Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
MCT (Microsoft Certified Trainer)
MVP (Office Servers and Services )
宮川 麻里 Mari Miyakawa
Microsoft Azure / Office 365 / EM...
Prologue
2020 年
まもなくやってくる
まもなくやってくる
2020.1 .14
Windows 7
Windows Server 2008 / 2008 R2
連 携
クラウドベースの認証管理基盤
認証 & 認可
生産性向上
コスト削減
セキュリティ
強化
ワークスタイル
変革
2017年 移行準備
2018年 2019年 2020年
移行作業
・Local
ファイル整理
注目
ポイント
移行作業軽減
Backup 不要
・Master
イメージ作成
・SCCM/WSUS
2018年 OS
2018年 2019年 2020年
移行作業
注目
ポイント
移行作業軽減
Backup 不要
Client OS
Server OS
入れ替え
・Local
ファイル整理
・Master
イメージ作成
・SCCM/WSUS
ID 保護
脅威対策
情報保護
新機能
Windows as a Service
機能改善
+
多彩なデバイス利用
半年ごとの更新
Current Branch for Business
1つ目の転換期
自動的にアップグレードされ続ける環境
コスト削減
効率的な検証とテスト
開発手法の考え方変換
DevOps DevSec
Ops
マルチフォレスト マルチドメイン必要ですか?
Simple is Best
関連セッションあり
生体認証でドメインへ
さようならパスワード
DC ADFS
Windows Hello + Microsoft Passport
生体認証(PIN) + デバイス = 多要素認証
ハイブリッドな Identity
Azure Active Directory
• オンプレミスのIDとアクセス制御
• クラウドサービスに対する
IDとアクセス制御
ADDC ADFS
Proxy
Identity Federation
AD...
ハイブリッドな Identity
Azure Active Directory
• オンプレミスのIDとアクセス制御
ADDC
Identity Federation
3rdLDAP
AADConnect
Azure Active Direct...
懸念事項ありませんか?
クラウド化
2019年 クラウド化
2018年 2019年 2020年
移行作業
注目
ポイント
・移行作業軽減
・Backup 不要
Client OS
Server OS
入れ替え
・生体認証による
ドメイン参加
・セキュアな環境
・多彩なデバイス
オンプレミスを
クラウドへ...
想定される手段
Azure
サイト間 VPN
Express Route
Or
DC Connect ADFS WAP
AAD
業務
考慮すべき Point
・DNS・ディスク
・ドメイン構成 ・GC
・レプリケーション など
Azure Active Directory Domain Services (AADDS)
Azure Active Directory で Kerberos
28
AADDS
ユーザー情報
Azure Active Directory Domain Services
管理ツール
ARMは
VNET ピアリング
移行元
SaaS
徐々にSaaS / PaaS へ移行
2つ目の転換期
Azure Active Directory
2020 年 クラウド ID 基盤
2018年 2019年 2020年
移行作業
注目
ポイント
・移行作業軽減
・Backup 不要
ClientOS
ServerOS
入れ替え
・生体認証で
ドメイン参加
・セキュアな環境
オンプレミスを
クラウドへ
・オンプレミス
Serv...
Enterprise Mobility Suite
Intune
Domain
Services
関連セッションあり
Epilogue
Session
ID
Title Name Date time
SC04
あなたのサービスを "ID" で守る!
Azure Active Directory の
条件付きアクセスの基礎と実装
松井 大
Day 1
15:40~16:30
SC...
セッションアンケートにご協力ください
➢ 専用アプリからご回答いただけます。
decode 2017
➢ スケジュールビルダーで受講セッションを
登録後、アンケート画面からご回答ください。
➢ アンケートの回答時間はたったの 15 秒です!
Ask the Speaker のご案内
本セッションの詳細は『Ask the Speaker Room』各コーナーカウンタにて
ご説明させていただきます。是非、お立ち寄りください。
Appendix
認証管理基盤・オブジェクト一元管理
Windows Server 2012 R2 まで
アクセス権
認証管理
グループポリシー
復習
公開鍵暗号化方式利用
デバイスと本人の2段階認証
Windows 10 以前のデバイスは別構成必要
DRS
条件付き
アクセス
※処理の流れ
トークンの流れではない
関連セッションあり
多要素認証のみでログイン
アクセス制御ポリシー(ADFS ポリシー)
Windows Hello For Business
Open ID Connect / oAuth 2.0 による認証
LDAPの認証サポート
ADDS & ADFS
認証...
LDAP v3 準拠ディレクトリサービス対応
LDAP v3
関連セッションあり
id_token
Open ID Connect / OAuth 2.0 認証
アクセス制御ポリシー
難解なクレームルールを記述せずにGUIで制御が可能
場所
MFA強制
特定グループ
Windows Server 2016 では MFA Server 不要
Azure MFA
アダプター
標準搭載
Azure AD
Premium P1
多要素認証でログイン
メジャーなプロトコル / トークンに対応
プロトコル おもなトークン
OpenID Connect /OAuth(2.0) JSON Web Token
SAML 2.0 SAML Token
WS-Federation Primary ref...
共同作業環境を手早く設定
※招待ユーザーを登録することに課金は発生しない
2017年4月 GA
ソーシャル認証利用のアプリ開発
SNSアカウント
情報
B2C
属性情報
関連セッションあり
2017.05.02 現在
サインインユーザー: 670万人
アプリケーション利用実績
https://blogs.technet.microsoft.com/enterprisemobility/2017/05/01/azure-ad-and...
Domain Admins / Enterprise Admins がない
現時点ではクラシックポータルのみ
→ARM と接続する場合は vNET ピアリングを設定
ドメイン構成のカスタマイズは不可
グループポリシーのカスタマイズ不可
→AAD...
・DataDiskを追加しデータファイル保管
・ドメインコントローラー(DNSServer)フォワーダー変更
・複数リージョンの場合は適宜 Active Directory サイトを作成
・マルチドメイン・フォレストでオンプレミスハイブリッド構...
© 2017 Microsoft Corporation. All rights reserved.
本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。
[SC02] シチュエーション別 Active Directory デザインパターン
[SC02] シチュエーション別 Active Directory デザインパターン
[SC02] シチュエーション別 Active Directory デザインパターン
[SC02] シチュエーション別 Active Directory デザインパターン
[SC02] シチュエーション別 Active Directory デザインパターン
[SC02] シチュエーション別 Active Directory デザインパターン
Upcoming SlideShare
Loading in …5
×

[SC02] シチュエーション別 Active Directory デザインパターン

2,396 views

Published on

Active Directory を中心としたアイデンティティ プロバイダはオンプレミスからハイブリッドやクラウドまで様々な構成が実現され飛躍的な進化を遂げています。
多様化する選択肢のなかからどれを選択しどのように設計すべきなのか?
Windows Server 2016 の認証新機能から Azure AD、Azure Active Directory Domain Services まで、それぞれの特徴を理解し企業にとっての Best Practice を見極めましょう!

受講対象: Active Directory の設計に携わるエンジニア

製品/テクノロジ: Microsoft Azure/Windows Server/アーキテクチャ/アイデンティティ (AD/Azure AD)/セキュリティ/クラウド

宮川 麻里
Microsoft MVP

Published in: Technology
  • Login to see the comments

[SC02] シチュエーション別 Active Directory デザインパターン

  1. 1. MCT (Microsoft Certified Trainer) MVP (Office Servers and Services ) 宮川 麻里 Mari Miyakawa Microsoft Azure / Office 365 / EMS / Active Directory など 企業様向けカスタマイズトレーニングや技術支援実施
  2. 2. Prologue
  3. 3. 2020 年 まもなくやってくる
  4. 4. まもなくやってくる 2020.1 .14 Windows 7 Windows Server 2008 / 2008 R2
  5. 5. 連 携 クラウドベースの認証管理基盤 認証 & 認可 生産性向上 コスト削減 セキュリティ 強化 ワークスタイル 変革
  6. 6. 2017年 移行準備
  7. 7. 2018年 2019年 2020年 移行作業 ・Local ファイル整理 注目 ポイント 移行作業軽減 Backup 不要 ・Master イメージ作成 ・SCCM/WSUS
  8. 8. 2018年 OS
  9. 9. 2018年 2019年 2020年 移行作業 注目 ポイント 移行作業軽減 Backup 不要 Client OS Server OS 入れ替え ・Local ファイル整理 ・Master イメージ作成 ・SCCM/WSUS
  10. 10. ID 保護 脅威対策 情報保護 新機能 Windows as a Service 機能改善 + 多彩なデバイス利用 半年ごとの更新 Current Branch for Business
  11. 11. 1つ目の転換期
  12. 12. 自動的にアップグレードされ続ける環境 コスト削減 効率的な検証とテスト 開発手法の考え方変換 DevOps DevSec Ops
  13. 13. マルチフォレスト マルチドメイン必要ですか? Simple is Best
  14. 14. 関連セッションあり 生体認証でドメインへ さようならパスワード DC ADFS Windows Hello + Microsoft Passport 生体認証(PIN) + デバイス = 多要素認証
  15. 15. ハイブリッドな Identity Azure Active Directory • オンプレミスのIDとアクセス制御 • クラウドサービスに対する IDとアクセス制御 ADDC ADFS Proxy Identity Federation ADFS 4.03rdLDAP Active Directory Federation Service SSO
  16. 16. ハイブリッドな Identity Azure Active Directory • オンプレミスのIDとアクセス制御 ADDC Identity Federation 3rdLDAP AADConnect Azure Active Directory Connect パススルー認証 • クラウドサービスに対する IDとアクセス制御 SSO Public Preview
  17. 17. 懸念事項ありませんか?
  18. 18. クラウド化
  19. 19. 2019年 クラウド化
  20. 20. 2018年 2019年 2020年 移行作業 注目 ポイント ・移行作業軽減 ・Backup 不要 Client OS Server OS 入れ替え ・生体認証による ドメイン参加 ・セキュアな環境 ・多彩なデバイス オンプレミスを クラウドへ ・Local ファイル整理 ・Master イメージ作成 ・SCCM/WSUS
  21. 21. 想定される手段
  22. 22. Azure サイト間 VPN Express Route Or DC Connect ADFS WAP AAD 業務 考慮すべき Point ・DNS・ディスク ・ドメイン構成 ・GC ・レプリケーション など
  23. 23. Azure Active Directory Domain Services (AADDS) Azure Active Directory で Kerberos
  24. 24. 28 AADDS ユーザー情報 Azure Active Directory Domain Services 管理ツール ARMは VNET ピアリング 移行元 SaaS 徐々にSaaS / PaaS へ移行
  25. 25. 2つ目の転換期
  26. 26. Azure Active Directory
  27. 27. 2020 年 クラウド ID 基盤
  28. 28. 2018年 2019年 2020年 移行作業 注目 ポイント ・移行作業軽減 ・Backup 不要 ClientOS ServerOS 入れ替え ・生体認証で ドメイン参加 ・セキュアな環境 オンプレミスを クラウドへ ・オンプレミス Server レス ・Local ファイル整理 ・Master イメージ作成 ・SCCM/WSUS ・クラウドID基盤 ・生産性向上 ・コスト削減 ・セキュリティ強化 ・ワークスタイル 変革
  29. 29. Enterprise Mobility Suite Intune Domain Services 関連セッションあり
  30. 30. Epilogue
  31. 31. Session ID Title Name Date time SC04 あなたのサービスを "ID" で守る! Azure Active Directory の 条件付きアクセスの基礎と実装 松井 大 Day 1 15:40~16:30 SC15 Windows Hello で実現する ハイブリッド 生体認証 小町 紘之 Day1 17:00~17:50 SC07 Azure AD と Ruby で学ぶ OpenID Connect! 真武 信和 Day 2 14:50~15:40 SC05 株式会社アシックス様における Azure AD 導入プロジェクトの実際 富士榮 尚寛 Day 2 17:30~18:20
  32. 32. セッションアンケートにご協力ください ➢ 専用アプリからご回答いただけます。 decode 2017 ➢ スケジュールビルダーで受講セッションを 登録後、アンケート画面からご回答ください。 ➢ アンケートの回答時間はたったの 15 秒です!
  33. 33. Ask the Speaker のご案内 本セッションの詳細は『Ask the Speaker Room』各コーナーカウンタにて ご説明させていただきます。是非、お立ち寄りください。
  34. 34. Appendix
  35. 35. 認証管理基盤・オブジェクト一元管理 Windows Server 2012 R2 まで アクセス権 認証管理 グループポリシー
  36. 36. 復習 公開鍵暗号化方式利用 デバイスと本人の2段階認証
  37. 37. Windows 10 以前のデバイスは別構成必要 DRS 条件付き アクセス ※処理の流れ トークンの流れではない 関連セッションあり
  38. 38. 多要素認証のみでログイン アクセス制御ポリシー(ADFS ポリシー) Windows Hello For Business Open ID Connect / oAuth 2.0 による認証 LDAPの認証サポート ADDS & ADFS 認証まわり新機能 グループポリシー作成時のUIの利便性向上
  39. 39. LDAP v3 準拠ディレクトリサービス対応 LDAP v3
  40. 40. 関連セッションあり id_token Open ID Connect / OAuth 2.0 認証
  41. 41. アクセス制御ポリシー 難解なクレームルールを記述せずにGUIで制御が可能 場所 MFA強制 特定グループ
  42. 42. Windows Server 2016 では MFA Server 不要 Azure MFA アダプター 標準搭載 Azure AD Premium P1 多要素認証でログイン
  43. 43. メジャーなプロトコル / トークンに対応 プロトコル おもなトークン OpenID Connect /OAuth(2.0) JSON Web Token SAML 2.0 SAML Token WS-Federation Primary refresh token Microsoft Passport Access token
  44. 44. 共同作業環境を手早く設定 ※招待ユーザーを登録することに課金は発生しない 2017年4月 GA
  45. 45. ソーシャル認証利用のアプリ開発 SNSアカウント 情報 B2C 属性情報 関連セッションあり
  46. 46. 2017.05.02 現在 サインインユーザー: 670万人 アプリケーション利用実績 https://blogs.technet.microsoft.com/enterprisemobility/2017/05/01/azure-ad-and- third-party-apps-its-a-bigger-deal-than-you-might-think/ Azure AD and third-party apps: It’s a bigger deal than you might think! 利用アプリ数:190,000 Custom Application
  47. 47. Domain Admins / Enterprise Admins がない 現時点ではクラシックポータルのみ →ARM と接続する場合は vNET ピアリングを設定 ドメイン構成のカスタマイズは不可 グループポリシーのカスタマイズ不可 →AADDS ADMINISTRATORS グループを作成 →Azure AD ディレクトリ毎に1つのドメイン 作成 →複雑なポリシー利用は Intune の併用を検討 →連携するサービスに注意
  48. 48. ・DataDiskを追加しデータファイル保管 ・ドメインコントローラー(DNSServer)フォワーダー変更 ・複数リージョンの場合は適宜 Active Directory サイトを作成 ・マルチドメイン・フォレストでオンプレミスハイブリッド構成は ユニバーサルグループキャッシュを有効化する →Cドライブのデータは削除対象 →168.63.129.16を削除する。名前解決ができなくなる。 https://support.microsoft.com/ja-jp/help/3048295 →サイト間レプリケーションによる通信コスト削減 →GC 参照の軽減
  49. 49. © 2017 Microsoft Corporation. All rights reserved. 本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。

×