Upload
microsoft-tech-summit-2017
View
303
Download
3
Embed Size (px)
Citation preview
Microsoft Tech Summit 2017本情報の内容(添付文書、リンク先などを含む)は、Microsoft Tech Summit 2017 開催日(2017 年 11 月 8日 - 9 日)時点のものであり、予告なく変更される場合があります。
✓ 新しく登場した Azure AD の機能により変わるOffice 365 のインフラ設計とは?
✓ ユーザーが利用しやすく、管理者が管理しやすいインフラ環境とは?
✓ 将来を見据えた Office 365 / SaaS の認証設計とは?
Pros:簡単な展開、オンプレミスAD と同じ ID/パスワードの使用
Cons: SSO ができないアクセス制御ができない
Pros: Windows デスクトップとの統合された SSO
クライアントアクセス制御
Cons:オンプレミスサーバー群の展開が必要
Pros:最小の展開時間、オンプレミス資産が不要
Cons: SSOができない、オンプレミスのディレクトリと統合された運用ができない
クラウド ID 同期 IDパスワードハッシュ同期 フェデレーション ID
ユーザー認証
✓ 17.5% - 同期 ID
✓ 47.8% - フェデレーション ID (ADFS)
28.2%
17.5%
47.8%
6.5%
Azure AD Authentication - Unique Users
1
2
3
4
Pros:簡単な展開、オンプレミスAD と同じ ID/パスワードの使用
Cons: SSO ができないアクセス制御ができない
Pros: Windows デスクトップとの統合された SSO
クライアントアクセス制御
Cons:オンプレミスサーバー群の展開が必要
Pros:最小の展開時間、オンプレミス資産が不要
Cons: SSOができない、オンプレミスのディレクトリと統合された運用ができない
クラウド ID 同期 IDパスワードハッシュ同期 フェデレーション ID
AAD Connect
Pros:簡単な展開、オンプレミスAD と同じ ID/パスワードの使用
Cons: SSO ができない *
Pros: Windows デスクトップとの統合された SSO
クライアントアクセス制御
Cons:オンプレミスサーバー群の展開が必要
Pros:最小の展開時間、オンプレミス資産が不要
Cons: SSOができない、オンプレミスのディレクトリと統合された運用ができない
クラウド ID同期 ID
パスワードハッシュ同期 フェデレーション ID
Pros:簡単な展開、オンプレミスAD と同じ ID/パスワードの使用
Cons: SSO ができない
同期 IDパススルー認証+シームレスSSO
Windows デスクトップとの統合された SSO
Azure AD によるアクセス制御Azure AD によるアクセス制御
*PHS 構成でもシームレス SSO が可能
+シームレスSSO
社内/外のネットワークのPC
• シームレスシングルサインオン(sSSO)社内ネットワーク上のPC(Active Directory管理下)からAD FSを使わずにOffice 365などにシングルサインオンする機能
オンプレ AD がパスワードを検証
AuthNagent
AD FSWAPオンプレ AD が
ユーザー名とパスワードを検証
パスワードはオンプレ
IID + パスワードハッシュ同期
Azure Active Directoryユーザー認証
社内
Microsoft Azure Active Directory
認証は Cloud 側だけで完結する
オンプレと同じ ID, パスワード
オンプレの追加構成は AAD Connect のみ
注意点
社内
Microsoft AzureActive Directory
PTA エージェント
Active Directory
セキュアなパスワード運用
パスワードはオンプレのみに保存
DMZ セグメントおよびインバウンドのポート開放が不要
管理が容易
エージェントベースの展開
高可用性構成も容易
クラウドベースの認証
オンプレと同じ ID, パスワード
スマートロックアウト、Idenity Protectionおよび条件付きアクセスと統合
PTA エージェント
社内
ID 同期 + パススルー認証
PTA がキューをピックアップ
ActiveDirectory
パススルー認証エージェント
Microsoft AzureActive Directory
アプリ
ユーザー ID とパスワードを入力
Azure AD のサインイン画面に接続
Azure ADのサインインが完了
認証情報が暗号化されキューに入る
PTA が Azure AD に認証結果を返す
PTAが認証情報を ADで確認
AD にサインインが完了
PTAが認証情報を復号化
アプリへのサインイン
サインインが成功した場合は、アプリにアクセスする
Azure AD Connect を使用した ID 同期
3rd パーティーのフェデレーション
パスワードハッシュ同期(PHS)
パススルー認証(PTA)
シームレスシングルサインオン(sSSO)
注意点
https://download.microsoft.com/download/F/C/A/FCA7C6E3-7153-4FB1-9825-0B1BB26F14E0/AAD-Office-365-Seamless-Sign-In-Part-1.docx
https://download.microsoft.com/download/F/C/A/FCA7C6E3-7153-4FB1-9825-0B1BB26F14E0/AAD-Office-365-Seamless-Sign-In-Part-2.docx
https://download.microsoft.com/download/F/C/A/FCA7C6E3-7153-4FB1-9825-0B1BB26F14E0/AAD-Office-365-Seamless-Sign-In-Part-3.docx
https://download.microsoft.com/download/F/C/A/FCA7C6E3-7153-4FB1-9825-0B1BB26F14E0/AAD-Office-365-Seamless-Sign-In-Part-4.docx
https://download.microsoft.com/download/F/C/A/FCA7C6E3-7153-4FB1-9825-0B1BB26F14E0/AAD-Office-365-Seamless-Sign-In-Part-5.docx
https://download.Microsoft.com/download/F/C/A/FCA7C6E3-7153-4FB1-9825-0B1BB26F14E0/AAD-Office-365-Seamless-Sign-In-Part-6.docx
https://download.microsoft.com/download/F/C/A/FCA7C6E3-7153-4FB1-9825-0B1BB26F14E0/AAD-Office-365-Seamless-Sign-In-Part-7.docx
https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnect-pass-through-authentication-quick-start
社内
Microsoft AzureActive Directory
Active Directory
管理が容易
追加のオンプレミス構成は不要
Windows 10 以外のデバイスの DRS もサポート
優れたユーザー体験
オンプレ AD に参加したデバイスから、Office 365 / SaaS アプリへのシングルサインオンを提供
Windows 7以降のデバイスをサポート
ユーザーは Azure AD に名前を入力するだけ
macOS + Safari もサポート
統合
パスワードハッシュ同期とパススルー認証の両方で動作
代替えログインIDをサポート
社内
Active DirectoryDomain-joined
Azure AD Connect を使用した ID 同期
Microsoft Azure Active Directory
Office 365, SaaS, and LoB apps
Active Directory に Kerberos 認証を実行し、チケットを取得する
ドメイン参加しているPCからアプリへサインイン
パススルー認証とパスワードハッシュの同期によるシームレスな SSO のしくみ
401
Kerberosチケットを提示し、サービスチケットを取得
サービスチケットを提示しCookie を受け取る
この機能を利用するためには、Active Directory のグループポリシーを使用して、ユーザーのイントラネットゾーンの設定に次の Azure AD URL を追加する必要がある。
https://autologon.microsoftazuread-sso.com
https://aadg.windows.net.nsatc.net
[ユーザーの構成][管理用テンプレート]
[Windows コンポーネント][Internet Explorer]
[インターネットコントロールパネル][セキュリティ]
[サイトとゾーンの割り当て一覧]
オンプレ側に新たな構成は不要(PHSとの連携がお勧め)
Windows 7/8.1 に対する Azure AD へのデバイス登録が可能になる ->アクセス制御に利用可能
注意点
https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnect-sso
アプリ
アプリ毎のルール
クライアントの種類(Web, Rich, mobile)
クラウド、オンプレミスのアプリケーション
ユーザーIDグループメンバーシップ
デバイス
ドメイン参加
Compliance Policy 準拠
プラットフォームの種類(Windows, iOS, Android)
場所
IP アドレスの範囲 多要素認証の強制デバイス登録の強制
許可
ブロック
リスクセッションリスク
IDリスク
YourApp
アプリ
アプリ毎のルール
クライアントの種類(Web, Rich, mobile)
クラウド、オンプレミスのアプリケーション
ユーザーIDグループメンバーシップ
デバイス
ドメイン参加
Compliance Policy 準拠
プラットフォームの種類(Windows, iOS, Android)
場所
IP アドレスの範囲 多要素認証の強制デバイス登録の強制
許可
ブロック
リスクセッションリスク
IDリスク
YourApp
アプリ
アプリ毎のルール
クライアントの種類(Web, Rich, mobile)
クラウド、オンプレミスのアプリケーション
ユーザーIDグループメンバーシップ
デバイス
ドメイン参加
Compliance Policy 準拠
プラットフォームの種類(Windows, iOS, Android)
場所
IP アドレスの範囲 多要素認証の強制デバイス登録の強制
許可
ブロック
リスクセッションリスク
IDリスク
YourApp
アプリ
アプリ毎のルール
クライアントの種類(Web, Rich, mobile)
クラウド、オンプレミスのアプリケーション
ユーザーIDグループメンバーシップ
デバイス
ドメイン参加
Compliance Policy 準拠
プラットフォームの種類(Windows, iOS, Android)
場所
IP アドレスの範囲 多要素認証の強制デバイス登録の強制
許可
ブロック
リスクセッションリスク
IDリスク
YourApp
どのアプリにどこから誰が 許可ただし…
具体的な設定例林さんは Salesforce に社外からアクセスする場合に多要素認証が必要
ユーザー
グループ
情報共有ツール
SaaS
社外
社内
どのデバイスで
スマートフォン
PC
※ Office 365 では、アクセスを完全に制御するには ADFS との組み合わせが必要になる場合があります
拒否
多要素認証が必要
アクセス条件 アクセス可否
会社貸与に準ずるデバイスであること
デバイスがコンプライアンスポリシーに準拠していること
Sales force
Skype (IM/会議)
SharePointOneDrive(情報共有)
YammerTeams
PowerBI
承認されたクライアントアプリケーション
どのアプリで
アプリ
ブラウザ
多要素認証が必要
会社貸与に準ずるデバイスであること
デバイスがコンプライアンスポリシーに準拠していること
承認されたクライアントアプリケーション
https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnectsync-implement-password-synchronization#how-password-synchronization-works
必要事項 PHS + SSO PTA + SSO AD FS
オンプレミスの Active Directory にある新しいユーザー、連絡先、およびグループアカウントを、自動的にクラウドに同期する。
○ ○ ○
ユーザーがオンプレミスのパスワードを使用してサインインし、クラウドサービスにアクセスできるようにする。
○ ○ ○
会社の資格情報を使用してシングルサインオンを実装する。 ○ ○ ○
クラウドにパスワードが保存されていないことを確認する。 ○* ○
オンプレミスに配置したサーバーの障害にサービスが影響されない。
○
オンプレミスの Multi-factor Authentication ソリューションを有効化する。
○
先進認証(ADAL)非対応の Office 2010 / POP / IMAP のアクセス制御*近々、レガシー認証をブロックする機能を実装予定
○
上記条件が満たされているのであれば AD FS から脱出できます
新規の Office 365 展開時には AD FS ありきではなく、
まずは、パスワードハッシュ同期を検討する
シームレス SSO を有効化することをお忘れなく
Office 365 の導入前に立ちはだかる
重たい AD FS から解放されましょう!
Session ID Title
SEC007
16:25 – 17:15Azure AD B2C と LINE 連携により実現する学校や企業における次世代 ID/メッセージ基盤富士榮尚寛氏 伊藤忠テクノソリューションズ株式会社
すみません、以下はアーカイブでご覧ください。
SEC004 Active Directory/Azure Active Directory の構成パターンと正しい認証方式の選択
SEC005ネットワークエンジニア必見!VPN/DMZ は要らなくなる!?Azure AD Application Proxy で実現するセキュアなアクセス
SEC009Azure AD による Web API の保護~ Azure API Management をセキュリティの観点で解説