20120518 o365 LightningTalk1. 第1回 OFFICE365 LIGHTNING TALK
Office365のアクセス制御
~ 出来ること、出来ないこと ~
2012.05.18
渡辺 元気
Twitter ID: genkiw
http://genkiw.wordpress.com/
2. OFFICE365のセールスポイント
①どこでも (anywhere)
②いつでも (anytime)
③どんなデバイスからでも (any device)
同じ情報にアクセス出来る
• 自宅やネットカフェからでも
• 業務時間外でも
• 私物の端末やキオスク端末からでも
会社の業務情報にアクセスできてしまう
3. OFFICE365におけるアクセス制御
1.標準
一部(アプリ・プロトコル単位での有効・無効化、
Active Syncの検疫)を除いて無し
2.サードパーティ製品の使用
(Online Service Gate:ソフトバンクBB)
3.オンプレミスとのフェデレーション
(Active Directory Federation Services 2.0)
4. ① OSGでできること
OSG
(Azure)
ログオン情報 ○ ×internet
(事前登録)
社内
①ID/PASS ①ID/PASS
②IP:会社のIP ②IP:自宅のIP
管理者 ③端末ID:xxx ③端末ID:yyy
※要エージェント(OSGスターター&コネクタ)
IPアドレス制御
端末制御
利用アプリケーション制御(一部)
5. ① OSGでできないこと
動作環境の限定
POP/IMAP接続の端末
Android端末からのActiveSync
Macクライアント
厳密な制約
認証後のキャッシュ
ID/PASSによる直接ログイン
同一アプリグループでのアクセス区分
ブラウザ OWA:OK, SharePoint:NG
6. ② ADFS2.0でできること
AD DS AD FS AD FS
Proxy
赤線:Web,Lync internet
青線:Mail
パソコン(社内) パソコン(社外)
①アカウント、所属グループ ③Exchange:IP・プロトコル・UA
②ADFS Proxy経由かどうか ④Web、Lync:接続URI
IPアドレス制御(基本は社内/社外)
利用アプリケーション制御(一部のみ)
プロトコル,Agent制御(Exchangeのみ)
所属するADグループによる制御
7. ② ADFS2.0でできないこと
端末制御
エージェントは認証に必要としない
Web/Lync+IPアドレス+ユーザ情報の組み合わせ
WebはADFSにIP情報が渡されてこない
ADFSから見た場合の同じアクセス方式の場合の区分
ブラウザ ポータル/OWA/SharePoint
サインインアシスタント Lync/PowerShell/DirSync
LyncモバイルはエージェントレスだがLyncと同じ
一連のWebサービス内での制御
Autodiscover ⇒ EWSの認証の場合
8. ③ その他
ADFSを利用するにはEプランの契約が必要
Exchange(OWA除く)の制御にはSSL-VPNを張るという
方法も。(アクセスの可否はSSL-VPN経由でADFSに直
接アクセスできるかどうかで判定。)
具体的なアクセス制御(クレームルール)の設定方法
などはblogを御参照下さい。
日々徒然
http://genkiw.wordpress.com