[Japan Tech summit 2017] SEC 006

Microsoft Tech Summit 2017本情報の内容（添付文書、リンク先などを含む）は、Microsoft Tech Summit 2017 開催日（2017 年 11 月 8日 - 9 日）時点のものであり、予告なく変更される場合があります。

✓ 新しく登場した Azure AD の機能により変わるOffice 365 のインフラ設計とは？

✓ ユーザーが利用しやすく、管理者が管理しやすいインフラ環境とは？

✓ 将来を見据えた Office 365 / SaaS の認証設計とは？

Pros:簡単な展開、オンプレミスAD と同じ ID/パスワードの使用

Cons: SSO ができないアクセス制御ができない

Pros: Windows デスクトップとの統合された SSO

クライアントアクセス制御

Cons:オンプレミスサーバー群の展開が必要

Pros:最小の展開時間、オンプレミス資産が不要

Cons: SSOができない、オンプレミスのディレクトリと統合された運用ができない

クラウド ID 同期 IDパスワードハッシュ同期 フェデレーション ID

ユーザー認証

✓ 17.5% - 同期 ID

✓ 47.8% - フェデレーション ID (ADFS)

28.2%

17.5%

47.8%

6.5%

Azure AD Authentication - Unique Users

1

2

3

4

Pros:簡単な展開、オンプレミスAD と同じ ID/パスワードの使用

Cons: SSO ができないアクセス制御ができない

Pros: Windows デスクトップとの統合された SSO

クライアントアクセス制御

Cons:オンプレミスサーバー群の展開が必要

Pros:最小の展開時間、オンプレミス資産が不要

Cons: SSOができない、オンプレミスのディレクトリと統合された運用ができない

クラウド ID 同期 IDパスワードハッシュ同期 フェデレーション ID

AAD Connect

Pros:簡単な展開、オンプレミスAD と同じ ID/パスワードの使用

Cons: SSO ができない *

Pros: Windows デスクトップとの統合された SSO

クライアントアクセス制御

Cons:オンプレミスサーバー群の展開が必要

Pros:最小の展開時間、オンプレミス資産が不要

Cons: SSOができない、オンプレミスのディレクトリと統合された運用ができない

クラウド ID同期 ID

パスワードハッシュ同期 フェデレーション ID

Pros:簡単な展開、オンプレミスAD と同じ ID/パスワードの使用

Cons: SSO ができない

同期 IDパススルー認証＋シームレスSSO

Windows デスクトップとの統合された SSO

Azure AD によるアクセス制御Azure AD によるアクセス制御

*PHS 構成でもシームレス SSO が可能

＋シームレスSSO

社内/外のネットワークのPC

• シームレスシングルサインオン（sSSO）社内ネットワーク上のPC（Active Directory管理下）からAD FSを使わずにOffice 365などにシングルサインオンする機能

オンプレ AD がパスワードを検証

AuthNagent

AD FSWAPオンプレ AD が

ユーザー名とパスワードを検証

パスワードはオンプレ

IID + パスワードハッシュ同期

Azure Active Directoryユーザー認証

社内

Microsoft Azure Active Directory

認証は Cloud 側だけで完結する

オンプレと同じ ID, パスワード

オンプレの追加構成は AAD Connect のみ

注意点

社内

Microsoft AzureActive Directory

PTA エージェント

Active Directory

セキュアなパスワード運用

パスワードはオンプレのみに保存

DMZ セグメントおよびインバウンドのポート開放が不要

管理が容易

エージェントベースの展開

高可用性構成も容易

クラウドベースの認証

オンプレと同じ ID, パスワード

スマートロックアウト、Idenity Protectionおよび条件付きアクセスと統合

PTA エージェント

社内

ID 同期 + パススルー認証

PTA がキューをピックアップ

ActiveDirectory

パススルー認証エージェント

Microsoft AzureActive Directory

アプリ

ユーザー ID とパスワードを入力

Azure AD のサインイン画面に接続

Azure ADのサインインが完了

認証情報が暗号化されキューに入る

PTA が Azure AD に認証結果を返す

PTAが認証情報を ADで確認

AD にサインインが完了

PTAが認証情報を復号化

アプリへのサインイン

サインインが成功した場合は、アプリにアクセスする

Azure AD Connect を使用した ID 同期

3rd パーティーのフェデレーション

パスワードハッシュ同期(PHS)

パススルー認証(PTA)

シームレスシングルサインオン(sSSO)

注意点

https://download.microsoft.com/download/F/C/A/FCA7C6E3-7153-4FB1-9825-0B1BB26F14E0/AAD-Office-365-Seamless-Sign-In-Part-1.docx

https://download.microsoft.com/download/F/C/A/FCA7C6E3-7153-4FB1-9825-0B1BB26F14E0/AAD-Office-365-Seamless-Sign-In-Part-2.docx

https://download.microsoft.com/download/F/C/A/FCA7C6E3-7153-4FB1-9825-0B1BB26F14E0/AAD-Office-365-Seamless-Sign-In-Part-3.docx

https://download.microsoft.com/download/F/C/A/FCA7C6E3-7153-4FB1-9825-0B1BB26F14E0/AAD-Office-365-Seamless-Sign-In-Part-4.docx

https://download.microsoft.com/download/F/C/A/FCA7C6E3-7153-4FB1-9825-0B1BB26F14E0/AAD-Office-365-Seamless-Sign-In-Part-5.docx

https://download.Microsoft.com/download/F/C/A/FCA7C6E3-7153-4FB1-9825-0B1BB26F14E0/AAD-Office-365-Seamless-Sign-In-Part-6.docx

https://download.microsoft.com/download/F/C/A/FCA7C6E3-7153-4FB1-9825-0B1BB26F14E0/AAD-Office-365-Seamless-Sign-In-Part-7.docx

https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnect-pass-through-authentication-quick-start

社内

Microsoft AzureActive Directory

Active Directory

管理が容易

追加のオンプレミス構成は不要

Windows 10 以外のデバイスの DRS もサポート

優れたユーザー体験

オンプレ AD に参加したデバイスから、Office 365 / SaaS アプリへのシングルサインオンを提供

Windows 7以降のデバイスをサポート

ユーザーは Azure AD に名前を入力するだけ

macOS + Safari もサポート

統合

パスワードハッシュ同期とパススルー認証の両方で動作

代替えログインIDをサポート

社内

Active DirectoryDomain-joined

Azure AD Connect を使用した ID 同期

Microsoft Azure Active Directory

Office 365, SaaS, and LoB apps

Active Directory に Kerberos 認証を実行し、チケットを取得する

ドメイン参加しているPCからアプリへサインイン

パススルー認証とパスワードハッシュの同期によるシームレスな SSO のしくみ

401

Kerberosチケットを提示し、サービスチケットを取得

サービスチケットを提示しCookie を受け取る

この機能を利用するためには、Active Directory のグループポリシーを使用して、ユーザーのイントラネットゾーンの設定に次の Azure AD URL を追加する必要がある。

https://autologon.microsoftazuread-sso.com

https://aadg.windows.net.nsatc.net

[ユーザーの構成][管理用テンプレート]

[Windows コンポーネント][Internet Explorer]

[インターネットコントロールパネル][セキュリティ]

[サイトとゾーンの割り当て一覧]

オンプレ側に新たな構成は不要(PHSとの連携がお勧め)

Windows 7/8.1 に対する Azure AD へのデバイス登録が可能になる ->アクセス制御に利用可能

注意点

https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnect-sso

アプリ

アプリ毎のルール

クライアントの種類(Web, Rich, mobile)

クラウド、オンプレミスのアプリケーション

ユーザーIDグループメンバーシップ

デバイス

ドメイン参加

Compliance Policy 準拠

プラットフォームの種類(Windows, iOS, Android)

場所

IP アドレスの範囲 多要素認証の強制デバイス登録の強制

許可

ブロック

リスクセッションリスク

IDリスク

YourApp

アプリ

アプリ毎のルール

クライアントの種類(Web, Rich, mobile)

クラウド、オンプレミスのアプリケーション

ユーザーIDグループメンバーシップ

デバイス

ドメイン参加

Compliance Policy 準拠

プラットフォームの種類(Windows, iOS, Android)

場所

IP アドレスの範囲 多要素認証の強制デバイス登録の強制

許可

ブロック

リスクセッションリスク

IDリスク

YourApp

アプリ

アプリ毎のルール

クライアントの種類(Web, Rich, mobile)

クラウド、オンプレミスのアプリケーション

ユーザーIDグループメンバーシップ

デバイス

ドメイン参加

Compliance Policy 準拠

プラットフォームの種類(Windows, iOS, Android)

場所

IP アドレスの範囲 多要素認証の強制デバイス登録の強制

許可

ブロック

リスクセッションリスク

IDリスク

YourApp

アプリ

アプリ毎のルール

クライアントの種類(Web, Rich, mobile)

クラウド、オンプレミスのアプリケーション

ユーザーIDグループメンバーシップ

デバイス

ドメイン参加

Compliance Policy 準拠

プラットフォームの種類(Windows, iOS, Android)

場所

IP アドレスの範囲 多要素認証の強制デバイス登録の強制

許可

ブロック

リスクセッションリスク

IDリスク

YourApp

どのアプリにどこから誰が 許可ただし…

具体的な設定例林さんは Salesforce に社外からアクセスする場合に多要素認証が必要

ユーザー

グループ

情報共有ツール

SaaS

社外

社内

どのデバイスで

スマートフォン

PC

※ Office 365 では、アクセスを完全に制御するには ADFS との組み合わせが必要になる場合があります

拒否

多要素認証が必要

アクセス条件 アクセス可否

会社貸与に準ずるデバイスであること

デバイスがコンプライアンスポリシーに準拠していること

Sales force

Skype (IM/会議)

SharePointOneDrive(情報共有)

YammerTeams

PowerBI

承認されたクライアントアプリケーション

どのアプリで

アプリ

ブラウザ

多要素認証が必要

会社貸与に準ずるデバイスであること

デバイスがコンプライアンスポリシーに準拠していること

承認されたクライアントアプリケーション

https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnectsync-implement-password-synchronization#how-password-synchronization-works

必要事項 PHS + SSO PTA + SSO AD FS

オンプレミスの Active Directory にある新しいユーザー、連絡先、およびグループアカウントを、自動的にクラウドに同期する。

○ ○ ○

ユーザーがオンプレミスのパスワードを使用してサインインし、クラウドサービスにアクセスできるようにする。

○ ○ ○

会社の資格情報を使用してシングルサインオンを実装する。 ○ ○ ○

クラウドにパスワードが保存されていないことを確認する。 ○* ○

オンプレミスに配置したサーバーの障害にサービスが影響されない。

○

オンプレミスの Multi-factor Authentication ソリューションを有効化する。

○

先進認証(ADAL)非対応の Office 2010 / POP / IMAP のアクセス制御*近々、レガシー認証をブロックする機能を実装予定

○

上記条件が満たされているのであれば AD FS から脱出できます

新規の Office 365 展開時には AD FS ありきではなく、

まずは、パスワードハッシュ同期を検討する

シームレス SSO を有効化することをお忘れなく

Office 365 の導入前に立ちはだかる

重たい AD FS から解放されましょう！

Session ID Title

SEC007

16:25 – 17:15Azure AD B2C と LINE 連携により実現する学校や企業における次世代 ID/メッセージ基盤富士榮尚寛氏 伊藤忠テクノソリューションズ株式会社

すみません、以下はアーカイブでご覧ください。

SEC004 Active Directory/Azure Active Directory の構成パターンと正しい認証方式の選択

SEC005ネットワークエンジニア必見！VPN/DMZ は要らなくなる！？Azure AD Application Proxy で実現するセキュアなアクセス

SEC009Azure AD による Web API の保護～ Azure API Management をセキュリティの観点で解説