Microsoft セキュリティ対策としての MFA の有効性について述べられていました

Microsoft 365 Windows10 FIDO2 MFA

2021 年も幕を開け、まだまだリモートワークが続く状況となっていますが、個人的に今年は昨年以上にセキュリティに気を付けていく必要がある年になると考えています。

セキュリティといえば MFA を筆頭とした新しいタイプの認証・認可なのですが、それがどれだけ有効化のかを記した情報が以下ブログで取り上げられているので紹介します。

2019 年と少し古い情報なのですが、今でも活用できる有用な内容であるため、ここで再度取り上げておきたいと思います。

https://techcommunity.microsoft.com/t5/azure-active-directory-identity/all-your-creds-are-belong-to-us/ba-p/855124?WT.mc_id=WDIT-MVP-5002496

f:id:mohessu:20210101014620p:plain

f:id:mohessu:20210101014516p:plain

f:id:mohessu:20210101014422p:plain

上記の表は Windows Hello や FIDO といった新しい認証や旧来からあるパスワードなどの認証がリアルタイムフィッシングとチャネルジャックの実施可能性、そのほかの方法でセキュリティを突破する方法がまとめられています。

この表だけ見ると、すべての認証・認可方法に穴があり、すべて安全ではない。というように見えてしまいますが、穴はすべての方法にあるものの、それぞれ強度が異なる。ということをこのブログでは伝えてくれています。

表の上から下に向かって、認証を破る労力が高くなっていくというわけです。

リアルタイムフィッシングは中間者が介在できない仕組みとなっている Windows Hello もしくは FIDO やスマートカードであれば防ぐことができますが、それ以外の場合は中間が乗っ取られていないことを確認するほかない。ということが述べられています。(=TLSの証明書のフィンガープリントを確認すればよいということになりますが、毎度確認できるほどネット認証の使用頻度は低くなくなっているのかと思います。)

チャネルジャックについてはその 55% がメール、 44% が SMS と、これらがほとんどを占めているという結果が報告されています。そのほかの経路を利用するケースほうが問題に遭遇する可能性が低いということですね。

こういった利用度の低いものや仕組み上安全性が高いものを突破していくの労力は成功報酬となる成果を上回るため、狙われにくい。ということを忘れずにいましょう。

そういった中では、 Microsoft 365 の MFA は簡単に対応でき、突破労力を格段に上げる方法の一つとなるわけです。

このサイトに書かれている内容をぜひ一読いただき、 MFA の利用を検討してみてください!

音楽:ERNEST

Microsoft 365 SharePoint ページ作成時のチュートリアルが提供されることになるようです

Microsoft 365 SharePoint

2020 年もあとわずか。そんな状況でも Microsoft 365 の中の人は新機能をお知らせし続けてくれるようです。
というわけで、メッセージセンターを眺めていたところ、 SharePoint ページの新しい機能がアナウンスされていました。

f:id:mohessu:20201231125411p:plain

2021 年 1 月初旬から 2 月末にかけて、ページを新規作成したときの画面にチュートリアルが追加されるようです。

一緒に以下の画面イメージが展開されているので見てみましょう。
これを見ると、表示非表示を切り替えられるようになるようですね。

f:id:mohessu:20201231135126p:plain

この画面に行く方法を先取りしてみておきたいと思います。
SharePoint のチームサイトのトップなどで新規作成ボタンを押すと出てくるページを選択する形になります。

この新規ボタンは編集権限が必要なので、閲覧権限のみでは表示されないので、出てこない場合は権限を管理者からもらうようにしてください。(触らせたくないサイトの場合は権限を絞っている可能性もあるので、 SharePoint のサイトの払い出しをお願いすることになるかもしれませんね。)

f:id:mohessu:20201231131842p:plain

すると、ページの作成画面に遷移します。
おそらくこの画面に追加表示されるようになるのかと思われます。
よくよく見ると、テンプレートも数多く表示されていますね。
今後追加などがあるのかもしれません。そちらも楽しみですね。
f:id:mohessu:20201231131906p:plain

通常はここで選択した後、ページの作成を押すことでサイトが完成します。
ただ、この時点ではテンプレートであるため、各 Web パーツの内容を編集し、必要な情報を入れていくことが必要です。
SharePoint は伝えたい情報をページの形にすることで情報を共有する機能となっています。

f:id:mohessu:20201231133630p:plain

共有したい情報を見つけ、自分独自のサイトを作成してみてください!

音楽:Child MYUNG

Windows10 グループポリシーを設定する際の注意点

Windows10 Active Directory GPO

2020 年 最後に出る予定であった RS_Release の Windows10 Dev Channel ですが、 Twitter で正式に間に合わなかった通知が出ていました。うーん、残念!

リリースが止まるという状態ということは、結構難しい更新が入る予定なのでしょうか。

というわけで、今日は Windows10 のポリシー適用時の注意点を見ていきたいと思います。

グループポリシーでは OS や ブラウザーなどの設定値を一括して変更するという機能を提供するのですが、 OS のバージョンによって若干ではありますが同じ項目であっても内容が異なるケースが存在ます。これを理解しておくと Windows10 のバージョンアップ時にスムーズな更新ができるようになります。

どのような情報なのか。というと、以下の docs を確認してみてください。

1607 と 1511 という、最初のころに出た Windows10 について記述があります。

https://docs.microsoft.com/en-us/troubleshoot/windows-client/identity/known-issues-for-group-policy-clients?WT.mc_id=WDIT-MVP-5002496

f:id:mohessu:20201222004101p:plain

変更点が述べられているのですが、意味が変わってしまう。というケースは 1 件から 2 件程度で、あとは古い OS では意味をなさない。ということがまとめられています。

ここで覚えておかなくてはならないことは、 ADMX ファイルはポリシーを設定するときに参照されるもので、設定さえ終わってしまえば利用されることはないということでしょう。

逆に、設定するときには必ず必要となることを忘れてはいけません。

ところで、最近のバージョンアップ時には私は以下の Excel シートを参照するようにしています。
変更が行われた箇所が分かるようになっており、簡単に確認するにはちょうど良いサイズとなっています。

若干、適用されるバージョンとこの資料がリリースされたバージョンに差があるケースもあるため、あくまでも本格確認前のあたり付けの要素が強いことは忘れないようにしておきましょう。

https://www.microsoft.com/en-us/download/details.aspx?WT.mc_id=WDIT-MVP-5002496&id=102158

f:id:mohessu:20201222014723p:plain

これらのポリシーを設定するときには、該当する Windows10 のバージョンに相当する ADMX ファイルが必要となります。
2020 年 12 月時点の最新版である 20H2 の場合は以下からダウンロードすることができます。

https://www.microsoft.com/en-us/download/details.aspx?WT.mc_id=WDIT-MVP-5002496&id=102157

うまくグループポリシーを活用して最新の Windows10 を活用していきたいですね!

音楽:Omega Blue

Microsoft LEARN 資格試験が年更新となるようです

Microsoft Learn Microsoft 365 Windows10 Dynamics

マイクロソフトでは製品知識や開発能力が一定の水準にあることを資格試験を通して通知させる入り口を設けています。

この資格試験は、昔は MCP といわれていた資格群で一度保持するとずっと有効であったのですが、今は 2 年間有効の試験になっています。これは情報技術の革新速度が速く、少し前の技術は陳腐化してしまうという問題に対処するものでした。(ずっと有効といっても製品バージョンが資格名に入っていたため古い施策は自動的に淘汰されてはいました。)

ここにきて、さらに状態を最新化すべく、資格を維持するために毎年の更新が必要になるようになるようです。

https://techcommunity.microsoft.com/t5/microsoft-learn-blog/stay-current-with-in-demand-skills-through-free-certification/ba-p/1489678?WT.mc_id=M365-MVP-5002496

f:id:mohessu:20201228171330p:plain

ここにあるように 2021 年 2 月からこのプログラムが開始されるようです。
2021 年 6 月以降に取得した認証に対して、 2 月から開始の更新検定を受けることで資格が維持されるというわけですね。
日本の運転免許と同じく、都度試験ではなく LEARN のサイトからカリキュラムを受けることで更新されていく形です。

なお、 Fundamentals 試験は期限なしのものになっていくとのこと。
概念などを抑えるのが Fundamentals 試験なので、更新する内容がない。ということなのでしょう。これは 900 番台の試験が該当します。

今のマイクロソフト試験は、 AI AZ DP MB MD MS という枠の中から、 900 の Fundamentals 、 100 から 800 までの高度な試験に分かれています。

特に高度な試験は最初のけたによって種別が分かれるという形で分類されているのでこれから受験を考えている方はどういった方向にスキルを整えていくのか考えて受験するのが良いでしょう。

以下のサイトで試験を網羅的に案内しているため、見ておくとよいでしょう。

https://docs.microsoft.com/ja-jp/learn/certifications/browse/?WT.mc_id=WDIT-MVP-5002496

ただ、上記の区分けがなされれる前の試験も記載されていることや、上位資格の検定と下位資格の検定が同期しないなど考え方が結構複雑となったようなので受験前には今後どうなるか以下の docs も併せて確認しておくことをお薦めします!

https://docs.microsoft.com/ja-jp/learn/certifications/renew-your-microsoft-certification?WT.mc_id=WDIT-MVP-5002496

音楽:Music Box

Microsoft 365 ExpressRoute の概要を見ておきましょう

Microsoft 365 ExpressRoute

大規模な組織での Microsoft 365 導入時に一度は検討されるであろう ExpressRoute ですが、その内容を紹介した docs を閲覧したことはありますでしょうか。今回はそのサイトを紹介しておきたいと思います。

https://docs.microsoft.com/ja-jp/microsoft-365/enterprise/azure-expressroute?WT.mc_id=M365-MVP-5002496&view=o365-worldwide

f:id:mohessu:20201217004700p:plain

特にみておいてほしいのは、上記の図です。
ExpressRoute で対応される範囲が記されているのですが、 DNSCDN などの通信、 主要の機能以外のサブ機能群については ExpressRoute の範囲外となっています。

意外とこの事実が忘れられているケースがあり、設計の後半になって気が付くということが少なくありません。

ExpressRoute を利用した場合でも、閉域で利用できるわけではなく、帯域が保証された経路でのアクセスが可能となる。という程度の状態となるわけです。閉域ではないのですが、 Internet VPN と同様に経路の完全暗号化がなされているため、経路の安全性は閉域と同様となります。逆に経路のみで安全性を確保しているケースと比べれば、ゼロトラストとして組まれている分安全性が高いかもしれません。

通常の ExpressRoute と異なり、 Microsoft 365 で利用できる経路は Microsoft ピアリングと言ってマイクロソフトの承認が下りた場合のみ利用できるようになっています。そのため利用できるケースは限られるのですが、もしこの経路を選択する必要が生じた場合は一読してみることをお薦めします。

音楽:Melty Kiss

Windows10 今すぐ会議機能を試してみました

Windows10 Insider Program Skype

2020 年 9 月頃から一部の Insider に配られ始めていた今すぐ会議ですが、私の環境でも利用できるようになっていました。
個別に配布ということでしたが、結構時間がかかった感じですね。

というわけで、さっそく使ってみました。
大枠は 9 月にお伝えしたイメージと変化はありません。
入口が簡単になったイメージです。

https://mitomoha.hatenablog.com/entry/2020/09/28/012141

入口は右下のタスクトレイ、左端に常に表示されるようです。
f:id:mohessu:20201226190239p:plain

これをクリックすると会議の案内の画面が。

自分で会議を開催する方法と、他者が開催した会議に参加する方法の2通りから選択する形となっています。ここに書いてあるように OS 付属の Skype を利用し、ログイン不要で使えるため、パソコンを購入していの一番に試したくなる機能になるということですね。

f:id:mohessu:20201226190328p:plain

会議に参加するを押すと少し時間がかかってから会議のコードを入力する画面に遷移しました。( OS に MSA でログインしていたから、初回起動時ですでにログインされている状態でした。)

f:id:mohessu:20201226190534p:plain

会議を作成を押しても同様に Sype が起動してきます。

f:id:mohessu:20201226190959p:plain

カメラや音声を利用するか、会議詳細を入力するなどして使う前提を整えていきましょう。
ここに記載されているように、通話時間が無制限になっており、ずっと利用できるというのは一つの売りですね。

f:id:mohessu:20201226191127p:plain

設定を終えて会議を開始すると待ち状態に入ります。
これで共有ボタンを押してほかの人を呼ぶか、ひとつ前の画面でアドレスをコピーしておき、それを伝えることで会議に参加してもらえます。

f:id:mohessu:20201226191156p:plain

ここまで10秒足らず。
かなり素早く会議を開始できるのが良いですね。

ちなみに使わないときは右クリックで非表示にするとよいでしょう。

f:id:mohessu:20201226193339p:plain

非表示にした後はタスクバーの空いているところを右クリックすると表示されるタスク バーの設定から戻すことが可能です。

f:id:mohessu:20201227122310p:plain

システム アイコンのオン/オフの切り替えを選択しましょう。

f:id:mohessu:20201227122427p:plain

下のほうに今すぐ会議を開始する項目があるので、ここで表示非表示を切り替えることが可能です。

f:id:mohessu:20201226193718p:plain

Insider の方はあまり用途がないかもしれませんが、通常リリースされたときは勝手がかなりよさそうです。

音楽:Vesper Bell

Microsoft 365 Azure AD のセキュリティに対する見解が示されていました

Microsoft 365 Azure Active Directory

最近はクラウド導入の契機として、セキュリティ対策として実施されることが増えており、今までのオンプレデータセンターのありようが考え直されている節があるのですが、 Microsoft 365 とオンプレ連携についての見解が挙げられていました。

https://techcommunity.microsoft.com/t5/azure-active-directory-identity/protecting-microsoft-365-from-on-premises-attacks/ba-p/1751754?WT.mc_id=M365-MVP-5002496

f:id:mohessu:20201226112423p:plain

興味深いのが、 ADFS の観点です。認証をオンプレ AD で行い、そのフェデレーションで Microsoft 365 へ接続するという方式は Office365 がリリースして以来、一般的な構成として利用されてきたと思います。
これが、ここにきて非推奨の構成であるというアナウンスとなっているのです。

ここで述べられているのはフェデレーションシステムの Token 証明書が漏れた場合に乗っ取りが行われる可能性がある。ということでした。
言われれば確かに Token 証明書があれば偽装が成り立つ形ですよね。

いままで日本ではトラストネットワークの考え方が強くあり、社内の AD 、 ADFS といったオンプレ環境は安全である。というところから、あまり気にされていなかったのではないのかと思います。

最近はクライアント経由で社内が汚染されているケースも多く出てきているためこういったところも案内しておく必要があるのかもしれません。

ただ、 Windows Hello for Business ではオンプレ展開時に ADFS が必要なのですよね。組織内 AD との分離はまだ難しい時期だと思うので、この構成を許容できるようになるにはもう一世代くらい先に進む必要があるかもしれません。( ADFS がなくてもよくなるか、 Windows10 側で認証を二重持ちになるのが先か、、、、)
いずれにしてもセキュリティの形が一つづず進化しているというお話でした。

音楽:ハイランド クロック