
※Microsoft公式ブログより
2024 年 10 月の Microsoft Intune の新機能(表題は自動翻訳)
■今回のIntuneのアップデートはオンプレミス向け
Microsoft Intuneについてを話はじめるとボリュームが増えすぎるので別の機会にまとめさせていただくとして、今回はIntuneの2024年10月アップデートの記事があがっていたのでそちらに触れていこうかと考えております。企業向けIDMとしてEntraIDを導入するのであれば、Intuneの検討は必須とも言える状況ですが、今回のアップデートで対象となるオンプレミス、もう少し言うとハイブリッド環境向けの強化というのはいうなら使用ユーザーが少ないので後回りになりがちなところ、しっかりと対策ソリューションを提供してくるのはありがたい限りですが、そもそも論が色々あるのでこれもまた別の機会に。
■結局どういうアップデートなのか?
ハイブリッド認証を設計する際に、どうしてもPWの置き場所というか最終認証はオンプレミス側にするという場合がいまだに多いかと想定しています。(フルクラウドにしていない時点でそういう選択肢になるのは理解できるところです。)その場合トークンの引き渡しの際にどうしても偽装の危険性がでてきてしまうのはクラウドとオンプレミスを行き来する構造のためしょうがない部分でもあったのですが、今回Active Directory Kerberos キー配布センター (KDC) に変更が加えらて、証明書に対する要求があがったことにより、なりすましを防止しやすくなったという内容になります。もう少し具体的は話でいうとKDC に対する証明書ベースの認証に使用されるすべての Simple Certificate Enrollment Protocol (SCEP) 証明書に、デバイスまたはユーザーに関連付ける追加のセキュリティ識別子 (SID) 情報が証明書に埋め込まれることが求められるようになったという内容です。そもそもせかっくSIDを設定するんだから使えばいいじゃないか!?とインターネット・マイクロソフト老人会の皆様からは大きな声が聞こえてきそうですが、簡単にそうできない事情があったことも皆様ご存じのはずですから、今回単純に証明書をしっかり確認した上で認証する仕組みなることを喜ぼうじゃないですか。
■これはいいことばかりなのか?
見る視点によって見解は異なるでしょうが、システムのセキュリティ担当者からすれば大歓迎以外の言葉はないでしょう。逆に運用者からするとそもそもSIDつかっていたか?他システムとの連携に悪影響がないか?など多くの確認事項を含むアップデートなのでとにかく大変だという状況でしょうか?とはいえ、Microsoftはセキュリティー側に振ったアップデートを撤回したり緩和することは事IDM関連ではありえないので、運用の皆様もあきらめてこの機会にマイクロソフトがいう「あるべき構成」になるように対応するというのが賢明ではないでしょうか?
■そもそもオンプレミスのActive directory
こんなお話をしてきたのですが、そもそもオンプレミスのActive directoryサーバーをちゃんと扱える人って本当に減ったなぁというのが最近の印象です。10数万人規模のハイブリッド認証環境の設計とロールアウトをやった人間としてはクラウド技術者の増加は良いことだと感じますが、旧来のオンプレミス関連技術者もまだまだ必要な場面は今回のようなアップデートが発生するごとにでてくるわけです。ハイブリッド環境の運用をされている企業で、あれ?オンプレミスわかる人間いなんじゃ?ということがないか今一度確認されることをオススメします。
■まとめ
今回はMicrosoft Intuneの2024年10月アップデートについてお話してきました。セキュリティー系のアップデートはいうなら「即時適用が望ましい」んですが、オンプレミスが絡むとそうもいっていれない状況もあることは重々承知しておりますので、さてどうしたものか?とお悩みの企業様がいらっしゃいましたら、弊社のクラウドアウトソーシングサービス「仕ご丸」・ICTサポートプランの達人の中にはオンプレミス環境に精通したエンジニアも在籍しておりますので、設計導入から運用アドバイス、運用サポート・代行なども行っておりますので、ちょっと助けてほしいという企業様からのお問い合わせお待ちしております!