「クラウド」カテゴリーアーカイブ

【雑記】書きたかったこと。出来事。買ったものとか(2022年12月、2023年1月、2月中旬)

ども。こんばんは。

相当に遅くなりまりましたが、新年あけましておめでとうございます…

概ね毎年元旦にあけおめ投稿するんですが、今年の年末年始はインフルエンザ(自称)で寝込んでいました。。

ということで、2.5ヶ月分、雑記です。

■PBXをバージョンアップした(2022/12/02)

久々にFreePBXをバージョンアップしました。16..0.26になりました。
STEP3でどうしてもエラーになったのでハマりましたが、OS側でyum updateしたら通りました。

■なくしたWAONカードの再発行が終わった(2022/12/04)

なくしたWAON出来上がりました。なんと、新しい番号でも過去の履歴が取得できました、ってかそれはそれで困るので、、家計簿アプリでは古い方を停止しています。これずっと過去のWAON番号でも履歴取り続けられるんだろうか?新しい買い物も古いWAON番号で見れました。引き継ぎすごい。

■久々にM5Stack Core 2で遊ぼうと思って引っ張り出した(2022/12/07)

随分前に購入したやつ久々に取り出しました。

M5Stack Core 2入門 – 2 – UIFlowでプログラミングする

M2 Macbook Airですが、特にドライバ入れなくても公式のm5burnerで焼けました。
※USB CtoAケーブルで変換しています。Anker USB-C & USB-A 3.0 変換ケーブルでず。

UI Flowでシリアル接続できるようになってた!

ターミナルの場合は今まで通りこんな感じ。
※抜けるときはCtrl+Aのあとにkでy。

screen /dev/tty.usbserial-0201895F 115200

それから地味にVSCodeに拡張機能(vscode-m5stack-mpy)がリリースされてました。

Gitのソースを直接実行したりできないのはちょっと不便ですが、ファイルが直接見えたりするのでこれはこれで便利です。main,pyが自動起動されるやつっぽいですね。

さぁ遊ぶか!と思ってたんですが、、内臓のリチウムポリマー電池が過放電で死んでました。

USBから電圧はかかってますが、全然充電されない。

ネットの情報だとBATをGNDをつないだたら復活するかも?っていう話があったので試してみたけどダメ。

ダメ元でサポートにフォームから英語で問い合わせたところ、ボトムプレートを外してバッテリーがつながってるか見てみてね!とのこと(英語です。)

開けてみたところ。

あ…

パンパンでそ!パンパン!なんかの音がしそうなくらいパンパン!orz

サポートにバッテリー外したままUSB接続で使っても安全?って聞いたら全然いいよ!って返事きたのでバッテリーは外しました。
USB常時接続なら問題なく動きます。

まぁ今度なんかで遊ぼ。

■セーフティバッグ(防火防爆バッグ)をかった(2022/12/14)

M5Stack Core2のバッテリー膨張事件があったので、やっぱりバッテリーはこわいなぁーと思って買いました。

LayLax (ライラクス) GIGA TEC PSEリポ セーフティーバッグ  サバゲー用品

SサイズとLサイズ買いました。それぞれAmazonにて、¥2,740と¥3,343なり。

すごそうなことがいっぱい書いてある。

裏面

タグがついてる。(SもLも同じのついてた)

頑丈そうなマジックテープ。

とりあえずSサイズの方にはいくつか膨張したままほったらかしにしてたバッテリーを入れときました。

そしてLサイズの方には昔のスマホとかバッテリーが入ってるやつを入れておきました。ポケステ、DS、Vita、古いスマホたち…みな懐かしい笑

■AQUOS R5G(SHG01)用のケース(2022/12/14)

Hy+ AQUOS R5G 耐衝撃 ケース SH-51A SHG01 カバー ストラップホール 米軍MIL規格 クリア 衝撃吸収ポケット内蔵 TPU ケース

Amazonで¥1,399なり。

2022年7月に本体交換したときに一緒にかったケースが割れてしまいました。。

値段の割に色々入ってた。

 

■ちょっと早い自分へのクリスマスプレゼント(2022/12/17)

あんまり普段行くことのない伊勢丹をウロウロしてたら一目惚れしたので買いました。¥4,950。

底も開けられるので捨てるのが楽そう。

■Meraki Goと格闘(2022/12/21)

Meraki GoがDSCPマーキングするっていうのを以前記事にしました。サポートでオフにしてもらって解決したと思ってたんですが、実はIMAPSにもDSCPが…

サポートにやっぱりまだDSCPマーキングしとるやないかい!って問い合わせたら、Meraki Go側ではオフにしてるから絶対それはない!っていう問答を繰り返しまして、、

関連:Meraki Go GR12にリプレイスした&IPoEルータをUNIVERGE IX2106にリプレイスした!

でこれ、パケットキャプチャをよくよく見たら、実はMeraki GoじゃなくてmacOSからパケット送出した時点でマーキングしてることが判明…結局IX2106でOCNバーチャルコネクトにパケット投げるときに全部オフにする、でもう諦めることにしました。。

サポートの人にも謝っときました。ごめんなさい…
※YouTubeなどにMeraki GoがDSCPマーキングするのは間違いないです。

■自称インフルエンザになった(2022/12/30-2023/01/03)

12/29が仕事納めだったんですが、まぁ見事に翌日の12/30から高熱に。

やばかったです。1/1の夕方くらいまでたうち回りました。
とにかく寒くて寒くて…久々に死ぬかとおもった。
1/1の夕方にやっと布団から出たら仕事でトラブルがあったことが判明。
元日病み上がりから仕事orz
1/2も仕事したりもして、1/3にもう一回ダウンしました。

本当は友達の子供と遊ぼうと思っておもちゃも買ってたのにorz

スズキ キャリーのラジコンとなんか宙に浮くボール。
結局まだ渡してないや。

■NASとVMwareのファームウェア更新(2023/01/02)

インフルエンザと仕事の年末年始とか嫌すぎる!ってことで無理してなんかしてやろうと思って溜まってたファームウェア更新しました。

VCenterはちょいちょいアップデートしてましたが、ESXiはなかなかそうも行かないので、思い切ってNASも止めて、NASのファームウェア更新後、ESXiも更新。

■ワルキューレ LIVE 2022 ~Walkure Reborn!~ at 幕張メッセ [Blu-ray](2023/01/24)

Amazonで¥6,814。

最近やっと劇場版マクロスΔ 絶対LIVE!!!!!!見たばっかりなので楽しみ。

■CloudFlareのキャンペーンで$10で買ったYubiKeyが届いた(2023/01/24)

こちらで書いたYubiKey届きました!
はるばるストックホルムから。

いい感じ。

■Sony WF-1000XM4のバッテリーが壊れた(2023/01/28)

バッテリーの減りが右だけやばい感じになりました。
これ、13:00に100%の状態から53分使ったあとのキャプチャです。

1時間でこれはまずい。

色々調べたところ、結構同じような症状の人がいて、保証期間後でも無償で交換してくれた、という話もありました。

専用の申込みサイト?もありました。
公になってないけどこれやっぱり不具合なのかなぁ。

https://www.sony.jp/support/repair/wf-1000xm4/index.html

同じような症状で交換した人のブログ。
※私はワイヤレス充電は使っていません。

WF-1000XM4の電池の減り方が早すぎるので修理していただいた話 – THOMSON.LIFELOG

ということで引取修理をお願いしました。
サイトから申し込みすると、引取に来てもらえます。梱包は気にする必要はなくそのままお渡しすればOKでした。

■Microsoft 365でYubiKeyの認証ができるようにした(2023/01/31)

せっかく買ったのでまずはM365からかな?と思って設定しました。
デフォルトではU2Fは認証に使えないのでAzure ADでFIDO2 セキュリティキーを有効にする設定が必要です。

Azure Active Directory のパスワードレス認証オプション

あとはアカウントごとに「セキュリティ情報」で登録すればOK。

いい感じになりました。

■2023年2月Amazonタイムセール祭りで買ったもの(2023/02/04)

色々買いました。

New Fire TV Cube – Alexa対応音声認識リモコン付属 | ストリーミングメディアプレーヤー

¥17,980

これは別記事にしようと思います。

2023/02/13追記:
こちらで公開しています!
Amazon Fire TV Cube(第3世代)を買ったよ!

エレコム 液晶クリーナー クリーニングクロス 超強力 水洗い可 ドライタイプ 15×15cm 指紋 皮脂 ほこり 水性/油性汚れ対応 [iPhone、iPad、Macbook等のスマホ・タブレット・テレビの液晶をキレイに] グレー AVD-TVCC01C15

¥1,070

M2 Macbook Airがやっぱりやたら指紋がつくし、画面開くときに必ず上の方に指があたって汚れるのでクロスを購入。Appleの純正ポリッシングクロス買っても良かったんけどまぁなんでもいいや。

これケース付きって書いてたけど、ケースって、、ペーパークラフトかよ!しかもちょっと作るの難しいし。

まぁないよりマシくらいで。

ちなみにめっちゃきれいになるので、モノとしては気に入ってます。

Panasonic リチウムコイン電池 CR2032 5個セット

¥1,278

主に楽器のチューナー用に購入。

imaa(アイマ) 今治タオル 認定 バスタオル 2枚セット ふわふわ 薄手 吸水速乾 日本製 綿100% 水玉 Dotネイビー2枚

¥3,150

日用品なので本来はブログに書く対象ではないんですが、圧縮率がすごくて思わず載せました。
最初これバスタオル入ってんのか?!って思うくらいカチカチの板みたいなのが入ってました。袋開けたらプシューって音出して膨らみました。

[2個入り] 【Ringke】スマホ ストラップ リングストラップ フィンガーストラップ シリコン製 かわいい色 落下防止 Finger Ring Strap – Black & Black

¥769

YubiKey無くしそうなんでなんかつけとこうかな?くらいのノリで買いました。

悪くないけど…なんか微妙。

Anker Magnetic Cable Holder 2個セット マグネット式 ケーブルホルダー ライトニングケーブル USB-C ケーブル Micro USB ケーブル 他対応 デスク周り 便利グッズ (ブルー)

¥1,743

これは…うーん…

2個入がセールだったので2個入買いましたけど、正直微妙…

1つはオフィスで使っててまぁ割といい感じですが、家では使わないかも…

後ろはマグネットかつ洗えば何度も粘着力が復活するタイプのやつになっています。

一つ一つが磁石でくっついてるのでかんたんに外したりつけたりできます。

■WF-1000XM4が修理から帰ってきた(2023/02/09)

結論、左右イヤホン、ケース全部無料で交換していただきました。

2/5に引き取りに来てもらって、2/9には自宅に届いたのでめちゃくちゃ対応早くて驚きました。
ソニーさん神対応ありがとうございます!

すごい箱に入ってやってきました笑

全部交換!¥0でした。(保証切れてます。)

イヤピースは修理に出したときにつけていたものが別袋に入って返ってきました。

以前と同じ設定で100%から58分ほど使った後の状況。
86%くらい残ってますね。やっぱこれくらい持たないとね!

■SONY EP-NI1000S  [ノイズアイソレーションイヤーピース Sサイズ](2023/02/11)

せっかく本体が新品同様になったのにイヤーピースがボロいなーと思って買いました。

AmazonではPrime対象でSサイズがなかったため、ヨドバシ.comで購入しました。¥1,870なり。

これWF-1000XM4の付属と同じものだと思ってるんですが違うんですかね?

箱が独特。

おおー。この入れ物質感はWF-1000XM4の箱と一緒っぽい。

左がずっと使ってる付属のもの。あれ、やっぱり違う?それともウレタンが変質してこうなった?ってか汚い笑

耳くそウェットな私みたいな人にウレタンイヤホンはダメな気が今更してきたけどまぁいいや。

■サックスをリペアに出した(2023/02/11)

先週まで問題なかったんですが、この日練習にいったら、、真ん中のドの音を、全部のキーを押す運指で吹くと、オクターブキー使っても、オーバートーンでも、E♭キーがめっちゃくちゃ震えてグロウル状態みたいなってしまいました…

練習後クロサワ楽器さんにもっていって見てもらったところ、これ以外いにもキーがずれててちゃんと閉じてないところが何箇所かあるそうです。

購入したのが2022/02/12なのでまぁ1年ほどたつので、全体のキー調整をお願いしました。

ちなみにリペアマンさんと話してると、真ん中のドの音は全部押さえる方の運指で鳴らすのはサックスの構造上あんまり向いてないらしい。知らなかった。

正直完全に直るか微妙らしいですが、修理待ちたいと思います。

ふぅ。いっぱい書きました。

なんか正月が正月らしくなかったので気持ち的には全然新しい年が始まってませんね…

仕事もそこそこ忙しくて、なかなか最近家では寝てばかりの日々です。

ではでは。またの機会に。

いつものノリでkernelをアップデートしたらエライ目にあった話

ども。こんばんは。

いつものノリでAWS EC2上のCentOS 7.9.2009のカーネルをyumで「kernel-3.10.0-1160.11.1.el7.x86_64」にアップデートしたら、Kernel Panicになりました。。

EC2のトラブルシュートからシステムログを見るとこんな感じ。

Kernel panic – not syncing: VFS: Unable to mount root fs on unknown-block(0,0)

お、おう。

クラウドでカーネルパニックになるって地味に大変だぞ。。。

ということで、結論は、

インスタンス停止
ボリュームをデタッチ
新しいCentOS 7のインスタンスを作成
ボリュームをアタッチ
マウントしてなおす

という感じです。

以下の手順に従っても直りませんでした。

カーネルをアップグレードした後、または EC2 Linux インスタンスを再起動しようとすると、「カーネルパニック」エラーが表示されます。どうすれば解決できますか?

で、結局古いカーネルで上がるようにしました。

更新後、Amazon EC2 インスタンスの再起動に失敗します。既知の安定したカーネルに戻すにはどうすればよいですか。

/etc/grub.confの中身はいまこんな感じ。

  1 default=1
  2 timeout=0
  3 
  4 
  5 title CentOS Linux (3.10.0-1160.11.1.el7.x86_64) 7 (Core)
  6     root (hd0)
  7     kernel /boot/vmlinuz-3.10.0-1160.11.1.el7.x86_64 ro root=UUID=29342a0b-e    20f-4676-9ecf-dfdf02ef6683 console=hvc0 LANG=ja_JP.UTF-8
  8 title CentOS Linux (3.10.0-1160.6.1.el7.x86_64) 7 (Core)
  9     root (hd0)
 10     kernel /boot/vmlinuz-3.10.0-1160.6.1.el7.x86_64 ro root=UUID=29342a0b-e2    0f-4676-9ecf-dfdf02ef6683 console=hvc0 LANG=ja_JP.UTF-8
 11     initrd /boot/initramfs-3.10.0-1160.6.1.el7.x86_64.img
 12 title CentOS Linux (3.10.0-1127.19.1.el7.x86_64) 7 (Core)
(略)

いやー、びっくりしたわ。。

ではでは。またの機会に。

Enterprise Mobility + Security E3ではじめるゼロトラスト入門 – 8 – パスワードレス認証を設定する

ども。こんばんは。

Azure ADでは、パスワードを入力せずにサインイン(ログイン)できる「パスワードレス」認証に対応しています。

まだプレビューっぽいですが、Microsoft Authenticatorを利用してパスワードレスができそうだったのでやってみました。

以下参考ドキュメントです。

Azure Active Directory のパスワードレス認証オプション

Azure Active Directory でパスワードレス認証のデプロイを計画する

Microsoft Authenticator アプリを使用したパスワードなしのサインインを有効にする (プレビュー)

まずは、多要素認証の検証方法でプッシュ通知が許可されていないとだめらしい。。。がどこの設定かわからない・・・

[Azure AD]->[セキュリティ]->[MFA]の「追加のクラウドベースの MFA 設定」かな?

 

とりあえず何もしなくても、Microsoft Authenticatorアプリ上で、「パスワードレスが有効」となっているので、使えるものと信じて進めます。

続いて、Azure ADのセキュリティから認証方法ポリシーを設定します。

有効にするかつ有効にするユーザを選択します。
※おいらは一旦1ユーザのみテストしてからすべてのユーザに変更しました。

設定はこれだけ!

これで時間ログイン時、ID入力後、パスワード入力の画面で「代わりにアプリを使用する」というリンクが出るようになります。

あとは、これをアプリで同じ番号を選ぶだけ。
とてもかんたんです。(アプリの写真は後で撮影したので番号が一致していませんが。。)

とても簡単にパスワードレス認証が実装できました。

【バックナンバー】

ではでは。またの機会に。

 

Enterprise Mobility + Security E3ではじめるゼロトラスト入門 – 7 – FortiGate のSSL-VPNをSSOにする

ども。こんばんは。

今回は、FortiGateのSSL-VPN接続(Webモード)をAzure ADを使ったSSO(シングル・サインオン)で実装します。

基本このあたりのチュートリアル通りです。

チュートリアル:Azure Active Directory シングル サインオン (SSO) と FortiGate SSL VPN の統合

Configuring SAML SSO login for SSL VPN web mode with Azure AD acting as SAML IdP

先にハマった?ポイントを・・・。

FortiGate SSL-VPNのSSOはSP-Initiatedのため、FortiGate側からフローを開始することで認証が行われます。(前回行ったAWSはIdp-Initiatedなため、Idp(Azure AD)からフローを開始します。)

完成形がこちらの画面ですが、「Single Sign-On」のボタンを表示させるためには、SAMLの設定をするだけではだめで、実際に「SSL-VPN」インターフェースから、LAN側等へのポリシーを設定し、そのポリシーの送信元にSAMLユーザを含むグループを指定する必要があります。。。

これを知らなくて、Single Sign-Onボタンを表示させるのにめちゃくちゃ時間かかりましたが、ここさえ把握しておけば設定はかんたんです。

■Azure ADの準備

まずは、エンタープライズアプリケーションにFortiGate SSL VPNを追加します。
※FortinetのドキュメントだとNon Galleryになっていますが、今は存在するようです。

アプリケーションにユーザを割り当てます。

シングルサインオンの設定からSAMLを選択します。

例にのっとって、識別子(エンティティID)、応答URL、サイオンURL、ログアウトURLを設定します。

次に、「ユーザー属性とクレーム 」を設定します。
※ここで指定した属性をFortiGateが受け取ってユーザ名などを処理するイメージです。デフォルトで「name」 があるのでこれでユーザ名使えるのかなと思ったのですがうまく行かなかったので、下記のようにusernameを追加しています。この”username”はFortiGate側にも設定します。

冒頭で記載したMicrosoftのチュートリアルでは、グループについても追加していますが、グループの追加はグレーアウトして押せなくかったので、やっていません・・・。

 

続いて、SAML署名証明書から、証明書(Base64)をダウンロードします。

■FortiGateの設定

ここからFortiGateの設定をします。
今回FortiGateはForiGate 60E、FortiOSは6.2.5で、VDOM環境です。

まずは、先程ダウンロードした証明書をインポートします。
証明書(Certificates)のGUIが標準では表示されていないので、まずは、そこから設定します。

Global VDOMの[System]->[Feature Visibility]から、Certificatesを有効します。

対象のVDOMに移動して、証明書をImportします。

インポートした証明書の名前を覚えておきます。
※画面では、「REMOTE_Cert_1」 です。

続いてコマンドラインで以下の設定を導入します。

idp-entity-id 、idp-single-sign-on-url、idp-single-logout-url は、Azure ADの画面からコピペします。
なお、idp-single-logout-url には「?(クエッションマーク、はてなマーク)」が入っています。

FortiGateにCLIで?を入力する場合は「Ctrl+v」のあとに「?」を入力すれば、コマンド候補の代わりに「?」が入力できます。

「set user-name “username”」のusernameは、Azure ADのユーザ属性に自分で追加した名前です。

config user saml
    edit "azure"
        set entity-id "https://[FortiGateのFQDN]/remote/saml/metadata"
        set single-sign-on-url "[FortiGateのFQDN]/remote/saml/login"
        set single-logout-url "https://[FortiGateのFQDN]/remote/saml/logout"
        set idp-entity-id "https://sts.windows.net/xxxx/"
        set idp-single-sign-on-url "https://login.microsoftonline.com/xxxx/saml2"
        set idp-single-logout-url "https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0"
        set idp-cert "REMOTE_Cert_1"
        set user-name "username"
        set group-name "group"
    next
end

作成したユーザをグループに入れます。
※グループに突っ込まないと、そもそもポリシーで利用できません。
Microsoftのチュートリアルでは、さらにmatchをつかって、Group-IDで絞り込んでいますが、今回はそこまでやっていません。

config user group
    edit "SSLVPN_from_AzureAD"
        set member "azure"
    next
end

最後にポリシーに適用します。
※ポリシーに設定して、初めてログイン画面にSingle Sing-onボタンが表示されます。

■テスト

今回はSP-Initiatedなので、FortiGateの画面から行きます。

おお。できた。

ちなみに、パーソナルブックマークとか作ってもちゃんと保存されます。

設定は、ユーザ名「xx@xxx.xx#SAML設定名」としてconfigに保存されるようです。

あと、FortiClientもSAML Logonというのができそうなのですが、どうもこれは、有償版?か6.4の機能っぽい?

こんなふうにできるはず?

https://sites.google.com/frellsen.se/kimfrellsen/fortinet-ssl-vpn-with-okta-mfa-using-saml?authuser=0

 

今回はSSL-VPNに関してSSOを設定しましたが、管理画面もできるようなので、今後は管理画面もSSO対応を検討したいと思います。

【バックナンバー】

ではでは。またの機会に。

Enterprise Mobility + Security E3ではじめるゼロトラスト入門 – 6 – AWSコンソールへのログインをSSOにする

ども。こんばんは。

厳密には、Azure AD Premiumの機能ではないのですが、せっかくAzure ADを利用しており、条件付きアクセスも設定したので、AWSコンソール(AWS Console)へのログインをSAMLを使ったSSOで実装します。

基本的に以下のドキュメントに従って進めていけばOKです。
若干AWSの画面が変わっているので手順をご紹介します。

チュートリアル:Azure Active Directory シングル サインオン (SSO) とアマゾン ウェブ サービス (AWS) の統合

■Azure ADの設定(1)

まずは、Azure ADのエンタープライズアプリケーションにAmazon Web Services(AWS)を追加します。

なんか2個ありますが、Amazon Web Servicesの方です。

数秒で追加は完了します。

シングルサインオンの設定に移動し、SAMLを選択します。

なんか聞かれたのでとりあえず「はい」を押しておきます。

チュートリアル通りだと次に証明書を作りますが、チュートリアルと違ってすでに証明書が存在していました・・・が、一応手順どおりに「新しい証明書」をクリックして作ります。

出来上がったらアクティブ化します。

「フェデレーション証明書XML(フェデレーションメタデータXML)」をダウンロードします。

いきなりテストする?って聞かれますが、このタイミングではAWS側の準備が整ってないので失敗するはず・・・ですのでテストはしません。

■AWS Consoleの設定

ここから、AWS Console側の設定を行います。

IAMのIDプロバイダの設定に移動します。

「IDプロバイダを作成」をクリックし、SAMLを選択します。

プロバイダ名は適当に、メタデータドキュメントにはダウンロード済みのフェデレーションメタデータXMLをアップロードします。

できました。
IAMロールを割り当てろって出てますが、次の手順で適用します。

IAMに新しいロールを作成します。
画面が見切れてしまっていますが、「信頼されたエンティティの種類」にはSAML2.0を、SAMLプロバイダーには、先程作成したAzure ADのものを選択します。
「プログラムによるアクセスとAWSマネジメントコンソールによるアクセスを許可する」を選択しておきます。

アクセス権限は、必要な内容によって決定します。
今回は管理者アクセスをしたいので、AdministratorAccessにしています。
この辺って実際の運用ではどうするんでしょうね。。
エンタープライズアプリケーションを複数登録して割り当てるユーザごとにロールも変える感じ何でしょうか。
このあたりの細かいアクセス制御は勉強不足です。

タグは省略します。
これでロールは完成です。

続いて、Azure ADがロールをフェッチするためのポリシーを作成します。ここ正直ちゃんと理解できてないです。。のでとりあえず手順どおりにやります。

IAMでポリシーを作成して以下のJSONを貼り付けます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
            "iam:ListRoles"
            ],
            "Resource": "*"
        }
    ]
}

保存します。

つづいて、今作ったポリシーを利用できるユーザを作成します。

ポリシーには先程作成したものをアタッチします。

タグは省略します。
これでロールフェッチ用のアカウントの作成は完了です。
次のページで、APIキーとシークレットが表示されるので、ダウンロードするなどして控えておきます。

■Azure AD側の設定(2)

プロビジョニングの設定をします。

Amazon Web Services(AWS)アプリケーションのプロビジョニングに移動し、作業を開始します。

プロビジョニングを自動にし、AWS側の設定で作成したロールフェッチ用のユーザのAPIキーとシークレットを入力し、テスト接続します。
右上にテスト接続が問題ないことを示すメッセージが表示されることを確認します。

忘れずにプロビジョニング状態をオンにします。

これで準備は完了です。

■アプリケーションへのユーザ追加とテスト

アプリケーションにユーザを追加(割り当て)します。

テストします。

いけたー!ちゃんとフェデレーションログインになっています。
ざっと見たところ、EC2などの管理もちゃんとできそうです。

次回以降のアクセスは、Office 365のポータルからどうぞ。

【バックナンバー】

ではでは。またの機会に。

Enterprise Mobility + Security E3ではじめるゼロトラスト入門 – 5 – 条件付きアクセスでIDを保護する

ども。こんばんは。

 前回までに、Intuneに各種デバイスの登録を行いました。

今回は、Azure AD Premiumの条件付きアクセスを設定して、サインイン時に2要素認証(MFA)を設定します。

まず、アカウントへのMFA(Microsoft Authenticatorや電話認証等)の設定は以下から行います。

https://aka.ms/mfasetup

手順は省略しますが、いい感じに、認証アプリ(Microsoft Authenticator)を設定しました。
QRコードをアプリに取りむ感じです。

今回の条件付きアクセスは、以下のように設定しました。

  • 自宅のグローバルIPアドレスはMFAを必要としない
  • レガシ認証のアプリについては、条件付きアクセスを適用しない
    ※AndroidネイティブなExchange Active Syncを利用しているため。
    本来はOutlookアプリに切り替えるべきですが、なんやかんやでまだまだネイティブアプリのほうが便利なことがあるので、ここは断腸の思いで除外します。
  • Intuneでデバイスが準拠済みのものはMFAを必要としない

まずは、グローバルIPアドレスをネームドロケーションに登録します。
※標準で「MFA信頼済みIP」という設定がありますが、今回はあえて新しく作ってみました。

今回設定した条件付きアクセスは以下のようなものです。
※条件付きアクセスの設定時は、警告の通り自分が追い出されない(条件に引っかかってサインインできなくならない)ように自分は除外するとかテスト用アカウントで試すとか、「レポート専用」にして様子を見るなど、準備が必要です。以下の画面は、テストが終わった後、対象を「すべてのユーザ」に広げています。

上記設定で、自分の要件は満たせており、レガシ認証にはMFAは適用されないし、テザリングなどで自宅以外のIPアドレスから接続するとMFAが有効になります。

・・・が、Intuneでデバイスが準拠しているという条件がいまいち反応してくれません。

以下、マネージドGoogleプレイストアから配信したAndroid用Edgeでサインインしたときのログです。

これは割といい感じなんですが、macOSで同じようなことをしてもデバイス準拠が「いいえ」になってしまいます。。。

そもそも、Google Chromeで、IntuneのステータスをAzure ADに連携するには、Windows 10 Accounntsという拡張機能が必要なようです。

うーん、インストールしてるんですけどねえ。あと、iPadのTeamsアプリなんかでログインしてもデバイス準拠は「いいえ」になってしまう模様。

まいった。。一旦お手上げですが、とりあえず最低限やりたかったMFAは実装できました。

【バックナンバー】

ではでは。またの機会に。

Enterprise Mobility + Security E3ではじめるゼロトラスト入門 – 4 – iPadとmacOSをIntuneに登録する

ども。こんばんは。

 前回の続きです。

今回はiPadとmacOS XをIntuneに登録していきます。
iPadOSは14.2、macOSは導入時はCatalinaその後、Big Surにバージョンアップしていますが特に問題ありません。
※公式にもBig Surはサポートされています。

まずは、iPad、macOSをIntuneに登録するための共通の手順である「Apple MDM  プッシュ通知証明書」を入手します。

Appleへのアクセス許可に同意してCSRをダウンロードします。

以降はAppleのサイトで操作します。
※Apple IDでサインイン済みです。

CSRをアップロードします。

署名が終わったらダウンロードします。

エンドポイント管理センターに戻って、署名時に利用したAppleIDを入力、ダウンロードした署名済みの証明書をアップロードします。

うまくできれば、こんな感じになります。

■macOSをIntuneに登録する

ここから、macOSをIntuneに登録します。

まず、以下のURLからポータルアプリのpkgをダウンロードします。App Storeではないようですね。

https://go.microsoft.com/fwlink/?linkid=853070

いい感じにインストールします。

アプリを起動します。

すでに、Office365を利用しているためかアカウントが見つかりました。

サインインして登録を開始します。

プロファイルをダウンロードします。

これで完了です。

■iPadをIntuneに登録する

続いてIPadをIntuneに登録します。
※ここでもMDMプッシュ通知証明書が必要なので、冒頭の手順が完了している必要があります。

まずは、App SotreからIntune ポータルサイトをインストールします。

iPadでもアカントが見つかりました。

サインインしたら設定を開始します。

管理プロファイルをダウンロードします。

手順に従って管理プロファイルをインストールします。

これで完了です。

 

これで我が家のだいたいのデバイスは登録完了です。

こんな感じになりました。

次回はいよいよAzure AD Premiumの機能である条件付きアクセスを設定してIDを脅威から保護します。

【バックナンバー】

ではでは。またの機会に。

Enterprise Mobility + Security E3ではじめるゼロトラスト入門 – 3 – AndroidをIntuneに登録する

ども。こんばんは。

 前回の続きです。

今回はAndroidをIntuneに登録していきます。
今回はHTV33(Android 9.0)とSHG01(Android 10.0)で試していますが、主にAndroid 10について紹介します。

まず、Androidについては、いくつか管理方法があるようです。

  • 仕事用プロファイルを備えた個人用デバイス
    仕事用プロファイルで個人の登録を管理します。
  • 会社が所有する専用端末
    キオスクおよびタスク デバイスについて、デバイス所有者の登録を管理します。
  • 会社が所有する完全に管理されたユーザー デバイス
    ユーザー デバイスについて、デバイス所有者の登録を管理します。
  • 仕事用プロファイルを備えた会社所有のデバイス (プレビュー)
    仕事用プロファイルを備えた会社のデバイスの登録を管理します。​

おいらは古いタイプの人間なので、てっきりデバイス管理者にIntuneを登録してフル管理だと思ってましたが、最近の流行りはAndroid Enterpriseを使って、プロファイルとして仕事用を分けるようですね。
※Playストアやアプリが全部別で管理できるようになります。

まずは、マネージドGoogle Playに接続してAndroid Enterpriseを利用できるようにします。

エンドポイント管理センターの「デバイス」->「Android」→「Android 登録」から接続します。

いい感じに登録します。

準備完了。

準備ができたので、AndroidをIntuneに登録していきます。

Playストアから「Microsoft Intune ポータルサイト」をインストールします。

サインインしてセットアップをすすめます

仕事用プロファイルとやらができます。

あとは何もしなくてもおわるっぽい。

ほー。おわるとこんな感じに仕事用にアプリが別れます。
※機種依存なのか、Android 9.0のHTCU11(HTV33)ではこのような別れた表示にはなりませんでした。

しかし、名前が気にいらねぇ。
「ユーザ名_AndroidForWork_11/14/2020_1:03 PM」みたいな名前になっててしまう。Intuneポータルアプリから名前を変更しても、エンドポイント管理センター上の表示は変わらない模様。。。まぁいいか。。。

これで登録は終わりです。

試しにアプリを配布してみます。

エンドポイント管理センターの「アプリ」->「Android」->「Android 個のアプリ」で、「追加」します。
Playストアを検索して追加します。

追加後「割り当て」を行う必要があります。割り当てにはいくつか種類があり、必須とする、インストール許可する、禁止するなどがあるようです。

割とすぐ反映されるので、Android側の仕事用のPlayストアでインストール可能になりました。

以上で完了です。
次回はiPadとmacOS XをIntuneに登録したいと思います。

 

【バックナンバー】

ではでは。またの機会に。

Enterprise Mobility + Security E3ではじめるゼロトラスト入門 – 2 – Windows 10をIntuneに登録する

ども。こんばんは。

 前回の続きです。

早速Windows 10にIntuneを展開していきます。

大規模環境ならAutoPilotで自動的に展開したり、GPOで配ったりとかあると思いますが、今回は手動で登録します。

なお、一応、今後追加されるWindows 10がAzure ADにサインインした場合に自動的にIntuneに登録されるようにAzure ADのMDMを構成します。

Azure ADの「モビリティ (MDM および MAM)」から「Microsoft Intune」を選択して以下の画面に移動します。 

それぞれ割り当てたいユーザやグループを指定しておきます。

これで、新しくサインインすると自動でIntuneにも登録される・・・はずです。

続いてDNSにIntuneのCNAMEを登録します。

以下のドキュメントを参考に、EnterpriseEnrollmentとEnterpriseRegistrationを自分のDNSサーバにCNAMEを追加します。

Windows デバイスの登録をセットアップする

これをやっておかないと、「入力されたユーザ名と一致する管理エンドポイントを自動検出できませんでした。ユーザ名を確認して、やり直してください。管理エンドポイントのURLがわかっている場合は、それを入力してください。」というエラーになります。

一応テストもしておきます。

 

準備ができたので、Windows 10にIntuneをインストールします。

まず、ストアから「ポータル サイト」を入手します。

続いてデバイスを職場に接続します。

これでおわり。

これで、Intuneにデバイスが登録されました。
次回はAndridをIntuneに登録したいと思います。

【バックナンバー】

ではでは。またの機会に。

Enterprise Mobility + Security E3ではじめるゼロトラスト入門 – 1 – 購入編

ども。こんばんは。

最近のセキュリティ界隈では「ゼロトラスト(セロトラストネットワーク)」なるキーワードが盛んですね。

これまでのようにファイアウォール等の境界で守られたネットワークを信用しない、という考え方のようですね。
例えば、カフェなどの公衆Wi-Fiにつなごうが、社内LANにつなごうがどちらも同じ、何も信用しないという考え方です。

いろいろな構成要素がありますが、自宅でも気軽に試せる部分として
・IDセキュリティ(IDを安全にする)
・デバイス管理(MDM)
からやってみたいと思います。
※あとは、SASE(Secure Access Service Edge)とかEDR(Endpoint Detection & Response)があると、どこでも同じポリシーのセキュリティを、境界ではなくエンドポイント上で不審な動きを監視、といったよりゼロトラストな感じになると思います。

さて、今我が家ではMicrosoft 365 Business Basicを契約しています。

これに、Enterprise Mobility + Security E3を追加して、ID保護としてのAzure AD Premium P1、MDMとして、Microsoft Intuneを使えるようにします。

Microsoft 365 Business Premium(¥26,160/年)にすべきかも悩んだのですが、Microsoft 365 Business Basic(¥6,480/年)+EMS E3(¥11,520/年)にしました。Business Premiumよりも、¥8,000くらい安くなりました。この差額は、デスクトップアプリ版のOffice分ですかね。最近IPadばっかりでWindowsをあまり使ってないのでデスクトップ版Officeアプリはいいかなーという感じです。

ちなみにEMS E3は「Enterprise Mobility Suite Direct」に名前が変わった(変わる?)ようです。

サクッと買います。購入はMicrosoft 365管理センターの「サービスを購入する」から。

無事買えました。

続いてライセンスを割り当てます。

無事にAzure AD上のライセンス画面でも割当が行われました。

知らない間に、Azure ADのライセンスもPremium P1になっていました。

次回からは、各デバイスをIntuneに登録していきたいと思います。

ではでは。またの機会に。