2. Agenda
• 2種類の Active Directory の違いと役割、
連携方法を理解しましょう
• Windows Server 2016 ADDS/ADFS で
できるようになることを理解しましょう
ハイブリッドな Active Directory を構成するうえで必要な知識
関連製品
• Azure Active Directory Free
• Windows Server 2016 Active Directory(AD DS/AD FS)
• Windows 10 Anniversary Update
15. Windows 10 アプリとシングルサインオン」 にて
Enterprise
Container
Personal
Container
Web Account Manager
Custom Application
Web Account Provider
16. • Microsoft Account を使用する
or Azure AD に参加する(Azure AD Join)
or Windows Server 2016 {AD DS + AD FS} ドメインに参加する
or 「職場または学校アカウントを追加」する(旧 Workplace Join)
Microsoft Passport を使用するには
• Windows 10
• Microsoft Passport の利用が有効化されている(規定値は“有効”)
Passport for Work
今回はここをター
ゲットにします• グループポリシー
or System Center Configuration Manager
or Microsoft Intune
or 3rd party MDM
PINの管理を行う
管理ツール
17. Protocol AD DS AD FS Azure AD
Kerberos, NTLM, LDAP v3 2000 ~ Azure AD DS
WS-Federation 2012 ~ ○
SAML 2.0 2012 ~ ○
OAuth 2.0 auth code grant, public client 2012 R2 ○
OpenID Connect 2016 ○
OAuth 2.0 implicit grant 2016 ○
OAuth 2.0 auth code grant, confidential client 2016 ○
OAuth 2.0 client credential grant 2016 ○
OAuth 2.0 on behalf of 2016 ○
Microsoft Passport 2016 ○
18. 認証基盤シナリオ
PC オンプレミスアプリ クラウドアプリ
ドメイン ログオン 連携先 認証方式 連携先 認証方式
従来の
シナリオ
オンプレミス AD DS Kerberos AD DS WIA
オンプレミス AD DS Kerberos
AD DS WIA
AD FS WS-Fed, SAML2.0
AD FS WS-Fed, SAML2.0
ハイブリッド
・フェデレーション
AD DS Kerberos
AD DS WIA
Azure AD
WS-Fed, SAML2.0
OpenID Connect
Password Form 連携
Azure Application Proxy
AD FS WS-Fed, SAML2.0
Azure AD
WS-Fed, SAML2.0
OpenID Connect
Password 連携
Azure Application Proxy
Windows 10
クラウド Azure AD
Microsoft
Passport
Azure AD Microsoft Passport Azure AD Microsoft Passport
ハイブリッド
・フェデレーション
・デバイス同期
AD DS Kerberos Azure AD Microsoft Passport Azure AD Microsoft Passport
Windows 10
+
WS 2016
オンプレミス
AD DS
AD FS
Microsoft
Passport
AD FS
Microsoft Passport
OpenID Connect
AD FS
Microsoft Passport
OpenID Connect
ハイブリッド
・フェデレーション
・デバイス同期
Azure AD
Microsoft
Passport
AD FS
Microsoft Passport
OpenID Connect
AD FS
Microsoft Passport
OpenID Connect
19.
20. Passport for Work の使用~Azure AD に参加する
課題
• パスワードが Azure AD に残ってしまう
• オンプレミスとは認証が分断される
31. 対策
• Azure AD Connect Health による監視
AD FS
Web Application Proxy
Azure AD DS(予定)
• ファーム構成
• AD FS
• Web Application Proxy
落ちたらサービスが利用できません!
Azure AD
Domain Service
Azure VNET
Azure AD
Connect
Azure AD
Connect Health
32. • Azure AD MFA
• Azure AD MFA + MFA Server
Microsoft Passport が使えないデバイスはどうする?
認証強度を高めるための”多要素認証” 活用 」
多要素認証による“ユーザー認証の堅牢化“
ちなみに、Windows Server 2016 AD FS には MFA Server addin が標準装備されます。