Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Azure AD Premium はまりポイント

4,101 views

Published on

Azure AD Premium はまりポイント

Published in: Technology
  • Login to see the comments

Azure AD Premium はまりポイント

  1. 1. Azure AD Premium はまりポイント 1 2018/4/21 Shinsuke Saito
  2. 2. 注意!! この資料に乗せている情報は、2018/4/21 現在の情報です。 動作要件や仕様等は常に変化しますのでお気を付けください。 2
  3. 3. 自己紹介 名前 : 斉藤 慎輔 (Twitter : @masalabo716) 職業 : SIer (インフラエンジニア) やってること : 某 IT 流通企業で Azure を契約した顧客に Azure を使ってもらうべく布教活動 好きなもの : しろたん YouTube 公式チャンネル https://www.youtube.com/channel/UCUsY9uNAEkAHlG2CeTVw4UQ 3
  4. 4. Azure AD Premium P1 にすると何ができる? オブジェクト作成数・SSO アプリの数が無制限 多要素認証 (Azure MFA) オンプレ AD へのパスワード・デバイスライトバック 条件付きアクセス Windows 10 での Azure AD Join の拡張 4 Azure Active Directory の価格 (プランごとの機能一覧) https://azure.microsoft.com/ja-jp/pricing/details/active-directory/
  5. 5. Azure AD Premium P1 にすると何ができる? オブジェクト作成数・SSO アプリの数が無制限 多要素認証 (Azure MFA) オンプレ AD へのパスワード・デバイスライトバック 条件付きアクセス Windows 10 での Azure AD Join の拡張 5 Azure Active Directory の価格 (プランごとの機能一覧) https://azure.microsoft.com/ja-jp/pricing/details/active-directory/ 今回はこの辺りの機能に注目!!
  6. 6. 多要素認証 (Azure MFA) 6
  7. 7. 多要素認証 (Azure MFA) のはまりポイント レガシー認証使用時にログインできない (iOS のメールアプリ等) → アプリケーションパスワードを使ってログインする 7 発行時しかパスワードは 表示されないので注意!!
  8. 8. 多要素認証 (Azure MFA) のはまりポイント デスクトップ版 Outlook でログインできない → Exchange Online で先進認証を有効にする (PowerShell) Set-OrganizationConfig -OAuth2ClientProfileEnabled $true 8 Exchange Online で先進認証を有効または無効にする https://support.office.com/ja-jp/article/exchange-online- %E3%81%A7%E5%85%88%E9%80%B2%E8%AA%8D%E8%A8%BC%E3%82%92%E6%9C%89%E5%8A%B9%E3%81%BE%E3%81%9F%E3%81%AF%E7%84%A1%E5% 8A%B9%E3%81%AB%E3%81%99%E3%82%8B-58018196-f918-49cd-8238-56f57f38d662
  9. 9. 多要素認証 (Azure MFA) のはまりポイント デスクトップ版 Skype for Business でもログインできない → Skype for Business Online も先進認証を有効にする Set-CsOAuthConfiguration -ClientAdalAuthOverride Allowed 9 Skype for Business Online: Enable your tenant for modern authentication https://aka.ms/SkypeModernAuth
  10. 10. パスワードライトバック 10
  11. 11. パスワードライトバックのはまりポイント オンプレ AD のアカウントをリセット・変更した場合 ドメインに参加しているPCでパスワード不整合が起きる 11 PW を「123456」にリセット PW 「123456」でログイン不可 リセット前の PW が必要 PW の不整合 が発生!!
  12. 12. 条件付きアクセス 12
  13. 13. 条件付きアクセスのはまりポイント 制限しすぎに注意 → 管理者が Azure Portal に入れないと設定解除もできない。。。 13 Azure ポータルへのアクセス制限について https://blogs.technet.microsoft.com/jpazureid/2017/12/29/azuread-portal/
  14. 14. 条件付きアクセスのはまりポイント 接続元 IP は、当然ながらグローバルIPが必要 → 例はプライベートIP なんですよね。。。 14
  15. 15. 条件付きアクセスのはまりポイント 制限できる対象にはいくつか条件が。。。 → 先進認証が必須なので多要素認証との連携を考慮する 15先進認証 (ADAL ベースサインイン) のログイン画面の例
  16. 16. 条件付きアクセスのはまりポイント デバイスを要件にするには Intune が必要 → でも Intune は、他社の MDM と比べると。。。 16
  17. 17. まとめ 多要素認証は、レガシー認証を使用するアプリがあるか確認 Office 365 のサーバー側も先進認証が有効か確認を セルフパスワードリセットは、使わないと損! 認証デバイスの取り扱いには気を付けて 条件付きアクセスは、多要素認証と組み合わせて レガシー認証をさせない構成に 17
  18. 18. ご清聴ありがとうございました! 18

×