「IT」カテゴリーアーカイブ

【雑記】書きたかったこと。出来事。買ったものとか(2020年年末〜2021年年始)

ども。こんばんは。

お正月休みも今日で終わりですね。
年末年始に買ったものとか雑記です。

■大長編ドラえもん 全24巻大人買い(2020/12/18)

退職に際して、最も愛する後輩から餞別にと、大長編ドラえもん24巻分と同じ金額のAmazonギフト券を頂いたので、ご厚意に甘えて大人買い。

大人になって読んでも良いものは良いですねー。

■ニャンコ先生ぬいぐるみ(2020/12/30)

通院ついでの暇つぶしに新宿西口のクラブセガで遊んでたら¥400でゲットしました。かわいい。

■2017年からつけていたピップマグネループEXがちぎれた(2020/12/31)

ちぎれました。。。ということで年始にファイテンに買い替えました。後述。

■新しい会社で仕事用に使おうと思って買ったiPhone 12 miniとその周辺機器(2021/01/03)

前職が社用のiPhone支給だったので、もう会社用iPhoneがない生活は想像できない!と買ってしまいました。

買ったものはこんな感じ。

  • アップル Apple iPhone 12 mini 256GB ブラック SIMフリー [MGDR3J/A]
    Y!Mobileの1/4までのキャンペーンで2万円引きの、¥79,880。
    128GBが良かったけど、在庫がなかったので、2万円引きがあるならいいかなーということで256GBモデル購入。
  • アップルケア
    修理のみの2 年契約。¥18,480。
  • アップル Apple MagSafe充電器 [MHXH3AM/A]
    ¥4,950。高い。ポイントを¥4,317分使って実質、¥633。
  • ハンドリンカー HandLinker HandLinker Puttoモバイルネックストラップ [ブラック]
    昔から使っているネックストラップ。¥1,160。
  • エレコム ELECOM MPA-CLY12BK [USB C-Lightningケーブル//PD/パワーデリバリー対応/iphone/ipad/やわらか/1.2m/ブラック]
    適当に買ったLightning – Type-Cケーブル。まあ普通。¥1,620。
  • simplism シンプリズム TR-IP20S-CGCA-CCCL [iPhone 12 mini 用 GLASSICA 背面ガラス 抗菌 クリア]
    ストラップホール付きの手頃なクリアケース。¥2,970。

合計、¥104,743なり。年明け早々10万円超えの買い物をしてしまった。。。

iPhone 12 miniちっちゃくて軽い!めちゃくちゃ気に入りました。
このくらいの大きさで十分だよなーと思いますね。

MagSafeは・・・うーん、どうなんでしょう。ポイントあったから買いましたがちょっと微妙かな。ケース付きでもちゃんとくっつきました。

上記購入に加え、Y!Mobileに新規契約してきました。

今回仕事用ということもあり、通話を多用するかも?なので、完全通話定額のあるキャリアを選定しました。
余計なアプリなどを使わなくても通話が完全定額(最初の10分とかの時間制限なし)が、Y!MobileとUQモバイルくらいしか見当たりませんでした。

両者とも、通話完全定額オプション利用金は異なる(UQが¥1,700でY!Mobileが¥1,000)ものの、基本料金を含めると結局おなじくらい、というか同じ?料金になるようでした。

Y!Mobileにした決めては、通話定額オプションを外しても、1回10分までの国内通話が無料なところです。
あと、メインがauなので、UQだと同じau回線になってしまうこともあってSoftbank回線のY!Mobileにしたかったということもあります。

ということで、

  • スマホベーシックプランM ¥4,048(税抜¥3,680)
    10GBまで、超過後は1Mbps。
    ※半年間はMプランしか選択できないとのこと。半年後通信量を見ながら、Sプラン(3GB、超過後300Kbps、税込¥2,948)に落とすか考えるかな。
  • スーパーだれとでも定額 ¥1100(税抜¥1000)
    これも思ったより通話なければ外す予定。外しても10分まで無料なのが上述の通りY!Mobileにした決め手。

に加入。なお、6ヶ月間は¥770引きが受けられますので、7ヶ月までは¥4,381、8ヶ月目から¥5,151になります。
通話定額がいらなくて、通信量も3GB以下だったら、-¥2,200なので、データ容量3GBで、1回10分までの通話無料が¥2,951で運用できます。

うーん、今メインで使っているauと比べるとめっちゃ安いなぁ

今回は仕事用で通話が必要と考えたので、ahamoや楽天モバイルは検討しませんでしたが、データメインだとahamoで十分なのかなーとか思ってます。
本格的にahamo始まったら乗り換え考えよう。通話は仕事用Y!Mobile SIMで定額になったことだし。

■ファイテンの”力”に目覚める(2021/01/03)

これはかなり眉唾な話です。
効果には個人差が大いにあると思うので話半分程度に。

おいらは小さいことから肩こりがひどく、頭痛や吐き気を伴うこともまれにあるのですが、この年末から特にひどく、年末年始結構寝込みました。

さらに、3年つけてたピップマグネループがちぎれてしまったこともあり、思い切ってファイテンに手を出しました。
ちなみに、磁気ネックレスの類はもう10年近くつけてるんじゃなかろうか。あまり効果は・・・。

でも、ファイテンは磁気じゃないんです。ファイテンの力で肩こりを改善します。

・・・まぁいろいろ調べたうえで、ファイテンショップに行きまして、噂通りファイテン加工のされたリストバンドをつけてペットボトルを持ち上げる実験をしましてね。

馬鹿にできないのですよ、これが。軽い。いや正確にいうとファイテンを外すと重い。

これがファイテンの力かぁ!!!!

あと、メタックス(METAX)の、パワーテープやクリームを試させてもらいました。(今も貼ってます)

なんかね、効果があるきがするんですよ。なんとなく・・・。

ただ、クリームは毎日塗らないとだし、テープは2〜3日で張り替えないと行けないらしいし、日々の運用が大変だなぁということもあり、当初予定どおりネックレスを買いました。

ファイテン RAKUWAネック メタックス(チョッパーモデル)

なんとあの羽生結弦選手も愛用し(ry

税込みで¥10,780もします。今回会員登録の¥500クーポンと、誕生月の¥200クーポンを利用して、¥10,080で購入しました。

まぁ、大きな期待はしていません。
ちょっとでも肩こりが改善すればいいかなーくらいの感じです。

ではでは。またの機会に。

いつものノリでkernelをアップデートしたらエライ目にあった話

ども。こんばんは。

いつものノリでAWS EC2上のCentOS 7.9.2009のカーネルをyumで「kernel-3.10.0-1160.11.1.el7.x86_64」にアップデートしたら、Kernel Panicになりました。。

EC2のトラブルシュートからシステムログを見るとこんな感じ。

Kernel panic – not syncing: VFS: Unable to mount root fs on unknown-block(0,0)

お、おう。

クラウドでカーネルパニックになるって地味に大変だぞ。。。

ということで、結論は、

インスタンス停止
ボリュームをデタッチ
新しいCentOS 7のインスタンスを作成
ボリュームをアタッチ
マウントしてなおす

という感じです。

以下の手順に従っても直りませんでした。

カーネルをアップグレードした後、または EC2 Linux インスタンスを再起動しようとすると、「カーネルパニック」エラーが表示されます。どうすれば解決できますか?

で、結局古いカーネルで上がるようにしました。

更新後、Amazon EC2 インスタンスの再起動に失敗します。既知の安定したカーネルに戻すにはどうすればよいですか。

/etc/grub.confの中身はいまこんな感じ。

  1 default=1
  2 timeout=0
  3 
  4 
  5 title CentOS Linux (3.10.0-1160.11.1.el7.x86_64) 7 (Core)
  6     root (hd0)
  7     kernel /boot/vmlinuz-3.10.0-1160.11.1.el7.x86_64 ro root=UUID=29342a0b-e    20f-4676-9ecf-dfdf02ef6683 console=hvc0 LANG=ja_JP.UTF-8
  8 title CentOS Linux (3.10.0-1160.6.1.el7.x86_64) 7 (Core)
  9     root (hd0)
 10     kernel /boot/vmlinuz-3.10.0-1160.6.1.el7.x86_64 ro root=UUID=29342a0b-e2    0f-4676-9ecf-dfdf02ef6683 console=hvc0 LANG=ja_JP.UTF-8
 11     initrd /boot/initramfs-3.10.0-1160.6.1.el7.x86_64.img
 12 title CentOS Linux (3.10.0-1127.19.1.el7.x86_64) 7 (Core)
(略)

いやー、びっくりしたわ。。

ではでは。またの機会に。

Enterprise Mobility + Security E3ではじめるゼロトラスト入門 – 8 – パスワードレス認証を設定する

ども。こんばんは。

Azure ADでは、パスワードを入力せずにサインイン(ログイン)できる「パスワードレス」認証に対応しています。

まだプレビューっぽいですが、Microsoft Authenticatorを利用してパスワードレスができそうだったのでやってみました。

以下参考ドキュメントです。

Azure Active Directory のパスワードレス認証オプション

Azure Active Directory でパスワードレス認証のデプロイを計画する

Microsoft Authenticator アプリを使用したパスワードなしのサインインを有効にする (プレビュー)

まずは、多要素認証の検証方法でプッシュ通知が許可されていないとだめらしい。。。がどこの設定かわからない・・・

[Azure AD]->[セキュリティ]->[MFA]の「追加のクラウドベースの MFA 設定」かな?

 

とりあえず何もしなくても、Microsoft Authenticatorアプリ上で、「パスワードレスが有効」となっているので、使えるものと信じて進めます。

続いて、Azure ADのセキュリティから認証方法ポリシーを設定します。

有効にするかつ有効にするユーザを選択します。
※おいらは一旦1ユーザのみテストしてからすべてのユーザに変更しました。

設定はこれだけ!

これで時間ログイン時、ID入力後、パスワード入力の画面で「代わりにアプリを使用する」というリンクが出るようになります。

あとは、これをアプリで同じ番号を選ぶだけ。
とてもかんたんです。(アプリの写真は後で撮影したので番号が一致していませんが。。)

とても簡単にパスワードレス認証が実装できました。

【バックナンバー】

ではでは。またの機会に。

 

Enterprise Mobility + Security E3ではじめるゼロトラスト入門 – 7 – FortiGate のSSL-VPNをSSOにする

ども。こんばんは。

今回は、FortiGateのSSL-VPN接続(Webモード)をAzure ADを使ったSSO(シングル・サインオン)で実装します。

基本このあたりのチュートリアル通りです。

チュートリアル:Azure Active Directory シングル サインオン (SSO) と FortiGate SSL VPN の統合

Configuring SAML SSO login for SSL VPN web mode with Azure AD acting as SAML IdP

先にハマった?ポイントを・・・。

FortiGate SSL-VPNのSSOはSP-Initiatedのため、FortiGate側からフローを開始することで認証が行われます。(前回行ったAWSはIdp-Initiatedなため、Idp(Azure AD)からフローを開始します。)

完成形がこちらの画面ですが、「Single Sign-On」のボタンを表示させるためには、SAMLの設定をするだけではだめで、実際に「SSL-VPN」インターフェースから、LAN側等へのポリシーを設定し、そのポリシーの送信元にSAMLユーザを含むグループを指定する必要があります。。。

これを知らなくて、Single Sign-Onボタンを表示させるのにめちゃくちゃ時間かかりましたが、ここさえ把握しておけば設定はかんたんです。

■Azure ADの準備

まずは、エンタープライズアプリケーションにFortiGate SSL VPNを追加します。
※FortinetのドキュメントだとNon Galleryになっていますが、今は存在するようです。

アプリケーションにユーザを割り当てます。

シングルサインオンの設定からSAMLを選択します。

例にのっとって、識別子(エンティティID)、応答URL、サイオンURL、ログアウトURLを設定します。

次に、「ユーザー属性とクレーム 」を設定します。
※ここで指定した属性をFortiGateが受け取ってユーザ名などを処理するイメージです。デフォルトで「name」 があるのでこれでユーザ名使えるのかなと思ったのですがうまく行かなかったので、下記のようにusernameを追加しています。この”username”はFortiGate側にも設定します。

冒頭で記載したMicrosoftのチュートリアルでは、グループについても追加していますが、グループの追加はグレーアウトして押せなくかったので、やっていません・・・。

 

続いて、SAML署名証明書から、証明書(Base64)をダウンロードします。

■FortiGateの設定

ここからFortiGateの設定をします。
今回FortiGateはForiGate 60E、FortiOSは6.2.5で、VDOM環境です。

まずは、先程ダウンロードした証明書をインポートします。
証明書(Certificates)のGUIが標準では表示されていないので、まずは、そこから設定します。

Global VDOMの[System]->[Feature Visibility]から、Certificatesを有効します。

対象のVDOMに移動して、証明書をImportします。

インポートした証明書の名前を覚えておきます。
※画面では、「REMOTE_Cert_1」 です。

続いてコマンドラインで以下の設定を導入します。

idp-entity-id 、idp-single-sign-on-url、idp-single-logout-url は、Azure ADの画面からコピペします。
なお、idp-single-logout-url には「?(クエッションマーク、はてなマーク)」が入っています。

FortiGateにCLIで?を入力する場合は「Ctrl+v」のあとに「?」を入力すれば、コマンド候補の代わりに「?」が入力できます。

「set user-name “username”」のusernameは、Azure ADのユーザ属性に自分で追加した名前です。

config user saml
    edit "azure"
        set entity-id "https://[FortiGateのFQDN]/remote/saml/metadata"
        set single-sign-on-url "[FortiGateのFQDN]/remote/saml/login"
        set single-logout-url "https://[FortiGateのFQDN]/remote/saml/logout"
        set idp-entity-id "https://sts.windows.net/xxxx/"
        set idp-single-sign-on-url "https://login.microsoftonline.com/xxxx/saml2"
        set idp-single-logout-url "https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0"
        set idp-cert "REMOTE_Cert_1"
        set user-name "username"
        set group-name "group"
    next
end

作成したユーザをグループに入れます。
※グループに突っ込まないと、そもそもポリシーで利用できません。
Microsoftのチュートリアルでは、さらにmatchをつかって、Group-IDで絞り込んでいますが、今回はそこまでやっていません。

config user group
    edit "SSLVPN_from_AzureAD"
        set member "azure"
    next
end

最後にポリシーに適用します。
※ポリシーに設定して、初めてログイン画面にSingle Sing-onボタンが表示されます。

■テスト

今回はSP-Initiatedなので、FortiGateの画面から行きます。

おお。できた。

ちなみに、パーソナルブックマークとか作ってもちゃんと保存されます。

設定は、ユーザ名「xx@xxx.xx#SAML設定名」としてconfigに保存されるようです。

あと、FortiClientもSAML Logonというのができそうなのですが、どうもこれは、有償版?か6.4の機能っぽい?

こんなふうにできるはず?

https://sites.google.com/frellsen.se/kimfrellsen/fortinet-ssl-vpn-with-okta-mfa-using-saml?authuser=0

 

今回はSSL-VPNに関してSSOを設定しましたが、管理画面もできるようなので、今後は管理画面もSSO対応を検討したいと思います。

【バックナンバー】

ではでは。またの機会に。

Enterprise Mobility + Security E3ではじめるゼロトラスト入門 – 6 – AWSコンソールへのログインをSSOにする

ども。こんばんは。

厳密には、Azure AD Premiumの機能ではないのですが、せっかくAzure ADを利用しており、条件付きアクセスも設定したので、AWSコンソール(AWS Console)へのログインをSAMLを使ったSSOで実装します。

基本的に以下のドキュメントに従って進めていけばOKです。
若干AWSの画面が変わっているので手順をご紹介します。

チュートリアル:Azure Active Directory シングル サインオン (SSO) とアマゾン ウェブ サービス (AWS) の統合

■Azure ADの設定(1)

まずは、Azure ADのエンタープライズアプリケーションにAmazon Web Services(AWS)を追加します。

なんか2個ありますが、Amazon Web Servicesの方です。

数秒で追加は完了します。

シングルサインオンの設定に移動し、SAMLを選択します。

なんか聞かれたのでとりあえず「はい」を押しておきます。

チュートリアル通りだと次に証明書を作りますが、チュートリアルと違ってすでに証明書が存在していました・・・が、一応手順どおりに「新しい証明書」をクリックして作ります。

出来上がったらアクティブ化します。

「フェデレーション証明書XML(フェデレーションメタデータXML)」をダウンロードします。

いきなりテストする?って聞かれますが、このタイミングではAWS側の準備が整ってないので失敗するはず・・・ですのでテストはしません。

■AWS Consoleの設定

ここから、AWS Console側の設定を行います。

IAMのIDプロバイダの設定に移動します。

「IDプロバイダを作成」をクリックし、SAMLを選択します。

プロバイダ名は適当に、メタデータドキュメントにはダウンロード済みのフェデレーションメタデータXMLをアップロードします。

できました。
IAMロールを割り当てろって出てますが、次の手順で適用します。

IAMに新しいロールを作成します。
画面が見切れてしまっていますが、「信頼されたエンティティの種類」にはSAML2.0を、SAMLプロバイダーには、先程作成したAzure ADのものを選択します。
「プログラムによるアクセスとAWSマネジメントコンソールによるアクセスを許可する」を選択しておきます。

アクセス権限は、必要な内容によって決定します。
今回は管理者アクセスをしたいので、AdministratorAccessにしています。
この辺って実際の運用ではどうするんでしょうね。。
エンタープライズアプリケーションを複数登録して割り当てるユーザごとにロールも変える感じ何でしょうか。
このあたりの細かいアクセス制御は勉強不足です。

タグは省略します。
これでロールは完成です。

続いて、Azure ADがロールをフェッチするためのポリシーを作成します。ここ正直ちゃんと理解できてないです。。のでとりあえず手順どおりにやります。

IAMでポリシーを作成して以下のJSONを貼り付けます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
            "iam:ListRoles"
            ],
            "Resource": "*"
        }
    ]
}

保存します。

つづいて、今作ったポリシーを利用できるユーザを作成します。

ポリシーには先程作成したものをアタッチします。

タグは省略します。
これでロールフェッチ用のアカウントの作成は完了です。
次のページで、APIキーとシークレットが表示されるので、ダウンロードするなどして控えておきます。

■Azure AD側の設定(2)

プロビジョニングの設定をします。

Amazon Web Services(AWS)アプリケーションのプロビジョニングに移動し、作業を開始します。

プロビジョニングを自動にし、AWS側の設定で作成したロールフェッチ用のユーザのAPIキーとシークレットを入力し、テスト接続します。
右上にテスト接続が問題ないことを示すメッセージが表示されることを確認します。

忘れずにプロビジョニング状態をオンにします。

これで準備は完了です。

■アプリケーションへのユーザ追加とテスト

アプリケーションにユーザを追加(割り当て)します。

テストします。

いけたー!ちゃんとフェデレーションログインになっています。
ざっと見たところ、EC2などの管理もちゃんとできそうです。

次回以降のアクセスは、Office 365のポータルからどうぞ。

【バックナンバー】

ではでは。またの機会に。

Enterprise Mobility + Security E3ではじめるゼロトラスト入門 – 5 – 条件付きアクセスでIDを保護する

ども。こんばんは。

 前回までに、Intuneに各種デバイスの登録を行いました。

今回は、Azure AD Premiumの条件付きアクセスを設定して、サインイン時に2要素認証(MFA)を設定します。

まず、アカウントへのMFA(Microsoft Authenticatorや電話認証等)の設定は以下から行います。

https://aka.ms/mfasetup

手順は省略しますが、いい感じに、認証アプリ(Microsoft Authenticator)を設定しました。
QRコードをアプリに取りむ感じです。

今回の条件付きアクセスは、以下のように設定しました。

  • 自宅のグローバルIPアドレスはMFAを必要としない
  • レガシ認証のアプリについては、条件付きアクセスを適用しない
    ※AndroidネイティブなExchange Active Syncを利用しているため。
    本来はOutlookアプリに切り替えるべきですが、なんやかんやでまだまだネイティブアプリのほうが便利なことがあるので、ここは断腸の思いで除外します。
  • Intuneでデバイスが準拠済みのものはMFAを必要としない

まずは、グローバルIPアドレスをネームドロケーションに登録します。
※標準で「MFA信頼済みIP」という設定がありますが、今回はあえて新しく作ってみました。

今回設定した条件付きアクセスは以下のようなものです。
※条件付きアクセスの設定時は、警告の通り自分が追い出されない(条件に引っかかってサインインできなくならない)ように自分は除外するとかテスト用アカウントで試すとか、「レポート専用」にして様子を見るなど、準備が必要です。以下の画面は、テストが終わった後、対象を「すべてのユーザ」に広げています。

上記設定で、自分の要件は満たせており、レガシ認証にはMFAは適用されないし、テザリングなどで自宅以外のIPアドレスから接続するとMFAが有効になります。

・・・が、Intuneでデバイスが準拠しているという条件がいまいち反応してくれません。

以下、マネージドGoogleプレイストアから配信したAndroid用Edgeでサインインしたときのログです。

これは割といい感じなんですが、macOSで同じようなことをしてもデバイス準拠が「いいえ」になってしまいます。。。

そもそも、Google Chromeで、IntuneのステータスをAzure ADに連携するには、Windows 10 Accounntsという拡張機能が必要なようです。

うーん、インストールしてるんですけどねえ。あと、iPadのTeamsアプリなんかでログインしてもデバイス準拠は「いいえ」になってしまう模様。

まいった。。一旦お手上げですが、とりあえず最低限やりたかったMFAは実装できました。

【バックナンバー】

ではでは。またの機会に。

Enterprise Mobility + Security E3ではじめるゼロトラスト入門 – 4 – iPadとmacOSをIntuneに登録する

ども。こんばんは。

 前回の続きです。

今回はiPadとmacOS XをIntuneに登録していきます。
iPadOSは14.2、macOSは導入時はCatalinaその後、Big Surにバージョンアップしていますが特に問題ありません。
※公式にもBig Surはサポートされています。

まずは、iPad、macOSをIntuneに登録するための共通の手順である「Apple MDM  プッシュ通知証明書」を入手します。

Appleへのアクセス許可に同意してCSRをダウンロードします。

以降はAppleのサイトで操作します。
※Apple IDでサインイン済みです。

CSRをアップロードします。

署名が終わったらダウンロードします。

エンドポイント管理センターに戻って、署名時に利用したAppleIDを入力、ダウンロードした署名済みの証明書をアップロードします。

うまくできれば、こんな感じになります。

■macOSをIntuneに登録する

ここから、macOSをIntuneに登録します。

まず、以下のURLからポータルアプリのpkgをダウンロードします。App Storeではないようですね。

https://go.microsoft.com/fwlink/?linkid=853070

いい感じにインストールします。

アプリを起動します。

すでに、Office365を利用しているためかアカウントが見つかりました。

サインインして登録を開始します。

プロファイルをダウンロードします。

これで完了です。

■iPadをIntuneに登録する

続いてIPadをIntuneに登録します。
※ここでもMDMプッシュ通知証明書が必要なので、冒頭の手順が完了している必要があります。

まずは、App SotreからIntune ポータルサイトをインストールします。

iPadでもアカントが見つかりました。

サインインしたら設定を開始します。

管理プロファイルをダウンロードします。

手順に従って管理プロファイルをインストールします。

これで完了です。

 

これで我が家のだいたいのデバイスは登録完了です。

こんな感じになりました。

次回はいよいよAzure AD Premiumの機能である条件付きアクセスを設定してIDを脅威から保護します。

【バックナンバー】

ではでは。またの機会に。

Enterprise Mobility + Security E3ではじめるゼロトラスト入門 – 3 – AndroidをIntuneに登録する

ども。こんばんは。

 前回の続きです。

今回はAndroidをIntuneに登録していきます。
今回はHTV33(Android 9.0)とSHG01(Android 10.0)で試していますが、主にAndroid 10について紹介します。

まず、Androidについては、いくつか管理方法があるようです。

  • 仕事用プロファイルを備えた個人用デバイス
    仕事用プロファイルで個人の登録を管理します。
  • 会社が所有する専用端末
    キオスクおよびタスク デバイスについて、デバイス所有者の登録を管理します。
  • 会社が所有する完全に管理されたユーザー デバイス
    ユーザー デバイスについて、デバイス所有者の登録を管理します。
  • 仕事用プロファイルを備えた会社所有のデバイス (プレビュー)
    仕事用プロファイルを備えた会社のデバイスの登録を管理します。​

おいらは古いタイプの人間なので、てっきりデバイス管理者にIntuneを登録してフル管理だと思ってましたが、最近の流行りはAndroid Enterpriseを使って、プロファイルとして仕事用を分けるようですね。
※Playストアやアプリが全部別で管理できるようになります。

まずは、マネージドGoogle Playに接続してAndroid Enterpriseを利用できるようにします。

エンドポイント管理センターの「デバイス」->「Android」→「Android 登録」から接続します。

いい感じに登録します。

準備完了。

準備ができたので、AndroidをIntuneに登録していきます。

Playストアから「Microsoft Intune ポータルサイト」をインストールします。

サインインしてセットアップをすすめます

仕事用プロファイルとやらができます。

あとは何もしなくてもおわるっぽい。

ほー。おわるとこんな感じに仕事用にアプリが別れます。
※機種依存なのか、Android 9.0のHTCU11(HTV33)ではこのような別れた表示にはなりませんでした。

しかし、名前が気にいらねぇ。
「ユーザ名_AndroidForWork_11/14/2020_1:03 PM」みたいな名前になっててしまう。Intuneポータルアプリから名前を変更しても、エンドポイント管理センター上の表示は変わらない模様。。。まぁいいか。。。

これで登録は終わりです。

試しにアプリを配布してみます。

エンドポイント管理センターの「アプリ」->「Android」->「Android 個のアプリ」で、「追加」します。
Playストアを検索して追加します。

追加後「割り当て」を行う必要があります。割り当てにはいくつか種類があり、必須とする、インストール許可する、禁止するなどがあるようです。

割とすぐ反映されるので、Android側の仕事用のPlayストアでインストール可能になりました。

以上で完了です。
次回はiPadとmacOS XをIntuneに登録したいと思います。

 

【バックナンバー】

ではでは。またの機会に。

Enterprise Mobility + Security E3ではじめるゼロトラスト入門 – 2 – Windows 10をIntuneに登録する

ども。こんばんは。

 前回の続きです。

早速Windows 10にIntuneを展開していきます。

大規模環境ならAutoPilotで自動的に展開したり、GPOで配ったりとかあると思いますが、今回は手動で登録します。

なお、一応、今後追加されるWindows 10がAzure ADにサインインした場合に自動的にIntuneに登録されるようにAzure ADのMDMを構成します。

Azure ADの「モビリティ (MDM および MAM)」から「Microsoft Intune」を選択して以下の画面に移動します。 

それぞれ割り当てたいユーザやグループを指定しておきます。

これで、新しくサインインすると自動でIntuneにも登録される・・・はずです。

続いてDNSにIntuneのCNAMEを登録します。

以下のドキュメントを参考に、EnterpriseEnrollmentとEnterpriseRegistrationを自分のDNSサーバにCNAMEを追加します。

Windows デバイスの登録をセットアップする

これをやっておかないと、「入力されたユーザ名と一致する管理エンドポイントを自動検出できませんでした。ユーザ名を確認して、やり直してください。管理エンドポイントのURLがわかっている場合は、それを入力してください。」というエラーになります。

一応テストもしておきます。

 

準備ができたので、Windows 10にIntuneをインストールします。

まず、ストアから「ポータル サイト」を入手します。

続いてデバイスを職場に接続します。

これでおわり。

これで、Intuneにデバイスが登録されました。
次回はAndridをIntuneに登録したいと思います。

【バックナンバー】

ではでは。またの機会に。

Enterprise Mobility + Security E3ではじめるゼロトラスト入門 – 1 – 購入編

ども。こんばんは。

最近のセキュリティ界隈では「ゼロトラスト(セロトラストネットワーク)」なるキーワードが盛んですね。

これまでのようにファイアウォール等の境界で守られたネットワークを信用しない、という考え方のようですね。
例えば、カフェなどの公衆Wi-Fiにつなごうが、社内LANにつなごうがどちらも同じ、何も信用しないという考え方です。

いろいろな構成要素がありますが、自宅でも気軽に試せる部分として
・IDセキュリティ(IDを安全にする)
・デバイス管理(MDM)
からやってみたいと思います。
※あとは、SASE(Secure Access Service Edge)とかEDR(Endpoint Detection & Response)があると、どこでも同じポリシーのセキュリティを、境界ではなくエンドポイント上で不審な動きを監視、といったよりゼロトラストな感じになると思います。

さて、今我が家ではMicrosoft 365 Business Basicを契約しています。

これに、Enterprise Mobility + Security E3を追加して、ID保護としてのAzure AD Premium P1、MDMとして、Microsoft Intuneを使えるようにします。

Microsoft 365 Business Premium(¥26,160/年)にすべきかも悩んだのですが、Microsoft 365 Business Basic(¥6,480/年)+EMS E3(¥11,520/年)にしました。Business Premiumよりも、¥8,000くらい安くなりました。この差額は、デスクトップアプリ版のOffice分ですかね。最近IPadばっかりでWindowsをあまり使ってないのでデスクトップ版Officeアプリはいいかなーという感じです。

ちなみにEMS E3は「Enterprise Mobility Suite Direct」に名前が変わった(変わる?)ようです。

サクッと買います。購入はMicrosoft 365管理センターの「サービスを購入する」から。

無事買えました。

続いてライセンスを割り当てます。

無事にAzure AD上のライセンス画面でも割当が行われました。

知らない間に、Azure ADのライセンスもPremium P1になっていました。

次回からは、各デバイスをIntuneに登録していきたいと思います。

ではでは。またの機会に。