Active Directory 最新情報 2012.8.31 暫定版

  • 2,505 views
Uploaded on

要望が多いので、Active Directory 最新情報をまとめました。 …

要望が多いので、Active Directory 最新情報をまとめました。
ただ、まだまとめきっておらず、完了するまでに時間がかかりそうなので、暫定版として公開しました。
追って正式版に更新しますので。
・Windows Azure Active Directory
・DC on Hyper-V
・User Account Control
・Connected Account

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
2,505
On Slideshare
0
From Embeds
0
Number of Embeds
2

Actions

Shares
Downloads
92
Comments
0
Likes
11

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Active Directory 最新情報 2012.8.31 V0.5 版Junichi 日本マイクロソフト株式会社Anno エバンジェリストjunichia 安納 順一 http://blogs.technet.com/junichia/ 1
  • 2. すみません。正式版ではありません。情報を探して困っている方向けに、暫定版として公開します。 正式版まではもうちょっとお待ちを。 2
  • 3. “Active Directory” Is Taking off on the Cloud 2000 2003 2008 2012 3
  • 4. Active Directory の三形態 Active Directory Server (On-premise) Active Directory in Windows Azure Windows Azure VM Active Directory (IaaS) (SaaS) 4
  • 5. Windows Azure Active Directory 2012年7月 プレビュー提供予定 5
  • 6. IdP としての Active Directory • Exchange Online • SharePoint Online • Lync Online • Office Web Apps LIVE 連携 Access Control(Hub) Sync 3rd Party Services Directory Windows Server Graph Active Directory Windows Azure Authentication Library Apps in Azure • kerberos Active Directory • ldap • CA • ntlm • SAML 6
  • 7. Windows Azure AD を構成する 4 つのサービス Authentication Library クレームベースの マルチテナントに Directory 用の Azure 用アプリ ID 連携サービス 対応したクラウド Restful API ケーションに実装 ベースの ID スト するための認証用 ア&認証サーバー ライブラリ 7
  • 8. Access Control 外部 IdP(含 AD DS)と連携したシングルサインオンを可能にする User どの IdP でログオンしてもアプ リケーションが使える Apps Developer Access Control 用のコードを1種 類書けば自動的にすべての IdP に対応 Administrator オンプレミスの AD FSと信頼関 係を結ぶことで、ユーザーをオ ンプレミスで集中管理 8
  • 9. How it Works 入力クレームと 1 クレームルール 3 出力クレームを を定義 クレームルール でマピング ACCESS CONTROL 4 トークンを返信 (receive output claims) 0 信頼関係の確立 2 トークンを リクエスト 認 (pass input claims) 証 6 トークン を解析 5 トークンを送信 YOUR SERVICE CUSTOMER 9
  • 10. Directory• マルチテナントに対応したディレクトリサービス• マイクロソフトのクラウドサービス、Azure上のアプ リケーション、非マイクロソフトのクラウドサービ スから利用可能• オンプレミスの Active Directory と同期、フェデ レーションが可能• ユーザー/デバイス管理のハブ機能を提供 - 登録/削除/管理• 2要素認証をサポート ※ 現在は Office 365, Dynamics online, Windows InTune からのみ利用可能 10
  • 11. Directory にユーザーを登録するには 今後 Graph API Portal 同 期 11
  • 12. Graph • RESTful Graph API を使用した Directory へのアクセス • JSON/XML で応答を受信 • Odata V3 にも対応 • アクセス認可は OAuth 2.0 を使用 オンプレミス Active Directory Windows Azure AD Directory ldap App Rest Contoso.com https://directory.windows.net/ Contoso.com/ 12
  • 13. REST interface for Directory Access の例 Request URI structure ◦ <Service root>/<resource path>[? Query string options] https://directory.windows.net/contoso.com/Users?$filter=DisplayName eq ‘Adam Barr” Navigating the URI structure ◦ https://directory.windows.net/$metadata ◦ https://directory.windows.net/contoso.com/ ◦ https://directory.windows.net/contoso.com/TenantDetails ◦ https://directory.windows.net/contoso.com/Users ◦ https://directory.windows.net/contoso.com/Groups ◦ https://directory.windows.net/contoso.com/Roles ◦ https://directory.windows.net/contoso.com/Contacts ◦ https://directory.windows.net/contoso.com/SubscribedSkus 13
  • 14. JSON形式の ユーザー情報の例Request: https://directory.windows.net/contoso.com/Users(Ed@contoso.com){ “d”: { "Manager": { "uri": "https://directory.windows.net/contoso.com/Users(User...)/Manager" }, "MemberOf": { "uri": "https://directory.windows.net/contoso.com/Users(User...)/MemberOf" }, "ObjectId": "90ef7131-9d01-4177-b5c6-fa2eb873ef19", "ObjectReference": "User_90ef7131-9d01-4177-b5c6-fa2eb873ef19", "ObjectType": "User", "AccountEnabled": true, "DisplayName": "Ed Blanton", "GivenName": "Ed", "Surname": "Blanton", "UserPrincipalName": "Ed@contoso.com", "Mail": "Ed@contoso.com", "JobTitle": "Vice President", "Department": "Operations", "TelephoneNumber": "4258828080", "Mobile": "2069417891", "StreetAddress": "One Main Street", "PhysicalDeliveryOfficeName": "Building 2", "City": "Redmond", "State": "WA", "Country": "US", "PostalCode": "98007"} } 14
  • 15. Windows Azure Authentication Library• Windows Azure Active Directory 専用の認証ライブラリ• 初期リリースではリッチクライアントに対応 次期バージョンで WEB サービス、WEB アプリに対応予定• 初期リリースでは .NET Framework に対応 次期バージョンで Node.JS, Java, PHP に対応予定 15
  • 16. Protocols to Connect with Azure Active Directory Protocol Purpose Details REST/HTTP directory Create, Read, Update, Delete directory objects and Compatible with OData V3 access relationships Authenticate with OAuth 2.0 OAuth 2.0 Service to service authentication JWT token format Delegated access Open ID Connect Web application authentication Under investigation Rich client authentication JWT token format SAML 2.0 Web application authentication SAML 2.0 token format WS-Federation 1.3 Web application authentication SAML 1.1 token format SAML 2.0 token format JWT token format 16
  • 17. Active Directory in Windows Azure VM(IaaS) 17
  • 18. なぜ Azure 上に DC を展開するのか • 異なる拠点でDCを分散 • Azureアプリ独自のフォレスト構築 • クラウドアプリの性能向上 AD DS DNS 18
  • 19. • Windows Azure アプリケーションの認証• Azure 上の SharePoint Server や SQL Server の認証および名前解決の パフォーマンス向上• クラウドサービス固有のフォレスト作成 AD DS VPN DNS AD DS DNS SharePoint 19
  • 20. IaaS としてサポートされているバージョン 20
  • 21. (参考)Images Available from the Gallery Windows Server 2008 R2 OpenSUSE 12.1 SQL Server 2012 Eval CentOS 6.2 Ubuntu 12.04 Windows Server 2012 RC SUSE Linux Enterprise Server 11 SP2 21
  • 22. VM 展開の流れ Data OS ISO Cache VM Cache.VHD HyperVisor 22
  • 23. IaaS に DC を展開する際の留意点 • Windows Azure Virtual Network を使用する(ことを推奨) • 仮想マシンに割り当てられる IP Address(Dynamic IP)は永続化される Azure VM(DC) Virtual NIC ※DHCP有効にして おく必要がある! 静的IPは通信エ Virtual IP ラーとなる Dynamic IP Internet データセンター Host 23
  • 24. • Windows Azure は出力方向のトラフィックに課金する(入力方向は無償) • 出力方向のトラフィックを極力少なくするのが吉 ※ちなみに...RODCは出力方向に複製しない 入力方向 Azure VM(DC) 出力方向 24
  • 25. • 異なる Virtual Network 同志は直接通信できない ※ 異なるデータセンター間で1つの Virtual Network を共有できない East Asia South US Virtual Network 1 Virtual Network 2 On-premise 25
  • 26. • Active Directory データベースは Data-Disk に配置すること Program Writeキャッシュ無効 Database (DIT/Sysvol) 26
  • 27. • その他の主な留意点 • Windows Server 2012 DC クローン機能はサポートされていない • DCクローン機能は Hypervisor 側で VM Generation ID のサポー トが必要(Windows Azure は現在未サポート) • HBI(High Business Impact Data)/PII(Personally identifiable information)は複製しない • バックアップは「システム状態」を。VHD はバックアップしても戻せ ない(Azure上では回復モード利用不可)。 • サイトトポロジーは管理者が目視、調整すること • コスト重視ならば複製回数を削減することをお勧め 27
  • 28. Windows Server 2012 Active Directory • ドメインコントローラーの仮想化 • Active Directory ベースのアクティベーション • DC 展開方法のバリエーション • Kerberos の拡張 • ダイナミックアクセスコントロール • Group Managed Service Account • 使いやすくなったゴミ箱 • Windows PowerShell からの管理 • パスワードポリシーの管理 • ADMC の機能向上 28
  • 29. ドメインコントローラーの仮想化 29
  • 30. DC 仮想化のメリット • スケーラビリティ • サーバーのロールバック(スナップショット) • 自動展開のしやすさ • パブリックウラウドへの移行 30
  • 31. 仮想 DC 展開の留意点 • 単一障害点にならないこと  少なくとも2台のHyper-V サーバーに1台づつ展開 V-DC V-DC V-DC V-DC Hyper-V Hyper-V Hyper-V  1つのハードウェアの障害が複数のDCに影響を与えないようにすること  できるだけ物理的に異なるリージョンに配置すること  可能であれば、少なくとも1台は物理 DC を構築しておくこと 31
  • 32. • セキュリティ上の考慮点 • できるだけ DC のみの単一機能のサーバーとし、ホスト、ゲストともに Server Core を採用すること V-DC (Server Core) Hyper-V (Server Core) • 必要に応じて RODC を検討すること • VHDファイルの安全性に考慮すること • VHDファイルが含まれるドライブごと暗号化することをお勧め 32
  • 33. 33
  • 34. 34
  • 35. 35
  • 36. 36
  • 37. • セキュリティ上の考慮点(つづき) • ホストコンピューターは死守すること • 可能であればホストコンピューターは管理用ネットワークのみと通 信を行うように設定されていること • ホストコンピューターはゲストであるDCのドメインに所属させない Sysvol 共有に 1 V-DC V-DC 3 アタック Hyper-V (domain member) DC からスタート アップスクリプトを 送り込む 2 37
  • 38. • パフォーマンスの考慮点 • Windows Server 2008 の場合約10%の性能減 Measurement Test Physical Virtual Delta Searches/sec Search for common name in base scope (L1) 11508 10276 -10.71% Searches/sec Search for a set of attributes in base scope (L2) 10123 9005 -11.04% Searches/sec Search for all attributes in base scope (L3) 1284 1242 -3.27% Searches/sec Search for common name in subtree scope (L6) 8613 7904 -8.23% Successful binds/sec Perform fast binds (B1) 1438 1374 -4.45% Successful binds/sec Perform simple binds (B2) 611 550 -9.98% Successful binds/sec Use NTLM to perform binds (B5) 1068 1056 -1.12% Writes/sec Write multiple attributes (W2) 6467 5885 -9.00% Adtest.exe 使用 http://www.microsoft.com/en-us/download/details.aspx?id=15275 38
  • 39. • 展開に関する考慮点 • 差分ディスクは使わないこと 固定 実使用 指定領域に達す 可変 未使用領域 領域 るまで自動拡張 差 差 差 差分 元の領域 分 分 分 39
  • 40. • 展開に関する考慮点(続き) • 差分ディスクは使わないこと • VHDファイルを複製しないこと ※ ドメインコントローラーでの Sysprep は未サポート • SID の重複 • USN(Update Sequence Number)ロールバック問題 • 起動しているドメインコントローラーを Export しないこと 詳細:http://technet.microsoft.com/en-us/library/ virtual_active_directory_domain_controller_virtualization_hyperv(v=ws.10).aspx 40
  • 41. 重要な3つの ID • USN(Update Sequence Number) • 随時変更 • Invocation ID • 変更される可能性あり • objectGUID • サーバー内オブジェクトのID • 恒久的 41
  • 42. USN とは• Update Sequence Number• ドメインコントローラー間でどこまで複製が完了したかを確認するための番号• ドメインコントローラーに変更が加えられるたびに加算される USN=200 USN=100 USN_DC2 = 100 USN_DC1 = 100 DIT DIT DC1 DC2 42
  • 43. Invocation ID• Invocation ID:ディレクトリデータベースのID • リセットされるシチュエーション存在する • システム状態のリストア等 43
  • 44. USN ロールバックInvocation ID がリセットされると... V-DC1 が把握している V- DC2 が把握している High Water Mark DC1(自分自身)の状態 V-DC1 の状態 と呼ばれる USN = 1000 V-DC1(A)@USN1000 InvocationID = A USN = 500 V-DC1(A)@USN1000 頭から複製 InvocationID = B V-DC1(B)@USN500 DIT変更 USN = 600 V-DC1(A)@USN1000 差分複製 InvocationID = B V-DC1(B)@USN500 44
  • 45. USN ロールバックの検知• 「USN がロールバック」だけが発生すると、複製は停止する • 古いVHDファイルをリストアした場合 • 古い Export ファイルをインポートした場合 • Windows Server Backup から古いDITをリストアした場合 Event ID 2103:Active Directory データベースがサポートされていな い方法で復元されました。Active Directory はこの状態が継続している間、 ユーザーのログオンを処理できません。 複製を開始するには同時に Invocation ID のリセットが必要 => これが、Authoritative Restore(権限のある復元) 45
  • 46. スナップショットによるUSNロールバック スナップショットをリストアした場合にはロールバックが検知されない Create Snapshot • +100 users rollback USN added は回避されない: 50ユーザーが複製されてしまう TIME: T2 • All others are either on one or the other DC USN: 200 • ID: A RID Pool: 600- 1000 100 ユーザーは(RID = 500 - 599)は SIDupdates: USNs >100 DC2 receives 競合 T1 Snapshot USN: 100 Applied! +150 more users created TIME: T4 DC2 receives updates: USNs >200 46
  • 47. Windows Server 2012 では VM-Generation ID が Hyper-V ホストに提供されている • ユニークな 128 ビットの ID • 専用ドライバーによりゲストOSに通知できるようになっている WS 2012 仮想 DC は VM-Generation ID をトラックする • Active Directory database (DIT) に保存 • DITへの変更をコミットする前に、 • DIT 内部の VM-Generation ID と ホストが認識している VM-Generation ID を比較 • 異なれば DC の invocation ID と RID pool をリセットしてから、コミット 同じ操作を、起動時に実行する 47
  • 48. Windows Server 2012 ではこうなる DC2 DC1 Timeline of events Create USN: 100 TIME: T1 Snapshot ID: A savedVMGID: G1 VMGID: G1 +100 users added TIME: T2 USN: 200 ID: A savedVMGID: G1 VMGID: G1 DC1(A)@USN = 200 DC2 receives updates: USNs >100 T1 Snapshot USN: 100 TIME: T3 Applied! ID: A savedVMGID: G1 VMGID: G2 … missing users replicate +150 users created: VM generation ID difference detected: EMPLOY SAFETIES>100 DC2 again accepts updates: USNs back to DC1 USN: 101-250 TIME: T4 ID: B savedVMGID: G2 VMGID: G2 DC1(A)@USN = 200 DC1(B)@USN = 250 USN re-use avoided and USN rollback PREVENTED : all 250 users converge correctly across both DCs 48
  • 49. 結局のところ... 以下の用途には使えないので注意 「作成したユーザーを削除したい」 「変更したユーザーの属性を元に戻したい」 • Authoritative Restore を使用しましょう • または Forefront Identity Manager を使用し、メタデータで管 理しましょう 49
  • 50. 仮想 DC の展開 50
  • 51. 仮想 DC の展開 • サーバーマネージャーを使用してリモートから • PowerShell を使用してリモートから • VHDファイルのクローン 51
  • 52. 仮想DCのクローン手順 順番が変わっています1. 非互換アプリを調査しCustomDCCloneAllowList.xml を生成2. DcCloneConfig.xml ファイルを作成3. ソースDCでFSMOが起動していないことを確認4. ソースDCをクローン可能なDCとして認可する5. ソースDCをシャットダウンし、イメージをExport6. 新しい仮想マシンにインポート7. ソースを起動し、次に複製先マシンを起動 52
  • 53. Step1. 非互換のあるアプリを確認 DC上で以下のコマンドレットを実行して、 C:¥Windows¥NTDS¥CustomDCCloneAllowList.xml ファイルを作成する Get-ADDCCloningExcludedApplicationList Name : Active Directory Management Pack Type : Service Helper Object Type : Program Name : QWAVE Type : Service Name : System Center Operations Manager 2012 Agent Name : System Center Management APM Type : Program Type : Service Name : Microsoft Silverlight Name : wlidsvc Type : WoW64Program Type : Service Name : AdtAgent Type : Service Name : HealthService 53
  • 54. CustomDCCloneAllowList.xml の例<AllowList> </Allow> <Allow> <Allow> <Name>Active Directory Management Pack Helper <Name>HealthService</Name>Object</Name> <Type>Service</Type> <Type>Program</Type> </Allow> </Allow> <Allow> <Allow> <Name>QWAVE</Name> <Name>System Center Operations Manager 2012 <Type>Service</Type>Agent</Name> </Allow> <Type>Program</Type> <Allow> </Allow> <Name>System Center Management APM</Name> <Allow> <Type>Service</Type> <Name>Microsoft Silverlight</Name> </Allow> <Type>WoW64Program</Type> <Allow> </Allow> <Name>wlidsvc</Name> <Allow> <Type>Service</Type> <Name>AdtAgent</Name> </Allow> <Type>Service</Type> </AllowList> 54
  • 55. Step2. DcCloneConfig.xml を作成 New-ADDCCloneConfigFile –Static -IPv4Address “10.0.0.2” -IPv4DNSResolver “10.0.0.1” -IPv4SubnetMask “255.255.255.0” -CloneComputerName “VirtualDC2” -IPv4DefaultGateway “10.0.0.3” -PreferredWINSServer “10.0.0.1” -SiteName “REDMOND” 55
  • 56. <?xml version="1.0"?><d3c:DCCloneConfig xmlns:d3c="uri:microsoft.com:schemas:DCCloneConfig"> <ComputerName>Cloned-DC1</ComputerName> <SiteName>Default-First-Site-Name</SiteName> <IPSettings> <IPv4Settings> <StaticSettings> <Address>192.168.205.14</Address> <SubnetMask>255.255.255.0</SubnetMask> <DefaultGateway></DefaultGateway> <DNSResolver>192.168.205.1</DNSResolver> <DNSResolver>192.168.205.3</DNSResolver> <DNSResolver></DNSResolver> <DNSResolver></DNSResolver> <PreferredWINSServer></PreferredWINSServer> <AlternateWINSServer></AlternateWINSServer> </StaticSettings> </IPv4Settings> <IPv6Settings> <StaticSettings> <DNSResolver></DNSResolver> <DNSResolver></DNSResolver> <DNSResolver></DNSResolver> <DNSResolver></DNSResolver> </StaticSettings> </IPv6Settings> </IPSettings></d3c:DCCloneConfig 56
  • 57. Step 3: ソースDCでPDCエミュレーターが動作していないことを確認 PDCエミュレーターがインストールされているDCはクローンできない Move-ADDirectoryServerOperationMasterRole -Identity "NEWDC2" -OperationMasterRole PDCEmulator 57
  • 58. Step 4: ソースDCをクローン可能なDCに設定する Get-ADComputer NEWDC1 | %{add-adgroupmember -identity "Cloneable domain controllers" -members $_.samaccountname} 58
  • 59. Step 5: ソースDCをシャットダウンして Export • 検証 New-ADDCCloneConfigFile • シャットダウン • Stop-Computer 59
  • 60. Step 6: クローン先のDCを作成し、Exportしたマシンをインポート ※新しいVMを作成するスクリプトの例 $VM = “TFDC03" New-VM -BootDevice CD ` -MemoryStartupBytes 1024MB ` -Name $VM ` -SwitchName "Intel(R) 82579LM Gigabit Network Connection - Virtual Switch" ` -VHDPath ¥¥G:¥$VM¥$VM.vhdx ` Start-VM -Name $VM -ComputerName junichia-vdi 60
  • 61. 61
  • 62. Dynamic Access Control 62
  • 63. “データガバナンス” へのニーズ 正しいコンプライアンスが必要自分のデータが適切に保護されて CIOいるかどうやって監査すればよいのだろう? コンテンツオーナー インフラサポート コンプライアンスに違反しているかどう どのデータに責任があって、どう か心配せずに必要なデータを使用したい やって制御すればよいかわからない Information Worker 63
  • 64. そうは言っても、複雑な ”データガバナンス”• ファイル単位のアクセス権 • グループメンバーシップの管理• 増え続けるファイル アクセス ID管理 • 増え続けるグループとメンバー• 管理の分散(コンプライア ポリシー 増減への対応 ンス測定不能) • 複雑なメンバーシップルール• 暗号化すべきデータの識別 • 監査対象データの識別• 膨大なデータ 暗号化 監査 64
  • 65. RBAC(Role-Based Access Control) • アクセスコントロール(アクセス制御)とは... ...ユーザーがアクセスしてもよいかどうかを評価するためのプロセス • RBAC とは... ...ユーザー単位ではなく役割単位でアクセス制御すること ACL(Access Control List)によるアクセス管理 ACL ACE ACE Resource ACE ユーザー単位 ACE Read Only RBACの例 ACL ACE ACE グループ(役割)単位 Resource A ACE ※ 組織(役割)がグループに反 ACE Read Only 映されている必要がある 65
  • 66. グループベース RBAC の限界 • リソースの増加とグループの増加 • 複雑なメンバーシップ管理(1グループ1人 !?) • イレギュラーでダイナミックな組織構造 • リソース管理者 ≠ ID 管理者 アクセス管理 連携が必要 ID 管理(インフラ管理者) (リソース管理者) ACL A A Resource ACE ACE A A A ACL A Resource ACE A A ACE A A A A 66
  • 67. Enterprise Dynamic Access Control へのニーズ • EDAC... ...利用者のキャラクター(属性)によってアクセスを制御する • リソース管理者は条件(Condition)を管理するだけ アクセス管理 互いに素 ID 管理(インフラ管理者) (リソース管理者) condition 営業部 IT部 A 人事部 A Read condition IT部 経理部 A Resource Backup condition 営業部 A 企画部 A 経理部 R/W 67
  • 68. Windows Server 2012 Dynamic Access Control DAC によってそれぞれのテクノロジーを結びつける アクセス• アクセスポリシーの ID管理 ポリシー • クレームベースのアクセス制御 集中管理• 自動識別と自動暗号化 • 監査ポリシーの集中管理 暗号化 監査 68
  • 69. DAC の想定シナリオ • アクセスポリシー(Central Access Policy)の集中管理  全社コンプライアンスポリシー  組織の認可ポリシー • ファイルアクセス監査ポリシー(Central Audit Policy)の集中管理 • アクセス拒否発生時の速やかな対応 • File Classification Infrastructure(FCI)と連携したファイルの自動分類  データの自動分類  社外秘データの自動暗号化  法廷保存期間に沿ったファイルサーバー上のデータの保管 69
  • 70. アクセスポリシーの集中管理 ファイルアクセスコントロールを Active Directory で集中管理 70
  • 71. 71
  • 72. 72
  • 73. アクセス ACL ACE Central コントロールResource 上書き ACE Policy 監査の設定 73
  • 74. 監査ポリシーの集中管理 74
  • 75. アクセス拒否発生時の速やかな対応 ユーザーがファイル共有にアクセスして”アクセス拒否”が発生した際に、 速やかな問題解決を図るために以下の対応が可能。 • メッセージの送信  to システム管理者  to 共有フォルダーの所有者 • アクセス権取得の要求 グループポリシーおよびファイルサー バーリソースマネジャーで設定 75
  • 76. FCI: File Classification Infrastructure データのタギング • コンテンツオーナーによるタギング • データの重要性を自動識別 • 自動暗号化 tag:超重要 Data 76
  • 77. DAC に求められる条件 管理者の管理範囲は狭くなるが、管理の精密性が求められる リソース管理者の責任 • コンプライアンスに沿った条件設定 • 状況に応じたダイナミックな設定変更 IT(ID)管理者の責任 • ID 情報の精密性 • 迅速な ID 情報の反映 77
  • 78. Connected AccountEnterprise と Social を結びつける新しい手法 78
  • 79. Connected Account • Active Directory アカウントと Windows Live ID(Microsoft Account) を連携 • 移動ユーザープロファイルを使用すれば複数のデバイスで利用可能 Connected Login SSO Windows Server Active Directory Windows 8 Login Windows Live 79
  • 80. Business Windows と Social Network Enterprise Consumer SkyDrive Hotmail Store Facebook Linked-in Twitter Google (RP) (RP) (RP) (RP) (RP) (RP) (RP)Yammer Enterprise Personal Idp Idp Idp IdpAD Live(MS Account) (IdP) Office Instant OUTLOOK Drive Mail People Message Windows 80
  • 81. まとめ 認証とアクセス制御がインフラの命です 全てのインフラで Active Directory が使えるようになります • Active Directory Server (On-premise) • Active Directory in Windows Azure VM (IaaS) • Windows Azure Active Directory (PaaS) 81
  • 82. 暫定版 82