Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.
参考記事
https://blogs.msdn.microsoft.com/samueld/2017/06/13/choosing-the-right-sign-in-option-to-
connect-to-azure-ad-office-...
Azure AD Domain Service
• AutoPilot
• Azure Active Directory をドメインコントローラーとして使用する機能
• 正確には、Azure AD テナントと同期するドメインコントローラーを
Azure VNET 上に自動展開するサービス
• 既定で 2 台のドメイ...
• 既存ドメインと統合できない
• Azure AD Domain Service に新規ドメインコントローラーを追加すること
もできない
• 既存ADドメインとの認証分離
AAD DS ドメインの世界 AAD の世界
ID &
パスワードハッ...
1. パスワード同期
2. Active Directory Federation Service (ADFS)
3. 3rd party Federation Service
4. パススルー認証(プレビュー)
5. Azure AD シーム...
• Azure AD Connect は生パスワードにア
クセスできない
• 統一パスワードだが SSO ではない
• 利用者は Office 365 にアクセスする
ために Azure AD に保存されたパス
ワードで再認証する必要がある
•...
• Azure AD でパスワードを“リセット/変
更”した場合、パスワードをオンプレミス
に書き戻す機能
• Azure AD Premium P1/P2 で提供
• 以下の構成でサポートされる
• パスワード同期
• フェデレーション
• ...
https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-
aadconnectsync-connector-genericldap
• Azure AD federation compatibility list
https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-...
Syncwith
Password
Syncwith
Password
• クラウドリソースにアクセスするための認
証をオンプレミスADDSで行う
• ハッシュされたパスワードを同期しない
• フェデレーションを使用せずにオンプレミ
スで認証する
• セルフサービスパスワード変更/リセット
も可能
• Azure ...
Supported
• web browser-based applications
• Office 365 client applications that support modern authentication.
• Azure AD...
• Azure AD にサインインするためのパス
ワード入力が必要がなくなる
AZUREADSSOACCT
Preview
OS/ブラウザー Internet Explorer Edge Google Chrome Mozilla Firefox Safari
Windows 10 あり なし あり はい*
Windows 8.1 あり あり はい*
Windows...
特徴 PC ログオン クラウドアプリ利用時 SSO
Azure AD のみ 単一IdP Azure AD Azure AD 〇
パスワード同期 ADDSとAzure AD両方
にパスワード
ADDS Azure AD AAD シームレス SSO...
P1
P1
P1
P1
P2
P1
Option Password 同期 パススルー ADFS
INFRASTRUCTURE & OPERATIONS
サーバー台数
Min: 1
Rec: 2
(+'Staging' server)
Min: 1
Rec: 2 for HA
Mi...
Option Password 同期 パススルー ADFS
AUTHENTICATION
AD - Password Sign-in YES YES YES
AD - Desktop SSO YES YES YES
AD - Soft Cert...
Option Password 同期 パススルー ADFS
MFA
Azure MFA (SMS, Phone, TOTP) YES YES YES (2016)
Azure MFA Server (+Pin support) NO NO YE...
Option Password 同期 パススルー ADFS
APPLICATIONS
Browser YES YES YES
Exchange Active Sync (EAS) YES Coming Soon YES
Native apps ...
Option Password 同期 パススルー ADFS
SIGN-IN EXPERIENCE
Customize logo, image and sign-in description
YES (premium)
(link)
YES (p...
Option Password 同期 パススルー ADFS
PASSWORD EXPIRY NOTIFICATION & CHANGE
Supports password expiry
notification in Office Portal...
Option Password 同期 パススルー ADFS
DEVICES & ACCESS CONTROL
Device Registration: Win10 DJ YES YES YES
Device Registration: Win7...
https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-playbook-intro
Azure Active Directory の概念実証戦略
Appendix
data
生産性
アクセスすべきでない人から秘匿すること
情報
開始
Security as an after thought(結果
論)
計画 設計 開発 テスト 展開
セキュリティが「杭」になってしまう原因
なぜシステムが必要なのか?
利用者は目的をもってデバイスを使用する。
それはネットワークに接続され、ソリューションを使用する。
ソリューションはサービスによって構成され、
インフラストラクチャ上で実行され...
セキュリティの設計は「人」で行う
なぜシステムが必要なのか?
利用者は目的をもってデバイスを使用する。
それはネットワークに接続され、ソリューションを使用する。
ソリューションはサービスによって構成され、
インフラストラクチャ上で実行される。
...
Identity
Authentication(認証)
Authorization(認可)
Accountability(説明責任)
Auditing
Audit Log
Access
Active Directory
Family
Tanaka
Password
ほぼ
Tanaka-san
PIN
生体ネットワーク
を流れない
漏洩しやすい
確実に“本人であること”を
保証する仕組みを実装する
認証された
ユーザーの
権限を明確に
する
情報
Authentication
Monitoring
Access Control
Encryption
Single sign-on
Identity Provider(Authority)
55
Private Enterprise
On-premise
Cloud
Active Directory ドメイン
Active Directory は中を守るもの
56
Private Enterprise
On-premise
Cloud
自宅 出張先 喫茶店 海外
Active Directory ドメイン
2008年 ~ 働き方の変化と Consumerization of IT の波
57
Private Enterprise
On-premise
Cloud
自宅 出張先 喫茶店
SaaS
海外
Active Directory ドメイン
クラウドとモバイルデバイスの登場
城下町
関所
人
モ
ノ
他の城下町との連携
59
Private Enterprise
On-premise
Cloud
自宅 出張先 喫茶店
SaaS
海外
Active Directory ドメイン
関所となるセキュリティハブの必要性
関所
60
Private Enterprise
On-premise
Cloud
自宅 出張先 喫茶店
SaaS
海外
Active Directory ドメイン
関所となるセキュリティハブの必要性
Azure AD
Azure AD Join
パスワード連携
OMA-DM
オンプレミス
SAML 2.0
WS-Federation
OpenID Connect
OAuth 2.0
Identity is Control Plane
ID
管理
認証
Act...
Identity Provider(Authority)
63
IdP の構成
Azure
MFA
オンプレミス
パブリッククラウド
Azure Active Directory
• パスワードの管理
• オンプレミスのIDとアクセス制御
• 長年蓄積されたオンプレミスのITガバナンス
• Kerbe...
64
Active Directory ドメインの構成
ディレクトリ
認証サーバー
Kerberos
セキュリティ
トークンサービス
その他
認証サーバー
業務アプリ
サーバー Authority
SAML 2.0/
WS-Federation...
• Azure Active Directory をドメインコントローラーとして使用する機能
• 正確には、Azure AD テナントと同期するドメインコントローラーを
Azure VNET 上に自動展開するサービス
• 既定で 2 台のドメイ...
Azure VNET
Kerberos
ldap
NTLM
Group Policy
File Server
認証,
アクセス制御
ID/Password
同期
VPN GW
VPN
Agent
最大250台/VNET辺
り
難点
• 既存ドメインと統合できない
• Azure AD Domain Service に新規ドメインコントローラーを追加すること
もできない
• 既存ADドメインとの認証分離
AAD DS ドメインの世界 AAD の世界
Federatio...
Azure アプリケーションプロキシ
Azure
MFA
オンプレミス
パブリッククラウド
Azure Active
Directory Azure Application Proxy
Azure Proxy
Connector
事前認証
代理...
Azure AD パスワード連携
Access Panel
MyApps
Azure AD にサインインしていれば、
アクセスパネル がパスワード入力を代行してくれる
事前に登録しておく
Form に入力する ID と
パスワードはAzure ...
© 2017 Microsoft Corporation. All rights reserved.
本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。
IDaaS を正しく活用するための認証基盤設計
IDaaS を正しく活用するための認証基盤設計
IDaaS を正しく活用するための認証基盤設計
IDaaS を正しく活用するための認証基盤設計
IDaaS を正しく活用するための認証基盤設計
IDaaS を正しく活用するための認証基盤設計
IDaaS を正しく活用するための認証基盤設計
IDaaS を正しく活用するための認証基盤設計
IDaaS を正しく活用するための認証基盤設計
IDaaS を正しく活用するための認証基盤設計
IDaaS を正しく活用するための認証基盤設計
IDaaS を正しく活用するための認証基盤設計
IDaaS を正しく活用するための認証基盤設計
IDaaS を正しく活用するための認証基盤設計
IDaaS を正しく活用するための認証基盤設計
IDaaS を正しく活用するための認証基盤設計
Prochain SlideShare
Chargement dans…5
×

IDaaS を正しく活用するための認証基盤設計

1 778 vues

Publié le

2017年10月13日トレノケートG-Techセミナー<IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~

Publié dans : Formation
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (Unlimited) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... Download Full EPUB Ebook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... ACCESS WEBSITE for All Ebooks ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... Download EPUB Ebook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... Download doc Ebook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Répondre 
    Voulez-vous vraiment ?  Oui  Non
    Votre message apparaîtra ici
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (Unlimited) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download Full EPUB Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... ACCESS WEBSITE for All Ebooks ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download EPUB Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download doc Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Répondre 
    Voulez-vous vraiment ?  Oui  Non
    Votre message apparaîtra ici
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (Unlimited) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download Full EPUB Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... ACCESS WEBSITE for All Ebooks ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download EPUB Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download doc Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Répondre 
    Voulez-vous vraiment ?  Oui  Non
    Votre message apparaîtra ici
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (Unlimited) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... Download Full EPUB Ebook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... ACCESS WEBSITE for All Ebooks ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... Download EPUB Ebook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... Download doc Ebook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Répondre 
    Voulez-vous vraiment ?  Oui  Non
    Votre message apparaîtra ici
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (Unlimited) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download Full EPUB Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... ACCESS WEBSITE for All Ebooks ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download EPUB Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download doc Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Répondre 
    Voulez-vous vraiment ?  Oui  Non
    Votre message apparaîtra ici

IDaaS を正しく活用するための認証基盤設計

  1. 1. 参考記事 https://blogs.msdn.microsoft.com/samueld/2017/06/13/choosing-the-right-sign-in-option-to- connect-to-azure-ad-office-365/
  2. 2. Azure AD Domain Service • AutoPilot
  3. 3. • Azure Active Directory をドメインコントローラーとして使用する機能 • 正確には、Azure AD テナントと同期するドメインコントローラーを Azure VNET 上に自動展開するサービス • 既定で 2 台のドメインコントローラーが展開される Azure VNET Kerberos ldap NTLM Group Policy File Server 認証, アクセス制御 ID/Password 同期
  4. 4. • 既存ドメインと統合できない • Azure AD Domain Service に新規ドメインコントローラーを追加すること もできない • 既存ADドメインとの認証分離 AAD DS ドメインの世界 AAD の世界 ID & パスワードハッシュ同期 オンプレミス
  5. 5. 1. パスワード同期 2. Active Directory Federation Service (ADFS) 3. 3rd party Federation Service 4. パススルー認証(プレビュー) 5. Azure AD シームレス SSO
  6. 6. • Azure AD Connect は生パスワードにア クセスできない • 統一パスワードだが SSO ではない • 利用者は Office 365 にアクセスする ために Azure AD に保存されたパス ワードで再認証する必要がある • オンプレミスはMD4、クラウドは SHA256 MD4 Hashed Password (unicodePwd)
  7. 7. • Azure AD でパスワードを“リセット/変 更”した場合、パスワードをオンプレミス に書き戻す機能 • Azure AD Premium P1/P2 で提供 • 以下の構成でサポートされる • パスワード同期 • フェデレーション • パススルー認証 • 以下の操作がサポートされる • 管理者によるリセット/変更 • ユーザーによるリセット/変更 • 以下は現時点で未サポート • PowerShell v1、v2、または Azure AD Graph API を使用したパスワー ドのリセット • “Office 管理ポータル”から管理者が 開始したエンドユーザーのパスワー ドのリセット MD4 Hashed Password (unicodePwd) Tenant-specific Service Bus Relay 変更を検知 Inbound port の open は不要 Write Back AD DS SetPassword API Write Back Firewall Decrypt password by private key
  8. 8. https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory- aadconnectsync-connector-genericldap
  9. 9. • Azure AD federation compatibility list https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnect- federation-compatibility • Use a SAML 2.0 Identity Provider (IdP) for Single Sign On https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnect- federation-saml-idp • SAML 2.0 compliant SP-Lite profile • Hybrid Identity directory integration tools comparison https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-hybrid-identity-design- considerations-tools-comparison • Microsoft Connectivity Analyzer https://testconnectivity.microsoft.com/?tabid=Client
  10. 10. Syncwith Password Syncwith Password
  11. 11. • クラウドリソースにアクセスするための認 証をオンプレミスADDSで行う • ハッシュされたパスワードを同期しない • フェデレーションを使用せずにオンプレミ スで認証する • セルフサービスパスワード変更/リセット も可能 • Azure AD Connect でセットアップする • AD FS の可用性を考慮する必要が無い • AD FS の導入に比べればとにかく楽! Preview Tenant-specific Service Bus Relay Inbound port の open は不要Firewall Sync Identity ②ログイン検知 ③取り出し ④Decrypt password by private key ⑤Check Id/password pair With Win32 API >=1.1.557.0 ⑥結果 (注)オンプレミスとクラウドで同じ ID/Passwordを使用できるか、SSOではな い!
  12. 12. Supported • web browser-based applications • Office 365 client applications that support modern authentication. • Azure AD Join for Windows 10 devices. • Exchange ActiveSync support. • PowerShell v2.0 or later Unsupported during preview • Office 2013 or earlier • Skype for Business client applications, including Skype for Business 2016. • PowerShell v1.0
  13. 13. • Azure AD にサインインするためのパス ワード入力が必要がなくなる AZUREADSSOACCT Preview
  14. 14. OS/ブラウザー Internet Explorer Edge Google Chrome Mozilla Firefox Safari Windows 10 あり なし あり はい* Windows 8.1 あり あり はい* Windows 8 あり あり はい* Windows 7 あり あり はい* Mac OS X 該当なし はい* はい* はい* * 追加構成の必要あり https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnect-sso- quick-start#browser-considerations
  15. 15. 特徴 PC ログオン クラウドアプリ利用時 SSO Azure AD のみ 単一IdP Azure AD Azure AD 〇 パスワード同期 ADDSとAzure AD両方 にパスワード ADDS Azure AD AAD シームレス SSO と 併用する。IDは入力の必 要あり。 フェデレーション オンプレミスの認証結 果をクラウドに引き継 げる ADDS ADDS 〇 パススルー ADDSに登録された ID/Passwordでクラウ ド上のリソースにアク セスできる ADDS ADDS AAD シームレス SSO と 併用する。IDは入力の必 要あり。
  16. 16. P1 P1 P1 P1 P2 P1
  17. 17. Option Password 同期 パススルー ADFS INFRASTRUCTURE & OPERATIONS サーバー台数 Min: 1 Rec: 2 (+'Staging' server) Min: 1 Rec: 2 for HA Min: 1 Rec: 2 for HA DMZ への展開が必要か NO NO YES(WAP) Min:1, Rec: 2 for HA 自動フェールオーバー用のHAシナ リオはあるか NO YES Service Bus Relay YES ロードバランサ SSL 必須 NO NO YES クラウドからオンプレミスのサー バーを監視できるか Connect Health (Premium) Partial Connect Health (Premium)
  18. 18. Option Password 同期 パススルー ADFS AUTHENTICATION AD - Password Sign-in YES YES YES AD - Desktop SSO YES YES YES AD - Soft Certificates (MDM or GPO provisioned) NO NO YES AD - Smart Card NO NO YES AD - Fail Auth if user is disabled Partial. Typically up to 30 mins for sync cycle to complete Immediate Immediate AD - Fail Auth if user’s password has expired NO YES YES AD - Supports users in multiple trusted AD forests YES YES YES AD - Supports users in multiple untrusted AD forests YES NO YES (2016) untrusted forest can be configured as an LDAP directory 3rd party LDAP - Password sign-in See note 4 NO NO YES (2016) Authenticator App as primary Sign-in (password less) NO NO YES (2016)
  19. 19. Option Password 同期 パススルー ADFS MFA Azure MFA (SMS, Phone, TOTP) YES YES YES (2016) Azure MFA Server (+Pin support) NO NO YES Win10 Hello For Business (Key trust) YES YES YES (2016) Win10 Hello For Business (Cert trust) NO NO Coming Soon (2016) 3rd party MFA NO NO YES (link) Build Custom MFA NO NO YES (link)
  20. 20. Option Password 同期 パススルー ADFS APPLICATIONS Browser YES YES YES Exchange Active Sync (EAS) YES Coming Soon YES Native apps (legacy auth) YES Coming Soon YES Native apps (modern auth) YES YES YES Win 10 desktop sign-in with Username/Password(U/P) on a AAD joined device YES Coming Soon YES
  21. 21. Option Password 同期 パススルー ADFS SIGN-IN EXPERIENCE Customize logo, image and sign-in description YES (premium) (link) YES (premium) (link) YES (link) Customize full layout with CSS customization NO NO YES (link) Customize dynamically with Java Script NO NO YES (link) Sign In with UPN YES YES YES Sign In with Domain¥samaccountname NO NO YES Seamless first time sign-in to O365 native apps on Domain Joined devices NO NO YES Office apps are optimized on first sign-in to look up the local UPN and seamlessly sign-in the user using WS- Trust Kerberos endpoints from the Identity provider. Seamless 2nd time sign-in to O365 native apps on Domain Joined devices YES YES YES
  22. 22. Option Password 同期 パススルー ADFS PASSWORD EXPIRY NOTIFICATION & CHANGE Supports password expiry notification in Office Portal & Win10 desktop NO NO YES Custom password change URL link shown in Office Portal & Win10 desktop NO NO YES Integrated password change experience when user’s password has expired NO NO YES
  23. 23. Option Password 同期 パススルー ADFS DEVICES & ACCESS CONTROL Device Registration: Win10 DJ YES YES YES Device Registration: Win7/8.1 DJ Coming Soon YES YES Block legacy protocols Coming Soon (Premium) Coming Soon (Premium) YES (link) Allow legacy protocols only from intranet (e.g. Office 2010) Coming Soon (Premium) Coming Soon (Premium) YES
  24. 24. https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-playbook-intro Azure Active Directory の概念実証戦略
  25. 25. Appendix
  26. 26. data
  27. 27. 生産性
  28. 28. アクセスすべきでない人から秘匿すること 情報
  29. 29. 開始 Security as an after thought(結果 論) 計画 設計 開発 テスト 展開
  30. 30. セキュリティが「杭」になってしまう原因 なぜシステムが必要なのか? 利用者は目的をもってデバイスを使用する。 それはネットワークに接続され、ソリューションを使用する。 ソリューションはサービスによって構成され、 インフラストラクチャ上で実行される。 Personas have objectives and use devices that connect via networks and consume solutions composed of services running on infrastructure. こちら側に重きを置いて設計 しようとするから
  31. 31. セキュリティの設計は「人」で行う なぜシステムが必要なのか? 利用者は目的をもってデバイスを使用する。 それはネットワークに接続され、ソリューションを使用する。 ソリューションはサービスによって構成され、 インフラストラクチャ上で実行される。 Personas have objectives and use devices that connect via networks and consume solutions composed of services running on infrastructure. 人を中心に設計する
  32. 32. Identity Authentication(認証) Authorization(認可) Accountability(説明責任) Auditing Audit Log Access Active Directory Family
  33. 33. Tanaka
  34. 34. Password ほぼ Tanaka-san
  35. 35. PIN 生体ネットワーク を流れない 漏洩しやすい
  36. 36. 確実に“本人であること”を 保証する仕組みを実装する 認証された ユーザーの 権限を明確に する
  37. 37. 情報 Authentication Monitoring Access Control Encryption Single sign-on
  38. 38. Identity Provider(Authority)
  39. 39. 55 Private Enterprise On-premise Cloud Active Directory ドメイン Active Directory は中を守るもの
  40. 40. 56 Private Enterprise On-premise Cloud 自宅 出張先 喫茶店 海外 Active Directory ドメイン 2008年 ~ 働き方の変化と Consumerization of IT の波
  41. 41. 57 Private Enterprise On-premise Cloud 自宅 出張先 喫茶店 SaaS 海外 Active Directory ドメイン クラウドとモバイルデバイスの登場
  42. 42. 城下町 関所 人 モ ノ 他の城下町との連携
  43. 43. 59 Private Enterprise On-premise Cloud 自宅 出張先 喫茶店 SaaS 海外 Active Directory ドメイン 関所となるセキュリティハブの必要性 関所
  44. 44. 60 Private Enterprise On-premise Cloud 自宅 出張先 喫茶店 SaaS 海外 Active Directory ドメイン 関所となるセキュリティハブの必要性 Azure AD
  45. 45. Azure AD Join パスワード連携 OMA-DM オンプレミス SAML 2.0 WS-Federation OpenID Connect OAuth 2.0 Identity is Control Plane ID 管理 認証 Active Directory U/P Sync SSO 業界標準プロトコルの サポート 他社 SaaS との ID 連携 Microsoft Passport Windows Hello Windows 10 Browser セキュリティ ポリシー アプリ配布/利用制限 暗号化, 権限管理,追跡 BYOD/CYOD 社内業務 SAML 2.0 WS-Fed. Azure Machine Learning Intune Subscription RBAC … Proxy Connector KCD ID 同期 条件付きアクセス 特権 ID 管理 RBAC 多要素認証必須 アクセスOK アクセス不可 ID 連携 Information Protection MDM/ MAM/ MCM B2B Azure IaaS Domain Services VPN Kerberos ldap NTLM Group Policy SPNego IWA アクセス パネルBusiness Store SCIM 2.0 監査 ログ解析 シャドウIT検出 リスクベース認証 MS Account
  46. 46. Identity Provider(Authority)
  47. 47. 63 IdP の構成 Azure MFA オンプレミス パブリッククラウド Azure Active Directory • パスワードの管理 • オンプレミスのIDとアクセス制御 • 長年蓄積されたオンプレミスのITガバナンス • Kerberos からクラウドへのチケット変換 • クラウドサービスに対する IDとアクセス制御 • サービス間のシングルサインオン Kerberos の世界 HTTP の世界 Identity Federation Active Directory ドメイン
  48. 48. 64 Active Directory ドメインの構成 ディレクトリ 認証サーバー Kerberos セキュリティ トークンサービス その他 認証サーバー 業務アプリ サーバー Authority SAML 2.0/ WS-Federation 同期 WS-Fed https SAML リバースプロキシー (含 認証) Conditional Access Microsoft Identity Manager Kerberos/ ldap/NTLM Firewall WS-Fed https SAML AD DS:Active Directory Domain Service AD FS:Active Directory Federation Service WAP:Web Application Proxy Windows Server 2012 R2 ~
  49. 49. • Azure Active Directory をドメインコントローラーとして使用する機能 • 正確には、Azure AD テナントと同期するドメインコントローラーを Azure VNET 上に自動展開するサービス • 既定で 2 台のドメインコントローラーが展開される Azure VNET Kerberos ldap NTLM Group Policy File Server 認証, アクセス制御 ID/Password 同期
  50. 50. Azure VNET Kerberos ldap NTLM Group Policy File Server 認証, アクセス制御 ID/Password 同期 VPN GW VPN Agent 最大250台/VNET辺 り
  51. 51. 難点 • 既存ドメインと統合できない • Azure AD Domain Service に新規ドメインコントローラーを追加すること もできない • 既存ADドメインとの認証分離 AAD DS ドメインの世界 AAD の世界 Federation ID & パスワードハッシュ同期 オンプレミス
  52. 52. Azure アプリケーションプロキシ Azure MFA オンプレミス パブリッククラウド Azure Active Directory Azure Application Proxy Azure Proxy Connector 事前認証 代理認証
  53. 53. Azure AD パスワード連携 Access Panel MyApps Azure AD にサインインしていれば、 アクセスパネル がパスワード入力を代行してくれる 事前に登録しておく Form に入力する ID と パスワードはAzure AD に暗号化して保存 フォーム認証が必要なアプリ ①サインイン② SSO
  54. 54. © 2017 Microsoft Corporation. All rights reserved. 本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。

×