Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

働き方改革を後押しする Office 365 + リモートワークソリューション ~Azure Active Directoryとの組み合わせで実現する~リモートワークソリューション基盤としてのOffice 365活用術

3,656 views

Published on

2017年7月20日(木)、マイクロソフト社共催セミナー、「第2回 【情シス担当者様必見!】働き方改革を後押しする、Office365+リモートワークソリューション」にて、NHNテコラス株式会社 三瓶義男が発表した登壇資料です。リモートからでも安心安全にOffice 365を利用するためのID連携やシングルサインオンの実現を、標準機能でどこまで可能か、また、オンプレミスActive Directoryとの連携方法や様々なメリットについて、デモを交えて解説したプライベートセミナーです。

Published in: Technology
  • Be the first to comment

働き方改革を後押しする Office 365 + リモートワークソリューション ~Azure Active Directoryとの組み合わせで実現する~リモートワークソリューション基盤としてのOffice 365活用術

  1. 1. Copyright © NHN Techorus Corp. NHN テコラス株式会社 シニアクラウドコンサルタント 三瓶 義雄 2017年 7月 20日 働き方改革を後押しする Office 365 + リモートワークソリューション ~Azure Active Directoryとの組み合わせで実現する~ リモートワークソリューション基盤としてのOffice 365活用術
  2. 2. 自己紹介&会社説明
  3. 3. 自己紹介 三瓶 義雄(さんぺい よしお) 略歴 • 1990年からIT業界一筋(今年で業界歴27年になります・・・) • 1997年から2015年までマイクロソフトにいました(18年・・・)  前半は社内IT部門でアジア全域のサーバー、ネットワークをサポート  後半はプレミアサポートエンジニアとして日本全国の顧客サポート 現在はNHNテコラスにて クラウドオフィスソリューションの事業企画を担当
  4. 4. 会社説明 n h n - t e c h o r u s . c o m 社名 NHN テコラス株式会社 設立 2007年4月 拠点 東京、大阪、福岡 資本金 21億円 事業内容 ITインフラ・ソリューション事業 セキュリティ事業 従業員数 201名(2017年7月現在)
  5. 5. ワークスタイルの変化と課題 まとめ クラウドネイティブ環境 Azure Active Directory のみで実現 利用シーンごとのAzure AD連携 Azure Active Directory の基本 Office 365 の ID管理 1 2 3 4 ★ ★ 5 Demo Demo Demo 本日のアジェンダ オンプレミス Active Directory との連携★
  6. 6. ワークスタイルの変化と課題 まとめ クラウドネイティブ環境 Azure Active Directory のみで実現 利用シーンごとのSSO Azure Active Directory との連携 Office 365 の ID管理 1 2 3 4 ★ ★ 5 Demo Demo Demo オンプレミス Active Directory との連携★
  7. 7. ワークスタイルの変化 : Office 365 で働き方改革を加速 決められた時間 いつでも 決められた場所 どこでも 決められたデバイス どんなデバイスでも Microsoft Office メール、予定表 個人用ストレージ ポータルサイト、ドキュメント共有 チャット、オンライン会議 PC タブレットスマートフォン Mac
  8. 8. 例:営業職のOffice365活用によるリモートワーク 社内で利用 外出先で利用 Office 365で実現 Exchange Online 予定表メール タスク OneDrive for Business 情報共有 個人ドキュメント Skype for Business チャット プレゼンス オンライン会議 Office ProPlus Microsoft office
  9. 9. でも実際は・・・ 社内で利用 外出先で利用 複数のクラウドサービスを 組み合わせて実現 個人ドキュメントMicrosoft office 情報共有 CRM OneDrive for Business Office ProPlus Other Public Cloud グループウェア 端末 認証 アプリケーション データアクセス 管理が大変 or 不可能
  10. 10. Azure Active Directoryで連携すればOK! 社内で利用 外出先で利用 個人ドキュメントMicrosoft office 情報共有 CRM OneDrive for Business Office ProPlus Other Public Cloud グループウェア Azure Active Directory
  11. 11. ワークスタイルの変化と課題 まとめ クラウドネイティブ環境 Azure Active Directory のみで実現 利用シーンごとのSSO Azure Active Directory との連携 Office 365 の ID管理 1 2 3 4 ★ ★ 5 Demo Demo Demo オンプレミス Active Directory との連携★
  12. 12. ① クラウドID ② クラウドID + ディレクトリ同期 ③ フェデレーションID +ディレクトリ同期 対象 ユーザー • ADを運用していない • 小規模(~ 1,000人) • ADを運用している • ADを運用している • 大規模組織(5,000人~) 長所 • 内部設置サーバーが不要 • ユーザーとグループのマスターは内部設 置で持つ • パスワード同期も可能 • パススルー認証も可能 • シームレスSSOも可能 • 社内IDとシングルサインオン • ユーザーとグループのマスター、パス ワードポリシーは内部設置で持つ • アクセス制御が可能 短所 • シングルサインオンなし • 異なるパスワードを2種類管理 • ユーザーとグループのマスターはクラウ ドで持つ • 社外からはシングルサインオンなし • 内部設置サーバーが1つ必要 • 高可用性の内部設置サーバーが必要 構成 イメージ Azure Active Directory 認証 認可 ディレクトリ 同期 フェデレー ション 社内 Active Directory Azure Active Directory 認証認可 ディレクトリ 同期 社内 Active Directory Azure Active Directory 認証認可 Office 365 の ID管理方法
  13. 13. ① クラウドID モバイル 社外PC 社内PC
  14. 14. ② クラウドID + ディレクトリ同期 モバイル 社外PC 社内PC AD Connect ドメインコントローラ
  15. 15. ③ フェデレーションID+ディレクトリ同期 モバイル 社外PC 社内PC ADFS ドメインコントローラ AD Connect
  16. 16. ワークスタイルの変化と課題 まとめ クラウドネイティブ環境 Azure Active Directory のみで実現 利用シーンごとのSSO Azure Active Directory との連携 Office 365 の ID管理 1 2 3 4 ★ ★ 5 Demo Demo Demo オンプレミス Active Directory との連携★
  17. 17. Free Basic P1 P2 ディレクトリ サービス機能 (IDaaS) ○ ○ ○ ○ 管理可能なオブジェクト数 (ユーザーとグループ) ~500,000 無制限 無制限 無制限 エンド ユーザー アクセス パネル ○ ○ ○ ○ SaaS アプリケーション用 SSO (1ユーザー当たりの上 限アプリケーション数) 10 個 10 個 無制限 無制限 ディレクトリ同期 ○ ○ ○ ○ ユーザーとグループの管理 ○ ○ ○ ○ ユーザー ベースのプロビジョニング ○ ○ ○ ○ デバイス登録 ○ ○ ○ ○ セキュリティ レポート ○ (基本) ○ (基本) ○ (詳細) ○ (詳細) ログオン/アクセス パネルのブランディングのカスタマ イズ ○ ○ ○ グループ ベースのアクセス管理とプロビジョニング ○ ○ ○ アプリケーション プロキシ ○ ○ ○ セルフパスワードリセット ○ ○ ○ パスワードを含む、オンプレミスADへの属性の書き戻 し ○ ○ Azure Active Directory各エディションごとの機能(1/2)
  18. 18. Azure Active Directory各エディションごとの機能(2/2) Free Basic P1 P2 グループと場所に基づく条件付きアクセス ○ ○ デバイス状態に基づく条件付きアクセス ○ + Intune ○ + Intune クラウド ユーザー用のセルフサービスのグループ管理 ○ ○ Multi-Factor Authentication (クラウド アプリケー ションおよびオンプレミス アプリケーション) ○ ○ グループ アカウントの自動パスワード ロールオーバー ○ ○ Microsoft Identity Manager サーバーとユーザー CAL ○ ○ Azure AD Identity Protection ○ Azure AD Privileged Identity Management ○ デバイス登録 / Azure AD 参加 ○ ○ ○ ○ セルフサービスでの BitLocker 回復キーの利用 ○ ○ ○ ○ Azure AD Connect Health ○ ○ アプリ単位でのアクセス制御 ○ ○ 管理者による BitLocker 回復キーの利用 ○ ○ MDM 自動登録 ○ ○
  19. 19. ユーザー名 / パスワード SAML認証 SAML認証 ID連携 • Azure ADはクラウドアプリケーションに対して認証と認可を提供 • SAMLを使用することで、様々なクラウドアプリケーションと連携可能 • クラウドアプリケーション単位でセキュリティレベルを分離可能 Azure Active Directory による認証/認可の一元化
  20. 20. ユーザー名 / パスワード SAML認証 ID連携 • Azure AD から提供されるディレクトリ同期ツールを利用 • Active Directory での認証時に使用したユーザー名とパスワードをそのまま Azure AD でも利用可能 同期 SAML認証 Active DirectoryとAzure Active Directory 連携による認証/認可の一元化
  21. 21. ワークスタイルの変化と課題 まとめ クラウドネイティブ環境 Azure Active Directory Free のみで実現 利用シーンごとの Azure AD 連携 Azure Active Directory との連携 Office 365 の ID管理 1 2 3 4 ★ ★ 5 Demo Demo Demo オンプレミス Active Directory との連携★
  22. 22. Azure Active Directory Free のみで実現 要件 ① パスワード同期 ②フェデレーション 各クラウドサービスのIDの運用 個別 個別 各サービスのパスワードの保存先 クラウド/ユーザー端末 なし Office 365 標準で利用ができる Azure Active Directory Free Edition のみで 他のクラウドサービスとのシングルサインオンを実現します。
  23. 23. ID情報を事前に保存 サインイン ID情報をキャッシュ • 様々なクラウドサービスを使用しており、それぞれ別個のIDで運用している • クラウドサービスにはサインインのみ簡易になればよい ① パスワード同期によるSSO Azure Active Directory サインイン Azure Active Directory ID情報クラウド保存 ID情報端末保存
  24. 24. ② フェデレーションによるSSO SAML連携 サインイン Azure Active Directory • 様々なクラウドサービスを使用しており、それぞれ別個のIDで運用している • パスワードはクラウド上にキャッシュさせたくない
  25. 25. ワークスタイルの変化と課題 まとめ クラウドネイティブ環境 Azure Active Directory のみで実現 利用シーンごとのSSO Azure Active Directory との連携 Office 365 の ID管理 1 2 3 4 ★ ★ 5 Demo Demo Demo オンプレミス Active Directory との連携★
  26. 26. オンプレミス Active Directory との連携 要件 ①パスワード同期 ②パススルー認証 ③ADFS オンプレミスActive Directoryのユーザー情報、連絡先、 グループアカウントなどを動的に同期する ○ ○ ○ ユーザーがオンプレミスのパスワードを使用してクラウ ドサービスにサインインする ○ ○ ○ 企業の資格情報を使用してクラウドとSSOする ○ ○ ○ クラウドにパスワードが保存されない ○ ○ オンプレミスの多要素認証サービスを使用する ○ Azure AD Connect を構築し、オンプレミスの Active Directory と Azure Active Directory と連携して、他のクラウドサービスとのシングルサインオン を実現します。
  27. 27. ① パスワード同期 • オンプレミスでActive Directoryは持っている • 様々なクラウドサービスを使用しており、それぞれ別個の IDで運用している • クラウドサービスにはサインインのみ簡易になればよい パスワード同期
  28. 28. • オンプレミスでActive Directoryは持っている • 様々なクラウドサービスを使用しており、それぞれ別個の IDで運用している • パスワードはクラウド上にキャッシュさせたくない ② パススルー認証 パススルー認証
  29. 29. ①アクセス要求 ②認証のリダイレクト ③ユーザー名 / パスワード パススルーエージェント ④認証確認 ⑥サインインOK ⑤認証結果を返す ドメインコントローラ クラウド オンプレミス パススルー認証の仕組み
  30. 30. パススルー認証 + シームレスSSO • オンプレミスでActive Directoryを持っている • 様々なクラウドサービスを使用しており、それぞれ 別個のIDで運用している • パスワードをクラウド上に保存したくない • ADFSを構築するほどの規模ではない • 手軽にSSOを実現したい • PC端末がドメイン認証されている ② パススルー認証(+シームレスSSO)
  31. 31. シームレスSSOの仕組み Azure AD Connect ドメインコントローラ クラウド オンプレミス ④Kerberos認証 ②認証リダイレクト ③Kerberos Ticket Challenge / Response ①アクセス要求 ⑤認証確認 ドメイン参加PC
  32. 32. ワークスタイルの変化と課題 まとめ クラウドネイティブ環境 Azure Active Directory のみで実現 利用シーンごとのSSO Azure Active Directory との連携 Office 365 の ID管理 1 2 3 4 ★ ★ 5 Demo Demo Demo オンプレミス Active Directory との連携★
  33. 33. Windows 10 による、パスワードフリーな認証 Windows Hello • 虹彩認証 • 顔認証 アクセスパネル経由でSSO 登録済みのユーザー / デバイスに対して パスワードを使用しないで認証
  34. 34. Windows 10をAzure Active Directoryに参加させる
  35. 35. • Azure AD に接続されたアプリの一覧を表示するポータルサイト • アプリをクリックすることで、ID 連携/パスワード連携が行われ、SSO アクセスを実現 • アクセス許可が割り当てられたアプリだけが表示 ad1@yscorp.xyzに割り当てられている アプリが表示されている アクセスパネル(https://myapps.Microsoft.com)
  36. 36. ワークスタイルの変化と課題 まとめ クラウドネイティブ環境 Azure Active Directory のみで実現 利用シーンごとのSSO Azure Active Directory との連携 Office 365 の ID管理 1 2 3 4 ★ ★ 5 Demo Demo Demo オンプレミス Active Directory との連携★
  37. 37. まとめ お金をかけないでも Azure ADを使って けっこうかんたんに 他のクラウドサービスと シングルサインオンが可能 • 端末やアプリケーションの管理が楽になる • ユーザーも楽になる 様々な環境条件・セキュリティ要件・費用感 に合わせて、最適な構成をご提案 Azure / Office 365 / Active Directory のプロフェッショナルがご支援します! でも、 セキュリティやコンプライアンスなど 要件が高度化してきたら Azure AD Premium / EMS などの 有償アドインで機能向上を!
  38. 38. Appendix:G SuiteのSSO設定手順
  39. 39. G SuiteのSSO設定手順
  40. 40. G SuiteのSSO設定手順
  41. 41. G SuiteのSSO設定手順
  42. 42. G SuiteのSSO設定手順
  43. 43. G SuiteのSSO設定手順
  44. 44. G SuiteのSSO設定手順
  45. 45. G SuiteのSSO設定手順
  46. 46. G SuiteのSSO設定手順
  47. 47. G SuiteのSSO設定手順
  48. 48. Appendix: Azure Active Directory Connect設定手順
  49. 49. Azure Active Directory設定手順 • オンプレミスADのUPNと異なる カスタムDNSを使用する場合、 事前に代替UPNサフィックスとして カスタムDNSを追加しておきます
  50. 50. Azure Active Directory設定手順 • セットアップを起動すると、 簡単設定かカスタマイズのど ちらかを選択します。 • シームレスSSOを構成する場 合はカスタマイズを選択しま す。
  51. 51. Azure Active Directory設定手順 • 必要に応じてオプション構成を 実施します。
  52. 52. Azure Active Directory設定手順 • サインオン方式はパススルー 認証を選択します。 • シングルサインオンを有効に するオプションを選択します。
  53. 53. Azure Active Directory設定手順 • O365の資格情報を入力します
  54. 54. Azure Active Directory設定手順 • オンプレミスADのフォレスト を追加します
  55. 55. Azure Active Directory設定手順 • オンプレミスADのエンタプライズ 管理者情報を入力します。
  56. 56. Azure Active Directory設定手順
  57. 57. Azure Active Directory設定手順
  58. 58. Azure Active Directory設定手順 • 同期対象を特定のOUに限定 することが出来ます
  59. 59. Azure Active Directory設定手順
  60. 60. Azure Active Directory設定手順
  61. 61. Azure Active Directory設定手順
  62. 62. Azure Active Directory設定手順
  63. 63. Appendix: SalesforceのSSO設定手順
  64. 64. SalesforceとのフェデレーションSSO
  65. 65. SalesforceとのフェデレーションSSO
  66. 66. SalesforceとのフェデレーションSSO
  67. 67. SalesforceとのフェデレーションSSO
  68. 68. SalesforceとのフェデレーションSSO
  69. 69. SalesforceとのフェデレーションSSO
  70. 70. SalesforceとのフェデレーションSSO
  71. 71. SalesforceとのフェデレーションSSO
  72. 72. SalesforceとのフェデレーションSSO
  73. 73. SalesforceとのフェデレーションSSO
  74. 74. SalesforceとのフェデレーションSSO
  75. 75. SalesforceとのフェデレーションSSO
  76. 76. SalesforceとのフェデレーションSSO
  77. 77. ワークスタイルの変化と課題 まとめ クラウドネイティブ環境 Azure Active Directory Connect の活用 クラウドサービス利用シーンごとのSSO連携 Azure Active Directory との連携 Office 365 の ID管理 1 2 3 4 5 6 7 Demo Demo Demo 本日のアジェンダ • ワークスタイル変化 • 365で対応できます • でも実際は365以外 • こんな問題がありま • 解決するにはこんな かります • ・・・・と思ってる 金無しで解決できま • まず365標準のID管 • これがよくわからな AzureADの連携を • 前項で 365の基本の ここは 「Azure AD ADの基本」とかっ
  78. 78. Freeエディション Basicエディション P1エディション P2エディション ディレクトリ サービス機能 (IDaaS) ○ ○ ○ ○ 管理可能なオブジェクト数 (ユーザーとグループ) ~500,000 無制限 無制限 無制限 エンド ユーザー アクセス パネル ○ ○ ○ ○ SaaS アプリケーション用 SSO (1ユーザー当たりの上 限) 10 個のアプリケー ション 10 個のアプリケー ション 無制限 無制限 ディレクトリ同期 ○ ○ ○ ○ ユーザーとグループの管理 ○ ○ ○ ○ ユーザー ベースのプロビジョニング ○ ○ ○ ○ デバイス登録 ○ ○ ○ ○ セキュリティ レポート ○ (基本) ○ (基本) ○ (詳細) ○ (詳細) ログオン/アクセス パネルのブランディングのカスタマ イズ ○ ○ ○ グループ ベースのアクセス管理とプロビジョニング ○ ○ ○ アプリケーション プロキシ ○ ○ ○ セルフパスワードリセット ○ ○ ○ パスワードを含む、オンプレミスADへの属性の書き戻し ○ ○ グループと場所に基づく条件付きアクセス ○ ○ デバイス状態に基づく条件付きアクセス ○ + Intune ライセンス ○ + Intune ライセンス クラウド ユーザー用のセルフサービスのグループ管理 ○ ○ Multi-Factor Authentication (クラウド アプリケーショ ンおよびオンプレミス アプリケーション) ○ ○ グループ アカウントの自動パスワード ロールオーバー ○ ○ Microsoft Identity Manager サーバーとユーザー CAL ○ ○ Azure AD Identity Protection ○ Azure AD Privileged Identity Management ○ Azure Active Directory各エディションごとの機能(1/2)
  79. 79. Freeエディション Basicエディション P1エディション P2エディション デバイス登録 / Azure AD 参加 ○ ○ ○ ○ セルフサービスでの BitLocker 回復キーの利用 ○ ○ ○ ○ Azure AD Connect Health ○ ○ アプリ単位でのアクセス制御 ○ ○ 管理者による BitLocker 回復キーの利用 ○ ○ MDM 自動登録 ○ ○ Azure Active Directory各エディションごとの機能(2/2)
  80. 80. まとめ • クラウド利用において、ID管理はセキュリティ対策の根本 • 複数のIDを使い分けるより、ID統合で強固なセキュリティ対策を実現 • まずは標準機能でSSOを実装 • 要件が高度化するのに合わせて、有償アドインで機能向上を図る • Azure AD Premium / EMS • これからADを導入するのであれば、Azure AD or Azure AD DSの活用も視野 様々な環境条件・セキュリティ要件・費用感に合わせて、最適な構成を御提案 Azure / Office 365 / Active Directoryのプロフェッショナルがご支援

×