Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

[Japan Tech summit 2017] SEC 005

530 views

Published on

[Japan Tech summit 2017] SEC 005 セッション資料

Published in: Technology
  • Be the first to comment

[Japan Tech summit 2017] SEC 005

  1. 1. Microsoft Tech Summit 2017本情報の内容(添付文書、リンク先などを含む)は、Microsoft Tech Summit 2017 開催日(2017 年 11 月 8日 - 9 日)時点のものであり、予告なく変更される場合があります。
  2. 2. うちの営業職たちに、 外出先から社内システム 使わせたいんだけどさ iPadとかも使えるようにしてよ
  3. 3. ?
  4. 4. Azure Active Directory http://sales/ http://sales/ https://sales-teppeiy.msappproxy.net/
  5. 5. Azure Active Directory http://sales/ http://sales/ https://sales-teppeiy.msappproxy.net/
  6. 6. すべての Office 365、Microsoft Azure のお客様は Azure Active Directory を利用 9.5億 ユーザー 90 % の Fortune 500 が利用 1,220億 回の認証/月 2017年8月 56,000 有償サブスク リプション 1,200万 テナント
  7. 7. https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-application-proxy-get-started
  8. 8. https://www.microsoft.com/ja-jp/cloud-platform/azure-active-directory-features
  9. 9. 1.1 Azureポータル (portal.azure.com) でAppProxyの有効化 1.2 オンプレサーバーにコネクタをインストール 2.1 Azureポータル (portal.azure.com) でアプリを追加 2.2 追加したアプリにユーザーの割り当て(アクセス権限付与) Azure AD (Office 365)のテナントを持っていない場合、こちらから取得 https://azure.microsoft.com/ja-jp/trial/get-started-active-directory/ https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-application-proxy-enable
  10. 10. ステップ 1.1: portal.azure.comでAppProxyの有効化
  11. 11. ステップ 1.2: コネクタのインストール(ダウンロード)
  12. 12. ステップ 1.2: コネクタのインストール
  13. 13. ステップ 1.2: コネクタのインストール(確認)
  14. 14. ステップ 1.2: コネクタのインストール(確認)
  15. 15. 送信 ポート番号 説明 80 セキュリティ検証用の送信 HTTP トラフィックに使用されます。 443 Azure AD に対するユーザー認証に使用されます (コネクタ登録プロセスでのみ必要)。 https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-application-proxy-enable#open-your-ports *.msappproxy.net *.servicebus.windows.net login.windows.net (コネクタ登録時のみ) login.microsoftonline.net (コネクタ登録時のみ) もしくは、毎週更新される Azure DataCenter IP 範囲
  16. 16. C:¥Program Files¥Microsoft AAD App Proxy Connector¥ApplicationProxyConnectorService.exe.config https://docs.microsoft.com/ja-jp/azure/active-directory/application-proxy-working-with-proxy-servers
  17. 17. ステップ 1.2: コネクタのインストール(確認)
  18. 18. 1. インフラのセットアップ 1.1 Azureポータル (portal.azure.com) でAppProxyの有効化 1.2 オンプレサーバーにコネクタをインストール Azure AD (Office 365)のテナントを持っていない場合、こちらから取得 https://azure.microsoft.com/ja-jp/trial/get-started-active-directory/ https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-application-proxy-enable
  19. 19. ステップ 2.1: アプリの追加
  20. 20. ステップ 2.1: アプリの追加
  21. 21. ステップ 2.1: アプリの追加 http://sales/ https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-application-proxy-custom-domains
  22. 22. ステップ 2.2: ユーザーの割り当て
  23. 23. 内部URL配下のみ公開される → ルートを公開 http://sales/ https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-application-proxy-troubleshoot#the-page-is-not-rendered-correctly
  24. 24. Before http://sales/top/ ←意図するページ After http://sales/ ← でもこっちに飛ぶ → ホームページURLの設定
  25. 25. https://docs.microsoft.com/ja-jp/azure/active-directory/application-proxy-office365-app-launcher
  26. 26. → 社内URL=社外URL → リンク変換 公開している他アプリの 内部URLを外部URLへ変換 https://docs.microsoft.com/ja-jp/azure/active-directory/application-proxy-link-translation <a href=http://support/> サポートオペレーション情報</a> <a href=https://support- teppeiy.msappproxy.net/> サポートオペレーション情報</a>
  27. 27. Azure Active Directory http://sales/ https://sales-teppeiy.msappproxy.net/ ①
  28. 28. Azure Active Directory http://sales/ https://sales-teppeiy.msappproxy.net/ ②① https://docs.microsoft.com/ja-jp/azure/active-directory/application-proxy-sso-azure-portal
  29. 29. https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-application-proxy-sso-using-kcd http://sales/ https://sales-teppeiy.msappproxy.net/ Azure Active Directory Kerberos の制約付き委任(KCD)の利用 1. コネクタがユーザーの代理でDCに認証 2. ケルベロスチケットをもらう 3. コネクタがアプリにチケットを渡す
  30. 30. https://docs.microsoft.com/ja-jp/azure/active-directory/application-proxy-sso-overview
  31. 31. https://docs.Microsoft.com/ja-jp/azure/active-directory/application-proxy-publish-remote-desktop https://docs.microsoft.com/ja-jp/azure/active-directory/application-proxy-enable-remote-access-sharepoint https://docs.microsoft.com/ja-jp/azure/active-directory/application-proxy-teams
  32. 32. https://docs.microsoft.com/ja-jp/azure/active-directory/application-proxy-understand-connectors#capacity-planning コア RAM 予想される待機時間 (ミリ秒) - P99 最大 TPS 2 8 325 586 4 16 320 1150 8 32 270 1190 16 64 245 1200*
  33. 33. 豊洲データセンター AWS東京リージョン https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-application-proxy-connectors-azure-portal
  34. 34. Ring1 Ring2
  35. 35. https://docs.microsoft.com/ja-jp/azure/active-directory/application-proxy-network-topology-considerations ②① ③
  36. 36. https://docs.microsoft.com/ja-jp/intune/app-configuration-managed-browser#how-to-configure-application-proxy-settings-for-the-managed-browser
  37. 37. http://*.contoso.local 営業 Sales.contoso.local サポート Support.contoso.local 人事 HR.contoso.local
  38. 38. Office 365 の延長でSSO VPN張らないと・・・ なんてことがなくなる 攻撃対象をゼロに、対策はマイクロソフトに任す アクセス制御をAzure ADに集約 複雑なインフラの維持管理が不要 DMZも不要に https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-application-proxy-get-started
  39. 39. うちの営業職たちに、 外出先から社内システム 使わせたいんだけどさ iPadとかも使えるようにしてよ
  40. 40. Session ID Title SEC004 Active Directory/Azure Active Directory の構成パターンと正しい認証方式の選択 SEC006 Office 365 関係者に告ぐ 「"脱 AD FS"の準備は整った」 Azure AD による SSO とアクセス制御 SEC010 Secure Modern Workstyle を実現するための EMS 活用の基礎

×