AD FS エクストラネット ロックアウトとエクストラネット スマート ロックアウトの概要

エクストラネット スマート ロックアウト (ESL) は、悪意のあるアクティビティからエクストラネット アカウントロックアウトが発生しないようにユーザーを保護します。

ESL を使用すると、AD FS は、ユーザーの使い慣れた場所からのサインイン試行と、攻撃者のサインイン試行を区別できます。 AD FS は、有効なユーザーが自分のアカウントを引き続き使用できるようにしながら、攻撃者をロックアウトできます。 この区別により、ユーザーに対するサービス拒否攻撃や特定のクラスのパスワード スプレー攻撃が防止され、保護されます。 ESL は Windows Server 2016 の AD FS で使用でき、Windows Server 2019 の AD FS に組み込まれています。

ESL は、Web アプリケーション プロキシまたはサード パーティ プロキシを使用してエクストラネット経由で送信されるユーザー名とパスワードの認証要求でのみ使用できます。 サード パーティのプロキシは、 F5 BIG-IP アクセス ポリシー マネージャーなど、Web アプリケーション プロキシの代わりに使用する MS-ADFSPIP プロトコルをサポートする必要があります。 プロキシが MS-ADFSPIP プロトコルをサポートしているかどうかを確認するには、サード パーティのプロキシドキュメントを参照してください。

AD FS 2019 の機能

AD FS 2019 のエクストラネット スマート ロックアウトでは、AD FS 2016 と比較して次の利点が追加されます。

• 使い慣れた場所と未知の場所それぞれに対する独立したロックアウトしきい値。 既知の適切な場所のユーザーは、疑わしい場所からの要求よりも多くのエラーの余地を持つことができます。
• 以前のソフトロックアウト動作を維持しながら、スマートロックアウトの監査モードを実施します。 この区別により、ユーザーが使い慣れた場所について学習でき、AD FS 2012 R2 から利用できるエクストラネット ロックアウト機能によって保護されます。

構成情報

ESL を有効にすると、Artifact データベースの新しいテーブル ( AdfsArtifactStore.AccountActivity) が作成されます。 AD FS ファームでは、ノードも "ユーザー アクティビティ" プライマリ ノードとして選択されます。 Windows 内部データベース (WID) 構成では、このノードは常にプライマリ ノードです。 SQL 構成では、ユーザー アクティビティのプライマリ ノードとして 1 つのノードが選択されます。

[ユーザー アクティビティ] プライマリ ノードとして選択されているノードを表示するには、 (Get-AdfsFarmInformation).FarmRolesを使用します。

すべてのセカンダリ ノードは、ポート 80 を介した新しいサインインごとにプライマリ ノードに接続し、不正なパスワード数と新しい使い慣れた場所の値の最新の値を学習します。 また、セカンダリ ノードは、サインインの処理後にプライマリ ノードも更新します。

セカンダリ ノードがプライマリ ノードに接続できない場合、セカンダリ ノードは AD FS 管理者ログにエラー イベントを書き込みます。 認証は引き続き処理されますが、AD FS は更新された状態のみをローカルに書き込みます。 AD FS は、プライマリ ノードへの接続を 10 分ごとに再試行します。 プライマリ ノードが使用可能になると、AD FS はプライマリ ノードに切り替えます。

用語

• FamiliarLocation: 認証要求中に、ESL は提示されたすべてのインターネット プロトコル (IP) を確認します。 これらの IP は、ネットワーク IP、転送された IP、およびオプションの x-forwarded-for IP の組み合わせです。 要求が成功すると、すべての IP が "使い慣れた IP" としてアカウント アクティビティ テーブルに追加されます。 要求に "使い慣れた IP" に存在するすべての IP がある場合、要求は "使い慣れた" 場所として扱われます。
• UnknownLocation: 既存の FamiliarLocation リストに少なくとも 1 つの IP が存在しない要求がある場合、要求は "不明" の場所として扱われます。 このアクションは、Exchange Online アドレスが成功した要求と失敗した要求の両方を処理する Exchange Online レガシ認証などのプロキシ シナリオを処理します。
• badPwdCount: 正しくないパスワードが送信され、認証が失敗した回数を表す値。 ユーザーごとに、使い慣れた場所と不明な場所に対して個別のカウンターが保持されます。
• UnknownLockout: ユーザーが不明な場所からのアクセスからロックアウトされている場合の、ユーザーごとのブール値。 この値はbadPwdCountUnfamiliarおよびExtranetLockoutThresholdに基づいて計算されます。
• ExtranetLockoutThreshold: この値は、不正なパスワード試行の最大数を決定します。 しきい値に達すると、AD FS は監視ウィンドウが経過するまでエクストラネットからの要求を拒否します。
• ExtranetObservationWindow: この値は、不明な場所からのユーザー名とパスワードの要求がロックアウトされる期間を決定します。ウィンドウが通過すると、AD FS は不明な場所からのユーザー名とパスワードの認証を再度実行し始めます。
• ExtranetLockoutRequirePDC: 有効にすると、エクストラネット ロックアウトにはプライマリ ドメイン コントローラー (PDC) が必要です。 無効にすると、PDC が使用できない場合に備えて、エクストラネット ロックアウトが別のドメイン コントローラーにフォールバックします。
• ExtranetLockoutMode: ESL の ログのみの モードと 強制 モードを制御します。
  • ADFSSmartLockoutLogOnly: ESL が有効になっています。 AD FS は管理者イベントと監査イベントを書き込みますが、認証要求は拒否しません。 このモードは、ADFSSmartLockoutEnforce が有効になる前に FamiliarLocation が設定されるようにするためのものです。
  • ADFSSmartLockoutEnforce: しきい値に達したときに、未知の認証要求をブロックするための完全なサポート。

IPv4 アドレスと IPv6 アドレスがサポートされています。

トランザクションの構造

• 事前認証チェック: 認証要求中に、ESL は提示されたすべての IP をチェックします。 これらの IP は、ネットワーク IP、転送された IP、およびオプションの x-forwarded-for IP の組み合わせです。 監査ログでは、これらの IP が x-ms-forwarded-client-ip、x-forwarded-for、x-ms-proxy-client-ip の順に <IpAddress> フィールドに一覧表示されます。

  これらの IP に基づいて、AD FS は、要求が使い慣れた場所からのものであり 、それぞれの badPwdCount が設定されたしきい値の制限より小さいかどうか、または最後に失敗した試行が監視期間の時間枠よりも長く発生したかどうかを確認します。 これらの条件のいずれかが当てはまる場合、AD FS はこのトランザクションを許可して、さらに処理と資格情報の検証を行います。 両方の条件が false の場合、観測ウィンドウが通過するまで、アカウントは既にロックアウト状態になっています。 監視ウィンドウに合格すると、ユーザーは認証を 1 回試行できます。 Windows Server 2019 では、AD FS は、IP アドレスが使い慣れた場所と一致するかどうかに基づいて、適切なしきい値制限をチェックします。

• 成功したログイン: ログインが成功すると、要求の IP がユーザーの使い慣れた場所の IP リストに追加されます。

• 失敗したログイン: ログインに失敗すると、 badPwdCount が増加します。 攻撃者がしきい値を超える不正なパスワードをシステムに送信した場合、ユーザーはロックアウト状態になります。 (badPwdCount > エクストラネットロックアウトしきい値)

UnknownLockout の値は、アカウントがロックアウトされている場合に True と等しくなります。このロックアウトは、ユーザーの badPwdCount がしきい値を超えていることを意味します。 たとえば、誰かがシステムで許可されているよりも多くのパスワードを試みたとします。 この状態では、有効なユーザーがサインインできる方法は 2 つあります。

• ObservationWindow 時間が経過するまで待ちます。
• ロックアウト状態をリセットするには、Reset-ADFSAccountLockout を使用して badPwdCount をゼロにリセットします。

リセットが行われなかった場合、アカウントは監視ウィンドウごとに AD に対して 1 回のパスワード試行を許可されます。 その試行後、アカウントはロックアウト状態に戻り、監視ウィンドウが再起動します。 badPwdCount 値は、パスワード サインインが成功した後にのみ自動的にリセットされます。

Log-Only モード対 Enforce モード

AccountActivity テーブルは、ログのみのモードと強制モードの両方で設定されます。 ログのみのモードがバイパスされ、ESL が推奨される待機期間なしで強制モードに直接移動された場合、ユーザーの使い慣れた IP は AD FS に認識されません。 その後、ESL は ADBadPasswordCounter のように動作し、ユーザー アカウントがアクティブなブルート フォース攻撃を受けている場合、正当なユーザー トラフィックをブロックする可能性があります。 ログのみモードがバイパスされ、ユーザーが UnknownLockout が True に等しいロックアウト状態になり、"なじみのある" IP 一覧に含まれていない IP から適切なパスワードでサインインを試みると、サインインできなくなります。 このシナリオを回避するには、ログのみのモードを 3 ~ 7 日間お勧めします。 アカウントが積極的に攻撃を受けている場合は、正当なユーザーへのロックアウトを防ぐために、少なくとも 24 時間の ログのみの モードが必要です。

エクストラネット スマート ロックアウトの構成

次のセクションでは、AD FS 2016 の ESL を有効にするための前提条件と構成について説明します。

AD FS 2016 の前提条件

1. ファーム内のすべてのノードに更新プログラムをインストールします。

   まず、すべての Windows Server 2016 AD FS サーバーが 2018 年 6 月の Windows 更新プログラムの時点で最新であり、AD FS 2016 ファームが 2016 ファームの動作レベルで実行されていることを確認します。

2. アクセス許可を確認します。

   ESL では、すべての AD FS サーバーで Windows リモート管理が有効になっている必要があります。

3. 成果物データベースのアクセス許可を更新します。

   ESL では、AD FS サービス アカウントに、AD FS 成果物データベースに新しいテーブルを作成するためのアクセス許可が必要です。 AD FS 管理者として任意の AD FS サーバーにサインインします。次に、次のコマンドを実行して、PowerShell コマンド プロンプト ウィンドウでこのアクセス許可を付与します。

   PS C:\>$cred = Get-Credential
   PS C:\>Update-AdfsArtifactDatabasePermission -Credential $cred
   

   注

   $cred プレースホルダーは、AD FS 管理者のアクセス権限をもつアカウントです。 これにより、テーブルを作成するための書き込みアクセス権限が与えられます。

   前のコマンドは、AD FS ファームが SQL Server を使用しており、以前に指定された資格情報に SQL サーバーに対する管理者アクセス許可がないため、十分なアクセス許可がないために失敗する可能性があります。 この場合、次のコマンドを実行して AdfsArtifactStore データベースに接続するときに、SQL Server Database でデータベースのアクセス許可を手動で構成できます。

   # when prompted with “Are you sure you want to perform this action?”, enter Y.
   
   [CmdletBinding(SupportsShouldProcess=$true,ConfirmImpact = 'High')]
   Param()
   
   $fileLocation = "$env:windir\ADFS\Microsoft.IdentityServer.Servicehost.exe.config"
   
   if (-not [System.IO.File]::Exists($fileLocation))
   {
   write-error "Unable to open AD FS configuration file."
   return
   }
   
   $doc = new-object Xml
   $doc.Load($fileLocation)
   $connString = $doc.configuration.'microsoft.identityServer.service'.policystore.connectionString
   $connString = $connString -replace "Initial Catalog=AdfsConfigurationV[0-9]*", "Initial Catalog=AdfsArtifactStore"
   
   if ($PSCmdlet.ShouldProcess($connString, "Executing SQL command sp_addrolemember 'db_owner', 'db_genevaservice' "))
   {
   $cli = new-object System.Data.SqlClient.SqlConnection
   $cli.ConnectionString = $connString
   $cli.Open()
   
   try
   {
   
   $cmd = new-object System.Data.SqlClient.SqlCommand
   $cmd.CommandText = "sp_addrolemember 'db_owner', 'db_genevaservice'"
   $cmd.Connection = $cli
   $rowsAffected = $cmd.ExecuteNonQuery()
   if ( -1 -eq $rowsAffected )
   {
   write-host "Success"
   }
   }
   finally
   {
   $cli.CLose()
   }
   }
   

AD FS セキュリティ監査ログが有効になっていることを確認する

この機能ではセキュリティ監査ログが使用されるため、AD FS で監査を有効にし、すべての AD FS サーバーでローカル ポリシーを有効にする必要があります。

構成の手順

ESL は AD FS プロパティ ExtranetLockoutEnabled を使用します。 このプロパティは、以前は Server 2012 R2 のエクストラネット ソフト ロックアウトを制御するために使用されていました。 ESL が有効になっていて、現在のプロパティ構成を表示する場合は、 Get-AdfsProperties実行します。

構成に関する推奨事項

ESL を構成する場合は、しきい値を設定するためのベスト プラクティスに従ってください。

ExtranetObservationWindow (new-timespan -Minutes 30)

ExtranetLockoutThreshold: Half of AD Threshold Value

AD value: 20, ExtranetLockoutThreshold: 10

Active Directory ロックアウトは、ESL とは別に機能します。 ただし、Active Directory ロックアウトが有効になっている場合は、AD FS の ExtranetLockoutThreshold と AD の アカウント ロックアウトしきい値 を選択します。

ExtranetLockoutRequirePDC - $false

有効にすると、エクストラネット ロックアウトにはプライマリ ドメイン コントローラー (PDC) が必要です。 無効にして false として構成すると、PDC が使用できない場合に、エクストラネット ロックアウトが別のドメイン コントローラーにフォールバックします。

このプロパティを設定するには、次のコマンドを実行します。

Set-AdfsProperties -EnableExtranetLockout $true -ExtranetLockoutThreshold 15 -ExtranetObservationWindow (New-TimeSpan -Minutes 30) -ExtranetLockoutRequirePDC $false

Log-Only モードを有効にする

ログのみのモードでは、AD FS はユーザーの使い慣れた場所情報を設定し、セキュリティ監査イベントを書き込みますが、要求はブロックしません。 このモードは、スマート ロックアウトが実行されていることを検証し、 強制モードを 有効にする前に、ユーザーの使い慣れた場所を AD FS で "学習" できるようにするために使用されます。 AD FS は学習すると、ユーザーごとのサインイン アクティビティを格納します ( ログのみの モードでも 強制 モードでも)。 次のコマンドレットを実行して、ロックアウト動作を Log-Only に設定します。

Set-AdfsProperties -ExtranetLockoutMode AdfsSmartlockoutLogOnly

ログのみの モードは、スマート ロックアウト動作でロックアウトの適用を導入する前に、システムがサインイン動作を学習できるように、一時的な状態を想定しています。 ログのみのモードの推奨期間は 3 ~ 7 日です。 アカウントが攻撃を受けている場合、 ログのみの モードは少なくとも 24 時間実行する必要があります。

AD FS 2016 では、エクストラネット スマート ロックアウトを有効にする前に 2012 R2 エクストラネット ソフト ロックアウト動作が有効になっている場合、 ログのみの モードではエクストラネット ソフト ロックアウト動作が無効になります。 AD FS スマート ロックアウトでは、 ユーザーはログ専用 モードでロックアウトされません。 ただし、オンプレミスの AD では、AD 構成に基づいてユーザーがロックアウトされる場合があります。 AD ロックアウト ポリシーを確認して、オンプレミスの AD でユーザーをロックアウトする方法を確認します。

AD FS 2019 では、次の PowerShell を使用して以前のソフト ロックアウト動作を引き続き適用しながら、スマート ロックアウトに 対してログのみの モードを有効にできるというもう 1 つの利点があります。

Set-AdfsProperties -ExtranetLockoutMode 3

新しいモードを有効にするには、次を使用して、ファーム内のすべてのノードで AD FS サービスを再起動します。

Restart-service adfssrv

モードが構成されたら、 EnableExtranetLockout パラメーターを使用してスマート ロックアウトを有効にすることができます。

Set-AdfsProperties -EnableExtranetLockout $true

強制モードを有効にする

ロックアウトのしきい値と監視ウィンドウに慣れた後は、次の PSH コマンドレットを使用して ESL を 強制 モードに移動できます。

Set-AdfsProperties -ExtranetLockoutMode AdfsSmartLockoutEnforce

新しいモードを有効にするには、次のコマンドを使用して、ファーム内のすべてのノードで AD FS サービスを再起動します。

Restart-service adfssrv

ユーザー アカウントのアクティビティの管理

AD FS には、アカウント アクティビティ データを管理するための 3 つのコマンドレットが用意されています。 これらのコマンドレットは、プライマリ ロールを保持するファーム内のノードに自動的に接続します。

この動作は、 -Server パラメーターを渡すことでオーバーライドできます。

Get-ADFSAccountActivity -UserPrincipalName

このコマンドレットは、アカウント アクティビティ REST エンドポイントを使用してファームのプライマリ ノードに自動的に接続します。 したがって、すべてのデータは常に一貫していることになります。 次を使用して、ユーザー アカウントの現在のアカウント アクティビティを読み取る:

Get-ADFSAccountActivity user@contoso.com

[プロパティ] :

• BadPwdCountFamiliar: 既知の場所からの認証が失敗した場合にインクリメントされます。
• BadPwdCountUnknown: 不明な場所から認証が失敗した場合にインクリメントされます。
• LastFailedAuthFamiliar: 使い慣れた場所からの認証が失敗した場合、 LastFailedAuthFamiliar は認証に失敗した時刻に設定されます。
• LastFailedAuthUnknown: 不明な場所からの認証が失敗した場合、 LastFailedAuthUnknown は認証に失敗した時刻に設定されます。
• FamiliarLockout: BadPwdCountFamiliar> の場合に True となるブール値。
• UnknownLockout: BadPwdCountUnknown> の場合は True のブール値。
• FamiliarIP: ユーザーになじみのある最大 20 個の IP。 20 IP を超えると、リスト内の最も古い IP が削除されます。

Set-ADFSAccountActivity

Set-ADFSAccountActivity は、新しい使い慣れた場所を追加します。 使い慣れた IP リストには、最大 20 個のエントリがあります。 20 個のエントリを超えると、リスト内の最も古い IP が削除されます。

Set-ADFSAccountActivity user@contoso.com -AdditionalFamiliarIps “1.2.3.4”

Reset-ADFSAccountLockout

使い慣れた場所 (badPwdCountFamiliar) または慣れない場所 (badPwdCountUnfamiliar) ごとに、ユーザーアカウントのロックアウトカウンターをリセットします。 カウンターをリセットすると、しきい値を下回っているため、FamiliarLockout または UnfamiliarLockout の値が更新されます。

Reset-ADFSAccountLockout user@contoso.com -Location Familiar

Reset-ADFSAccountLockout user@contoso.com -Location Unknown

AD FS エクストラネット ロックアウトのイベント ログとユーザー アクティビティ情報

次のセクションでは、イベント ログ、ユーザー アカウント アクティビティ、ロックアウトを監視する方法について説明します。

健康をつなぐ

ユーザー アカウントのアクティビティを監視する推奨される方法は、Connect Health を使用することです。 Connect Health では、危険な IP と不適切なパスワード試行に関するダウンロード可能なレポートが生成されます。 危険な IP レポートの各項目には、指定されたしきい値を超える失敗した AD FS サインイン アクティビティに関する集計情報が表示されます。 失敗した AD FS サインイン アクティビティが発生したときに、カスタマイズ可能な電子メール設定で管理者に通知するように電子メール通知を設定できます。 詳細とセットアップ手順については、「 Microsoft Entra Connect Health を使用した AD FS の監視」を参照してください。

AD FS エクストラネット スマート ロックアウト イベント

エクストラネット スマート ロックアウト イベントを書き込むには、ESL を ログ専用 モードまたは 強制 モードで有効にし、AD FS セキュリティ監査を有効にする必要があります。 AD FS は、次の場合にエクストラネット ロックアウト イベントをセキュリティ監査ログに書き込みます。

• ユーザーはロックアウトされています。つまり、ユーザーは、サインイン試行に失敗した場合にロックアウトのしきい値に達します。
• AD FS は、既にロックアウト状態にあるユーザーのサインイン試行を受け取ります。

ログのみのモードでは、セキュリティ監査ログでロックアウト イベントを確認できます。 見つかったイベントについては、 Get-ADFSAccountActivity コマンドレットを使用してユーザーの状態を確認し、使い慣れた IP アドレスまたは未知の IP アドレスからロックアウトが発生したかどうかを判断できます。 Get-ADFSAccountActivity コマンドレットを使用して、そのユーザーの使い慣れた IP アドレスの一覧を再確認することもできます。

ESL に関してよく寄せられる質問

強制モードでエクストラネット スマート ロックアウトを使用する AD FS ファームでは、悪意のあるユーザー ロックアウトが表示されますか?

AD FS スマート ロックアウトが 強制 モードに設定されている場合、正当なユーザーのアカウントがブルート フォースまたはサービス拒否によってロックアウトされることはありません。 悪意のあるアカウントロックアウトがユーザーのサインインを妨げる唯一の方法は、無効なアクターがユーザー パスワードを持っているか、そのユーザーの既知の良好な (使い慣れた) IP アドレスから要求を送信できる場合です。

ESL が有効になっていて、無効なアクターにユーザーのパスワードがある場合はどうなりますか?

ブルート フォース攻撃シナリオの一般的な目標は、パスワードを推測して正常にサインインすることです。 ユーザーがフィッシング詐欺を受けた場合、またはパスワードが推測された場合、サインインが正しいパスワードと新しい IP の正常な条件を満たしているため、ESL 機能はアクセスをブロックしません。 悪意のある行為者の IP は、使い慣れた IP として表示されるようになります。 このシナリオで最適な軽減策は、AD FS でのユーザーのアクティビティをクリアし、ユーザーに多要素認証を要求することです。 推測可能なパスワードがシステムに入らないように、Microsoft Entra Password Protection をインストールする必要があります。

ユーザーが IP から正常にサインインしたことがない場合、間違ったパスワードを数回使用しようとすると、最終的にパスワードを正しく入力した後にサインインできますか?

ユーザーが複数の不適切なパスワードを送信し (たとえば、誤って)、次の試行でパスワードが正しい場合、ユーザーはすぐに正常にサインインします。 このサインインが成功すると、無効なパスワード数がクリアされ、その IP が FamiliarIP リストに追加されます。 ただし、不明な場所からの失敗したサインインのしきい値を超えた場合は、ロックアウト状態になります。 その後、監視ウィンドウを過ぎてから待機し、有効なパスワードでサインインする必要があります。 アカウントをリセットするには、管理者の介入が必要になる場合があります。

ESL はイントラネットでも機能しますか?

クライアントが Web アプリケーション プロキシ サーバー経由ではなく AD FS サーバーに直接接続する場合、ESL 動作は適用されません。

[クライアント IP] フィールドに Microsoft IP アドレスが表示されます。 ESL は EXO プロキシブルート フォース攻撃をブロックしますか?  

ESL は、Exchange Online またはその他の従来の認証ブルート フォース攻撃シナリオを防ぐのに適切に機能します。 レガシ認証の "アクティビティ ID" は 00000000-0000-0000-0000-000000000000 です。 これらの攻撃では、不正なアクターは Exchange Online 基本認証 (レガシ認証とも呼ばれます) を利用して、クライアント IP アドレスが Microsoft として表示されるようにしています。 クラウド プロキシ内の Exchange Online サーバーは、Outlook クライアントに代わって認証検証を行います。 これらのシナリオでは、悪意のある送信者の IP アドレスは x-ms-forwarded-client-ip にあり、Microsoft Exchange Online サーバー IP は x-ms-client-ip 値にあります。 エクストラネット スマート ロックアウトは、ネットワーク IP、転送された IP、x-forwarded-client-IP、および x-ms-client-ip 値をチェックします。 要求が成功すると、すべての IP が使い慣れた一覧に追加されます。 要求が送信され、提示された IP のいずれかが使い慣れた一覧にない場合、要求は未知のものとしてマークされます。 なじみのない場所からの要求がブロックされている間、使い慣れたユーザーは正常にサインインできます。

ESL を有効にする前に、ADFSArtifactStore のサイズを見積もることができますか?

ESL を有効にすると、AD FS は ADFSArtifactStore データベース内のユーザーのアカウント アクティビティと既知の場所を追跡します。 このデータベースのサイズは、追跡されるユーザーの数と既知の場所に対して相対的にスケーリングされます。 ESL を有効にすることを計画している場合は、 ADFSArtifactStore データベースのサイズを、ユーザー 100,000 人あたり最大 1 GB の割合で見積もることができます。 AD FS ファームで Windows 内部データベース (WID) を使用する場合、データベース ファイルの既定の場所は C:\Windows\WID\Data です。 このドライブを満たすのを防ぐには、ESL を有効にする前に、5 GB 以上の空きストレージがあることを確認してください。 ディスク ストレージに加えて、ユーザーの人口が 500,000 人以下の場合、ESL を最大 1 GB の RAM で有効にした後に、プロセス メモリの合計が増加することを計画します。

こちらも参照ください

• Active Directory フェデレーション サービスを保護するためのベスト プラクティス
• セット-ADFSPROPERTIES
• AD FS の操作