが保管されると同時に、公開キーはクラウドの Microsoft アカウント システムに送信され、ユーザー アカウントと共に登録されます。

後でユーザーがサインインするときに、Microsoft アカウント システムから PC または FIDO2 デバイスに nonce (その場限りの値) が送信されます。PC またはデバイスは秘密キーを使用してこの nonce に署名します。署名された nonce とメタデータが Microsoft アカウント システムに返送され、公開キーを使用して検証されます。WebAuthn と FIDO2 の仕様では、署名済みのメタデータは、ユーザーの存在を証明する情報を含み、ローカルのジェスチャによる認証が正しいことを証明します。このため、Windows Hello や FIDO2 デバイスでの認証は「フィッシング不可能」であり、マルウェアによって簡単に盗み出すことはできません。

では、このしくみが Windows Hello や FIDO2 デバイスでどのように実現されているのでしょうか? ユーザーの Windows 10 デバイスの能力に応じて、ハードウェア トラステッド プラットフォーム モジュール (TPM) と呼ばれる安全な領域が組み込まれるか、ソフトウェア TPM を使用することになります。TPM に秘密キーが格納されており、これを取り出すにはユーザーの顔、指紋、または PIN が必要です。同様に、FIDO2 デバイス (たとえばセキュリティ キー) は小型の外部デバイスで、その内部に安全な領域が組み込まれています。ここに秘密キーが格納され、取り出すには生体認証または PIN が必要です。どちらの方法も、2 要素認証をワン ステップで実現するものであり、サインインするには登録済みのデバイスと生体認証または PIN の両方を必要とします。

実装に関する技術的な詳細については、Microsoft の ID 認証の標準に関するブログ記事をご覧ください。

今後について

Microsoft は、パスワードの使用を減らして将来的になくしていくための取り組みを進めています。現在は、ブラウザーとセキュリティ キーを使用する同じサインイン方法を、Azure Active Directory に登録された職場または学校用のアカウントについても利用できるようにするための作業を行っています。大企業のお客様向けに、この機能のプレビューを年明け早々に開始する予定です。これで、従業員が各自のアカウントのセキュリティ キーを自分でセットアップして Windows 10 やクラウドにサインインできるようになります。

今後 WebAuthn と FIDO2 の標準規格をサポートするブラウザーやプラットフォームが増えれば、Microsoft Edge と Windows で実現したこのパスワードレスのエクスペリエンスを、あらゆるところに応用できるようになります。

年明けの詳細発表までもうしばらくお待ちください。

お読みいただき、ありがとうございました。
Alex Simons (@Twitter: @Alex_A_Simons)
プログラム マネジメント担当 CVP
Microsoft アイデンティティ部門

The post セキュリティ キーまたは Windows Hello を使用したパスワード不要の安全な Microsoft アカウントへのサインイン appeared first on Microsoft 365 Blog.

Microsoft の Identity Division に所属しているすべてのメンバーは、お客様が従業員、パートナー、顧客の生産性を向上できるように、またお客様の企業リソースへのアクセスを簡単かつ安全に管理できるように、日々取り組んでいます。

だからこそ、Microsoft が最近、アクセス管理部門で 2018 年の Gartner Peer Insights Customers’ Choice を受賞し、世界的に認められたことを非常に嬉しく思っています。

この発表に際して、Gartner は「Gartner Peer Insights Customers’ Choice は、実績のあるエンドユーザーの専門家がこの市場のベンダーを評価するもので、レビュー件数と総合的なユーザー評価も考慮されています」と説明しています。 評価の公正さを確保するために、Gartner は、顧客満足度の高いベンダーを認定するための厳格な基準を設けています。

この受賞は、これからの大きな励みになります。これは、私たちがお客様にプラスの影響を与えていること、そして今年 Azure Active Directory (Azure AD) に追加された技術革新がお客様から高く評価されていることの強力な証しです。

この認定を受けるには、ベンダーは、最低でも 50 件の公開レビューと 4.2 ポイント以上の平均総合評価を獲得する必要があります。

以下は、お客様が Microsoft について書いたレビューから一部を引用したものです。

「Azure AD は、わが社が直面する ID とアクセスの問題の大半をそれだけで解決できるソリューションになってきました。」
– 運送業界のエンタープライズ セキュリティ アーキテクト。レビューの全文を読む。

「Azure Active Directory により、高可用性のユビキタスなディレクトリ サービスに向けて大きな一歩を踏み出しました。」
– サービス業界の最高技術責任者。レビューの全文を読む。

「複数の機関のニーズを満たす ID ソリューションを実装する際、[Microsoft は] すばらしいパートナーでした。SSO や、レガシー アプリケーションと新しく開発されたアプリケーションの統合を進めるためのロードマップを提供してくれました。また、SaaS アプリケーションの認証とアクセスの基準を設定することもできました。」
– 政府機関の技術責任者。レビューの全文を読む。

他のMicrosoft に関するレビューもお読みください。

今日、Azure AD Premium は 89 か国の 90,000 社を超える企業で使用されており、1 日あたり 80 億件以上の認証を管理しています。エンジニアリング チームは、高い信頼性と拡張性、サービスに対する高い満足度を提供するために、24 時間体制で仕事をしているので、Customers’ Choice として認定されたことは、大きな励みになります。多くのお客様が、Microsoft の ID サービスを利用してすばらしい成果を収めていることは、嬉しい限りです。

Azure AD の作業に携わっているメンバー全員を代表して、このたびの認定に対し、お客様に感謝の意を表します。Customers’ Choice を受賞できるよう、今後も経験と信頼を積み重ねていきたいと思います。

Gartner Peer Insights Customers’ Choice のロゴは、Gartner, Inc. およびその関連会社の商標およびサービス マークであり、同社の許可を得て使用しています。All rights reserved.ここで詳しく説明したとおり、Gartner Peer Insights Customers’ Choice 賞は、個々のエンドユーザーの利用体験に基づく主観的な見解、Gartner Peer Insights に公開されたレビュー件数、市場におけるそのベンダーに関する総合的な評価によって決定されるものであり、Gartner やその関連会社による見解を表すものではありません。

お読みいただき、ありがとうございました。

Alex Simons (@Twitter: @Alex_A_Simons)
Corporate VP of Program Management
Microsoft Identity Division

The post Microsoft がアクセス管理部門で 2018 年 Gartner Peer Insights Customers’ Choice を受賞 appeared first on Microsoft 365 Blog.

本日はすばらしいニュースをお届けします。Gartner は 2 年連続で、2018 年アクセス管理マジック クアドラント (全世界) において、Microsoft を “リーダー クアドラント” に認定しました。これは、アクセス管理市場において Microsoft のビジョンの完全性と実行能力が認められたことによるものです。こちらの無料版レポートで、その理由をご覧ください。

Gartner によると、”リーダー” は、テクノロジ、手法、提供方法に関して期待される要件に対し、確実な実行力があることを証明します。さらに “リーダー” は、関連製品や類似製品の集まりの中で、アクセス管理がどのような役割を果たすかについての証拠も示します。

リーダー クアドラントで最高のビジョン

Microsoft は、2 年連続でリーダー クアドラントのビジョンの完全性で最高評価を与えられました。実行能力における Microsoft の評価が上がったことで、現在の組織が抱える問題を支援し、個人識別情報に関する将来のニーズに組織が備えることができるような戦略に基づいて実行することを、Microsoft がいかに重視しているかも示されます。

Microsoft では、最高レベルの ID とアクセス管理ソリューションの重要な機能として、条件付きアクセス ポリシーと ID に対する脅威対策を推進しています。Windows 10、Office 365、および EMS による機能豊富なエコシステムの一環として、Microsoft は製品全体のセキュリティ ポリシーを統合して、すべてのユーザー エクスペリエンスを把握、制御できるようにすることに注力してきました。さらに今年は、お客様からのご意見とフィードバックを取り入れ、エクスペリエンスを改善し、すべての ID を 1 か所で簡単に取得できるようにしました。Microsoft では、従業員、パートナー、お客様のための革新的かつ包括的な ID およびアクセス管理ソリューションを提供するべく努めていきます。

お客様やパートナーからのご意見とご支持がなければ、この部門のリーダーであり続けることはできませんでした。感謝いたします。

お読みいただき、ありがとうございました。

Alex Simons (Twitter: @Alex_A_Simons)

Director of Program Management

Microsoft Identity Division

注:

このグラフィックは Gartner, Inc. によって、大規模な調査文書の一部として発行されており、文書全体のコンテキストで評価する必要があります。Gartner の文書は、Microsoft からの要求に基づいて入手できます。

Gartner は調査結果に記載された特定のベンダー、製品、サービスを推奨するものではありません。また、技術ユーザーに、高い評価を得たベンダーのみを選択するよう助言するものでもありません。Gartner の調査結果は Gartner の調査組織の意見で構成されており、事実の表明として解釈すべきではありません。Gartner は、明示または黙示を問わず、本調査の商品性や特定目的への適合性を含め、保証するものではありません。

The post ビジョンと実行力: Microsoft はアクセス管理で再び Gartner マジック クアドラントの “リーダー” に認定 appeared first on Microsoft 365 Blog.

今まで、パスワードを作るたびに、それを推測しようとする人々が必ず現れました。このブログでは、最近きわめて頻繁に目にするようになった一般的な攻撃について説明し、それから身を守るためのベスト プラクティスをご紹介します。この攻撃は、一般的にパスワード スプレーと呼ばれています。

パスワード スプレー攻撃を行う攻撃者は、使用されることの多いパスワードによるアクセスを大量のアカウントやサービスに対して試み、パスワード保護されている資産を入手しようとします。通常、これはさまざまな組織や ID プロバイダーが標的になります。たとえば、攻撃者は Mailsniper などの一般的に手に入るツールキットを使用して、複数の組織に属するすべてのユーザーを列挙し、すべてのアカウントでパスワード “P@$$w0rd” と “Password1”を試します。わかりやすく示すと、次のような攻撃が行われます。

この攻撃パターンは、個々のユーザーまたは会社の立場からはログインの失敗にしか見えないため、ほとんどの検出手法をすり抜けてしまいます。

攻撃者の立場からすると、これは数当てゲームのようなもので、非常によく使用されるパスワードがいくつか存在するということがわかっているという状態です。そのような非常によく使用されるパスワードを使っているアカウントは全体のわずか 0.5 から 1.0% にすぎませんが、攻撃者にとってみれば 1,000 回の攻撃につき数回を成功させることができれば、それで十分効果的なのです。

攻撃者はそのアカウントを使って、メールからデータを入手したり連絡先情報を取得したりでき、またフィッシング リンクを送り付けたり、またはそのままパスワード スプレー攻撃の標的グループを拡大したりできます。彼らは、最初の標的がどのような人物であるかはあまり気にしません。何らかの手掛かりを得て、それを利用していくのです。

ありがたいことに、Microsoft は既にこのような攻撃の威力を失わせる多くのツールを実装して利用可能な状態にしており、今後も追加されていきます。このまま読み進めて、パスワード スプレー攻撃を食い止めるために現在できること、そして今後数か月でできるようになることをご確認ください。

パスワード スプレー攻撃を阻止するための 4 つのステップ

ステップ 1:クラウド認証を使用する

クラウドでは、毎日 Microsoft のシステムに数十億件のサインインが行われています。Microsoft のセキュリティ検出アルゴリズムは、攻撃をその場で検出し、ブロックできます。このリアルタイムの検出および保護のシステムはクラウドから実行されるため、クラウドで Azure AD 認証 (パススルー認証も含む) を実行している場合にのみ使用できます。

Smart Lockout

クラウドでは、Smart Lockout を使用することにより、正当なユーザーによると考えられるサインインの試行と、攻撃者である可能性のあるサインインとを区別します。攻撃者をロックアウトしつつ、正当なユーザーは引き続き自分のアカウントを使用できるようにすることができます。これにより、ユーザーに対するサービス拒否を防ぎ、さらに執拗なパスワード スプレー攻撃は食い止めます。これは、ライセンスのレベルに関係なくすべての Azure AD サインインに、また、すべての Microsoft アカウントによるサインインに適用されます。

Active Directory フェデレーション サービス (AD FS) を使用しているテナントは、2018 年 3 月から Windows Server 2016 の AD FS で Smart Lockout をネイティブで使用できるようになります。Windows Update を通じて入手できるこの機能を使用することを検討してください。

IP ロックアウト

IP ロックアウトは、先ほど述べた数十億のサインインを分析して、Microsoft のシステムにアクセスする各 IP アドレスからのトラフィックの質を評価することによって機能します。この分析により、IP ロックアウト機能は悪意のある動作をしている IP アドレスを見つけ、サインインをリアルタイムでブロックします。

攻撃シミュレーション

Office 365 脅威インテリジェンスの一部としてパブリック プレビューが始まった攻撃シミュレーターを使用すると、お客様は自社のエンド ユーザーに対して攻撃のシミュレーションを実行して、攻撃が発生したときにユーザーがどのように行動するかを見きわめ、ポリシーを更新したり適切なセキュリティ ツールを確実に用意したりすることで、パスワード スプレー攻撃などの脅威から組織を保護できます。

今すぐ実行することを推奨:

1. クラウド認証をお使いの場合、対応は不要です。
2. AD FS、または別のハイブリッド シナリオを使用している場合は、2018 年 3 月の AD FS のアップグレードに合わせて Smart Lockout の使用を検討してください。
3. 攻撃シミュレーターを使用してセキュリティ体制を事前に評価し、調整を行います。

ステップ 2: 多要素認証を使用する

パスワードはアカウントにアクセスするための鍵ですが、巧妙なパスワード スプレー攻撃では、攻撃者は正しいパスワードを推測してしまいます。これを食い止めるには、アカウント所有者と攻撃者とを区別するために、パスワードを超えるものが必要です。これには次の 3 つがあります。

リスクベースの多要素認証

Azure AD Identity Protection では、上で説明したサインイン データを活用し、高度な機械学習およびアルゴリズムベースの検出と組み合わせて、システムにアクセスするすべてのサインインのリスク スコアを決定しています。大企業のお客様はこれを使用して、ユーザーまたはセッションに対してリスクが検出された場合にのみ第 2 要素を使って認証するように要求するポリシーを Identity Protection 内に作成することができます。これにより、ユーザーの負荷を軽減しつつ、攻撃者の侵入経路をふさぐことができます。詳細については、Azure Active Directory Identity Protection とはをご覧ください。

多要素認証の常時使用

さらにセキュリティを高めるために、Azure MFA を使用して、クラウド認証と AD FS の両方で常にユーザーに多要素認証を行うように要求することができます。この場合、エンド ユーザーは常にデバイスを手元に用意する必要があり、また、多要素認証を要求される頻度も高くなりますが、企業のセキュリティを最大限に高めることができます。組織のすべての管理者に対しては、これを有効にしてください。Azure の多要素認証についてはこちら、AD FS での Azure MFA の設定方法についてはこちらで詳細をご確認ください。

プライマリ認証としての Azure MFA

ADFS 2016 では、Azure MFA をパスワード不要の認証のプライマリ認証として使用することができます。これは、パスワード スプレー攻撃やパスワード窃取攻撃からの防御として優れたツールです。パスワードが存在しなければ、推測することもできないからです。これは、さまざまなフォーム ファクターを備えた、あらゆる種類のデバイスで大きな効果を発揮します。さらに、Azure MFA によってワンタイム パスコードが有効と確認された場合にのみ、パスワードを第 2 要素として使用することができます。パスワードを第 2 要素として使用することの詳細については、こちらをご覧ください。

今すぐ実行することを推奨:

1. Microsoft は、組織のすべての管理者、特にサブスクリプションの所有者とテナント管理者については、多要素認証の常時使用を有効にすることを強くお勧めします。ぜひ今すぐ実行してください。
2. それ以外のユーザーに対しては、最適なパフォーマンスでご利用いただくために、Azure AD Premium P2 ライセンスで使用可能なリスクベースの多要素認証をおすすめします。
3. または、クラウド認証と AD FS に対して Azure MFA を使用することもできます。
4. AD FS で、Windows Server 2016 の AD FS にアップグレードして、Azure MFA をプライマリ認証として使用します。特に、すべてのエクストラネット アクセスに対しては必ず行います。

ステップ 3: 全員が優れたパスワードを設定する

これらをすべて実行した上でも、パスワード スプレー防御の最も重要な部分は、すべてのユーザーが推測されにくいパスワードを使用することです。推測されにくいパスワードの作成方法をユーザーが知らないことは珍しくありません。Microsoft では、以下のツールによってこの点をサポートしています。

禁止パスワード

Azure AD では、パスワードのすべての変更およびリセットに対して、禁止パスワード チェッカーが実行されます。新しいパスワードが送信されると、絶対に使用するべきでない単語のリストとファジー比較が行われます (leet-speak から l33t-sp3@k への変換なども検出されます)。リスト内の単語と一致した場合、ユーザーは推測されにくいパスワードを選ぶように要求されます。Microsoft は、攻撃されやすいパスワードのリストを作成し、頻繁に更新しています。

カスタム禁止パスワード

禁止パスワードをさらに活用するために、テナントが禁止パスワードのリストをカスタマイズできるようにすることを予定しています。管理者は、自分たちの組織にとってなじみのある単語、たとえば有名な従業員や創立者、製品、場所、各地の名物などを選び出して、ユーザーのパスワードに使用されるのを防ぐことができます。このリストは全体のリストへの追加として適用されるため、どちらか片方だけを選ぶ必要はありません。この機能は現在、限定プレビューの段階で、今年中に公開される予定です。

オンプレミスでのパスワード変更での禁止パスワード

今春、Microsoft は、企業の管理者が Azure AD と Active Directory のハイブリッド環境で禁止パスワードを設定できるツールをリリースします。禁止パスワードのリストがクラウドからオンプレミス環境に同期され、エージェントがインストールされているすべてのドメイン コントローラーに適用されます。これにより管理者は、ユーザーがクラウドとオンプレミスのどちらでパスワードを変更しても、常にパスワードを推測されにくいものにすることができます。この機能は、2018 年 2 月に一部のお客様にプライベート プレビューとして公開され、今年中に一般公開される予定です。

パスワードに対する認識を改める

優れたパスワードの条件として一般に考えられているものの多くは、間違っています。計算上はうまくいくはずでも、実際にはユーザーの行動を予測しやすくなることもあります。たとえば、特定の文字種や定期的なパスワード変更を要求することは、どちらもパスワードのパターンを固定化することにつながります。詳細については、パスワード ガイダンス ホワイトペーパーをご覧ください。Active Directory と PTA または AD FS を組み合わせて使用している場合は、パスワード ポリシーを更新してください。クラウド管理アカウントを使用している場合は、パスワードを無期限に設定することを検討してください。

今すぐ実行することを推奨:

1. Microsoft 禁止パスワード ツールがリリースされたら、オンプレミスにインストールして、ユーザーが優れたパスワードを作成できるようにします。
2. パスワード ポリシーを見直し、パスワードを無期限に設定して、ユーザーが周期的なパターンに沿ってパスワードを作成することがないようにします。

ステップ 4: AD FS と Active Directory のさらに高度な機能

AD FS と Active Directory のハイブリッド認証を使用している場合、パスワード スプレー攻撃から環境を守るために実行できるアクションは他にもあります。

最初のステップ: ADFS 2.0 または Windows Server 2012 を実行している組織の場合、できるだけ早く Windows Server 2016 の AD FS に移行することを計画してください。最新バージョンは更新がより迅速に行われ、Extranet Lockout など、強力な機能を備えています。重要: Windows Server 2012R2 から 2016 へのアップグレードはとても簡単です。

エクストラネットからのレガシー認証のブロック

レガシー認証プロトコルには MFA を強制する機能がないため、最適なアプローチはエクストラネットからのレガシー認証をブロックすることです。これにより、パスワード スプレーの攻撃者がレガシー認証プロトコルに MFA がないことを悪用するのを避けることができます。

AD FS Web アプリケーション プロキシでの Extranet Lockout の有効化

AD FS Web アプリケーション プロキシで Extranet Lockout を実行していない場合は、実行される可能性のあるパスワードのブルートフォース攻撃からユーザーを保護するために、できるだけ早くこの機能を有効にする必要があります。

AD FS への Azure Active Directory Connect Health の展開

Azure AD Connect Health は、不正なユーザー名またはパスワードによるリクエストとして AD FS ログに記録された IP アドレスを取得し、さまざまなシナリオに関して追加的なレポートを作成して、サポート担当エンジニアが問い合わせを処理する際の参考になる知見を提供します。

展開するには、最新バージョンの AD FS 用 Azure AD Connect Health Agent をすべての AD FS サーバー (2.6.491.0) にダウンロードします。AD FS サーバーは、サポート技術情報 KB 3134222 がインストールされた Windows Server 2012 R2、または Windows Server 2016 上で実行する必要があります。

パスワードを使用しないアクセス方法

パスワードがなければ、推測されることもありません。パスワードを使用しない認証方法は、AD FS と Web アプリケーション プロキシで使用できます。

1. 証明書ベースの認証では、ユーザー名とパスワードで特定されるエンドポイントをファイアウォールで完全にブロックすることができます。AD FS での証明書ベースの認証について、詳細はこちらをご覧ください。
2. 上で説明したとおり、Azure MFA はクラウド認証と ADFS 2012 R2 および 2016 の第 2 要素として使用できます。しかし、AD FS 2016 ではこれを第 1 要素として使用して、パスワード スプレーの可能性を完全に排除することもできます。AD FS に Azure MFA を設定する方法については、こちらをご覧ください。
3. Windows 10 で使用でき、Windows Server 2016 の AD FS でサポートされている Windows Hello for Business は、ユーザーとデバイスの両方に結び付けられた強力な暗号化キーに基づいて、完全にパスワードなしのアクセスを、エクストラネットからのアクセスも含めて実現しています。これは、企業が管理する Azure AD 参加または Hybrid Azure AD 参加しているデバイスに加えて、設定アプリで [職場または学校アカウントの追加] を使用して参加した個人用デバイスでも使用できます。Hello for Business の詳細については、こちらをご覧ください。

今すぐ実行することを推奨:

1. 更新を早く受け取るために ADFS 2016 にアップグレードしてください。
2. エクストラネットからのレガシー認証をブロックします。
3. すべての AD FS サーバーに AD FS 用 Azure AD Connect Health エージェントを展開します。
4. Azure MFA、証明書、Windows Hello for Business など、パスワードなしのプライマリ認証方法を使用することを検討してください。

追加メリット: Microsoft アカウントの保護

Microsoft アカウントをお使いの場合:

• お客様は既に保護されています。Microsoft アカウントには Smart Lockout、IP ロックアウト、リスクベースの 2 段階認証、禁止パスワードなども組み込まれています。
• ただし、2 分ほど時間を取っていただき、Microsoft アカウントのセキュリティ ページにアクセスし、[セキュリティ情報の更新] をクリックして、リスクベースの 2 段階認証に使用されるご自分のセキュリティ情報を確認してください。
• アカウントのセキュリティを最大限に高めるために、こちらで 2 段階認証を常に有効にすることをご検討ください。

最高の防御は、このブログで紹介している推奨事項に従うことです。

パスワード スプレーはインターネット上でパスワードを使用しているすべてのサービスにとって深刻な脅威ですが、このブログで示したステップを実践すれば、この種の攻撃に対して最大限の防御が得られます。また、さまざまな種類の攻撃が似たような特徴を持っているため、有効な防御のヒントにもなります。お客様のセキュリティは常に私たちの最優先事項です。Microsoft は、パスワード スプレーなど、広がりを見せるさまざまな種類の攻撃に対し、新しく先進的な保護の開発に取り組み続けます。ここまでに示した方法を今すぐ採用し、インターネット上の攻撃者から身を守るための新しいツールが公開されていないか、小まめに確認してください。

この情報がお役に立てば幸いです。今回も、皆様からのフィードバックやご提案をお待ちしております。

お読みいただき、ありがとうございました。

Alex Simons (Twitter: @Alex_A_Simons)

Director of Program Management

Microsoft Identity Division

The post Azure AD と ADFS のベスト プラクティス: パスワード スプレー攻撃からの防御 appeared first on Microsoft 365 Blog.

本日の記事では、気軽に楽しめる読み物として、デジタル ID の将来について今後期待される展望を簡単にまとめてみました。楽しんでいただければ幸いです。

Microsoft では、過去 1 年間にわたり、ブロックチェーン (およびその他の分散型台帳技術) を使用して新種のデジタル ID (個人のプライバシー、セキュリティ、コントロールを強化するために新規に設計された ID) を作成するためのさまざまなアイデアを検討してきました。その過程で学んだことや、培われたパートナーシップは、今後大いに役立つことが期待されます。本日はこの機会を利用して、私たちの考えや今後の方向性を皆さんにお伝えしたいと思います。このブログはシリーズ記事の一部であり、Peggy Johnson が投稿した、Microsoft が ID2020 イニシアチブに参加したことを発表したブログ記事に続くものです。Peggy の記事をまだお読みになっていない方は、まずその記事をお読みになることをおすすめします。

チームのプロジェクト マネージャーであり、分散型デジタル ID に関する検討を率いる Ankur Patel に、それをテーマとした議論を開始するよう依頼したところ、彼は以下の記事を投稿しました。この記事では、私たちがこれまでに学んだ中核的な教訓と、これらの教訓から生まれた、この分野を進展させるための投資を促進する際に利用している原則を共有することに重点が置かれています。

今回も、皆様からの感想やフィードバックをお待ちしております。

お読みいただき、ありがとうございました。

Alex Simons (Twitter: @Alex_A_Simons)

Director of Program Management

Microsoft Identity Division

———-

こんにちは、皆さん。Microsoft Identity Division の Ankur Patel です。今回、ブロックチェーン/分散型台帳をベースとする分散型 ID について検討を重ねる中で学んだ教訓と、今後の方向性を皆さんにお伝えする機会を持てたことを非常に光栄に思っています。

私たちの見解

多くの方々が日々体験されているように、世界では今、グローバルなデジタル トランスフォーメーションが進んでおり、デジタルな現実と物理的な現実が現代的な生活様式として 1 つに融合され、その境目があいまいになってきています。この新しい世界では、新しいタイプのデジタル ID が必要です。それは、物理的な世界とデジタルな世界全体にわたって、個人のプライバシーとセキュリティを強化するものでなければなりません。

Microsoft のクラウド ID システムは既に、何千もの開発者や組織、何十億人ものユーザーの仕事や遊び、生産性の向上を支援するために利用されています。しかし、このような支援のために私たちができることはまだ数多くあります。今なお何十億人もの人々が、信頼できる ID を持たずに生活していますが、Microsoft は、子供の教育、生活の質の向上、新規事業の立ち上げなど、誰もが抱いている夢を叶えることができる世界を目指しています。

このビジョンを実現するには、個人が自分のデジタル ID のすべての要素を所有および管理できるようになることが必要不可欠であると考えています。人々が求めているのは、無数のアプリやサービスの使用条件にほぼ無条件に同意して、自分の ID データを多数のプロバイダーに拡散することではなく、ID データを保管して、それに対するアクセス許可を簡単に制御できる、安全で暗号化されたデジタル ハブです。

私たちは、自分で所有するデジタル ID、つまり、すべてのデジタル ID の要素を個人で安全に保管できるデジタル ID が必要です。  この自己所有 ID は、簡単に使用でき、ID データへのアクセス方法と使用方法を完全に制御できる必要があります。

このような自己主権型のデジタル ID の実現は、どんな企業や組織による ID 管理よりも意義深いことです。私たちは、お客様、パートナー各社、コミュニティと緊密に協力して、デジタル ID をベースとする次世代のエクスペリエンスを提供することに注力しており、この分野に大きく貢献している業界内の多くの方々と提携できることを楽しみにしています。

これまでに学んだ教訓

私たちは、分散型 ID について検討する過程で、つまり誰もがデジタル ID を所有および管理できるようにするとともに、充実したエクスペリエンスの実現、信頼性の向上、摩擦の軽減を目指した取り組みの中でさまざまな教訓を学び、それを基に最高の考えを導き出しました。その考えをここでお伝えしたいと思います。

1. ID の自己所有と自己管理。 現在、ユーザーは、無数のアプリやサービスを利用する際、個人情報の収集、使用、保持について包括的に同意することを余儀なくされています。データ侵害や個人情報の盗難は、手口が巧妙さを増し、その発生頻度も高まる一方です。このような状況から、ユーザーは自分の ID を自分で所有し、管理する方法を必要としています。分散型ストレージ システム、合意プロトコル、ブロックチェーン、さまざまな最新の標準を検証してみると、ブロックチェーンのテクノロジとプロトコルは、分散型 ID (DID) の実現に非常に適していることがわかりました。
2. 新規の設計によるプライバシーの確保。
   現代のアプリ、サービス、組織は、ID にバインドされたデータに基づいて、利便性が高く、予測可能で個別にカスタマイズできるエクスペリエンスを提供しています。そこで必要となるのは、ユーザーのプライバシーやユーザーによる制御を尊重しながらユーザー データを操作できる、安全で暗号化されたデジタル ハブ (ID ハブ) です。
3. 個人で獲得し、コミュニティで築き上げる信頼。
   従来の ID システムは、その大半が認証とアクセス管理を目的として構築されています。これに対して、自己所有 ID システムでは、確実性とコミュニティで信頼を確立する方法を、より重視しています。分散化システムでは、信頼は構成証明 (他のエンティティによって承認される主張) に基づき、構成証明は個人の ID のさまざまな面を証明するのに役立ちます。
4. ユーザー中心に構築されるアプリやサービス。
   現在、最も魅力的なアプリおよびサービスは、ユーザーの個人を特定できる情報 (PII) へのアクセス許可を得て、そのユーザー向けにカスタマイズされたエクスペリエンスを提供するものです。開発者は、DID や ID ハブを使用することで、より適格な構成証明セットにアクセスすることができ、法的リスクやコンプライアンスリスクを処理しながらそのリスクを軽減し、ユーザーの代わりにそのような情報を管理する必要がなくなります。
5. オープンで相互運用可能な基盤。
   誰もがアクセスできる信頼性の高い分散型 ID のエコシステムを構築するには、標準、オープン ソース テクノロジ、プロトコル、リファレンスを基盤として構築する必要があります。この 1 年間、Microsoft は、分散型 ID 認証ファウンデーション (DIF) に参加し、この課題に同じように意欲的に取り組んでいる個人や組織と協業してきました。現在、次の主要コンポーネントの開発に共同で取り組んでいます。
   

• 分散型識別子 (DID) – 分散型識別子の状態を記述する共通の記述に用いる共通の文書形式を定義する W3C の仕様。
  
• ID ハブ– メッセージ/意思伝達、構成証明管理、ID 固有の計算エンドポイントを備えた、暗号化された ID データストア。
  
• Universal DID Resolver – ブロックチェーン全体の DID を解決するサーバー。
  
• Verifiable Credential – DID ベースの構成証明をエンコードするための文書形式を定義する W3C の仕様。
  

6. 世界規模の実現に向けた準備。
   ユーザー、組織、デバイスの広大な世界をサポートするために、基盤となる技術は、従来のシステムと同程度の拡張性とパフォーマンスを備える必要があります。パブリック ブロックチェーン (Bitcoin [BTC]、Ethereum、Litecoin など) の中には、DID のルーティング、DPKI 運用の記録、構成証明の確立を行うための強固な基盤を提供するものもあります。一部のブロックチェーン コミュニティは、ブロックサイズの増加など、チェーン上での取引容量を増加させていますが、この方法は通常、ネットワークの分散化状態の低下を招き、システムが世界規模で 1 秒間に生成する取引が数百万件に達した場合、対処できなくなります。これらの技術的な障壁を克服するために、私たちは世界規模の DID システムの属性を維持しながら、これらのパブリック ブロックチェーン上で実行される、分散型レイヤー 2 プロトコルの開発に共同で取り組んでいます。
   
7. 誰でもアクセス可能。
   現在のブロックチェーン エコシステムは、依然としてその大半が初期の採用者です。初期の採用者は、キーの管理やデバイスのセキュリティ保護に時間や労力、エネルギーを費やすことを厭わない人たちです。このようなことは、主流となる人たちが行うべきことではありません。私たちは、キーの回復、交換、安全なアクセスなどの課題を克服して、キーの管理を直観的で絶対的かつ確実なものにする必要があります。
   

次のステップ

多くの場合、新しいシステムや大規模な計画は、ホワイトボード上では道理にかなったもので、すべての線がつながり、想定に間違いはないように見えます。しかし、製品チームやエンジニアリング チームは、出荷の段階になってほとんどのことを学びます。

現在、既に数百万のユーザーが日々 ID を証明するために Microsoft Authenticator アプリを使用しています。そのため、次のステップとして、この Microsoft Authenticator に分散型 ID のサポートを追加して試用する予定です。Microsoft Authenticator は、ユーザーの同意を得て、ユーザー エージェントとして機能し、ID データと暗号化キーを管理することができます。この設計では、ID のみがチェーン上にルーティングされ、ID データは、暗号化キーを使用して暗号化された、オフチェーンの ID ハブ (Microsoft 側からは見えない) に格納されます。

この機能を追加すると、段階的な同意を要求することにより、共通のメッセージング コンジットを使用してユーザーのデータを操作することができます。当初は、選択されたグループの DID 実装をブロックチェーン全体でサポートし、将来的に対象を追加していく予定です。

今後の予定

このような大きな課題に挑戦することに、身の引き締まる思いと期待感を覚えますが、これは Microsoft だけで達成できないことも承知しています。このため、今後も引き続き、アライアンス パートナー、分散型 ID 認証ファウンデーションのメンバー、さらに設計者、ポリシー立案者、ビジネス パートナー、ハードウェアおよびソフトウェア ビルダーから成るさまざまな Microsoft エコシステムによるサポートや情報提供を期待しています。さらに、最も重要なのは、最初のシナリオ セットのテストを開始した後にお客様から提供されるフィードバックです。

これは、分散型 ID への取り組みに関する最初の記事になります。今後の記事では、上記の重要な分野に関する概念実証および技術の詳細についてお伝えする予定です。

この挑戦的な取り組みにぜひご参加ください。

主要なリソース:

• Twitter で @AzureAD をフォローする
  
• 分散型 ID 認証ファウンデーション (DIF) に参加する
  
• W3C Credentials Community Group に参加する
  

お読みいただき、ありがとうございました。

Ankur Patel (@_AnkurPatel)

Principal Program Manager

Microsoft Identity Division

The post 分散型デジタル ID とブロックチェーン: 将来の展望 appeared first on Microsoft 365 Blog.

Azure AD 条件付きアクセス (CA) はあっという間に世の中に広まりました。世界中の組織が、アプリケーションへのアクセスの安全性とコンプライアンスを確保するために Azure AD CA を使用するようになり、今では、毎月 1 万を超える組織と 1 千万人を超えるアクティブ ユーザーを保護しています。多くのお客様にすばやく導入していただいたことを非常に嬉しく思っています。

条件付きアクセスがユーザーに与える影響について、多数のフィードバックをいただきました。特に、この優れた機能をすぐに使用するには、さまざまなサインインの条件下で、CA ポリシーがユーザーにどのような影響を与えるかを確認する方法が必要になります。

お客様の声にお応えして、本日、条件付きアクセスの “What If” ツールのパブリック プレビューを発表しました。What If ツールは、指定された条件下でポリシーがユーザーのサインインに与える影響を把握するのに役立ちます。What If ツールを使用すれば、ユーザーからの報告を待たずに、簡単に状況を把握できます。

利用を開始するには

ツールを使用する準備はできましたか? 次の手順を実行するだけです。

• [Azure Active Directory]、[条件付きアクセス] の順に移動します。
• [What If] をクリックします。

• テストしたいユーザーを選択します。

• [省略可能] 必要に応じて、アプリ、IP アドレス、デバイス プラットフォーム、クライアント アプリ、サインインのリスクを選択します。
• [What If] をクリックすると、ユーザーのサインインに影響を与えるポリシーが表示されます。

「どのポリシーが適用されるか」ではなく、「どのポリシーが適用されないか」を知りたい場合があります。 “What If” ツールは、その答えもわかります。[適用しないポリシー] タブに切り替えると、ポリシー名と、より重要な項目である、ポリシーが適用されない理由が表示されます。素晴らしいと思いませんか?

What If ツールの詳細情報

ご意見をお聞かせください

これはまだ始まったばかりです。Microsoft では、この分野のさらなる技術革新に既に取り組んでいます。いつものように、このプレビューまたは Azure AD 条件付きアクセス全般について、フィードバックやご提案をお待ちしております。What If に関する短いアンケートを作成しました。ご協力をよろしくお願いします。

皆様からのご意見をお待ちしております。

お読みいただき、ありがとうございました。

Alex Simons (Twitter: @Alex_A_Simons)

Director of Program Management

Microsoft Identity Division

The post パブリック プレビュー: Azure AD 条件付きアクセス ポリシーの “What If” ツール appeared first on Microsoft 365 Blog.

ブログをフォローしている方は、Microsoft が、オンプレミスのディレクトリや IAM ソリューションを Azure AD に接続するためのさまざまなオプションをサポートしていることをご存知だと思います。実際、業界で Microsoft ほど多くのオプションをお客様に提供している企業はありません。

このため、推奨されるオプションはどれであるかという質問がお客様から非常に多く寄せられます。私はいつも、この質問への答えに悩みます。私は、ID 業界に 6 年以上従事してきた中で、組織はそれぞれに異なることを学びました。また、展開の速度、セキュリティ体制、投資能力、ネットワーク アーキテクチャ、会社の文化、コンプライアンス要件、職場環境に関する目標や要件も組織によって異なります。それが、Microsoft がさまざまなオプションの提供に投資している理由の 1 つです。お客様は自社のニーズに最も適したオプションを選択できます (もちろん、自分なりの考えはあります。私の組織であれば当然ながら、新しいパススルー認証機能と Azure AD Connect 同期を使用するでしょう。  どちらもすばやく展開でき、保守コストも低く抑えられます。ただしこれは、私の個人的な意見にすぎません)。

私や他の誰かが何を推奨するのだろうかと何時間も悩むより、他のお客様が実際に何を使用しているかを調べてみてはどうでしょうか? 私には、まずそれから始めるのが最善の方法のように思えます。

Azure AD の普及

後ほど示す、より詳細な数字の前後関係を理解できるように、最初に Azure AD 使用の全般に関するいくつかの数字を紹介したいと思います。Azure AD 全体では、Microsoft の基本的なクラウドベースの ID サービスを利用する組織の数は堅調な伸びを示しており、Azure Active Directory Premium の普及も加速しています。

私にとって最も喜ばしい傾向は、サードパーティ製アプリケーションでの Azure AD の使用が驚くべき成長を遂げていることです。毎月 30 万を超えるサードパーティ製アプリケーションが使用されており、非常に多くの組織が、クラウド ID プラットフォームを Azure AD に切り替えていることがわかります。

ユーザーと Azure AD の同期

ほとんどの Azure AD テナントは小規模な組織で、オンプレミスの AD を Azure AD に同期させてはいません。規模の大きい組織は、ほとんどの場合同期を行っており、その数は、Azure AD のユーザー アカウント数 9 億 5 千万件のうち 50% 以上になります。

以下に、組織でのユーザーと Azure AD の同期状況に関する最新のデータを示します。

• 18 万を超えるテナントがオンプレミスの Windows Server の Active Directory を Azure AD と同期。
• 17 万を超えるテナントが同期に Azure AD Connect を使用。
• 他のソリューションを使用しているお客様は少数:
  • 7% が従来の DirSync または Azure AD Sync ツールを使用。
  • 1.9% が Microsoft Identity Manager または Forefront Identity Manager を使用。
  • 1% 未満がカスタムまたはサードパーティ製のソリューションを使用。

Azure AD による認証

私が最後に投稿した、認証に関するブログでは、認証件数に基づくデータを紹介しました。これについて、お客様から、数字の前後関係がわかりにくい、アクティブ ユーザー数の方が興味深いというフィードバックをいただきました。このため、今回は月間アクティブ ユーザー (MAU) に基づく数字を紹介します。

10 月 31 日現在、Azure AD の月間アクティブ ユーザー数は 1 億 5,200 万でした。これらのアクティブ ユーザーの内訳は次のとおりです。

• 55% が認証にフェデレーション製品またはサービスを使用。
• 24% が認証にパスワード ハッシュの同期を使用。
• 21% がクラウドのみを使用。
• Azure AD パススルー認証はわずか 1 か月前に一般提供が開始されたにもかかわらず、その月間アクティブ ユーザー数は既に 50 万を超え、この数字は毎月 50% ずつ増加しています。

もう少し掘り下げて、さらに興味深いデータをいくつか示します。

• 全アクティブ ユーザーの 46% が認証に AD フェデレーション サービスを使用。
• 認証に Ping Federate を使用しているユーザーは、全アクティブ ユーザーのうちわずか 2% 強。Ping は最も成長が早く、最も人気のあるサードパーティ製オプションです。
• 全アクティブ ユーザーの 2% が認証にサードパーティ製の IDaaS サービス (Centrify、Okta、OneAuth など) を使用。
• 全アクティブ ユーザーの 1% が認証にサードパーティ製のフェデレーション サーバー (Ping Federate 以外) を使用。

主な結論

これはかなり興味深いデータであり、次のような特徴的な傾向を示しています。

1. Azure AD Connect は、Windows Server AD と Azure AD を同期させるための標準的な方法になってきました。現在、同期を行うテナントの 90% が Azure AD Connect を使用しています。
2. Azure AD パスワード ハッシュの同期は、月間アクティブ ユーザー数が数千万に上るお客様に非常に人気のあるオプションになってきました。
3. 規模が大きい企業ほど、Azure AD を利用し始めているので、Ping Federate の人気はますます高まっています。実際、Ping と Microsoft のパートナーシップは、これらの大規模なお客様にメリットをもたらしています。
4. マスコミに何度も取り上げられたり、誇大に宣伝したりしているにもかかわらず、他の IDaaS ベンダーが占める割合は、Azure AD/Office 365 と比べると、ほんのわずかに留まっています。
5. Microsoft の新しいパススルー認証機能は、わずか 1 か月前に一般提供が開始されたにもかかわらず、その MAU は既に 500,000 を超え、幸先の良いスタートを切りました。現在の傾向がこのまま続けば、今後半年から 1 年程度で、他のすべての IDaaS ベンダーを合わせたユーザー数よりも多くのユーザーがこの機能を使用するようになるでしょう。

まとめ

前回同様、これらの数字は、状況をかなり明確に示しています。Microsoft は、お客様がさまざまなサードパーティ製のオプションを使用できるように、オープンで標準に準拠したサービスとして Azure AD を設計しました。しかし、ほとんどのお客様は、Microsoft の「既製の」 ID ソリューションが自社のニーズを満たすことに気づいています。このため、この数字は増え続けているのです。

さらにデータは、Azure AD Connect の使用の簡単さが大きな影響を与えていることを示しています。このソリューションは広く採用されるようになり、Windows Server AD と Azure AD/Office 365 を接続するための、最も成長の遂げている選択肢になりました。

このブログ記事が読者の皆さんにとって興味深く、有用な内容であることを願っています。今回も、皆様からのフィードバックやご提案をお待ちしております。

お読みいただき、ありがとうございました。

Alex Simons (Twitter: @Alex_A_Simons)

Director of Program Management

Microsoft Identity Division

The post 組織がオンプレミスの ID を Azure AD に接続する方法 appeared first on Microsoft 365 Blog.

本日、Microsoft Teams でのゲスト アクセスが有効になったことをお知らせします。これは、Azure AD の B2B コラボレーション機能を基礎として組み込まれました。

これにより、チャット、アプリ、ファイル共有などを通じ、Teams でパートナーと共同作業できるようになりました。これらはすべて、簡単で使いやすい企業向け仕様の保護機能を備え、長年にわたって従業員が使用してきた、Azure Active Directory によって実現します。

社内で Azure Active Directory アカウントを持っている人であれば誰でも、ゲスト ユーザーとして Microsoft Teams に招待できます。

開始から間もないにもかかわらず、Azure AD の B2B 機能を使用してお客様が作成したゲスト ユーザーの数は、既に 800 万を超えています。Microsoft Teams のサポートを追加することは、以前からお客様から受ける要望の上位に挙がっていたため、この新機能によって勢いが継続していくことを期待しています。ぜひ今すぐお試しください。

こちらから Teams にログインして、一緒に作業をするパートナーを招待してください。

そしていつものように、フィードバック、ご意見、ご提案がありましたらお気軽にお寄せください。お待ちしています。

お読みいただき、ありがとうございました。

Alex Simons (@Twitter: @Alex_A_Simons)

Director of Program Management

Microsoft Identity Division

追伸: 私たちは既に、Teams へのさらなる Azure AD 機能の追加に着手しています。これには、何らかの企業メール アカウントまたは一般メール アカウントを持つ外部ユーザーのサポートが含まれます。この件に関しては、近いうちにお知らせします。

The post Microsoft Teams での Azure AD の B2B コラボレーション appeared first on Microsoft 365 Blog.

本日はすばらしいニュースをお届けします。Gartner が発表した 2017 年のアクセス管理 (AM MQ) 分野マジック クアドラントで、Microsoft がビジョンの完成度と実行能力に関してリーダー クアドラントに認定されました。

AM MQ は、新しく設けられた MQ です。廃止された IDaaS MQ から分離されたもので、新設が発表された後、今回が初の決定です。レポートで評価されている製品は Azure Active Directory です。

Gartner 2017 年アクセス管理分野マジック クアドラント

Microsoft は Gartner の協力を得て、このレポートのコピーを無料で入手できるように手配しました。こちらにアクセスしてお読みください。

私たちの考えでは、Microsoft がこのすばらしい立場に位置付けられたことは、ID とアクセス管理のソリューションを従業員、パートナー、お客様に向けて包括的に提供し、そのすべてを Microsoft インテリジェント セキュリティ グラフを基礎とする、世界トップ レベルの ID 保護によって支えていくというビジョンが正しいことを証明するものです。

私たちは、ID とアクセス管理の分野に対する弊社の取り組みを、Gartner の分析が十分に物語ってくれていると信じています。しかし、それよりも重要なことは、Microsoft を一緒に作業しているお客様、実装パートナー、ISV パートナーについて、レポートでしっかりと触れられている点です。これらの方々は、Microsoft が提供する製品とサービスが、各自のニーズを満たし、クラウド テクノロジーがますます力を増していく世界に適応し、そこで成功できるように、日々、時間と労力を注いでいます。

Microsoft はこれからも、ID とアクセス管理の分野のニーズに応えるために革新的な機能を提供し続け、Gartner AM MQ のリーダー クアドラントという立場をさらに進化させていくことをお約束します。

お読みいただき、ありがとうございました。

Alex Simons (Twitter: @Alex_A_Simons)

Director of Program Management

Microsoft Identity Division

The post Azure AD が Gartner の 2017 年アクセス管理分野マジック クアドラントで “リーダー” に appeared first on Microsoft 365 Blog.