Azure」カテゴリーアーカイブ

App Serviceに証明書を追加する

コメントを残す

AzureのApp Serviceでお気軽にカスタムドメインを使用してSSL通信をしたい場合、証明書を取得する必要がありますよね。

そんな時は、無料で提供している Let’s Encrypt 証明書を取得して使用することができますが、なぜか証明書の読み込みエラーでトラブってしまったので備忘録として記載しておきます。

まず、証明書を取得するには下記の情報を参考にしました。(いや~このような情報助かります)

Let’s Encrypt 証明書を Azure Web Apps へインポートする

カスタムドメインの追加や証明書の取得はこちらの情報を使用して何とかなりましたが、なぜか証明書をApp Serviceで取り込むと下記のようなエラーがでました。

At least one certificate is not valid (Certificate failed validation because it could not be loaded).

しかしながら自分のPCへこの証明書をインストールしてみたのですが特に問題はなかったのですよね~

色々調べてみるとこんな情報が・・・・

要するに証明書を自分の端末から抜き出して再作成することで対応するでした。

手順

1.作成した証明書ファイル(~.pfx)ファイルをダブルクリックして「ローカルコンピューター」の「信頼されたルート証明機関」にインストールします。この際に証明書のインポートウィザードで秘密キーのエクスポートを可能にすることを忘れないでください。

2.インストールした証明書を証明書管理ツール(MMC)からダブルクリックして開き、「詳細」タブから「ファイルにコピー」をクリックします。証明書のエクスポートウィザードが開きますので進めます。秘密キーのエクスポートではいを選択します。ここで「はい」がグレーアウトしている場合は、秘密キーのエクスポートが許可されていないので手順1を再度実行してみてください。

3.そしてウィザードをデフォルトで進めていきます。ここでパスワードを入力して再度「TripreDES-SHA1」を使用して証明書ファイル(~.pfx)を再作成します。

こちらの証明書ファイルを使用すれば、問題なくApp Serviceに追加できました。

Azure の Windows Server 2016 にログオンできない時の対処

コメントを残す

Windows

Windows Server 2016 TP4

Windows Server 2016 TP4 が提供されました。このTP4ですが、今まではオプション扱いだったGUIがデフォルトでインストールされるようになりました。また、日本語版もでたことですのでそろそろ試してみてもいいかもしれませんね。そこで、手っ取り早く試す方法として Azure を使用することができます。その代り、英語版ですけどw

さて、実際に Azure 上でイメージも提供されているので作ってみました。ウイザードに従って進めれば簡単にインストールすることができます。しかし、ここではまってしまいました。ログオンできないのです。自分がパスワードを間違って設定してしまったと思い、再度インストールしてみましたが、先ほどと同じ・・・

はい、そんな時はユーザー名の入力前に、【.\】(ドットエンマーク)をつけましょう。

意外とこんなところではまる人もいるのではと思い、備忘録として書いておきます。

それでは、Windows Server 2016 TP4 を思う存分検証して楽しんでください。

Windows Hello と Microsoft Passport の関係

コメントを残す

hello

Windows Hello とは

Windows10 には Windows Hello が搭載されました。これはわかりやすく言うと生体認証アプリケーションになります。よって、今まではパスワードを使用してユーザー認証を行っていましたが、生体認証を使用することができるということです。Windows10 が対応している生体認証方法としては、「指紋認証(Fingerprint)」「顔認証(Face)」「虹彩認証(Iris)」の3種類に対応します。

指紋認証は今までもノートPCなどで採用されていたので馴染みが深いと思います。

顔認証に関しては、入退館システムでたまに見かけるくらいであまり浸透はしていませんね。

虹彩認証も、顔認証と同様になります。虹彩とは、瞳孔の周りの色のついたリングのことで、角膜で保護されています。虹彩と網膜は別のものです。そもそも、虹彩とは、生後18か月までにパターンが特定され一生変わることはありません。

さて、話を戻すと Windows10 の Windows Hello では PIN との組み合わせになります。よって、デバイスが使用できない状態でも PIN でログオンができます。PIN に関してはデバイスごとに設定するので、たとえ PIN 番号が漏れたとしてもそのデバイスの PIN 番号を変更するだけで済むことがメリットになります。よって、運用面から考えると複数のデバイスを所有しているユーザーは PIN の使いまわしは避けるべきでしょうね。

Windows Hello を使用して指紋認証でログオンすることができますが、私は以前から ThinkPad の指紋認証を使用して Windows にログオンしていたのであまり感慨深いものはないのですよね~。

さて、実際問題として Windows Hello を使用するためには生体認証デバイスが必要になります。しかしながら、日本ではそのデバイスの入手が難しいです。指紋認証デバイスにおいてはあることにはあるのですが、値段が高い。

サンワサプライ 指紋認証リーダー FP-RD2

とかがAmazonで購入できます。私は

Thumbprint Security USB Reader

を Amazon USA から購入しました。送料込みでも日本で購入するより安いです。

そして、顔認証においては Intel Realsense が必要になります。追加デバイスとしては、Intel RealSense F200 が必要になるのですがこれも日本では入手が難しいです。また、現在使用していますがまだドライバーが未成熟なのかWindows10の問題なのか、不安定な状態なのでお勧めはしません。

また虹彩認証デバイスはまだ世の中に出ていないようです。

Microsoft Passport とは

FIDO2.0 という規格に対応した認証プロセスで Windows Hello による認証が完了すると FIDO クライアントである Windows10 が秘密鍵(Private Key)を取り出して認証要求に対して署名をつけてFIDOサーバーである Azure AD に送信します。これは Windows10とAzure AD との組み合わせでサポートされています。次期 Windows Server 2016 の AD で Windows10 との組み合わせもサポートするようです。この仕組みのメリットはなにかというと、PKIの公開鍵と秘密鍵を使用していて、Windows10がサインイン(認証)要求を FIDO Server である Azure AD に送信する際、TPM に保管されている秘密鍵を取り出して署名して送信しているので、ネットワークには一切パスワード情報が流れていないことになります。FIDO サーバー(Azure AD)にはユーザーの公開鍵が保管されているので署名の確認を行い、正当なサインイン要求だった場合には PRT(Primay Refresh Token)が発行されてアクセストークンである PRT をさまざまなアプリに提示することで再認証を回避して SSO(Single Sign On)が可能になります。

まとめ

Windows Hello と Microsoft Passport の関係性に関して、以前までもやもやしていましたが、FEST2015 の安納さんのセッションを受講してすっきりしましたのでこちらにまとめておきました。何か間違いなどがありましたら、こっそり教えていただければ幸いです。

追伸:2015/9/18 に間違いがわかりましたので書き直しました

Microsoft Azure インフラストラクチャ ソリューションの実装(MCP 70-533 対応)

コメントを残す

Azureimage

マイクロソフトの MCP 試験に Azure に対応したものがあります。その一つが 70-533 [Microsoft Azure インフラストラクチャ ソリューションの実装] になります。

このコースに対応したトレーニングは現在仕込み中・・・

試験対策講座は Mstep で同僚の方が担当して行っています。この Mstep はマイクロソフトのパートナー向けのトレーニングですが、今回そのコースが誰でもオンライントレーニング [MVA:Microsoft Virtual Academy] で受講できるようになりました。

Microsoft Azure インフラストラクチャ ソリューションの実装

実は、この撮影時のセミナーに参加していましたw

ビデオは各章ごとに分かれています。

1. 仮想マシン (Virtual Machines) の実装
2. 仮想ネットワークの実装
3. Azure Active Directory の実装
4. Web サイトの実装
5. クラウド サービスの実装
6. ストレージの実装

MCP 70-533 受験対策セミナー.rev.3.5

実際に受けてみましたが、すごく細かくお話されています。私も再度こちらのビデオを見て勉強する予定です。

また、そのほかにお勧めの MVA があります。

クラウド時代の Active Directory 次の一手シリーズ ~ 第 1 回 Active Directory の位置づけ ~

IT プロフェッショナル向け Windows 10 Technical Preview の基礎

ということで、Azure の試験を受ける方、また Azure の勉強をしたい方は是非アクセスしてみてください。

Office365管理者のためのMicrosoftアカウントと組織アカウント

コメントを残す

office365_001

Microsoftアカウントと組織アカウント

Office365のテナントを契約すると、全体管理者としてユーザーが登録されます。このアカウントはどこで管理されているのか?実は、Microsoft が提供している Azure サービスの一つである、Azure Active Directory(AAD) が使用されています。しかし、Microsoft Azure の契約は行っていないのに AAD が使われているという方も多いのではないでしょうか?Office 365の契約を行うと自動的にAADが作成され使用されるのです。よって、Microsoft Azure の管理ポータルからも Office 365の管理を行うことができます。

Office365で使用されるアカウントは組織アカウントと呼ばれます。マイクロソフトのその他のサービスを使用する際、Microsoft アカウントというものがあります。

アカウントPPT

ここで課題なのが同一ブラウザー上でMicrosoft アカウントと組織アカウントが同居できないことです。既に Microsoft Azure のテナントを Microsoft アカウントを使用して契約している場合、Microsoft Azure ポータルと Office 365 ポータルを同一ブラウザーで開けないのです。これが、結構めんどくさい。実は私はこの状況なのです。

現状では回避方法がないので、複数のブラウザーを使用して Microsoft Azure ポータルと Office 365 ポータルを開いています。

実は Microsoft Azure ではどちらのアカウントでもログインできます。しかし、Office365と同じアカウントを使用する場合は最初が肝心なのです。

どういうことかというと、現状では、既に Microsoft Azure をMicrosoft アカウントで取得している場合、組織アカウントに置き換えることはできません。厳密には組織アカウントに Microsoft Azure の管理者権限を与えても、Microsoft Azure ポータルにサインインできないのです。ということは、Microsoft Azure と Office 365 を同一の組織アカウントで管理したい場合は、最初に Office 365 のテナントを契約して、その後 Office 365 の全体管理者アカウントを使用して、Microsoft Azure を新規契約する必要があります。どうやら、これが今のところ唯一の方法のようです。

では、Microsoft Azure で Office 365 のユーザーを管理するにはどうするか?

既に Auzre テナントを持っている場合は、「既存のディレクトリの使用」で Office 365 ドメインを Azure テナントに追加します。Auzre テナントを持っていない場合は、組織アカウントを使用して Azure テナントを契約します。

これで、Microsoft Azure ポータルから Office 365 のユーザーアカウントを管理できます。

これって、微妙に使いづらいので改善されてほしいところですね。

 

 

 

Azure Backup のアップデート(2015年2月)

2件の返信

2015年2月の Azure Update で Azure Backup はどのように変わったか

New features in Azure Backup – Long term retention, offline backup seeding and more

  • 長期間の保持(最長 99 年)
  • Offline Seeding(初期バックアップをネットワーク経由ではなくオフラインでデータセンターに運んでインポート)
  • DPMを使用したすべてのバックアップデータを Azure Backup
  • SCOMのDPMマネージメントパックが新しくなった

このアップデートに伴って Microsoft Azure Recovery Service Agent も新しくなりました。

AzureBackupエージェント

Azure Backup supports offline disk shipment and increases the number of backup copies and retention policies in Windows

このエージェントを入れることによって、今までは 120 に制限されていたバックアップコピー数が 366 に拡張されました。

ということは次のようになるはずです。

[table id=3 /]

最高で 10428 日指定すれば・・・約28年保持できる。ん、DPM なら 99 年の設定も可能ということでしょうかね?

追記:

上記の概念は今までのウィザード(日、週単位)での考え方で、新しいウィザードではさらに月単位、年単位の設定も可能なのでこの表は意味がないことになります。

Windows Server Backup での設定

ということで、設定してみました。

AzureBackup設定

しかし、Windows Server Backup では保持期間は 3360 日以上は設定できませんでした。これは以前の 120 に制限されていたバックアップ数と同じです。

ということで、残念ながら保持期間が長くなったメリットを生かせるのはまだ System Center 2012 R2 Data Protection Manager を使用している場合になります。Windows Server Backup では以前と変わらず約 9 年が最高保持期間でした。

ですので、Windows Server バックアップでの Azure Backup はとりあえず、前回と変わらないということですね。

以下追記

上記の説明は、既存のスケジュールで変更を行っていました。エージェントをアップデートしたら、既存のスケジュールは削除して新規に作成する必要があることが判明しました。

新規にスケジュールを作成すると、今までとは異なるウィザードが開きました。

WSB01

ここで、週単位、月単位、年単位のポリシーを指定できます。

WSB02

ここで Offline Seeding の設定が可能になっています。

WSB03

これで設定完了です。

WSB04

99 年保持したい場合は、366/99=3.67 なので、年 3 回程度のバックアップに収める必要がありそうです。

 

 

覚えておきたいAzure Backupの変更点

コメントを残す

 

Azure Backupの変更点

とあるお仕事で、久しぶりに Azure Backup の設定を行ったのですが、知らないうちにいろいろと変わっていました。

そこで、2015年1月現在の Azure Backup の構成方法を記載しておきます。

Azure Backup の構成手順は以下の通り。

  1. Azure 復旧サービスにコンテナーを作成
  2. コンテナー資格情報をダウンロード
  3. Azure Backup エージェントのダウンロード
  4. Azure Backup エージェントのセットアップ
  5. サーバーの登録
  6. WSBとの統合
    という流れになります。

特に、今までは証明書を作成してAzureに登録する必要がありましたが、そのようなめんどくさい手順はなくなりました。

Windows Azure Backup エージェントのインストールと証明書のアップロード

Technetにはまだ残っていますが、もうこのような手順は必要ありません。

Azure Backupの構成方法

それでは、画面を見ながら追っていきます。

Azureの復旧サービスより、コンテナーを作成します。

WS000003

作成したコンテナーに入り、コンテナー資格情報をダウンロードします。さらに、Azure Backup エージェントをダウンロードします。

WS000005

Azure Backup エージェントをインストールします。正式名称は「Microsoft Azure Recovery Service Agent」になります。

WS000014

プロキシ設定が必要なら設定します。

WS000015

インストールします。

WS000016

インストールが終了したら、サーバー登録します。

WS000017

先ほどダウンロードした、資格情報を指定します。

WS000018

暗号化に使用するパスフレーズを指定します。

WS000019

これで、終了です。

WS000020

Windows Server バックアップと統合され、「ローカルバックアップ」の下に、「バックアップ」ができます。

WS000021

また、柔軟なスケジュール設定ができるようになりました。

    • 最大1日3回までスケジュール可能
    • 同期の間隔は1~4
    • バックアップデータは 最大 9年(3,360日)保存可能

WS000024

帯域制御もできます。

WS000027

とまあ、以前に比べてAzure Backup を使用するハードルはかなり下がりました。

 

Windows Intune リモートアシスタンスを試す

コメントを残す

リモートアシスタンスとは、ユーザーが操作に戸惑った際にユーザーに代わって管理者に操作してもらう仕組みになります。

まずは Windows Intune 側の設定としては、ユーザーからリモートアシスタンスの要求があった場合に、メールで知らせてもらう設定を行います。

そのためにはWindows Intune の管理コンソールのワークスペースからアラートを選択します。

WS000015

続きを読む

Windows Intune を使ってみる

コメントを残す

Windows Intune がリリースされたこともあり、とりあえず検証してみます。

Windows Intune の基本機能は次の通り

  • 資産管理(SCCMがベースになっている)
  • 更新管理(WSUSがベースになっている)
  • マルウェア対策(Security Essentialsがベースになっている)
  • 稼働監視(SCOMがベースになっている)

まずは、30日間無料トライアルがありますのでそちらに登録します。

WS000002

続きを読む

Windows Intune と Proxy の関係

コメントを残す

とうとう、Windows Intune が正式稼働しました。

いろいろと情報を入手している最中ですが、その中で興味深いテーマを見つけました。それはWindows Intune と Proxy の関係になります。

Windows Intune は クラウドベースのクライアント管理ツールになります。

そこで当たり前の話ですが、インターネットへの接続は必要不可欠になります。では、そのインターネット接続をどのように設定するか?企業で使用するPCはほとんどの場合はProxy経由でのアクセスになります。デスクトップなど移動させないPCならば一回設定してしまえば、その後のインターネット接続は問題ないと考えますが、ノートPCなど様々な場所で使用するものや、共有端末で様々なユーザーが使用するときはどうするか?基本的にProxy設定はユーザーごとに行うことになります。

ここでの課題は何か?

  • ユーザーがProxyの設定をしていない場合はインターネット接続ができない。
  • インターネット接続環境が変わった際には手動で設定変更しないといけない。
  • Windows Intuneではユーザーが誰であろうがInternetにアクセスできる状態にないと不都合が出る場合がある。