Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

[Japan Tech summit 2017] SEC 006

664 views

Published on

[Japan Tech summit 2017] SEC 006 セッション資料

Published in: Technology
  • Be the first to comment

[Japan Tech summit 2017] SEC 006

  1. 1. Microsoft Tech Summit 2017本情報の内容(添付文書、リンク先などを含む)は、Microsoft Tech Summit 2017 開催日(2017 年 11 月 8日 - 9 日)時点のものであり、予告なく変更される場合があります。
  2. 2. ✓ 新しく登場した Azure AD の機能により変わる Office 365 のインフラ設計とは? ✓ ユーザーが利用しやすく、管理者が管理しやすいイン フラ環境とは? ✓ 将来を見据えた Office 365 / SaaS の認証設計とは?
  3. 3. Pros: 簡単な展開、オンプレミス AD と同じ ID/パスワードの使用 Cons: SSO ができない アクセス制御ができない Pros: Windows デスクトップとの 統合された SSO クライアントアクセス制御 Cons: オンプレミスサーバー群の 展開が必要 Pros: 最小の展開時間、オンプレ ミス資産が不要 Cons: SSOができない、オンプレ ミスのディレクトリと統合された 運用ができない クラウド ID 同期 ID パスワードハッシュ同期 フェデレーション ID
  4. 4. ユーザー認証 ✓ 17.5% - 同期 ID ✓ 47.8% - フェデレーション ID (ADFS) 28.2% 17.5% 47.8% 6.5% Azure AD Authentication - Unique Users 1 2 3 4
  5. 5. Pros: 簡単な展開、オンプレミス AD と同じ ID/パスワードの使用 Cons: SSO ができない アクセス制御ができない Pros: Windows デスクトップとの 統合された SSO クライアントアクセス制御 Cons: オンプレミスサーバー群の 展開が必要 Pros: 最小の展開時間、オンプレ ミス資産が不要 Cons: SSOができない、オンプレ ミスのディレクトリと統合された 運用ができない クラウド ID 同期 ID パスワードハッシュ同期 フェデレーション ID
  6. 6. AAD Connect
  7. 7. Pros: 簡単な展開、オンプレミス AD と同じ ID/パスワードの使用 Cons: SSO ができない * Pros: Windows デスクトップとの 統合された SSO クライアントアクセス制御 Cons: オンプレミスサーバー群の 展開が必要 Pros: 最小の展開時間、オンプレ ミス資産が不要 Cons: SSOができない、オンプレ ミスのディレクトリと統合された 運用ができない クラウド ID 同期 ID パスワードハッシュ同期 フェデレーション ID Pros: 簡単な展開、オンプレミス AD と同じ ID/パスワードの使用 Cons: SSO ができない 同期 ID パススルー認証 +シームレスSSO Windows デスクトップとの統合 された SSO Azure AD によるアクセス制御Azure AD によるアクセス制御 *PHS 構成でも シームレス SSO が可能 +シームレスSSO
  8. 8. 社内/外のネットワークのPC • シームレスシングルサインオン(sSSO) 社内ネットワーク上のPC(Active Directory管理下)からAD FSを使わずに Office 365などにシングルサインオンする機能
  9. 9. オンプレ AD が パスワードを検証 AuthN agent AD FSWAP オンプレ AD が ユーザー名とパスワードを検証 パスワードはオンプレ
  10. 10. IID + パスワードハッシュ同期 Azure Active Directory ユーザー認証 社内 Microsoft Azure Active Directory 認証は Cloud 側だけで完結する オンプレと同じ ID, パスワード オンプレの追加構成は AAD Connect のみ
  11. 11.  注意点
  12. 12. 社内 Microsoft Azure Active Directory PTA エージェント Active Directory セキュアなパスワード運用 パスワードはオンプレのみに保存 DMZ セグメントおよびインバウンドの ポート開放が不要 管理が容易 エージェントベースの展開 高可用性構成も容易 クラウドベースの認証 オンプレと同じ ID, パスワード スマートロックアウト、 Idenity Protectionおよび 条件付きアクセスと統合 PTA エージェント
  13. 13. 社内 ID 同期 + パススルー認証 PTA がキューを ピックアップ Active Directory パススルー認証 エージェント Microsoft Azure Active Directory アプリ ユーザー ID とパスワードを入力 Azure AD のサインイン画面に接続 Azure ADのサインインが完了 認証情報が暗号化されキューに入る PTA が Azure AD に認証結果を返す PTAが認証情報を ADで確認 AD にサインインが完了 PTAが認証情報を復号化 アプリへの サインイン サインインが成功し た場合は、アプリに アクセスする Azure AD Connect を使 用した ID 同期
  14. 14.  3rd パーティーのフェデ レーション パスワードハッシュ 同期(PHS) パススルー認証 (PTA) シームレスシングル サインオン(sSSO)
  15. 15.  注意点
  16. 16. https://download.microsoft.com/download/F/C/A/FCA7C6E3-7153-4FB1-9825-0B1BB26F14E0/AAD-Office-365-Seamless-Sign-In-Part-1.docx https://download.microsoft.com/download/F/C/A/FCA7C6E3-7153-4FB1-9825-0B1BB26F14E0/AAD-Office-365-Seamless-Sign-In-Part-2.docx https://download.microsoft.com/download/F/C/A/FCA7C6E3-7153-4FB1-9825-0B1BB26F14E0/AAD-Office-365-Seamless-Sign-In-Part-3.docx https://download.microsoft.com/download/F/C/A/FCA7C6E3-7153-4FB1-9825-0B1BB26F14E0/AAD-Office-365-Seamless-Sign-In-Part-4.docx https://download.microsoft.com/download/F/C/A/FCA7C6E3-7153-4FB1-9825-0B1BB26F14E0/AAD-Office-365-Seamless-Sign-In-Part-5.docx https://download.Microsoft.com/download/F/C/A/FCA7C6E3-7153-4FB1-9825-0B1BB26F14E0/AAD-Office-365-Seamless-Sign-In-Part-6.docx https://download.microsoft.com/download/F/C/A/FCA7C6E3-7153-4FB1-9825-0B1BB26F14E0/AAD-Office-365-Seamless-Sign-In-Part-7.docx https://docs.microsoft.com/ja-jp/azure/active- directory/connect/active-directory-aadconnect-pass-through- authentication-quick-start
  17. 17. 社内 Microsoft Azure Active Directory Active Directory 管理が容易 追加のオンプレミス構成は不要 Windows 10 以外のデバイスの DRS もサ ポート 優れたユーザー体験 オンプレ AD に参加したデバイスから、 Office 365 / SaaS アプリへのシングルサ インオンを提供 Windows 7以降のデバイスをサポート ユーザーは Azure AD に名前を入力する だけ macOS + Safari もサポート 統合 パスワードハッシュ同期とパススルー 認証の両方で動作 代替えログインIDをサポート
  18. 18. 社内 Active DirectoryDomain-joined Azure AD Connect を使用した ID 同期 Microsoft Azure Active Directory Office 365, SaaS, and LoB apps Active Directory に Kerberos 認証を実行 し、チケットを取得する ドメイン参加している PCからアプリへサインイン パススルー認証とパスワードハッシュの同期によるシームレスな SSO のしくみ 401 Kerberosチケットを提示し、 サービスチケットを取得 サービスチケットを提示し Cookie を受け取る
  19. 19. この機能を利用するためには、Active Directory のグループ ポリシーを使用して、ユーザー のイントラネット ゾーンの設定に次の Azure AD URL を追加する必要がある。 https://autologon.microsoftazuread-sso.com https://aadg.windows.net.nsatc.net [ユーザーの構成][管理用テンプレート] [Windows コンポーネント][Internet Explorer] [インターネット コントロール パネル][セキュリティ] [サイトとゾーンの割り当て一覧]
  20. 20.  オンプレ側に新たな構成は不要(PHSとの連携がお勧め)  Windows 7/8.1 に対する Azure AD へのデバイス登録が可能 になる ->アクセス制御に利用可能  注意点
  21. 21. https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnect-sso
  22. 22. アプリ アプリ毎のルール クライアントの種類 (Web, Rich, mobile) クラウド、 オンプレミスの アプリケーション ユーザーID グループメンバーシップ デバイス ドメイン参加 Compliance Policy 準拠 プラットフォームの種類 (Windows, iOS, Android) 場所 IP アドレスの範囲 多要素認証の強制 デバイス登録の強制 許可 ブロック リスク セッション リスク IDリスク Your App
  23. 23. アプリ アプリ毎のルール クライアントの種類 (Web, Rich, mobile) クラウド、 オンプレミスの アプリケーション ユーザーID グループメンバーシップ デバイス ドメイン参加 Compliance Policy 準拠 プラットフォームの種類 (Windows, iOS, Android) 場所 IP アドレスの範囲 多要素認証の強制 デバイス登録の強制 許可 ブロック リスク セッション リスク IDリスク Your App
  24. 24. アプリ アプリ毎のルール クライアントの種類 (Web, Rich, mobile) クラウド、 オンプレミスの アプリケーション ユーザーID グループメンバーシップ デバイス ドメイン参加 Compliance Policy 準拠 プラットフォームの種類 (Windows, iOS, Android) 場所 IP アドレスの範囲 多要素認証の強制 デバイス登録の強制 許可 ブロック リスク セッション リスク IDリスク Your App
  25. 25. アプリ アプリ毎のルール クライアントの種類 (Web, Rich, mobile) クラウド、 オンプレミスの アプリケーション ユーザーID グループメンバーシップ デバイス ドメイン参加 Compliance Policy 準拠 プラットフォームの種類 (Windows, iOS, Android) 場所 IP アドレスの範囲 多要素認証の強制 デバイス登録の強制 許可 ブロック リスク セッション リスク IDリスク Your App
  26. 26. どのアプリにどこから誰が 許可 ただし… 具体的な設定例 林さんは Salesforce に社外からアクセスする場合に多要素認証が必要 ユーザー グループ 情報共有 ツール SaaS 社外 社内 どのデバイスで スマート フォン PC ※ Office 365 では、アクセスを完全に制御するには ADFS との組み合わせが必要になる場合があります 拒否 多要素認証が必要 アクセス条件 アクセス可否 会社貸与に準ずる デバイスであること デバイスがコンプライアンス ポリシーに準拠していること Sales force Skype (IM/会議) SharePoint OneDrive (情報共有) Yammer Teams PowerBI 承認された クライアント アプリケーション どのアプリで アプリ ブラウザ
  27. 27. 多要素認証が必要 会社貸与に準ずる デバイスであること デバイスがコンプライアンス ポリシーに準拠していること 承認された クライアント アプリケーション
  28. 28. https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory- aadconnectsync-implement-password-synchronization#how-password- synchronization-works
  29. 29. 必要事項 PHS + SSO PTA + SSO AD FS オンプレミスの Active Directory にある新しいユーザー、連絡先、 およびグループ アカウントを、自動的にクラウドに同期する。 ○ ○ ○ ユーザーがオンプレミスのパスワードを使用してサインインし、 クラウド サービスにアクセスできるようにする。 ○ ○ ○ 会社の資格情報を使用してシングル サインオンを実装する。 ○ ○ ○ クラウドにパスワードが保存されていないことを確認する。 ○* ○ オンプレミスに配置したサーバーの障害にサービスが影響されな い。 ○ オンプレミスの Multi-factor Authentication ソリューションを有効 化する。 ○ 先進認証(ADAL)非対応の Office 2010 / POP / IMAP のアクセス制御 *近々、レガシー認証をブロックする機能を実装予定 ○
  30. 30. 上記条件が満たされているのであれば AD FS から脱出できます
  31. 31. 新規の Office 365 展開時には AD FS ありきではなく、 まずは、パスワードハッシュ同期を検討する シームレス SSO を有効化することをお忘れなく Office 365 の導入前に立ちはだかる 重たい AD FS から解放されましょう!
  32. 32. Session ID Title SEC007 16:25 – 17:15 Azure AD B2C と LINE 連携により実現する 学校や企業における 次世代 ID/メッセージ基盤 富士榮 尚寛 氏 伊藤忠テクノソリューションズ株式会社 すみません、以下はアーカイブでご覧ください。 SEC004 Active Directory/Azure Active Directory の構成パターンと正しい認証方式の選択 SEC005 ネットワーク エンジニア必見!VPN/DMZ は要らなくなる!? Azure AD Application Proxy で実現するセキュアなアクセス SEC009 Azure AD による Web API の 保護 ~ Azure API Management をセキュリティの観点で解説

×