SlideShare une entreprise Scribd logo
1  sur  82
Télécharger pour lire hors ligne
Active Directory 最新情報
                                                2012.8.31 V0.5 版


Junichi    日本マイクロソフト株式会社
Anno       エバンジェリスト

junichia
           安納 順一
           http://blogs.technet.com/junichia/


                                                                   1
すみません。正式版ではありません。
情報を探して困っている方向けに、暫定版として公開します。
      正式版まではもうちょっとお待ちを。




                               2
“Active Directory” Is Taking off on the Cloud
                                                 2000


                                                2003



                                            2008


                                          2012
                                                        3
Active Directory の三形態

                 Active Directory Server
                      (On-premise)




   Active Directory in                Windows Azure
   Windows Azure VM                   Active Directory
          (IaaS)                           (SaaS)

                                                         4
Windows Azure Active Directory
    2012年7月 プレビュー提供予定




                                 5
IdP としての Active Directory                                         •   Exchange Online
                                                                  •   SharePoint Online
                                                                  •   Lync Online
                                                                  •   Office Web Apps




                     LIVE

                                  連携

                               Access Control(Hub)
                        Sync                                                              3rd Party Services
                               Directory
  Windows Server               Graph
  Active Directory                                      Windows Azure
                               Authentication Library                                      Apps in Azure
   •   kerberos                                         Active Directory
   •   ldap
   •   CA
   •   ntlm
   •   SAML                                                                                                6
Windows Azure AD を構成する 4 つのサービス




                                     Authentication
                                        Library
   クレームベースの マルチテナントに Directory 用の   Azure 用アプリ
   ID 連携サービス 対応したクラウド Restful API   ケーションに実装
             ベースの ID スト             するための認証用
             ア&認証サーバー               ライブラリ

                                                      7
Access Control
 外部 IdP(含 AD DS)と連携したシングルサインオンを可能にする


                                 User
                                 どの IdP でログオンしてもアプ
                                 リケーションが使える

                          Apps   Developer
                                 Access Control 用のコードを1種
                                 類書けば自動的にすべての IdP
                                 に対応

                                 Administrator
                                 オンプレミスの AD FSと信頼関
                                 係を結ぶことで、ユーザーをオ
                                 ンプレミスで集中管理



                                                           8
How it Works
                                                               入力クレームと
                 1   クレームルール                               3   出力クレームを
                     を定義                                       クレームルール
                                                               でマピング
                                ACCESS
                                CONTROL                        4   トークンを返信
                                                                   (receive output claims)
             0       信頼関係の確立
                                 2   トークンを
                                     リクエスト                                                   認
                                     (pass input claims)
                                                                                             証
  6   トークン
      を解析
                                5    トークンを送信
                 YOUR SERVICE                                       CUSTOMER
                                                                                                 9
Directory
• マルチテナントに対応したディレクトリサービス
• マイクロソフトのクラウドサービス、Azure上のアプ
  リケーション、非マイクロソフトのクラウドサービ
  スから利用可能
• オンプレミスの Active Directory と同期、フェデ
  レーションが可能
• ユーザー/デバイス管理のハブ機能を提供
  - 登録/削除/管理
• 2要素認証をサポート


 ※ 現在は Office 365, Dynamics online,
 Windows InTune からのみ利用可能

                                      10
Directory にユーザーを登録するには


                      今後
                    Graph API

                    Portal


             同
             期




                                11
Graph
 • RESTful Graph API を使用した Directory へのアクセス
   • JSON/XML で応答を受信
   • Odata V3 にも対応
   • アクセス認可は OAuth 2.0 を使用

 オンプレミス Active Directory            Windows Azure AD Directory




                       ldap   App    Rest


        Contoso.com                   https://directory.windows.net/
                                      Contoso.com/
                                                                       12
REST interface for Directory Access の例
   Request URI structure
    ◦ <Service root>/<resource path>[? Query string options]
     https://directory.windows.net/contoso.com/Users?$filter=DisplayName eq ‘Adam
    Barr”
   Navigating the URI structure
    ◦ https://directory.windows.net/$metadata
    ◦ https://directory.windows.net/contoso.com/
    ◦ https://directory.windows.net/contoso.com/TenantDetails
    ◦ https://directory.windows.net/contoso.com/Users
    ◦ https://directory.windows.net/contoso.com/Groups
    ◦ https://directory.windows.net/contoso.com/Roles
    ◦ https://directory.windows.net/contoso.com/Contacts
    ◦ https://directory.windows.net/contoso.com/SubscribedSkus
                                                                                    13
JSON形式の ユーザー情報の例
Request: https://directory.windows.net/contoso.com/Users('Ed@contoso.com')

{ “d”:      {
  "Manager": { "uri": "https://directory.windows.net/contoso.com/Users('User...')/Manager" },
  "MemberOf": { "uri": "https://directory.windows.net/contoso.com/Users('User...')/MemberOf" },
  "ObjectId": "90ef7131-9d01-4177-b5c6-fa2eb873ef19",
  "ObjectReference": "User_90ef7131-9d01-4177-b5c6-fa2eb873ef19",
  "ObjectType": "User", "AccountEnabled": true,
  "DisplayName": "Ed Blanton",
  "GivenName": "Ed", "Surname": "Blanton",
  "UserPrincipalName": "Ed@contoso.com",
  "Mail": "Ed@contoso.com",
  "JobTitle": "Vice President", "Department": "Operations",
  "TelephoneNumber": "4258828080", "Mobile": "2069417891",
  "StreetAddress": "One Main Street", "PhysicalDeliveryOfficeName": "Building 2",
  "City": "Redmond", "State": "WA", "Country": "US", "PostalCode": "98007"
}           }
                                                                                              14
Windows Azure Authentication Library
• Windows Azure Active Directory 専用の認証ライブラリ
• 初期リリースではリッチクライアントに対応
  次期バージョンで WEB サービス、WEB アプリに対応予定
• 初期リリースでは .NET Framework に対応
  次期バージョンで Node.JS, Java, PHP に対応予定




                                              15
Protocols to Connect with Azure Active Directory
    Protocol              Purpose                                              Details
    REST/HTTP directory   Create, Read, Update, Delete directory objects and   Compatible with OData V3
    access                relationships                                        Authenticate with OAuth 2.0

    OAuth 2.0             Service to service authentication                    JWT token format
                          Delegated access

    Open ID Connect       Web application authentication                       Under investigation
                          Rich client authentication                           JWT token format

    SAML 2.0              Web application authentication                       SAML 2.0 token format



    WS-Federation 1.3     Web application authentication                       SAML 1.1 token format
                                                                               SAML 2.0 token format
                                                                               JWT token format



                                                                                                             16
Active Directory in Windows Azure VM(IaaS)




                                             17
なぜ Azure 上に DC を展開するのか
              • 異なる拠点でDCを分散
              • Azureアプリ独自のフォレスト構築
              • クラウドアプリの性能向上




                      AD DS
                      DNS




                                     18
• Windows   Azure アプリケーションの認証
• Azure
    上の SharePoint Server や SQL Server の認証および名前解決の
 パフォーマンス向上
• クラウドサービス固有のフォレスト作成




              AD DS     VPN
              DNS                   AD DS
                                    DNS
                                            SharePoint




                                                         19
IaaS としてサポートされているバージョン




                         20
(参考)Images Available from the Gallery


     Windows Server 2008 R2   OpenSUSE 12.1

     SQL Server 2012 Eval     CentOS 6.2

                              Ubuntu 12.04
     Windows Server 2012 RC
                              SUSE Linux Enterprise Server 11 SP2




                                                                    21
VM 展開の流れ

 Data

 OS

 ISO

 Cache
              VM




   Cache.VHD

        HyperVisor   22
IaaS に DC を展開する際の留意点
 • Windows Azure Virtual Network を使用する(ことを推奨)
    • 仮想マシンに割り当てられる IP Address(Dynamic IP)は永続化される


                                              Azure VM(DC)




                                    Virtual
                                     NIC
                                              ※DHCP有効にして
                                              おく必要がある!
                                                             静的IPは通信エ
           Virtual IP                                         ラーとなる
                             Dynamic IP

           Internet     データセンター                 Host




                                                                    23
• Windows Azure は出力方向のトラフィックに課金する(入力方向は無償)
   • 出力方向のトラフィックを極力少なくするのが吉
     ※ちなみに...RODCは出力方向に複製しない



          入力方向
                        Azure VM(DC)
              出力方向




                                             24
• 異なる Virtual Network 同志は直接通信できない
  ※ 異なるデータセンター間で1つの Virtual Network を共有できない
          East Asia                     South US




       Virtual Network 1            Virtual Network 2




                           On-premise
                                                        25
• Active Directory データベースは Data-Disk に配置すること

      Program




                                       Writeキャッシュ無効

      Database
    (DIT/Sysvol)



                                                      26
• その他の主な留意点
  • Windows Server 2012 DC クローン機能はサポートされていない
     • DCクローン機能は Hypervisor 側で VM Generation ID のサポー
        トが必要(Windows Azure は現在未サポート)
  • HBI(High Business Impact Data)/PII(Personally identifiable
    information)は複製しない
  • バックアップは「システム状態」を。VHD はバックアップしても戻せ
    ない(Azure上では回復モード利用不可)。
  • サイトトポロジーは管理者が目視、調整すること
     • コスト重視ならば複製回数を削減することをお勧め
                                                                 27
Windows Server 2012 Active Directory
 •   ドメインコントローラーの仮想化            •   Active Directory ベースのアクティベーション
 •   DC 展開方法のバリエーション            •   Kerberos の拡張
 •   ダイナミックアクセスコントロール           •   Group Managed Service Account
 •   使いやすくなったゴミ箱
 •   Windows PowerShell からの管理
 •   パスワードポリシーの管理
 •   ADMC の機能向上

                                                                     28
ドメインコントローラーの仮想化




                  29
DC 仮想化のメリット
 •   スケーラビリティ
 •   サーバーのロールバック(スナップショット)
 •   自動展開のしやすさ
 •   パブリックウラウドへの移行




                             30
仮想 DC 展開の留意点

 • 単一障害点にならないこと
     少なくとも2台のHyper-V サーバーに1台づつ展開

     V-DC   V-DC   V-DC        V-DC

       Hyper-V       Hyper-V     Hyper-V



    1つのハードウェアの障害が複数のDCに影響を与えないようにすること
    できるだけ物理的に異なるリージョンに配置すること
    可能であれば、少なくとも1台は物理 DC を構築しておくこと



                                           31
• セキュリティ上の考慮点
   • できるだけ DC のみの単一機能のサーバーとし、ホスト、ゲストともに
     Server Core を採用すること
        V-DC
    (Server Core)
             Hyper-V
           (Server Core)


  • 必要に応じて RODC を検討すること
  • VHDファイルの安全性に考慮すること
     • VHDファイルが含まれるドライブごと暗号化することをお勧め


                                          32
33
34
35
36
• セキュリティ上の考慮点(つづき)
   • ホストコンピューターは死守すること
      • 可能であればホストコンピューターは管理用ネットワークのみと通
        信を行うように設定されていること
      • ホストコンピューターはゲストであるDCのドメインに所属させない

      Sysvol 共有に   1   V-DC   V-DC    3
      アタック

                            Hyper-V
                        (domain member)
      DC からスタート
      アップスクリプトを
      送り込む             2
                                          37
• パフォーマンスの考慮点
   • Windows Server 2008 の場合約10%の性能減
 Measurement         Test                                                Physical   Virtual   Delta
 Searches/sec        Search for common name in base scope (L1)           11508      10276     -10.71%

 Searches/sec        Search for a set of attributes in base scope (L2)   10123      9005      -11.04%

 Searches/sec        Search for all attributes in base scope (L3)        1284       1242      -3.27%

 Searches/sec        Search for common name in subtree scope (L6)        8613       7904      -8.23%
 Successful binds/sec Perform fast binds (B1)                            1438       1374      -4.45%
 Successful binds/sec Perform simple binds (B2)                          611        550       -9.98%
 Successful binds/sec Use NTLM to perform binds (B5)                     1068       1056      -1.12%
 Writes/sec          Write multiple attributes (W2)                      6467       5885      -9.00%
 Adtest.exe 使用 http://www.microsoft.com/en-us/download/details.aspx?id=15275
                                                                                                        38
• 展開に関する考慮点
  • 差分ディスクは使わないこと

      固定


           実使用                     指定領域に達す
      可変             未使用領域
           領域                      るまで自動拡張

                       差   差   差
      差分      元の領域
                       分   分   分




                                             39
• 展開に関する考慮点(続き)
  • 差分ディスクは使わないこと
  • VHDファイルを複製しないこと
     ※ ドメインコントローラーでの Sysprep は未サポート
       • SID の重複
       • USN(Update Sequence Number)ロールバック問題
  • 起動しているドメインコントローラーを Export しないこと

 詳細:http://technet.microsoft.com/en-us/library/
 virtual_active_directory_domain_controller_virtualization_hyperv(v=ws.10).aspx


                                                                                  40
重要な3つの ID
 • USN(Update Sequence Number)
    • 随時変更
 • Invocation ID
    • 変更される可能性あり
 • objectGUID
    • サーバー内オブジェクトのID
    • 恒久的




                                 41
USN とは
• Update Sequence Number
• ドメインコントローラー間でどこまで複製が完了したかを確認するための番号
• ドメインコントローラーに変更が加えられるたびに加算される



     USN=200             USN=100
   USN_DC2 = 100       USN_DC1 = 100


           DIT          DIT
   DC1                          DC2




                                        42
Invocation ID
• Invocation ID:ディレクトリデータベースのID
    • リセットされるシチュエーション存在する
       • システム状態のリストア等




                                  43
USN ロールバック
Invocation ID がリセットされると...

     V-DC1 が把握している V-             DC2 が把握している        High Water Mark
     DC1(自分自身)の状態                 V-DC1 の状態             と呼ばれる
         USN = 1000
                                  V-DC1(A)@USN1000
       InvocationID = A

          USN = 500               V-DC1(A)@USN1000
                          頭から複製
       InvocationID = B           V-DC1(B)@USN500

          DIT変更

          USN = 600               V-DC1(A)@USN1000
                          差分複製
       InvocationID = B           V-DC1(B)@USN500

                                                                   44
USN ロールバックの検知
• 「USN がロールバック」だけが発生すると、複製は停止する
  • 古いVHDファイルをリストアした場合
  • 古い Export ファイルをインポートした場合
  • Windows Server Backup から古いDITをリストアした場合

  Event ID 2103:Active Directory データベースがサポートされていな
  い方法で復元されました。Active Directory はこの状態が継続している間、
  ユーザーのログオンを処理できません。

 複製を開始するには同時に Invocation ID のリセットが必要
 => これが、Authoritative Restore(権限のある復元)



                                                    45
スナップショットによるUSNロールバック
 スナップショットをリストアした場合にはロールバックが検知されない




                      Create
                     Snapshot

                •   +100 users rollback
                       USN added     は回避されない: 50ユーザーが複製されてしまう
     TIME: T2   •      All others are either on one or the other DC
                              USN: 200
                •             ID: A   RID Pool: 600- 1000
                       100 ユーザーは(RID = 500 - 599)は SIDupdates: USNs >100
                                                           DC2 receives
                                                                        競合

                    T1 Snapshot     USN: 100
                      Applied!

                    +150 more users created


     TIME: T4
                                                 DC2 receives updates: USNs >200



                                                                                   46
Windows Server 2012 では
 VM-Generation ID が Hyper-V ホストに提供されている
 • ユニークな 128 ビットの ID
 • 専用ドライバーによりゲストOSに通知できるようになっている

 WS 2012 仮想 DC は VM-Generation ID をトラックする
 • Active Directory database (DIT) に保存

 • DITへの変更をコミットする前に、
    • DIT 内部の VM-Generation ID と ホストが認識している VM-Generation ID を比較
    • 異なれば DC の invocation ID と RID pool をリセットしてから、コミット
    同じ操作を、起動時に実行する




                                                                   47
Windows Server 2012 ではこうなる




                                                                                                                            DC2
                            DC1
  Timeline of events



                                    Create       USN: 100
                       TIME: T1
                                   Snapshot      ID: A     savedVMGID: G1          VMGID: G1

                                  +100 users added

                       TIME: T2               USN: 200
                                              ID: A      savedVMGID: G1         VMGID: G1
                                                                                                                  DC1(A)@USN = 200
                                                                       DC2 receives updates: USNs >100
                                  T1 Snapshot USN: 100
                       TIME: T3
                                    Applied!  ID: A  savedVMGID: G1                VMGID: G2
                                                                                                                  … missing users replicate
                                  +150 users created: VM generation ID difference detected: EMPLOY SAFETIES>100
                                                                     DC2 again accepts updates: USNs              back to DC1
                                              USN: 101-250
                       TIME: T4
                                              ID: B      savedVMGID: G2         VMGID: G2                         DC1(A)@USN = 200
                                                                                                                  DC1(B)@USN = 250


  USN re-use avoided and USN rollback PREVENTED : all 250 users converge correctly across both DCs
                                                                                                                                              48
結局のところ...
  以下の用途には使えないので注意
  「作成したユーザーを削除したい」
  「変更したユーザーの属性を元に戻したい」

       • Authoritative Restore を使用しましょう
       • または Forefront Identity Manager を使用し、メタデータで管
         理しましょう




                                                       49
仮想 DC の展開




            50
仮想 DC の展開
 • サーバーマネージャーを使用してリモートから
 • PowerShell を使用してリモートから
 • VHDファイルのクローン




                            51
仮想DCのクローン手順                 順番が変わっています


1.   非互換アプリを調査しCustomDCCloneAllowList.xml を生成
2.   DcCloneConfig.xml ファイルを作成
3.   ソースDCでFSMOが起動していないことを確認
4.   ソースDCをクローン可能なDCとして認可する
5.   ソースDCをシャットダウンし、イメージをExport
6.   新しい仮想マシンにインポート
7.   ソースを起動し、次に複製先マシンを起動




                                                52
Step1. 非互換のあるアプリを確認

 DC上で以下のコマンドレットを実行して、
 C:¥Windows¥NTDS¥CustomDCCloneAllowList.xml ファイルを作成する

 Get-ADDCCloningExcludedApplicationList
 Name : Active Directory Management Pack   Type : Service
 Helper Object
 Type : Program                            Name : QWAVE
                                           Type : Service
 Name : System Center Operations Manager
 2012 Agent                                Name : System Center Management APM
 Type : Program                            Type : Service

 Name : Microsoft Silverlight              Name : wlidsvc
 Type : WoW64Program                       Type : Service

 Name : AdtAgent
 Type : Service

 Name : HealthService                                                            53
CustomDCCloneAllowList.xml の例

<AllowList>                                          </Allow>
  <Allow>                                            <Allow>
   <Name>Active Directory Management Pack Helper      <Name>HealthService</Name>
Object</Name>                                         <Type>Service</Type>
   <Type>Program</Type>                              </Allow>
  </Allow>                                           <Allow>
  <Allow>                                             <Name>QWAVE</Name>
   <Name>System Center Operations Manager 2012        <Type>Service</Type>
Agent</Name>                                         </Allow>
   <Type>Program</Type>                              <Allow>
  </Allow>                                            <Name>System Center Management APM</Name>
  <Allow>                                             <Type>Service</Type>
   <Name>Microsoft Silverlight</Name>                </Allow>
   <Type>WoW64Program</Type>                         <Allow>
  </Allow>                                            <Name>wlidsvc</Name>
  <Allow>                                             <Type>Service</Type>
   <Name>AdtAgent</Name>                             </Allow>
   <Type>Service</Type>                            </AllowList>




                                                                                                  54
Step2. DcCloneConfig.xml を作成


 New-ADDCCloneConfigFile –Static
 -IPv4Address “10.0.0.2”
 -IPv4DNSResolver “10.0.0.1”
 -IPv4SubnetMask “255.255.255.0”
 -CloneComputerName “VirtualDC2”
 -IPv4DefaultGateway “10.0.0.3”
 -PreferredWINSServer “10.0.0.1”
 -SiteName “REDMOND”



                                   55
<?xml version="1.0"?>
<d3c:DCCloneConfig xmlns:d3c="uri:microsoft.com:schemas:DCCloneConfig">
  <ComputerName>Cloned-DC1</ComputerName>
  <SiteName>Default-First-Site-Name</SiteName>
  <IPSettings>
    <IPv4Settings>
       <StaticSettings>
          <Address>192.168.205.14</Address>
          <SubnetMask>255.255.255.0</SubnetMask>
          <DefaultGateway></DefaultGateway>
          <DNSResolver>192.168.205.1</DNSResolver>
          <DNSResolver>192.168.205.3</DNSResolver>
          <DNSResolver></DNSResolver>
          <DNSResolver></DNSResolver>
          <PreferredWINSServer></PreferredWINSServer>
          <AlternateWINSServer></AlternateWINSServer>
       </StaticSettings>
    </IPv4Settings>
    <IPv6Settings>
       <StaticSettings>
          <DNSResolver></DNSResolver>
          <DNSResolver></DNSResolver>
          <DNSResolver></DNSResolver>
          <DNSResolver></DNSResolver>
       </StaticSettings>
    </IPv6Settings>
  </IPSettings>
</d3c:DCCloneConfig
                                                                          56
Step 3: ソースDCでPDCエミュレーターが動作していないことを確認

  PDCエミュレーターがインストールされているDCはクローンできない




 Move-ADDirectoryServerOperationMasterRole -Identity "NEWDC2"
 -OperationMasterRole PDCEmulator

                                                                57
Step 4: ソースDCをクローン可能なDCに設定する




  Get-ADComputer NEWDC1 | %{add-adgroupmember -identity "Cloneable domain
  controllers" -members $_.samaccountname}
                                                                            58
Step 5: ソースDCをシャットダウンして Export


  • 検証
     New-ADDCCloneConfigFile
  • シャットダウン
     • Stop-Computer




                                 59
Step 6: クローン先のDCを作成し、Exportしたマシンをインポート


   ※新しいVMを作成するスクリプトの例

   $VM = “TFDC03"
   New-VM -BootDevice CD `
        -MemoryStartupBytes 1024MB `
        -Name $VM `
        -SwitchName "Intel(R) 82579LM Gigabit Network Connection - Virtual Switch" `
        -VHDPath ¥¥G:¥$VM¥$VM.vhdx `
   Start-VM -Name $VM -ComputerName junichia-vdi




                                                                                       60
61
Dynamic Access Control




                         62
“データガバナンス” へのニーズ
                                  正しいコンプライアンスが必要


自分のデータが適切に保護されて                 CIO
いるかどうやって監査すればよい
のだろう?


 コンテンツオーナー                                インフラサポート


 コンプライアンスに違反しているかどう                   どのデータに責任があって、どう
 か心配せずに必要なデータを使用したい                   やって制御すればよいかわからない

           Information Worker


                                                         63
そうは言っても、複雑な ”データガバナンス”

• ファイル単位のアクセス権                 • グループメンバーシップの管理
• 増え続けるファイル      アクセス   ID管理   • 増え続けるグループとメンバー
• 管理の分散(コンプライア   ポリシー            増減への対応
  ンス測定不能)                      • 複雑なメンバーシップルール




• 暗号化すべきデータの識別
                               • 監査対象データの識別
• 膨大なデータ          暗号化   監査




                                                  64
RBAC(Role-Based Access Control)
  • アクセスコントロール(アクセス制御)とは...
    ...ユーザーがアクセスしてもよいかどうかを評価するためのプロセス
  • RBAC とは...
    ...ユーザー単位ではなく役割単位でアクセス制御すること

 ACL(Access Control List)によるアクセス管理
                 ACL      ACE
                 ACE
      Resource
                 ACE
                                   ユーザー単位
                 ACE   Read Only             RBACの例
                 ACL      ACE
                 ACE               グループ(役割)単位
      Resource           A
                 ACE               ※ 組織(役割)がグループに反
                 ACE   Read Only   映されている必要がある
                                                      65
グループベース RBAC の限界
 •   リソースの増加とグループの増加
 •   複雑なメンバーシップ管理(1グループ1人 !?)
 •   イレギュラーでダイナミックな組織構造
 •   リソース管理者 ≠ ID 管理者

         アクセス管理         連携が必要           ID 管理(インフラ管理者)
        (リソース管理者)
                  ACL
                                A           A
       Resource   ACE
                  ACE
                                        A           A       A

                  ACL                                               A
       Resource   ACE               A           A
                  ACE
                                                        A

                                A                               A
                                                A
                                                                        66
Enterprise Dynamic Access Control へのニーズ
  • EDAC...
    ...利用者のキャラクター(属性)によってアクセスを制御する
  • リソース管理者は条件(Condition)を管理するだけ
       アクセス管理              互いに素    ID 管理(インフラ管理者)
      (リソース管理者)
               condition
               営業部                IT部     A       人事部   A
               Read
               condition
                IT部                     経理部   A
    Resource
               Backup
               condition
                                  営業部     A       企画部   A
               経理部
               R/W

                                                            67
Windows Server 2012 Dynamic Access Control
 DAC によってそれぞれのテクノロジーを結びつける


                    アクセス
• アクセスポリシーの                 ID管理
                    ポリシー           • クレームベースのアクセス制御
  集中管理




• 自動識別と自動暗号化                       • 監査ポリシーの集中管理
                    暗号化     監査


                                                      68
DAC の想定シナリオ

 • アクセスポリシー(Central Access Policy)の集中管理
     全社コンプライアンスポリシー
     組織の認可ポリシー
 • ファイルアクセス監査ポリシー(Central Audit Policy)の集中管理
 • アクセス拒否発生時の速やかな対応
 • File   Classification Infrastructure(FCI)と連携したファイルの自動分類
         データの自動分類
         社外秘データの自動暗号化
         法廷保存期間に沿ったファイルサーバー上のデータの保管




                                                             69
アクセスポリシーの集中管理
 ファイルアクセスコントロールを Active Directory で集中管理




                                          70
71
72
アクセス
           ACL
           ACE         Central   コントロール
Resource         上書き
           ACE          Policy
                                 監査の設定




                                          73
監査ポリシーの集中管理




              74
アクセス拒否発生時の速やかな対応
 ユーザーがファイル共有にアクセスして”アクセス拒否”が発生した際に、
 速やかな問題解決を図るために以下の対応が可能。

 • メッセージの送信
     to システム管理者
     to 共有フォルダーの所有者
 • アクセス権取得の要求




 グループポリシーおよびファイルサー
 バーリソースマネジャーで設定
                                      75
FCI: File Classification Infrastructure

    データのタギング
     • コンテンツオーナーによるタギング
     • データの重要性を自動識別
     • 自動暗号化

                              tag:超重要


                      Data




                                          76
DAC に求められる条件
 管理者の管理範囲は狭くなるが、管理の精密性が求められる

   リソース管理者の責任
     • コンプライアンスに沿った条件設定
     • 状況に応じたダイナミックな設定変更

   IT(ID)管理者の責任
     • ID 情報の精密性
     • 迅速な ID 情報の反映




                               77
Connected Account

Enterprise と Social を結びつける新しい手法




                                  78
Connected Account
  •    Active Directory アカウントと Windows Live ID(Microsoft Account) を連携
  •    移動ユーザープロファイルを使用すれば複数のデバイスで利用可能




                                  Connected


                         Login          SSO

      Windows Server
      Active Directory           Windows 8            Login
                                                                Windows Live




                                                                               79
Business Windows と Social Network
 Enterprise              Consumer
               SkyDrive            Hotmail     Store          Facebook      Linked-in   Twitter   Google
                 (RP)              (RP)        (RP)              (RP)          (RP)      (RP)      (RP)
Yammer
          Enterprise   Personal
                                                                  Idp          Idp        Idp      Idp


AD                        Live(MS Account)
                                (IdP)




 Office                                                 Instant         OUTLOOK
               Drive              Mail       People    Message

                                                      Windows

                                                                                                           80
まとめ

 認証とアクセス制御がインフラの命です
 全てのインフラで Active Directory が使えるようになります

   • Active Directory Server (On-premise)
   • Active Directory in Windows Azure VM (IaaS)
   • Windows Azure Active Directory (PaaS)



                                                   81
暫定版


      82

Contenu connexe

Tendances

4/5 ADFS 2.0 を使用して Windows Azure との SSO を実現しよう V1.1
4/5 ADFS 2.0 を使用して Windows Azure との SSO を実現しよう V1.14/5 ADFS 2.0 を使用して Windows Azure との SSO を実現しよう V1.1
4/5 ADFS 2.0 を使用して Windows Azure との SSO を実現しよう V1.1junichi anno
 
クラウドにおける Windows Azure Active Directory の役割
クラウドにおける Windows Azure Active Directory の役割クラウドにおける Windows Azure Active Directory の役割
クラウドにおける Windows Azure Active Directory の役割junichi anno
 
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現junichi anno
 
Active directoryと認証・認可
Active directoryと認証・認可Active directoryと認証・認可
Active directoryと認証・認可Hiroki Kamata
 
AD FS deep dive - claim rule set
AD FS deep dive - claim rule setAD FS deep dive - claim rule set
AD FS deep dive - claim rule setjunichi anno
 
S05 Microsoft Azure 仮想マシンでの Active Directory 活用シナリオ
S05 Microsoft Azure 仮想マシンでの Active Directory 活用シナリオS05 Microsoft Azure 仮想マシンでの Active Directory 活用シナリオ
S05 Microsoft Azure 仮想マシンでの Active Directory 活用シナリオMicrosoft Azure Japan
 
GoAzure 2015 Azure AD for Developers
GoAzure 2015 Azure AD for DevelopersGoAzure 2015 Azure AD for Developers
GoAzure 2015 Azure AD for Developerskekekekenta
 
AD FS 2 と ACS v2 による Windows azure_step_bystep_v2.2_update1_noanime.pptx.アニメ削除済
AD FS 2 と ACS v2 による Windows azure_step_bystep_v2.2_update1_noanime.pptx.アニメ削除済AD FS 2 と ACS v2 による Windows azure_step_bystep_v2.2_update1_noanime.pptx.アニメ削除済
AD FS 2 と ACS v2 による Windows azure_step_bystep_v2.2_update1_noanime.pptx.アニメ削除済junichi anno
 
Azure AD によるリソースの保護 how to protect and govern resources under the Azure AD
Azure AD によるリソースの保護 how to protect and govern resources under the Azure ADAzure AD によるリソースの保護 how to protect and govern resources under the Azure AD
Azure AD によるリソースの保護 how to protect and govern resources under the Azure ADjunichi anno
 
Windows Azure Active Directory for your cloud applications
Windows Azure Active Directory for your cloud applicationsWindows Azure Active Directory for your cloud applications
Windows Azure Active Directory for your cloud applicationskekekekenta
 
1/5 ADFS 2.0 を使用してWindows Azure との SSO を実現しよう v1.1
1/5 ADFS 2.0 を使用してWindows Azure との SSO を実現しよう v1.11/5 ADFS 2.0 を使用してWindows Azure との SSO を実現しよう v1.1
1/5 ADFS 2.0 を使用してWindows Azure との SSO を実現しよう v1.1junichi anno
 
Microsoft Azure のセキュリティ
Microsoft Azure のセキュリティMicrosoft Azure のセキュリティ
Microsoft Azure のセキュリティjunichi anno
 
Microsoft の ID 連携技術
Microsoft の ID 連携技術Microsoft の ID 連携技術
Microsoft の ID 連携技術shigeya
 
V1.1 CD03 Azure Active Directory B2C/B2B コラボレーションによる Customer Identity and Ac...
V1.1 CD03 Azure Active Directory B2C/B2B コラボレーションによる Customer Identity and Ac...V1.1 CD03 Azure Active Directory B2C/B2B コラボレーションによる Customer Identity and Ac...
V1.1 CD03 Azure Active Directory B2C/B2B コラボレーションによる Customer Identity and Ac...junichi anno
 
Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~
Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~
Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~junichi anno
 
Infrastructure as code for azure
Infrastructure as code for azureInfrastructure as code for azure
Infrastructure as code for azureKeiji Kamebuchi
 
リソーステンプレート入門
リソーステンプレート入門リソーステンプレート入門
リソーステンプレート入門junichi anno
 
ID Managementワークショップ Azure AD SaaS 連携 Tips & Tricks_第2回全体ミーティング
ID Managementワークショップ  Azure AD SaaS 連携 Tips & Tricks_第2回全体ミーティングID Managementワークショップ  Azure AD SaaS 連携 Tips & Tricks_第2回全体ミーティング
ID Managementワークショップ Azure AD SaaS 連携 Tips & Tricks_第2回全体ミーティングID-Based Security イニシアティブ
 
Windows 10 の新機能 Azure AD Domain Join とは
Windows 10 の新機能 Azure AD Domain Join とはWindows 10 の新機能 Azure AD Domain Join とは
Windows 10 の新機能 Azure AD Domain Join とはMari Miyakawa
 

Tendances (20)

4/5 ADFS 2.0 を使用して Windows Azure との SSO を実現しよう V1.1
4/5 ADFS 2.0 を使用して Windows Azure との SSO を実現しよう V1.14/5 ADFS 2.0 を使用して Windows Azure との SSO を実現しよう V1.1
4/5 ADFS 2.0 を使用して Windows Azure との SSO を実現しよう V1.1
 
クラウドにおける Windows Azure Active Directory の役割
クラウドにおける Windows Azure Active Directory の役割クラウドにおける Windows Azure Active Directory の役割
クラウドにおける Windows Azure Active Directory の役割
 
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
 
Active directoryと認証・認可
Active directoryと認証・認可Active directoryと認証・認可
Active directoryと認証・認可
 
AD FS deep dive - claim rule set
AD FS deep dive - claim rule setAD FS deep dive - claim rule set
AD FS deep dive - claim rule set
 
S05 Microsoft Azure 仮想マシンでの Active Directory 活用シナリオ
S05 Microsoft Azure 仮想マシンでの Active Directory 活用シナリオS05 Microsoft Azure 仮想マシンでの Active Directory 活用シナリオ
S05 Microsoft Azure 仮想マシンでの Active Directory 活用シナリオ
 
GoAzure 2015 Azure AD for Developers
GoAzure 2015 Azure AD for DevelopersGoAzure 2015 Azure AD for Developers
GoAzure 2015 Azure AD for Developers
 
AD FS 2 と ACS v2 による Windows azure_step_bystep_v2.2_update1_noanime.pptx.アニメ削除済
AD FS 2 と ACS v2 による Windows azure_step_bystep_v2.2_update1_noanime.pptx.アニメ削除済AD FS 2 と ACS v2 による Windows azure_step_bystep_v2.2_update1_noanime.pptx.アニメ削除済
AD FS 2 と ACS v2 による Windows azure_step_bystep_v2.2_update1_noanime.pptx.アニメ削除済
 
Azure AD によるリソースの保護 how to protect and govern resources under the Azure AD
Azure AD によるリソースの保護 how to protect and govern resources under the Azure ADAzure AD によるリソースの保護 how to protect and govern resources under the Azure AD
Azure AD によるリソースの保護 how to protect and govern resources under the Azure AD
 
Windows Azure Active Directory for your cloud applications
Windows Azure Active Directory for your cloud applicationsWindows Azure Active Directory for your cloud applications
Windows Azure Active Directory for your cloud applications
 
1/5 ADFS 2.0 を使用してWindows Azure との SSO を実現しよう v1.1
1/5 ADFS 2.0 を使用してWindows Azure との SSO を実現しよう v1.11/5 ADFS 2.0 を使用してWindows Azure との SSO を実現しよう v1.1
1/5 ADFS 2.0 を使用してWindows Azure との SSO を実現しよう v1.1
 
Microsoft Azure のセキュリティ
Microsoft Azure のセキュリティMicrosoft Azure のセキュリティ
Microsoft Azure のセキュリティ
 
Microsoft の ID 連携技術
Microsoft の ID 連携技術Microsoft の ID 連携技術
Microsoft の ID 連携技術
 
V1.1 CD03 Azure Active Directory B2C/B2B コラボレーションによる Customer Identity and Ac...
V1.1 CD03 Azure Active Directory B2C/B2B コラボレーションによる Customer Identity and Ac...V1.1 CD03 Azure Active Directory B2C/B2B コラボレーションによる Customer Identity and Ac...
V1.1 CD03 Azure Active Directory B2C/B2B コラボレーションによる Customer Identity and Ac...
 
Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~
Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~
Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~
 
Infrastructure as code for azure
Infrastructure as code for azureInfrastructure as code for azure
Infrastructure as code for azure
 
リソーステンプレート入門
リソーステンプレート入門リソーステンプレート入門
リソーステンプレート入門
 
ID Managementワークショップ Azure AD SaaS 連携 Tips & Tricks_第2回全体ミーティング
ID Managementワークショップ  Azure AD SaaS 連携 Tips & Tricks_第2回全体ミーティングID Managementワークショップ  Azure AD SaaS 連携 Tips & Tricks_第2回全体ミーティング
ID Managementワークショップ Azure AD SaaS 連携 Tips & Tricks_第2回全体ミーティング
 
Windows 10 の新機能 Azure AD Domain Join とは
Windows 10 の新機能 Azure AD Domain Join とはWindows 10 の新機能 Azure AD Domain Join とは
Windows 10 の新機能 Azure AD Domain Join とは
 
20171201_01_idsi_現状の認証システムに関連する機能
20171201_01_idsi_現状の認証システムに関連する機能20171201_01_idsi_現状の認証システムに関連する機能
20171201_01_idsi_現状の認証システムに関連する機能
 

En vedette

Windows PowerShell によるWindows Server 管理の自動化 v4.0 2014.03.13 更新版
Windows PowerShell によるWindows Server 管理の自動化 v4.0 2014.03.13 更新版Windows PowerShell によるWindows Server 管理の自動化 v4.0 2014.03.13 更新版
Windows PowerShell によるWindows Server 管理の自動化 v4.0 2014.03.13 更新版junichi anno
 
Ultimate SharePoint Infrastructure Best Practices - Japanese Version - #JPSPS
Ultimate SharePoint Infrastructure Best Practices - Japanese Version - #JPSPSUltimate SharePoint Infrastructure Best Practices - Japanese Version - #JPSPS
Ultimate SharePoint Infrastructure Best Practices - Japanese Version - #JPSPSMichael Noel
 
仮想化した DC を PowerShell で複製する
仮想化した DC を PowerShell で複製する仮想化した DC を PowerShell で複製する
仮想化した DC を PowerShell で複製するjunichi anno
 
Shared Nothing Live Migration で重要な「委任」について
Shared Nothing Live Migration で重要な「委任」についてShared Nothing Live Migration で重要な「委任」について
Shared Nothing Live Migration で重要な「委任」についてjunichi anno
 
カジュアルにセキュリティテストはじめよう
カジュアルにセキュリティテストはじめようカジュアルにセキュリティテストはじめよう
カジュアルにセキュリティテストはじめようMasahiro NAKAYAMA
 
3/5 ADFS 2.0 を使用して Windows Azure との SSO を実現しよう V1.1
3/5 ADFS 2.0 を使用して Windows Azure との SSO を実現しよう V1.13/5 ADFS 2.0 を使用して Windows Azure との SSO を実現しよう V1.1
3/5 ADFS 2.0 を使用して Windows Azure との SSO を実現しよう V1.1junichi anno
 
SORACOM Funnelで手抜きIoTプラットフォーム #ssmjp
SORACOM Funnelで手抜きIoTプラットフォーム #ssmjpSORACOM Funnelで手抜きIoTプラットフォーム #ssmjp
SORACOM Funnelで手抜きIoTプラットフォーム #ssmjpMasahiro NAKAYAMA
 
File Server on Azure IaaS
File Server on Azure IaaSFile Server on Azure IaaS
File Server on Azure IaaSjunichi anno
 
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...junichi anno
 
Hyper-V を Windows PowerShell から管理する
Hyper-V を Windows PowerShell から管理するHyper-V を Windows PowerShell から管理する
Hyper-V を Windows PowerShell から管理するjunichi anno
 
ADFS With Cloud Service ~シングルサインオン最新手法~
ADFS With Cloud Service ~シングルサインオン最新手法~ADFS With Cloud Service ~シングルサインオン最新手法~
ADFS With Cloud Service ~シングルサインオン最新手法~Mari Miyakawa
 
Windows Server 2012 で管理をもっと自動化する
Windows Server 2012 で管理をもっと自動化するWindows Server 2012 で管理をもっと自動化する
Windows Server 2012 で管理をもっと自動化するjunichi anno
 
Manage ADFS on Office365
Manage ADFS on Office365Manage ADFS on Office365
Manage ADFS on Office365Genki WATANABE
 
クラウドセキュリティ基礎 @セキュリティ・ミニキャンプ in 東北 2016 #seccamp
クラウドセキュリティ基礎 @セキュリティ・ミニキャンプ in 東北 2016 #seccampクラウドセキュリティ基礎 @セキュリティ・ミニキャンプ in 東北 2016 #seccamp
クラウドセキュリティ基礎 @セキュリティ・ミニキャンプ in 東北 2016 #seccampMasahiro NAKAYAMA
 
#qpstudy 2016.07 第一部 基礎知識編 「ご認証は認可ですか?」
#qpstudy 2016.07  第一部 基礎知識編 「ご認証は認可ですか?」#qpstudy 2016.07  第一部 基礎知識編 「ご認証は認可ですか?」
#qpstudy 2016.07 第一部 基礎知識編 「ご認証は認可ですか?」 Masahiro NAKAYAMA
 
Windows File Service 総復習-Windows Server 2012 R2編 第1版
Windows File Service 総復習-Windows Server 2012 R2編 第1版Windows File Service 総復習-Windows Server 2012 R2編 第1版
Windows File Service 総復習-Windows Server 2012 R2編 第1版junichi anno
 
SharePoint 2013 Preview レビュー
SharePoint 2013 Preview レビューSharePoint 2013 Preview レビュー
SharePoint 2013 Preview レビューHirofumi Ota
 

En vedette (17)

Windows PowerShell によるWindows Server 管理の自動化 v4.0 2014.03.13 更新版
Windows PowerShell によるWindows Server 管理の自動化 v4.0 2014.03.13 更新版Windows PowerShell によるWindows Server 管理の自動化 v4.0 2014.03.13 更新版
Windows PowerShell によるWindows Server 管理の自動化 v4.0 2014.03.13 更新版
 
Ultimate SharePoint Infrastructure Best Practices - Japanese Version - #JPSPS
Ultimate SharePoint Infrastructure Best Practices - Japanese Version - #JPSPSUltimate SharePoint Infrastructure Best Practices - Japanese Version - #JPSPS
Ultimate SharePoint Infrastructure Best Practices - Japanese Version - #JPSPS
 
仮想化した DC を PowerShell で複製する
仮想化した DC を PowerShell で複製する仮想化した DC を PowerShell で複製する
仮想化した DC を PowerShell で複製する
 
Shared Nothing Live Migration で重要な「委任」について
Shared Nothing Live Migration で重要な「委任」についてShared Nothing Live Migration で重要な「委任」について
Shared Nothing Live Migration で重要な「委任」について
 
カジュアルにセキュリティテストはじめよう
カジュアルにセキュリティテストはじめようカジュアルにセキュリティテストはじめよう
カジュアルにセキュリティテストはじめよう
 
3/5 ADFS 2.0 を使用して Windows Azure との SSO を実現しよう V1.1
3/5 ADFS 2.0 を使用して Windows Azure との SSO を実現しよう V1.13/5 ADFS 2.0 を使用して Windows Azure との SSO を実現しよう V1.1
3/5 ADFS 2.0 を使用して Windows Azure との SSO を実現しよう V1.1
 
SORACOM Funnelで手抜きIoTプラットフォーム #ssmjp
SORACOM Funnelで手抜きIoTプラットフォーム #ssmjpSORACOM Funnelで手抜きIoTプラットフォーム #ssmjp
SORACOM Funnelで手抜きIoTプラットフォーム #ssmjp
 
File Server on Azure IaaS
File Server on Azure IaaSFile Server on Azure IaaS
File Server on Azure IaaS
 
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...
 
Hyper-V を Windows PowerShell から管理する
Hyper-V を Windows PowerShell から管理するHyper-V を Windows PowerShell から管理する
Hyper-V を Windows PowerShell から管理する
 
ADFS With Cloud Service ~シングルサインオン最新手法~
ADFS With Cloud Service ~シングルサインオン最新手法~ADFS With Cloud Service ~シングルサインオン最新手法~
ADFS With Cloud Service ~シングルサインオン最新手法~
 
Windows Server 2012 で管理をもっと自動化する
Windows Server 2012 で管理をもっと自動化するWindows Server 2012 で管理をもっと自動化する
Windows Server 2012 で管理をもっと自動化する
 
Manage ADFS on Office365
Manage ADFS on Office365Manage ADFS on Office365
Manage ADFS on Office365
 
クラウドセキュリティ基礎 @セキュリティ・ミニキャンプ in 東北 2016 #seccamp
クラウドセキュリティ基礎 @セキュリティ・ミニキャンプ in 東北 2016 #seccampクラウドセキュリティ基礎 @セキュリティ・ミニキャンプ in 東北 2016 #seccamp
クラウドセキュリティ基礎 @セキュリティ・ミニキャンプ in 東北 2016 #seccamp
 
#qpstudy 2016.07 第一部 基礎知識編 「ご認証は認可ですか?」
#qpstudy 2016.07  第一部 基礎知識編 「ご認証は認可ですか?」#qpstudy 2016.07  第一部 基礎知識編 「ご認証は認可ですか?」
#qpstudy 2016.07 第一部 基礎知識編 「ご認証は認可ですか?」
 
Windows File Service 総復習-Windows Server 2012 R2編 第1版
Windows File Service 総復習-Windows Server 2012 R2編 第1版Windows File Service 総復習-Windows Server 2012 R2編 第1版
Windows File Service 総復習-Windows Server 2012 R2編 第1版
 
SharePoint 2013 Preview レビュー
SharePoint 2013 Preview レビューSharePoint 2013 Preview レビュー
SharePoint 2013 Preview レビュー
 

Similaire à Active Directory 最新情報 2012.8.31 暫定版

20170902 kixs azure&azure stack
20170902 kixs azure&azure stack20170902 kixs azure&azure stack
20170902 kixs azure&azure stackOsamu Takazoe
 
Windows Azure Active Directory Multi-Factor Authentication Preview for Phone ...
Windows Azure Active Directory Multi-Factor Authentication Preview for Phone ...Windows Azure Active Directory Multi-Factor Authentication Preview for Phone ...
Windows Azure Active Directory Multi-Factor Authentication Preview for Phone ...kekekekenta
 
Cloud で Active Directory を活用するには
Cloud で Active Directory を活用するにはCloud で Active Directory を活用するには
Cloud で Active Directory を活用するにはjunichi anno
 
Open棟梁 v02-00 コンセプト
Open棟梁 v02-00 コンセプトOpen棟梁 v02-00 コンセプト
Open棟梁 v02-00 コンセプトDaisuke Nishino
 
OSS on Azure で構築するウェブアプリケーション
OSS on Azure で構築するウェブアプリケーションOSS on Azure で構築するウェブアプリケーション
OSS on Azure で構築するウェブアプリケーションDaisuke Masubuchi
 
Windows 開発者のための Dev&Ops on AWS
Windows 開発者のための Dev&Ops on AWSWindows 開発者のための Dev&Ops on AWS
Windows 開発者のための Dev&Ops on AWSAmazon Web Services Japan
 
今明かす、Windows Azure の全貌 - Virtualization Summit
今明かす、Windows Azure の全貌 - Virtualization Summit今明かす、Windows Azure の全貌 - Virtualization Summit
今明かす、Windows Azure の全貌 - Virtualization Summitfumios
 
Apps for office オンプレミスとクラウド
Apps for office オンプレミスとクラウドApps for office オンプレミスとクラウド
Apps for office オンプレミスとクラウドHirotada Watanabe
 
今後のビジネス モデルに対応する Azure プラットフォーム技術の活用
今後のビジネス モデルに対応する Azure プラットフォーム技術の活用今後のビジネス モデルに対応する Azure プラットフォーム技術の活用
今後のビジネス モデルに対応する Azure プラットフォーム技術の活用Kazuyuki Nomura
 
Azure serverless!! azure functionsでサーバーを意識しない開発
Azure serverless!! azure functionsでサーバーを意識しない開発Azure serverless!! azure functionsでサーバーを意識しない開発
Azure serverless!! azure functionsでサーバーを意識しない開発Yuki Hattori
 
2014年12月04日 ヒーロー島 Azureスペシャル
2014年12月04日 ヒーロー島 Azureスペシャル2014年12月04日 ヒーロー島 Azureスペシャル
2014年12月04日 ヒーロー島 AzureスペシャルDaiyu Hatakeyama
 
サーバー管理よ、サヨウナラ。サーバーレス アーキテクチャの意義と実践
サーバー管理よ、サヨウナラ。サーバーレス アーキテクチャの意義と実践サーバー管理よ、サヨウナラ。サーバーレス アーキテクチャの意義と実践
サーバー管理よ、サヨウナラ。サーバーレス アーキテクチャの意義と実践真吾 吉田
 
INF-008_Azure Active Directory 最新動向 ~今後の Active Directory はどうあるべきか~
INF-008_Azure Active Directory 最新動向 ~今後の Active Directory はどうあるべきか~INF-008_Azure Active Directory 最新動向 ~今後の Active Directory はどうあるべきか~
INF-008_Azure Active Directory 最新動向 ~今後の Active Directory はどうあるべきか~decode2016
 
CloudStack Overview@OSC2012Fukuoka
CloudStack Overview@OSC2012FukuokaCloudStack Overview@OSC2012Fukuoka
CloudStack Overview@OSC2012FukuokaSatoshi Shimazaki
 
Windows Phone で Active Directory 認証 2011.12.1版
Windows Phone で Active Directory 認証 2011.12.1版Windows Phone で Active Directory 認証 2011.12.1版
Windows Phone で Active Directory 認証 2011.12.1版junichi anno
 
Microsoft Azure build & ignight update summary
Microsoft Azure build & ignight update summary Microsoft Azure build & ignight update summary
Microsoft Azure build & ignight update summary Hirano Kazunori
 
ハイブリッドクラウドとして進化するWindows azureのご紹介 day1ハイライト
ハイブリッドクラウドとして進化するWindows azureのご紹介 day1ハイライトハイブリッドクラウドとして進化するWindows azureのご紹介 day1ハイライト
ハイブリッドクラウドとして進化するWindows azureのご紹介 day1ハイライトGoAzure
 
[AC11] サーバー管理よ、サヨウナラ。サーバーレスアーキテクチャの意義と実践
[AC11] サーバー管理よ、サヨウナラ。サーバーレスアーキテクチャの意義と実践[AC11] サーバー管理よ、サヨウナラ。サーバーレスアーキテクチャの意義と実践
[AC11] サーバー管理よ、サヨウナラ。サーバーレスアーキテクチャの意義と実践de:code 2017
 
次期Office製品群の新しい開発モデルの解説
次期Office製品群の新しい開発モデルの解説次期Office製品群の新しい開発モデルの解説
次期Office製品群の新しい開発モデルの解説kumo2010
 
Java/Android開発者のためのWindows Azure入門 (パート2)
Java/Android開発者のためのWindows Azure入門 (パート2)Java/Android開発者のためのWindows Azure入門 (パート2)
Java/Android開発者のためのWindows Azure入門 (パート2)Naoki (Neo) SATO
 

Similaire à Active Directory 最新情報 2012.8.31 暫定版 (20)

20170902 kixs azure&azure stack
20170902 kixs azure&azure stack20170902 kixs azure&azure stack
20170902 kixs azure&azure stack
 
Windows Azure Active Directory Multi-Factor Authentication Preview for Phone ...
Windows Azure Active Directory Multi-Factor Authentication Preview for Phone ...Windows Azure Active Directory Multi-Factor Authentication Preview for Phone ...
Windows Azure Active Directory Multi-Factor Authentication Preview for Phone ...
 
Cloud で Active Directory を活用するには
Cloud で Active Directory を活用するにはCloud で Active Directory を活用するには
Cloud で Active Directory を活用するには
 
Open棟梁 v02-00 コンセプト
Open棟梁 v02-00 コンセプトOpen棟梁 v02-00 コンセプト
Open棟梁 v02-00 コンセプト
 
OSS on Azure で構築するウェブアプリケーション
OSS on Azure で構築するウェブアプリケーションOSS on Azure で構築するウェブアプリケーション
OSS on Azure で構築するウェブアプリケーション
 
Windows 開発者のための Dev&Ops on AWS
Windows 開発者のための Dev&Ops on AWSWindows 開発者のための Dev&Ops on AWS
Windows 開発者のための Dev&Ops on AWS
 
今明かす、Windows Azure の全貌 - Virtualization Summit
今明かす、Windows Azure の全貌 - Virtualization Summit今明かす、Windows Azure の全貌 - Virtualization Summit
今明かす、Windows Azure の全貌 - Virtualization Summit
 
Apps for office オンプレミスとクラウド
Apps for office オンプレミスとクラウドApps for office オンプレミスとクラウド
Apps for office オンプレミスとクラウド
 
今後のビジネス モデルに対応する Azure プラットフォーム技術の活用
今後のビジネス モデルに対応する Azure プラットフォーム技術の活用今後のビジネス モデルに対応する Azure プラットフォーム技術の活用
今後のビジネス モデルに対応する Azure プラットフォーム技術の活用
 
Azure serverless!! azure functionsでサーバーを意識しない開発
Azure serverless!! azure functionsでサーバーを意識しない開発Azure serverless!! azure functionsでサーバーを意識しない開発
Azure serverless!! azure functionsでサーバーを意識しない開発
 
2014年12月04日 ヒーロー島 Azureスペシャル
2014年12月04日 ヒーロー島 Azureスペシャル2014年12月04日 ヒーロー島 Azureスペシャル
2014年12月04日 ヒーロー島 Azureスペシャル
 
サーバー管理よ、サヨウナラ。サーバーレス アーキテクチャの意義と実践
サーバー管理よ、サヨウナラ。サーバーレス アーキテクチャの意義と実践サーバー管理よ、サヨウナラ。サーバーレス アーキテクチャの意義と実践
サーバー管理よ、サヨウナラ。サーバーレス アーキテクチャの意義と実践
 
INF-008_Azure Active Directory 最新動向 ~今後の Active Directory はどうあるべきか~
INF-008_Azure Active Directory 最新動向 ~今後の Active Directory はどうあるべきか~INF-008_Azure Active Directory 最新動向 ~今後の Active Directory はどうあるべきか~
INF-008_Azure Active Directory 最新動向 ~今後の Active Directory はどうあるべきか~
 
CloudStack Overview@OSC2012Fukuoka
CloudStack Overview@OSC2012FukuokaCloudStack Overview@OSC2012Fukuoka
CloudStack Overview@OSC2012Fukuoka
 
Windows Phone で Active Directory 認証 2011.12.1版
Windows Phone で Active Directory 認証 2011.12.1版Windows Phone で Active Directory 認証 2011.12.1版
Windows Phone で Active Directory 認証 2011.12.1版
 
Microsoft Azure build & ignight update summary
Microsoft Azure build & ignight update summary Microsoft Azure build & ignight update summary
Microsoft Azure build & ignight update summary
 
ハイブリッドクラウドとして進化するWindows azureのご紹介 day1ハイライト
ハイブリッドクラウドとして進化するWindows azureのご紹介 day1ハイライトハイブリッドクラウドとして進化するWindows azureのご紹介 day1ハイライト
ハイブリッドクラウドとして進化するWindows azureのご紹介 day1ハイライト
 
[AC11] サーバー管理よ、サヨウナラ。サーバーレスアーキテクチャの意義と実践
[AC11] サーバー管理よ、サヨウナラ。サーバーレスアーキテクチャの意義と実践[AC11] サーバー管理よ、サヨウナラ。サーバーレスアーキテクチャの意義と実践
[AC11] サーバー管理よ、サヨウナラ。サーバーレスアーキテクチャの意義と実践
 
次期Office製品群の新しい開発モデルの解説
次期Office製品群の新しい開発モデルの解説次期Office製品群の新しい開発モデルの解説
次期Office製品群の新しい開発モデルの解説
 
Java/Android開発者のためのWindows Azure入門 (パート2)
Java/Android開発者のためのWindows Azure入門 (パート2)Java/Android開発者のためのWindows Azure入門 (パート2)
Java/Android開発者のためのWindows Azure入門 (パート2)
 

Plus de junichi anno

Azure AD による Web API の 保護
Azure AD による Web API の 保護 Azure AD による Web API の 保護
Azure AD による Web API の 保護 junichi anno
 
個人情報を守るための アプリケーション設計(概要)
個人情報を守るためのアプリケーション設計(概要)個人情報を守るためのアプリケーション設計(概要)
個人情報を守るための アプリケーション設計(概要)junichi anno
 
IoT のセキュリティアーキテクチャと実装モデル on Azure
IoT のセキュリティアーキテクチャと実装モデル on AzureIoT のセキュリティアーキテクチャと実装モデル on Azure
IoT のセキュリティアーキテクチャと実装モデル on Azurejunichi anno
 
DevSecOps: セキュリティ問題に迅速に対応するためのパイプライン設計
DevSecOps: セキュリティ問題に迅速に対応するためのパイプライン設計DevSecOps: セキュリティ問題に迅速に対応するためのパイプライン設計
DevSecOps: セキュリティ問題に迅速に対応するためのパイプライン設計junichi anno
 
Azureの管理権限について
Azureの管理権限について Azureの管理権限について
Azureの管理権限について junichi anno
 
Power shell の基本操作と処理の自動化 v2_20120514
Power shell の基本操作と処理の自動化 v2_20120514Power shell の基本操作と処理の自動化 v2_20120514
Power shell の基本操作と処理の自動化 v2_20120514junichi anno
 
PowerShell の基本操作とリモーティング&v3のご紹介 junichia
PowerShell の基本操作とリモーティング&v3のご紹介 junichiaPowerShell の基本操作とリモーティング&v3のご紹介 junichia
PowerShell の基本操作とリモーティング&v3のご紹介 junichiajunichi anno
 

Plus de junichi anno (8)

Azure AD による Web API の 保護
Azure AD による Web API の 保護 Azure AD による Web API の 保護
Azure AD による Web API の 保護
 
Azure Key Vault
Azure Key VaultAzure Key Vault
Azure Key Vault
 
個人情報を守るための アプリケーション設計(概要)
個人情報を守るためのアプリケーション設計(概要)個人情報を守るためのアプリケーション設計(概要)
個人情報を守るための アプリケーション設計(概要)
 
IoT のセキュリティアーキテクチャと実装モデル on Azure
IoT のセキュリティアーキテクチャと実装モデル on AzureIoT のセキュリティアーキテクチャと実装モデル on Azure
IoT のセキュリティアーキテクチャと実装モデル on Azure
 
DevSecOps: セキュリティ問題に迅速に対応するためのパイプライン設計
DevSecOps: セキュリティ問題に迅速に対応するためのパイプライン設計DevSecOps: セキュリティ問題に迅速に対応するためのパイプライン設計
DevSecOps: セキュリティ問題に迅速に対応するためのパイプライン設計
 
Azureの管理権限について
Azureの管理権限について Azureの管理権限について
Azureの管理権限について
 
Power shell の基本操作と処理の自動化 v2_20120514
Power shell の基本操作と処理の自動化 v2_20120514Power shell の基本操作と処理の自動化 v2_20120514
Power shell の基本操作と処理の自動化 v2_20120514
 
PowerShell の基本操作とリモーティング&v3のご紹介 junichia
PowerShell の基本操作とリモーティング&v3のご紹介 junichiaPowerShell の基本操作とリモーティング&v3のご紹介 junichia
PowerShell の基本操作とリモーティング&v3のご紹介 junichia
 

Dernier

TaketoFujikawa_台本中の動作表現に基づくアニメーション原画システムの提案_SIGEC71.pdf
TaketoFujikawa_台本中の動作表現に基づくアニメーション原画システムの提案_SIGEC71.pdfTaketoFujikawa_台本中の動作表現に基づくアニメーション原画システムの提案_SIGEC71.pdf
TaketoFujikawa_台本中の動作表現に基づくアニメーション原画システムの提案_SIGEC71.pdfMatsushita Laboratory
 
IFIP IP3での資格制度を対象とする国際認定(IPSJ86全国大会シンポジウム)
IFIP IP3での資格制度を対象とする国際認定(IPSJ86全国大会シンポジウム)IFIP IP3での資格制度を対象とする国際認定(IPSJ86全国大会シンポジウム)
IFIP IP3での資格制度を対象とする国際認定(IPSJ86全国大会シンポジウム)ssuser539845
 
「今からでも間に合う」GPTsによる 活用LT会 - 人とAIが協調するHumani-in-the-Loopへ
「今からでも間に合う」GPTsによる 活用LT会 - 人とAIが協調するHumani-in-the-Loopへ「今からでも間に合う」GPTsによる 活用LT会 - 人とAIが協調するHumani-in-the-Loopへ
「今からでも間に合う」GPTsによる 活用LT会 - 人とAIが協調するHumani-in-the-LoopへTetsuya Nihonmatsu
 
ARスタートアップOnePlanetの Apple Vision Proへの情熱と挑戦
ARスタートアップOnePlanetの Apple Vision Proへの情熱と挑戦ARスタートアップOnePlanetの Apple Vision Proへの情熱と挑戦
ARスタートアップOnePlanetの Apple Vision Proへの情熱と挑戦Sadao Tokuyama
 
2024 01 Virtual_Counselor
2024 01 Virtual_Counselor 2024 01 Virtual_Counselor
2024 01 Virtual_Counselor arts yokohama
 
持続可能なDrupal Meetupのコツ - Drupal Meetup Tokyoの知見
持続可能なDrupal Meetupのコツ - Drupal Meetup Tokyoの知見持続可能なDrupal Meetupのコツ - Drupal Meetup Tokyoの知見
持続可能なDrupal Meetupのコツ - Drupal Meetup Tokyoの知見Shumpei Kishi
 
20240326_IoTLT_vol109_kitazaki_v1___.pdf
20240326_IoTLT_vol109_kitazaki_v1___.pdf20240326_IoTLT_vol109_kitazaki_v1___.pdf
20240326_IoTLT_vol109_kitazaki_v1___.pdfAyachika Kitazaki
 
2024 02 Nihon-Tanken ~Towards a More Inclusive Japan~
2024 02 Nihon-Tanken ~Towards a More Inclusive Japan~2024 02 Nihon-Tanken ~Towards a More Inclusive Japan~
2024 02 Nihon-Tanken ~Towards a More Inclusive Japan~arts yokohama
 
情報処理学会86回全国大会_Generic OAMをDeep Learning技術によって実現するための課題と解決方法
情報処理学会86回全国大会_Generic OAMをDeep Learning技術によって実現するための課題と解決方法情報処理学会86回全国大会_Generic OAMをDeep Learning技術によって実現するための課題と解決方法
情報処理学会86回全国大会_Generic OAMをDeep Learning技術によって実現するための課題と解決方法ssuser370dd7
 

Dernier (12)

TaketoFujikawa_台本中の動作表現に基づくアニメーション原画システムの提案_SIGEC71.pdf
TaketoFujikawa_台本中の動作表現に基づくアニメーション原画システムの提案_SIGEC71.pdfTaketoFujikawa_台本中の動作表現に基づくアニメーション原画システムの提案_SIGEC71.pdf
TaketoFujikawa_台本中の動作表現に基づくアニメーション原画システムの提案_SIGEC71.pdf
 
What is the world where you can make your own semiconductors?
What is the world where you can make your own semiconductors?What is the world where you can make your own semiconductors?
What is the world where you can make your own semiconductors?
 
IFIP IP3での資格制度を対象とする国際認定(IPSJ86全国大会シンポジウム)
IFIP IP3での資格制度を対象とする国際認定(IPSJ86全国大会シンポジウム)IFIP IP3での資格制度を対象とする国際認定(IPSJ86全国大会シンポジウム)
IFIP IP3での資格制度を対象とする国際認定(IPSJ86全国大会シンポジウム)
 
「今からでも間に合う」GPTsによる 活用LT会 - 人とAIが協調するHumani-in-the-Loopへ
「今からでも間に合う」GPTsによる 活用LT会 - 人とAIが協調するHumani-in-the-Loopへ「今からでも間に合う」GPTsによる 活用LT会 - 人とAIが協調するHumani-in-the-Loopへ
「今からでも間に合う」GPTsによる 活用LT会 - 人とAIが協調するHumani-in-the-Loopへ
 
2024 03 CTEA
2024 03 CTEA2024 03 CTEA
2024 03 CTEA
 
ARスタートアップOnePlanetの Apple Vision Proへの情熱と挑戦
ARスタートアップOnePlanetの Apple Vision Proへの情熱と挑戦ARスタートアップOnePlanetの Apple Vision Proへの情熱と挑戦
ARスタートアップOnePlanetの Apple Vision Proへの情熱と挑戦
 
2024 04 minnanoito
2024 04 minnanoito2024 04 minnanoito
2024 04 minnanoito
 
2024 01 Virtual_Counselor
2024 01 Virtual_Counselor 2024 01 Virtual_Counselor
2024 01 Virtual_Counselor
 
持続可能なDrupal Meetupのコツ - Drupal Meetup Tokyoの知見
持続可能なDrupal Meetupのコツ - Drupal Meetup Tokyoの知見持続可能なDrupal Meetupのコツ - Drupal Meetup Tokyoの知見
持続可能なDrupal Meetupのコツ - Drupal Meetup Tokyoの知見
 
20240326_IoTLT_vol109_kitazaki_v1___.pdf
20240326_IoTLT_vol109_kitazaki_v1___.pdf20240326_IoTLT_vol109_kitazaki_v1___.pdf
20240326_IoTLT_vol109_kitazaki_v1___.pdf
 
2024 02 Nihon-Tanken ~Towards a More Inclusive Japan~
2024 02 Nihon-Tanken ~Towards a More Inclusive Japan~2024 02 Nihon-Tanken ~Towards a More Inclusive Japan~
2024 02 Nihon-Tanken ~Towards a More Inclusive Japan~
 
情報処理学会86回全国大会_Generic OAMをDeep Learning技術によって実現するための課題と解決方法
情報処理学会86回全国大会_Generic OAMをDeep Learning技術によって実現するための課題と解決方法情報処理学会86回全国大会_Generic OAMをDeep Learning技術によって実現するための課題と解決方法
情報処理学会86回全国大会_Generic OAMをDeep Learning技術によって実現するための課題と解決方法
 

Active Directory 最新情報 2012.8.31 暫定版

  • 1. Active Directory 最新情報 2012.8.31 V0.5 版 Junichi 日本マイクロソフト株式会社 Anno エバンジェリスト junichia 安納 順一 http://blogs.technet.com/junichia/ 1
  • 3. “Active Directory” Is Taking off on the Cloud 2000 2003 2008 2012 3
  • 4. Active Directory の三形態 Active Directory Server (On-premise) Active Directory in Windows Azure Windows Azure VM Active Directory (IaaS) (SaaS) 4
  • 5. Windows Azure Active Directory 2012年7月 プレビュー提供予定 5
  • 6. IdP としての Active Directory • Exchange Online • SharePoint Online • Lync Online • Office Web Apps LIVE 連携 Access Control(Hub) Sync 3rd Party Services Directory Windows Server Graph Active Directory Windows Azure Authentication Library Apps in Azure • kerberos Active Directory • ldap • CA • ntlm • SAML 6
  • 7. Windows Azure AD を構成する 4 つのサービス Authentication Library クレームベースの マルチテナントに Directory 用の Azure 用アプリ ID 連携サービス 対応したクラウド Restful API ケーションに実装 ベースの ID スト するための認証用 ア&認証サーバー ライブラリ 7
  • 8. Access Control 外部 IdP(含 AD DS)と連携したシングルサインオンを可能にする User どの IdP でログオンしてもアプ リケーションが使える Apps Developer Access Control 用のコードを1種 類書けば自動的にすべての IdP に対応 Administrator オンプレミスの AD FSと信頼関 係を結ぶことで、ユーザーをオ ンプレミスで集中管理 8
  • 9. How it Works 入力クレームと 1 クレームルール 3 出力クレームを を定義 クレームルール でマピング ACCESS CONTROL 4 トークンを返信 (receive output claims) 0 信頼関係の確立 2 トークンを リクエスト 認 (pass input claims) 証 6 トークン を解析 5 トークンを送信 YOUR SERVICE CUSTOMER 9
  • 10. Directory • マルチテナントに対応したディレクトリサービス • マイクロソフトのクラウドサービス、Azure上のアプ リケーション、非マイクロソフトのクラウドサービ スから利用可能 • オンプレミスの Active Directory と同期、フェデ レーションが可能 • ユーザー/デバイス管理のハブ機能を提供 - 登録/削除/管理 • 2要素認証をサポート ※ 現在は Office 365, Dynamics online, Windows InTune からのみ利用可能 10
  • 11. Directory にユーザーを登録するには 今後 Graph API Portal 同 期 11
  • 12. Graph • RESTful Graph API を使用した Directory へのアクセス • JSON/XML で応答を受信 • Odata V3 にも対応 • アクセス認可は OAuth 2.0 を使用 オンプレミス Active Directory Windows Azure AD Directory ldap App Rest Contoso.com https://directory.windows.net/ Contoso.com/ 12
  • 13. REST interface for Directory Access の例  Request URI structure ◦ <Service root>/<resource path>[? Query string options] https://directory.windows.net/contoso.com/Users?$filter=DisplayName eq ‘Adam Barr”  Navigating the URI structure ◦ https://directory.windows.net/$metadata ◦ https://directory.windows.net/contoso.com/ ◦ https://directory.windows.net/contoso.com/TenantDetails ◦ https://directory.windows.net/contoso.com/Users ◦ https://directory.windows.net/contoso.com/Groups ◦ https://directory.windows.net/contoso.com/Roles ◦ https://directory.windows.net/contoso.com/Contacts ◦ https://directory.windows.net/contoso.com/SubscribedSkus 13
  • 14. JSON形式の ユーザー情報の例 Request: https://directory.windows.net/contoso.com/Users('Ed@contoso.com') { “d”: { "Manager": { "uri": "https://directory.windows.net/contoso.com/Users('User...')/Manager" }, "MemberOf": { "uri": "https://directory.windows.net/contoso.com/Users('User...')/MemberOf" }, "ObjectId": "90ef7131-9d01-4177-b5c6-fa2eb873ef19", "ObjectReference": "User_90ef7131-9d01-4177-b5c6-fa2eb873ef19", "ObjectType": "User", "AccountEnabled": true, "DisplayName": "Ed Blanton", "GivenName": "Ed", "Surname": "Blanton", "UserPrincipalName": "Ed@contoso.com", "Mail": "Ed@contoso.com", "JobTitle": "Vice President", "Department": "Operations", "TelephoneNumber": "4258828080", "Mobile": "2069417891", "StreetAddress": "One Main Street", "PhysicalDeliveryOfficeName": "Building 2", "City": "Redmond", "State": "WA", "Country": "US", "PostalCode": "98007" } } 14
  • 15. Windows Azure Authentication Library • Windows Azure Active Directory 専用の認証ライブラリ • 初期リリースではリッチクライアントに対応 次期バージョンで WEB サービス、WEB アプリに対応予定 • 初期リリースでは .NET Framework に対応 次期バージョンで Node.JS, Java, PHP に対応予定 15
  • 16. Protocols to Connect with Azure Active Directory Protocol Purpose Details REST/HTTP directory Create, Read, Update, Delete directory objects and Compatible with OData V3 access relationships Authenticate with OAuth 2.0 OAuth 2.0 Service to service authentication JWT token format Delegated access Open ID Connect Web application authentication Under investigation Rich client authentication JWT token format SAML 2.0 Web application authentication SAML 2.0 token format WS-Federation 1.3 Web application authentication SAML 1.1 token format SAML 2.0 token format JWT token format 16
  • 17. Active Directory in Windows Azure VM(IaaS) 17
  • 18. なぜ Azure 上に DC を展開するのか • 異なる拠点でDCを分散 • Azureアプリ独自のフォレスト構築 • クラウドアプリの性能向上 AD DS DNS 18
  • 19. • Windows Azure アプリケーションの認証 • Azure 上の SharePoint Server や SQL Server の認証および名前解決の パフォーマンス向上 • クラウドサービス固有のフォレスト作成 AD DS VPN DNS AD DS DNS SharePoint 19
  • 21. (参考)Images Available from the Gallery Windows Server 2008 R2 OpenSUSE 12.1 SQL Server 2012 Eval CentOS 6.2 Ubuntu 12.04 Windows Server 2012 RC SUSE Linux Enterprise Server 11 SP2 21
  • 22. VM 展開の流れ Data OS ISO Cache VM Cache.VHD HyperVisor 22
  • 23. IaaS に DC を展開する際の留意点 • Windows Azure Virtual Network を使用する(ことを推奨) • 仮想マシンに割り当てられる IP Address(Dynamic IP)は永続化される Azure VM(DC) Virtual NIC ※DHCP有効にして おく必要がある! 静的IPは通信エ Virtual IP ラーとなる Dynamic IP Internet データセンター Host 23
  • 24. • Windows Azure は出力方向のトラフィックに課金する(入力方向は無償) • 出力方向のトラフィックを極力少なくするのが吉 ※ちなみに...RODCは出力方向に複製しない 入力方向 Azure VM(DC) 出力方向 24
  • 25. • 異なる Virtual Network 同志は直接通信できない ※ 異なるデータセンター間で1つの Virtual Network を共有できない East Asia South US Virtual Network 1 Virtual Network 2 On-premise 25
  • 26. • Active Directory データベースは Data-Disk に配置すること Program Writeキャッシュ無効 Database (DIT/Sysvol) 26
  • 27. • その他の主な留意点 • Windows Server 2012 DC クローン機能はサポートされていない • DCクローン機能は Hypervisor 側で VM Generation ID のサポー トが必要(Windows Azure は現在未サポート) • HBI(High Business Impact Data)/PII(Personally identifiable information)は複製しない • バックアップは「システム状態」を。VHD はバックアップしても戻せ ない(Azure上では回復モード利用不可)。 • サイトトポロジーは管理者が目視、調整すること • コスト重視ならば複製回数を削減することをお勧め 27
  • 28. Windows Server 2012 Active Directory • ドメインコントローラーの仮想化 • Active Directory ベースのアクティベーション • DC 展開方法のバリエーション • Kerberos の拡張 • ダイナミックアクセスコントロール • Group Managed Service Account • 使いやすくなったゴミ箱 • Windows PowerShell からの管理 • パスワードポリシーの管理 • ADMC の機能向上 28
  • 30. DC 仮想化のメリット • スケーラビリティ • サーバーのロールバック(スナップショット) • 自動展開のしやすさ • パブリックウラウドへの移行 30
  • 31. 仮想 DC 展開の留意点 • 単一障害点にならないこと  少なくとも2台のHyper-V サーバーに1台づつ展開 V-DC V-DC V-DC V-DC Hyper-V Hyper-V Hyper-V  1つのハードウェアの障害が複数のDCに影響を与えないようにすること  できるだけ物理的に異なるリージョンに配置すること  可能であれば、少なくとも1台は物理 DC を構築しておくこと 31
  • 32. • セキュリティ上の考慮点 • できるだけ DC のみの単一機能のサーバーとし、ホスト、ゲストともに Server Core を採用すること V-DC (Server Core) Hyper-V (Server Core) • 必要に応じて RODC を検討すること • VHDファイルの安全性に考慮すること • VHDファイルが含まれるドライブごと暗号化することをお勧め 32
  • 33. 33
  • 34. 34
  • 35. 35
  • 36. 36
  • 37. • セキュリティ上の考慮点(つづき) • ホストコンピューターは死守すること • 可能であればホストコンピューターは管理用ネットワークのみと通 信を行うように設定されていること • ホストコンピューターはゲストであるDCのドメインに所属させない Sysvol 共有に 1 V-DC V-DC 3 アタック Hyper-V (domain member) DC からスタート アップスクリプトを 送り込む 2 37
  • 38. • パフォーマンスの考慮点 • Windows Server 2008 の場合約10%の性能減 Measurement Test Physical Virtual Delta Searches/sec Search for common name in base scope (L1) 11508 10276 -10.71% Searches/sec Search for a set of attributes in base scope (L2) 10123 9005 -11.04% Searches/sec Search for all attributes in base scope (L3) 1284 1242 -3.27% Searches/sec Search for common name in subtree scope (L6) 8613 7904 -8.23% Successful binds/sec Perform fast binds (B1) 1438 1374 -4.45% Successful binds/sec Perform simple binds (B2) 611 550 -9.98% Successful binds/sec Use NTLM to perform binds (B5) 1068 1056 -1.12% Writes/sec Write multiple attributes (W2) 6467 5885 -9.00% Adtest.exe 使用 http://www.microsoft.com/en-us/download/details.aspx?id=15275 38
  • 39. • 展開に関する考慮点 • 差分ディスクは使わないこと 固定 実使用 指定領域に達す 可変 未使用領域 領域 るまで自動拡張 差 差 差 差分 元の領域 分 分 分 39
  • 40. • 展開に関する考慮点(続き) • 差分ディスクは使わないこと • VHDファイルを複製しないこと ※ ドメインコントローラーでの Sysprep は未サポート • SID の重複 • USN(Update Sequence Number)ロールバック問題 • 起動しているドメインコントローラーを Export しないこと 詳細:http://technet.microsoft.com/en-us/library/ virtual_active_directory_domain_controller_virtualization_hyperv(v=ws.10).aspx 40
  • 41. 重要な3つの ID • USN(Update Sequence Number) • 随時変更 • Invocation ID • 変更される可能性あり • objectGUID • サーバー内オブジェクトのID • 恒久的 41
  • 42. USN とは • Update Sequence Number • ドメインコントローラー間でどこまで複製が完了したかを確認するための番号 • ドメインコントローラーに変更が加えられるたびに加算される USN=200 USN=100 USN_DC2 = 100 USN_DC1 = 100 DIT DIT DC1 DC2 42
  • 43. Invocation ID • Invocation ID:ディレクトリデータベースのID • リセットされるシチュエーション存在する • システム状態のリストア等 43
  • 44. USN ロールバック Invocation ID がリセットされると... V-DC1 が把握している V- DC2 が把握している High Water Mark DC1(自分自身)の状態 V-DC1 の状態 と呼ばれる USN = 1000 V-DC1(A)@USN1000 InvocationID = A USN = 500 V-DC1(A)@USN1000 頭から複製 InvocationID = B V-DC1(B)@USN500 DIT変更 USN = 600 V-DC1(A)@USN1000 差分複製 InvocationID = B V-DC1(B)@USN500 44
  • 45. USN ロールバックの検知 • 「USN がロールバック」だけが発生すると、複製は停止する • 古いVHDファイルをリストアした場合 • 古い Export ファイルをインポートした場合 • Windows Server Backup から古いDITをリストアした場合 Event ID 2103:Active Directory データベースがサポートされていな い方法で復元されました。Active Directory はこの状態が継続している間、 ユーザーのログオンを処理できません。 複製を開始するには同時に Invocation ID のリセットが必要 => これが、Authoritative Restore(権限のある復元) 45
  • 46. スナップショットによるUSNロールバック スナップショットをリストアした場合にはロールバックが検知されない Create Snapshot • +100 users rollback USN added は回避されない: 50ユーザーが複製されてしまう TIME: T2 • All others are either on one or the other DC USN: 200 • ID: A RID Pool: 600- 1000 100 ユーザーは(RID = 500 - 599)は SIDupdates: USNs >100 DC2 receives 競合 T1 Snapshot USN: 100 Applied! +150 more users created TIME: T4 DC2 receives updates: USNs >200 46
  • 47. Windows Server 2012 では VM-Generation ID が Hyper-V ホストに提供されている • ユニークな 128 ビットの ID • 専用ドライバーによりゲストOSに通知できるようになっている WS 2012 仮想 DC は VM-Generation ID をトラックする • Active Directory database (DIT) に保存 • DITへの変更をコミットする前に、 • DIT 内部の VM-Generation ID と ホストが認識している VM-Generation ID を比較 • 異なれば DC の invocation ID と RID pool をリセットしてから、コミット 同じ操作を、起動時に実行する 47
  • 48. Windows Server 2012 ではこうなる DC2 DC1 Timeline of events Create USN: 100 TIME: T1 Snapshot ID: A savedVMGID: G1 VMGID: G1 +100 users added TIME: T2 USN: 200 ID: A savedVMGID: G1 VMGID: G1 DC1(A)@USN = 200 DC2 receives updates: USNs >100 T1 Snapshot USN: 100 TIME: T3 Applied! ID: A savedVMGID: G1 VMGID: G2 … missing users replicate +150 users created: VM generation ID difference detected: EMPLOY SAFETIES>100 DC2 again accepts updates: USNs back to DC1 USN: 101-250 TIME: T4 ID: B savedVMGID: G2 VMGID: G2 DC1(A)@USN = 200 DC1(B)@USN = 250 USN re-use avoided and USN rollback PREVENTED : all 250 users converge correctly across both DCs 48
  • 49. 結局のところ... 以下の用途には使えないので注意 「作成したユーザーを削除したい」 「変更したユーザーの属性を元に戻したい」 • Authoritative Restore を使用しましょう • または Forefront Identity Manager を使用し、メタデータで管 理しましょう 49
  • 51. 仮想 DC の展開 • サーバーマネージャーを使用してリモートから • PowerShell を使用してリモートから • VHDファイルのクローン 51
  • 52. 仮想DCのクローン手順 順番が変わっています 1. 非互換アプリを調査しCustomDCCloneAllowList.xml を生成 2. DcCloneConfig.xml ファイルを作成 3. ソースDCでFSMOが起動していないことを確認 4. ソースDCをクローン可能なDCとして認可する 5. ソースDCをシャットダウンし、イメージをExport 6. 新しい仮想マシンにインポート 7. ソースを起動し、次に複製先マシンを起動 52
  • 53. Step1. 非互換のあるアプリを確認 DC上で以下のコマンドレットを実行して、 C:¥Windows¥NTDS¥CustomDCCloneAllowList.xml ファイルを作成する Get-ADDCCloningExcludedApplicationList Name : Active Directory Management Pack Type : Service Helper Object Type : Program Name : QWAVE Type : Service Name : System Center Operations Manager 2012 Agent Name : System Center Management APM Type : Program Type : Service Name : Microsoft Silverlight Name : wlidsvc Type : WoW64Program Type : Service Name : AdtAgent Type : Service Name : HealthService 53
  • 54. CustomDCCloneAllowList.xml の例 <AllowList> </Allow> <Allow> <Allow> <Name>Active Directory Management Pack Helper <Name>HealthService</Name> Object</Name> <Type>Service</Type> <Type>Program</Type> </Allow> </Allow> <Allow> <Allow> <Name>QWAVE</Name> <Name>System Center Operations Manager 2012 <Type>Service</Type> Agent</Name> </Allow> <Type>Program</Type> <Allow> </Allow> <Name>System Center Management APM</Name> <Allow> <Type>Service</Type> <Name>Microsoft Silverlight</Name> </Allow> <Type>WoW64Program</Type> <Allow> </Allow> <Name>wlidsvc</Name> <Allow> <Type>Service</Type> <Name>AdtAgent</Name> </Allow> <Type>Service</Type> </AllowList> 54
  • 55. Step2. DcCloneConfig.xml を作成 New-ADDCCloneConfigFile –Static -IPv4Address “10.0.0.2” -IPv4DNSResolver “10.0.0.1” -IPv4SubnetMask “255.255.255.0” -CloneComputerName “VirtualDC2” -IPv4DefaultGateway “10.0.0.3” -PreferredWINSServer “10.0.0.1” -SiteName “REDMOND” 55
  • 56. <?xml version="1.0"?> <d3c:DCCloneConfig xmlns:d3c="uri:microsoft.com:schemas:DCCloneConfig"> <ComputerName>Cloned-DC1</ComputerName> <SiteName>Default-First-Site-Name</SiteName> <IPSettings> <IPv4Settings> <StaticSettings> <Address>192.168.205.14</Address> <SubnetMask>255.255.255.0</SubnetMask> <DefaultGateway></DefaultGateway> <DNSResolver>192.168.205.1</DNSResolver> <DNSResolver>192.168.205.3</DNSResolver> <DNSResolver></DNSResolver> <DNSResolver></DNSResolver> <PreferredWINSServer></PreferredWINSServer> <AlternateWINSServer></AlternateWINSServer> </StaticSettings> </IPv4Settings> <IPv6Settings> <StaticSettings> <DNSResolver></DNSResolver> <DNSResolver></DNSResolver> <DNSResolver></DNSResolver> <DNSResolver></DNSResolver> </StaticSettings> </IPv6Settings> </IPSettings> </d3c:DCCloneConfig 56
  • 57. Step 3: ソースDCでPDCエミュレーターが動作していないことを確認 PDCエミュレーターがインストールされているDCはクローンできない Move-ADDirectoryServerOperationMasterRole -Identity "NEWDC2" -OperationMasterRole PDCEmulator 57
  • 58. Step 4: ソースDCをクローン可能なDCに設定する Get-ADComputer NEWDC1 | %{add-adgroupmember -identity "Cloneable domain controllers" -members $_.samaccountname} 58
  • 59. Step 5: ソースDCをシャットダウンして Export • 検証 New-ADDCCloneConfigFile • シャットダウン • Stop-Computer 59
  • 60. Step 6: クローン先のDCを作成し、Exportしたマシンをインポート ※新しいVMを作成するスクリプトの例 $VM = “TFDC03" New-VM -BootDevice CD ` -MemoryStartupBytes 1024MB ` -Name $VM ` -SwitchName "Intel(R) 82579LM Gigabit Network Connection - Virtual Switch" ` -VHDPath ¥¥G:¥$VM¥$VM.vhdx ` Start-VM -Name $VM -ComputerName junichia-vdi 60
  • 61. 61
  • 63. “データガバナンス” へのニーズ 正しいコンプライアンスが必要 自分のデータが適切に保護されて CIO いるかどうやって監査すればよい のだろう? コンテンツオーナー インフラサポート コンプライアンスに違反しているかどう どのデータに責任があって、どう か心配せずに必要なデータを使用したい やって制御すればよいかわからない Information Worker 63
  • 64. そうは言っても、複雑な ”データガバナンス” • ファイル単位のアクセス権 • グループメンバーシップの管理 • 増え続けるファイル アクセス ID管理 • 増え続けるグループとメンバー • 管理の分散(コンプライア ポリシー 増減への対応 ンス測定不能) • 複雑なメンバーシップルール • 暗号化すべきデータの識別 • 監査対象データの識別 • 膨大なデータ 暗号化 監査 64
  • 65. RBAC(Role-Based Access Control) • アクセスコントロール(アクセス制御)とは... ...ユーザーがアクセスしてもよいかどうかを評価するためのプロセス • RBAC とは... ...ユーザー単位ではなく役割単位でアクセス制御すること ACL(Access Control List)によるアクセス管理 ACL ACE ACE Resource ACE ユーザー単位 ACE Read Only RBACの例 ACL ACE ACE グループ(役割)単位 Resource A ACE ※ 組織(役割)がグループに反 ACE Read Only 映されている必要がある 65
  • 66. グループベース RBAC の限界 • リソースの増加とグループの増加 • 複雑なメンバーシップ管理(1グループ1人 !?) • イレギュラーでダイナミックな組織構造 • リソース管理者 ≠ ID 管理者 アクセス管理 連携が必要 ID 管理(インフラ管理者) (リソース管理者) ACL A A Resource ACE ACE A A A ACL A Resource ACE A A ACE A A A A 66
  • 67. Enterprise Dynamic Access Control へのニーズ • EDAC... ...利用者のキャラクター(属性)によってアクセスを制御する • リソース管理者は条件(Condition)を管理するだけ アクセス管理 互いに素 ID 管理(インフラ管理者) (リソース管理者) condition 営業部 IT部 A 人事部 A Read condition IT部 経理部 A Resource Backup condition 営業部 A 企画部 A 経理部 R/W 67
  • 68. Windows Server 2012 Dynamic Access Control DAC によってそれぞれのテクノロジーを結びつける アクセス • アクセスポリシーの ID管理 ポリシー • クレームベースのアクセス制御 集中管理 • 自動識別と自動暗号化 • 監査ポリシーの集中管理 暗号化 監査 68
  • 69. DAC の想定シナリオ • アクセスポリシー(Central Access Policy)の集中管理  全社コンプライアンスポリシー  組織の認可ポリシー • ファイルアクセス監査ポリシー(Central Audit Policy)の集中管理 • アクセス拒否発生時の速やかな対応 • File Classification Infrastructure(FCI)と連携したファイルの自動分類  データの自動分類  社外秘データの自動暗号化  法廷保存期間に沿ったファイルサーバー上のデータの保管 69
  • 71. 71
  • 72. 72
  • 73. アクセス ACL ACE Central コントロール Resource 上書き ACE Policy 監査の設定 73
  • 75. アクセス拒否発生時の速やかな対応 ユーザーがファイル共有にアクセスして”アクセス拒否”が発生した際に、 速やかな問題解決を図るために以下の対応が可能。 • メッセージの送信  to システム管理者  to 共有フォルダーの所有者 • アクセス権取得の要求 グループポリシーおよびファイルサー バーリソースマネジャーで設定 75
  • 76. FCI: File Classification Infrastructure データのタギング • コンテンツオーナーによるタギング • データの重要性を自動識別 • 自動暗号化 tag:超重要 Data 76
  • 77. DAC に求められる条件 管理者の管理範囲は狭くなるが、管理の精密性が求められる リソース管理者の責任 • コンプライアンスに沿った条件設定 • 状況に応じたダイナミックな設定変更 IT(ID)管理者の責任 • ID 情報の精密性 • 迅速な ID 情報の反映 77
  • 78. Connected Account Enterprise と Social を結びつける新しい手法 78
  • 79. Connected Account • Active Directory アカウントと Windows Live ID(Microsoft Account) を連携 • 移動ユーザープロファイルを使用すれば複数のデバイスで利用可能 Connected Login SSO Windows Server Active Directory Windows 8 Login Windows Live 79
  • 80. Business Windows と Social Network Enterprise Consumer SkyDrive Hotmail Store Facebook Linked-in Twitter Google (RP) (RP) (RP) (RP) (RP) (RP) (RP) Yammer Enterprise Personal Idp Idp Idp Idp AD Live(MS Account) (IdP) Office Instant OUTLOOK Drive Mail People Message Windows 80
  • 81. まとめ 認証とアクセス制御がインフラの命です 全てのインフラで Active Directory が使えるようになります • Active Directory Server (On-premise) • Active Directory in Windows Azure VM (IaaS) • Windows Azure Active Directory (PaaS) 81
  • 82. 暫定版 82