Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

[Japan Tech summit 2017] SEC 004

1,330 views

Published on

[Japan Tech summit 2017] SEC 004 セッション資料

Published in: Technology
  • DOWNLOAD FULL BOOKS, INTO AVAILABLE FORMAT ......................................................................................................................... ......................................................................................................................... 1.DOWNLOAD FULL. PDF EBOOK here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... 1.DOWNLOAD FULL. EPUB Ebook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... 1.DOWNLOAD FULL. doc Ebook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... 1.DOWNLOAD FULL. PDF EBOOK here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... 1.DOWNLOAD FULL. EPUB Ebook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... 1.DOWNLOAD FULL. doc Ebook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

[Japan Tech summit 2017] SEC 004

  1. 1. Microsoft Tech Summit 2017本情報の内容(添付文書、リンク先などを含む)は、Microsoft Tech Summit 2017 開催日(2017 年 11 月 8日 - 9 日)時点のものであり、予告なく変更される場合があります。
  2. 2. 2
  3. 3. 3 Azure AD Connect サーバー 同期エンジン ++
  4. 4. 4 Azure AD Connect サーバー 同期エンジン ++ オンプレミス Windows Server ツール
  5. 5. 5 Active Directory Azure AD Connect サーバーオンプレミス 繋ぐ Azure Active Directory クラウド Office 365
  6. 6. 6 Active Directory Azure AD Connect サーバー Azure Active Directory クラウド Office 365 オンプレミス ファイアウォールで 保護された世界 インターネットの 世界 組織のアカウントの 認証サービス クラウド アカウント の認証サービス Kerberos プロトコル SAML プロトコル 繋ぐ
  7. 7. 7 オンプレミス Active Directory ユーザー グループ Azure AD ユーザー グループ オンプレミス Active Directory Azure AD ユーザー管理者 ・ ユーザー名 ・ パスワード ・ ユーザー名 ・ パスワード 業務アプリ ドメインの パスワード ポリシー Azure AD のパスワード ポリシー ドメインの パスワード ポリシー Azure AD のパスワード ポリシー どっちも管理する のは大変 ・・・ アカウントが いっぱいで パスワードを 覚えきれない・・・
  8. 8. 8 2. オンプレミスから Azure AD に シングル サインインオン できる 1. オンプレミスから Azure AD に、 アカウントを同期 できる オンプレミス Active Directory Azure AD Azure AD Connect サーバー オンプレミスのアカウントだけ 管理すればよい! オンプレミス Active Directory Azure AD Azure AD Connect サーバー オンプレミスのユーザー名と パスワードだけ覚えておけばよい 管理者 ユーザー ドメインの パスワード ポリシー
  9. 9. 9 オンプレミス Active Directory + シームレス シングル サインオン(sSSO) 3. AD FS フェデレーション 1. パスワード同期 2. パススルー認証
  10. 10. 10 シームレス シングル サインオン(sSSO) ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?
  11. 11. 11 Azure AD Connect で構成できる サインイン方式の、 どれを、どのように 選択 するのがよいのか? みなさまが 判断 できるようになることを目標に、
  12. 12. 12 オンプレミス Active Directory Azure AD ディレクトリ同期 Office 365 ライセンス ドメイン ユーザー
  13. 13. 13 1. 「ディレクトリ同期」 の重要な属性 2. Azure AD Connect で構成する サインイン オプションの特徴 3. みなさんは、 どれを選択しますか?
  14. 14. 15 オンプレミス Active Directory Azure Active Directory ユーザー グループ グループ メールが 有効な連絡先 ユーザー ディレクトリ同期 (既定 30 分サイクル) 一部、書き戻しをサポート(パスワード、デバイス、グループ) メールが 有効な連絡先 HTTP/HTTPS (80/443)
  15. 15. 16 オンプレミス Active Directory Azure Active DirectoryAzure AD Connect 1 ① 読み込む① 読み込む ② 書き込む
  16. 16. 17 ソース アンカー(Source Anchor)
  17. 17. 18 オンプレミス Active Directory msDS-ConsistencyGuid これです!
  18. 18. 19 オンプレミス Active Directory ObjectGUID msDS-ConsistencyGuid 読み込む Azure AD Connect Azure Active Directory 書き込む immutableID 生成 格納 作成 生成 ソース アンカーの値を格納
  19. 19. 20 オンプレミス Active Directory msDS-ConsistencyGuid Azure Active Directory immutableID ソース アンカーの値を格納 ソース アンカー 今後は、これらの属性を 比較することで、 「完全一致」 を確認する
  20. 20. 21 オンプレミス Active Directory Azure Active Directory すでにユーザー登録 が終わっている 2 つのディレクトリを、 後で同期することになったら? userPrincipalName : @abcxx.tech userPrincipalName : yamada@abcxx.tech これは、Azure AD に サインインする時の ユーザー名です
  21. 21. 22 ・ userPrincipalName ・ msDS-ConsistencyGuid ・ immutableID ・ ソース アンカーの大元 “objectGUID”(既定)
  22. 22. 23 オンプレミス Active Directory
  23. 23. 25 オンプレミス Active Directory 2-4. シームレス シングル サインオン(sSSO) 2-1. AD FS フェデレーション 2-3. パスワード同期 2-2. パススルー認証
  24. 24. 26 Azure AD Connect の構成画面 Azure AD Connect サーバー 2-1. AD FS フェデレーション
  25. 25. 27 ドメイン コントローラー 認証 AD FS サーバー オンプレミス Active Directory ・ SSO ・ 多要素認証 ・ 条件付き アクセス AD FS プロキシ AD FS1
  26. 26. 28 Azure AD Office 365 ユーザー オンプレミス Active Directory AD FS サーバードメイン コントローラー 認証 シングル サインオン ディレクトリ同期 ユーザー名
  27. 27. 29 Azure AD Office 365 ドメイン コントローラー Azure AD Connect サーバー オンプレミス Active Directory AD FS サーバー ファーム AD FS プロキシ サーバー ファーム 境界ネットワーク ユーザー 認証 シングル サインオン ディレクトリ同期 ユーザー名、 パスワード
  28. 28. 30 Azure AD フェデレーション信頼 ドメイン コントローラー Azure AD Connect サーバー AD FS サーバー ファーム ・ 可用性を考慮して、AD FS サーバーと AD FS プロキシを展開 ・ SSL サーバー証明書の管理(更新) ・ Azure AD との “フェデレーション信頼” の構成 ・ インフラストラクチャーの障害対策の計画 この構成には、技術力が求められる2 AD FS プロキシ サーバー ファーム 境界ネットワーク
  29. 29. 31 サーバー ファームのリモート展開、フェデレーション信頼の構成、 フェデレーション SSL 証明書の更新、ログイン検証 など AD FS サーバー ファーム AD FS プロキシ サーバー ファーム Azure AD Connect 3 Azure ADフェデレーション信頼 Azure AD Connect の構成画面
  30. 30. 32 同期エンジン ++
  31. 31. 34 同期エンジン ++
  32. 32. 35 ・ オンプレミスに、 Windows Server 2012 R2 以降のサーバーを展開しておく ・ 境界ネットワークに、 Windows Server 2012 R2 以降のサーバーを展開しておく ・ フェデレーション ドメイン名 を決める ・ SSL 証明書 を取得する ・ 内部/外部 DNS サーバーを構成する ・ フェデレーション ドメイン名で 接続 できることを確認しておく など 4
  33. 33. 36 Azure AD Connect サーバー パススルー 認証 (AuthN) エージェント Azure AD Connect の構成画面 2-2. パススルー認証
  34. 34. 37 Azure AD Office 365 ドメイン コントローラー Azure AD Connect サーバー パススルー ※ Azure AD ユーザーのパスワードは、 クラウドに保存されていない ディレクトリ同期 ユーザー パスワード の検証 ユーザー名、 パスワード 1
  35. 35. 38 Azure AD Office 365 ドメイン コントローラー Azure AD Connect サーバー パススルー 認証 エージェント HTTPS 2 パススルー ※ パスワード検証要求を 待ち受けて応答するだけ ユーザー名、 パスワード ユーザー
  36. 36. 39 パススルー認証3 ドメイン コントローラー スタンドアロン のパススルー 認証 エージェント (2台目)Azure AD Connect サーバー (1 台目) パススルー 認証 エージェント 認証 よりシンプルな サーバー構成
  37. 37. 41 Azure AD Connect サーバー Azure AD Connect の構成画面 パスワード 同期 エージェント 2-3. パスワード同期
  38. 38. 42 ディレクトリ同期 (既定 30 分間隔) パスワード同期 (2 分間隔、 変更不可) Azure AD Connect サーバー オンプレミス Active Directory Azure Active Directory パスワード 同期 エージェント ※ オンプレミスのユーザー パスワードが、 同期によって、クラウドに保存される ドメイン コントローラー ドメインの パスワード ポリシー 1
  39. 39. 43 Azure AD Office 365 ドメイン コントローラー ユーザー名、 パスワード Azure AD Connect サーバー ディレクトリ同期 ユーザー パスワード同期 認証 ※ Azure AD ユーザーのパスワードは、 クラウドに保存されている 2
  40. 40. 44 パスワード同期3 ドメイン コントローラー パスワード 同期 エージェント ステージング モード (2台目) Azure AD Connect サーバー (1 台目) パスワード 同期 エージェント 最もシンプルな サーバー構成 Azure AD 認証 パスワード 保存
  41. 41. 45 Azure AD ディレクトリ同期 パスワード 同期 ドメイン コントローラー Azure AD Connect サーバー パスワードを クラウドに 保存して 大丈夫 ・・・? 4 ユーザーの パスワードを 保存
  42. 42. 46
  43. 43. 47 Azure AD Connect サーバー オンプレミス Active Directory Azure AD “Password” ドメイン コントローラー MD4 + salt + PBKDF2 + HMAC-SHA256 ユーザー “Password”
  44. 44. 48 “Password”
  45. 45. 49 f15abd57801840f3 348ddccafb677f6a
  46. 46. 50 ”
  47. 47. 51 3280fec20a838984 2d5aaebaacda9e4fd 09b2c80af816111ff e90a9f83f20527 ※ PBKDF = Password based Key Derivation Function(RFC 2898)
  48. 48. 52 1c0912757d1aa5bc 672a94f5aa3c89a5 80c475dcd90823ed 646d02423d2c8da0
  49. 49. 53 ” 1c0912757d1aa5bc672a94f5aa3c89a5 80c475dcd90823ed646d02423d2c8da0 f15abd57801840f3348ddccafb677f6a 3280fec20a8389842d5aaebaacda9e4fd 09b2c80af816111ffe90a9f83f20527 “Password”
  50. 50. 54 オンプレミス Active Directory Pass-the Hash : 不正に入手したパスワードのハッシュ値を悪用して、 組織に侵入する、なりすまし攻撃
  51. 51. 55 復習 Azure AD Office 365 ドメイン コントローラー Azure AD Connect サーバー パススルー ※ Azure AD ユーザーのパスワードは、 クラウドに保存されていない ディレクトリ同期 リモートからアクセスする ドメイン ユーザー パスワード の検証 ユーザー名、 パスワード
  52. 52. 56 復習 Azure AD Office 365 ドメイン コントローラー ユーザー名、 パスワード Azure AD Connect サーバー ディレクトリ同期 パスワード同期 認証 ※ Azure AD ユーザーのパスワードは、 クラウドに保存されている リモートからアクセスする ドメイン ユーザー
  53. 53. 57 Azure AD Office 365 ドメイン コントローラー ドメイン ユーザー Azure AD Connect サーバー ユーザー名、 パスワード ディレクトリ同期 認証 Azure AD ユーザーのパスワードは、 クラウドに保存されていない パススルー 認証 ユーザー名、 パスワード
  54. 54. 58 Azure AD Office 365 ドメイン コントローラー ドメイン ユーザー Azure AD Connect サーバー ディレクトリ同期 パスワード同期 Azure AD ユーザーのパスワードは、 クラウドに保存されている ユーザー名、 パスワード 認証 ユーザー名、 パスワード 認証
  55. 55. 59 持っていません
  56. 56. 60 Azure AD Connect サーバー パスワード同期 + sSSO パススルー認証 + sSSO 2-4. シームレス シングル サインオン(sSSO)
  57. 57. 61 シームレス シングル サインオン1 ドメイン コントローラー Azure AD Connect サーバー パススルー 認証を 有効化
  58. 58. 63 Kerberos の複合化キーを Azure AD と共有 シームレス シングル サインオン1 ドメイン コントローラー Azure AD Connect サーバー AZUREADSSOACC Azure AD 共有
  59. 59. 64 ドメイン コントローラー AZUREADSSOACC Azure AD Azure Active Directory シームレス シングル サインオン: よく寄せられる質問 定期的に ロール オーバー
  60. 60. 65 2 ドメイン コントローラー
  61. 61. 66 いいえ
  62. 62. 68
  63. 63. 69 長所があります
  64. 64. ■  ■  https://blogs.technet.microsoft.com/uktechnet/2017/09/27/mastering-identity-with- azure-active-directory-episode-8-integrating-with-on-premises-ad-and-ad-fs/ ■  https://www.itpromentor.com/compare-sso/ 70
  65. 65. 71 オプション パスワード同期 + sSSO パススルー認証 + sSSO AD FS 展開コストの高さと複雑さ 低 中 高 オンプレミスに展開するサーバーの数 最低 1 台、 推奨 2 台(ステージング モード) 最低 1 台、 推奨 2 台(エージェント冗長化) 最低 1 台、 推奨 2 台(サーバー ファーム) 境界ネットワークに展開するサーバーの数 不要 不要 最低 : 1 台、 推奨 : 2 台(高可用性) サーバーの自動フェールオーバーのサポート いいえ (ステージング モード) はい (エージェントの冗長化) はい (ファーム構成) SSL 証明書が必要 いいえ いいえ はい System Center Operations Manager による、オンプレミス コンポーネントの監視 いいえ いいえ はい Azure AD Connect Health による、 オンプレミス コンポーネントの監視 一部 (Azure AD Premium P1) ー はい (Azure AD Premium P1) 自動更新管理 ー エージェントの自動更新 証明書の自動ロールオーバー 組織ネットワークとインターネット間の接続が ダウンしても、リモートから Azure AD に サインインできる はい いいえ いいえ
  66. 66. 72 https://aka.ms/aadconnecthealth ※ 最低 1 つの Azure AD Premium P1 ライセンス必要
  67. 67. 73 オプション パスワード同期 + sSSO パススルー認証 + sSSO AD FS オンプレミス デバイスから Azure AD への シングル サインオン はい はい はい オンプレス パスワードを使用するサインイン はい はい はい リモートから Azure AD へのアクセスを オンプレミスで認証する いいえ はい はい UPN 属性によるサインイン はい はい はい <ドメイン名><sAMAccountName 属性> によるサインイン いいえ いいえ はい サインイン ページのカスタマイズ はい (Azure AD Premium P1) はい (Azure AD Premium P1) はい CSS や JavaScript によるカスタマイズ いいえ いいえ はい
  68. 68. 74 オプション パスワード同期 + sSSO パススルー認証 + sSSO AD FS 証明書ベースの認証 いいえ いいえ はい オンプレス ユーザーが無効化されると、 Azure AD ユーザーも無効化になる 同期サイクルである 30 分後 (既定)に反映される はい はい オンプレス ユーザーがロックアウト されると、Azure AD ユーザーの認証が失敗 する いいえ はい はい オンプレス ユーザーのパスワードが期限切れ によるロックアウト いいえ はい はい 信頼関係がある複数の AD フォレストのユーザーの認証 はい はい はい 信頼関係がない複数の AD フォレストのユーザーの認証 はい いいえ はい (AD FS 2016) サードパーティーの LDAP ディレクトリによる サインイン いいえ いいえ はい (AD FS 2016)
  69. 69. 75 オプション パスワード同期 + sSSO パススルー認証 + sSSO AD FS パスワードをクラウドに同期する はい (よりセキュアにハッシュされて格納) いいえ いいえ (Fall-back としてパスワード同 期を使用できる) セルフ パスワード リセット はい (Azure AD Premium P1) はい (Azure AD Premium P1) はい (Azure AD Premium P1) パスワードの書き戻し はい はい はい オンプレミスの パスワード ポリシーの適用 一部 (パスワードの複雑性のポリシー、 パスワードの有効期限のポリシー) はい はい パスワード期限切れ通知のサポート いいえ いいえ はい Azure AD ID 保護 はい (Azure AD Premium P2) はい (Azure AD Premium P2) いいえ オンプレミス ユーザー アカウントの ロックアウト保護 ー スマート ロックアウト エクストラネット ロックアウト
  70. 70. 76 オプション パスワード同期 + sSSO パススルー認証 + sSSO AD FS オンプレミスの多要素認証ソリューション いいえ いいえ はい クラウド アプリケーションへの Azure の多要素認証ソリューション はい はい はい Azure MFA サーバー いいえ いいえ はい サード パーティー MFA はい (Azure AD Premium P2) はい (Azure AD Premium P2) はい カスタム MFA いいえ いいえ はい Win10 の Windows Hello for Business(キー ベース) はい はい はい (AD FS 2016) Win10 の Windows Hello for Business(証明書ベース) はい (with MDM) はい (with MDM) はい Azure AD の条件付きアクセス はい はい はい
  71. 71. 77 オプション パスワード同期 + sSSO パススルー認証 + sSSO AD FS デバイス登録 : Win10 はい はい はい デバイス登録 : Win7/8.1 Coming Soon はい はい レガシー プロトコルのブロック Coming Soon (Premium) Coming Soon (Premium) はい イントラネットからのみレガシー プロトコルの許可 (Office 2010 など) Coming Soon (Premium) Coming Soon (Premium) はい ブラウザー はい はい はい Exchange Active Sync (EAS) はい Coming Soon はい ネイティブ アプリケーション (レガシー認証) はい Coming Soon はい ネイティブ アプリケーション (モダン認証) はい はい はい
  72. 72. 78
  73. 73. 79
  74. 74. 80
  75. 75. 81 Azure AD Office 365 ドメイン コントローラー ドメイン ユーザー シングル サインオン 復習
  76. 76. 82 ドメイン コントローラー リモートからアクセス している ドメイン ユーザー Azure AD 認証 認証
  77. 77. 83 ドメイン コントローラー リモートからアクセス している ドメイン ユーザー Azure AD 認証 それは、組織内の全ユーザーを対象としていますか? 認証 フェデレーション ドメイン名を ユーザー名に含む、全ユーザーが対象 フェデレーション ドメイン名を含むユーザーは、 Azure AD に直接作成できなくなります パススルーのドメイン名を含むユーザーも、 Azure AD に新規作成でき、 直接 AzureAD に作成したユーザーは 対象外(同期ユーザーのみ対象)
  78. 78. 84 ドメイン コントローラー リモートからアクセス している ドメイン ユーザー Azure AD 認証
  79. 79. 85 ドメイン コントローラー リモートからアクセス している ドメイン ユーザー Azure AD 認証
  80. 80. 86
  81. 81. 87 高 AD FS サーバー ファーム WAP サーバー ファーム 境界 ネットワーク AD FS フェデレーション パススルー認証 パスワード同期 スタンドアロンの パススルー認証 エージェント (エージェント 2台目) Azure AD Connect サーバー (エージェント 1 台目) パススルー 認証 エージェント パスワード 同期 エージェント Azure AD Connect サーバー ステージング モード (2台目) Azure AD Connect サーバー (1 台目) パスワード 同期 エージェント 低中 オンプレミス
  82. 82. 88
  83. 83. 89 ・アクセスブロック ・デバイス ワイプ アクセス許可 クラウド アプリケーション 正当なユーザー 信頼できる場所 デバイスの状態 ユーザー サインインのリスク Azure AD 条件付きアクセス ポリシー Azure の 多要素認証 サインイン オンプレミス 社内アプリケーション Azure AD 多要素認証 の強制 正当なユーザー に対する、 細やかなアクセス制御 ユーザー認証 を強力にする
  84. 84. 91
  85. 85. 92 顔 虹彩 指紋 生体 本人しか持ちえない情報 本人が持っているデバイス + + 本人が 持っているデバイス 誰もが 知り得る情報 ユーザー名 を入力 本人だけが 知っている情報 PIN コードを入力 + + + プライベート キー パブリック キー 認証 Public パブリック キー 認証 Public プライベート キー ドメイン ユーザー ドメイン ユーザー
  86. 86. 93 Windows 10 参加と認証 オンプレミス Active Directory ドメイン Azure Active Directory 参加と認証 または AD FS 2016 サーバー + Intune +
  87. 87. 94
  88. 88. 95
  89. 89. 96 Azure AD への シングルサインオン方式の 選択は、 ぜひ、 組織全体のセキュリティ対策 と組み合わせて、 検討してください
  90. 90. 97 多要素認証 の要求 アクセス許可 アクセスの ブロック 強制的な パスワード リセット*** *** アクセスの制限 制御 ユーザー 準拠デバイス 信頼できる場所 アプリケーション 条件 機会 学習 ポリシー リアル タイム 評価エンジン リスク 3 ポリシー 適用 怪しいユーザー アクションを 機械学習で自動検出 顔 虹彩 指紋 生体 強力な認証 クラウド アプリケーション オンプレミス 社内アプリケーション 参考 : Microsoft Ignite 2017 「BRK2019」 セッション スライドより
  91. 91. 98 初めての方にも理解していただける内容に なっています。 この本の 10 章で、Azure AD Connect の基本的な構成方法を解説しています。
  92. 92. Session ID Title SEC005 ネットワーク エンジニア必見!VPN/DMZ は要らなくなる!? Azure AD Application Proxy で実現するセキュアなアクセス SEC006 Office 365 関係者に告ぐ 「”脱 AD FS”の準備は整った」 Azure AD による SSO とアクセス制御 SEC007 Azure AD B2C と LINE 連携により実現する学校や企業における 次世代 ID/メッセージ基盤 SEC009 Azure AD による Web API の 保護 ~ Azure API Management をセキュリティの観点で解説 99
  93. 93. ■  ■  ■  ■  101
  94. 94. ■  ■  ■  https://docs.microsoft.com/ja-jp/windows/access-protection/hello-for-business/hello-identity- verification 102
  95. 95. 103

×