Upcoming SlideShare
[SC02] シチュエーション別 Active Directory デザインパターン
- 1. MCT (Microsoft Certified Trainer) MVP (Office Servers and Services ) 宮川 麻里 Mari Miyakawa Microsoft Azure / Office 365 / EMS / Active Directory など 企業様向けカスタマイズトレーニングや技術支援実施
- 2. Prologue
- 3. 2020 年 まもなくやってくる
- 4. まもなくやってくる 2020.1 .14 Windows 7 Windows Server 2008 / 2008 R2
- 5. 連 携 クラウドベースの認証管理基盤 認証 & 認可 生産性向上 コスト削減 セキュリティ 強化 ワークスタイル 変革
- 6. 2017年 移行準備
- 7. 2018年 2019年 2020年 移行作業 ・Local ファイル整理 注目 ポイント 移行作業軽減 Backup 不要 ・Master イメージ作成 ・SCCM/WSUS
- 8. 2018年 OS
- 9. 2018年 2019年 2020年 移行作業 注目 ポイント 移行作業軽減 Backup 不要 Client OS Server OS 入れ替え ・Local ファイル整理 ・Master イメージ作成 ・SCCM/WSUS
- 10. ID 保護 脅威対策 情報保護 新機能 Windows as a Service 機能改善 + 多彩なデバイス利用 半年ごとの更新 Current Branch for Business
- 11. 1つ目の転換期
- 12. 自動的にアップグレードされ続ける環境 コスト削減 効率的な検証とテスト 開発手法の考え方変換 DevOps DevSec Ops
- 13. マルチフォレスト マルチドメイン必要ですか? Simple is Best
- 14. 関連セッションあり 生体認証でドメインへ さようならパスワード DC ADFS Windows Hello + Microsoft Passport 生体認証(PIN) + デバイス = 多要素認証
- 15. ハイブリッドな Identity Azure Active Directory • オンプレミスのIDとアクセス制御 • クラウドサービスに対する IDとアクセス制御 ADDC ADFS Proxy Identity Federation ADFS 4.03rdLDAP Active Directory Federation Service SSO
- 16. ハイブリッドな Identity Azure Active Directory • オンプレミスのIDとアクセス制御 ADDC Identity Federation 3rdLDAP AADConnect Azure Active Directory Connect パススルー認証 • クラウドサービスに対する IDとアクセス制御 SSO Public Preview
- 17. 懸念事項ありませんか?
- 18. クラウド化
- 19. 2019年 クラウド化
- 20. 2018年 2019年 2020年 移行作業 注目 ポイント ・移行作業軽減 ・Backup 不要 Client OS Server OS 入れ替え ・生体認証による ドメイン参加 ・セキュアな環境 ・多彩なデバイス オンプレミスを クラウドへ ・Local ファイル整理 ・Master イメージ作成 ・SCCM/WSUS
- 21. 想定される手段
- 22. Azure サイト間 VPN Express Route Or DC Connect ADFS WAP AAD 業務 考慮すべき Point ・DNS・ディスク ・ドメイン構成 ・GC ・レプリケーション など
- 23. Azure Active Directory Domain Services (AADDS) Azure Active Directory で Kerberos
- 24. 28 AADDS ユーザー情報 Azure Active Directory Domain Services 管理ツール ARMは VNET ピアリング 移行元 SaaS 徐々にSaaS / PaaS へ移行
- 25. 2つ目の転換期
- 26. Azure Active Directory
- 27. 2020 年 クラウド ID 基盤
- 28. 2018年 2019年 2020年 移行作業 注目 ポイント ・移行作業軽減 ・Backup 不要 ClientOS ServerOS 入れ替え ・生体認証で ドメイン参加 ・セキュアな環境 オンプレミスを クラウドへ ・オンプレミス Server レス ・Local ファイル整理 ・Master イメージ作成 ・SCCM/WSUS ・クラウドID基盤 ・生産性向上 ・コスト削減 ・セキュリティ強化 ・ワークスタイル 変革
- 29. Enterprise Mobility Suite Intune Domain Services 関連セッションあり
- 30. Epilogue
- 31. Session ID Title Name Date time SC04 あなたのサービスを "ID" で守る! Azure Active Directory の 条件付きアクセスの基礎と実装 松井 大 Day 1 15:40~16:30 SC15 Windows Hello で実現する ハイブリッド 生体認証 小町 紘之 Day1 17:00~17:50 SC07 Azure AD と Ruby で学ぶ OpenID Connect! 真武 信和 Day 2 14:50~15:40 SC05 株式会社アシックス様における Azure AD 導入プロジェクトの実際 富士榮 尚寛 Day 2 17:30~18:20
- 32. セッションアンケートにご協力ください ➢ 専用アプリからご回答いただけます。 decode 2017 ➢ スケジュールビルダーで受講セッションを 登録後、アンケート画面からご回答ください。 ➢ アンケートの回答時間はたったの 15 秒です!
- 33. Ask the Speaker のご案内 本セッションの詳細は『Ask the Speaker Room』各コーナーカウンタにて ご説明させていただきます。是非、お立ち寄りください。
- 34. Appendix
- 35. 認証管理基盤・オブジェクト一元管理 Windows Server 2012 R2 まで アクセス権 認証管理 グループポリシー
- 36. 復習 公開鍵暗号化方式利用 デバイスと本人の2段階認証
- 37. Windows 10 以前のデバイスは別構成必要 DRS 条件付き アクセス ※処理の流れ トークンの流れではない 関連セッションあり
- 38. 多要素認証のみでログイン アクセス制御ポリシー(ADFS ポリシー) Windows Hello For Business Open ID Connect / oAuth 2.0 による認証 LDAPの認証サポート ADDS & ADFS 認証まわり新機能 グループポリシー作成時のUIの利便性向上
- 39. LDAP v3 準拠ディレクトリサービス対応 LDAP v3
- 40. 関連セッションあり id_token Open ID Connect / OAuth 2.0 認証
- 41. アクセス制御ポリシー 難解なクレームルールを記述せずにGUIで制御が可能 場所 MFA強制 特定グループ
- 42. Windows Server 2016 では MFA Server 不要 Azure MFA アダプター 標準搭載 Azure AD Premium P1 多要素認証でログイン
- 43. メジャーなプロトコル / トークンに対応 プロトコル おもなトークン OpenID Connect /OAuth(2.0) JSON Web Token SAML 2.0 SAML Token WS-Federation Primary refresh token Microsoft Passport Access token
- 44. 共同作業環境を手早く設定 ※招待ユーザーを登録することに課金は発生しない 2017年4月 GA
- 45. ソーシャル認証利用のアプリ開発 SNSアカウント 情報 B2C 属性情報 関連セッションあり
- 46. 2017.05.02 現在 サインインユーザー: 670万人 アプリケーション利用実績 https://blogs.technet.microsoft.com/enterprisemobility/2017/05/01/azure-ad-and- third-party-apps-its-a-bigger-deal-than-you-might-think/ Azure AD and third-party apps: It’s a bigger deal than you might think! 利用アプリ数:190,000 Custom Application
- 47. Domain Admins / Enterprise Admins がない 現時点ではクラシックポータルのみ →ARM と接続する場合は vNET ピアリングを設定 ドメイン構成のカスタマイズは不可 グループポリシーのカスタマイズ不可 →AADDS ADMINISTRATORS グループを作成 →Azure AD ディレクトリ毎に1つのドメイン 作成 →複雑なポリシー利用は Intune の併用を検討 →連携するサービスに注意
- 48. ・DataDiskを追加しデータファイル保管 ・ドメインコントローラー(DNSServer)フォワーダー変更 ・複数リージョンの場合は適宜 Active Directory サイトを作成 ・マルチドメイン・フォレストでオンプレミスハイブリッド構成は ユニバーサルグループキャッシュを有効化する →Cドライブのデータは削除対象 →168.63.129.16を削除する。名前解決ができなくなる。 https://support.microsoft.com/ja-jp/help/3048295 →サイト間レプリケーションによる通信コスト削減 →GC 参照の軽減
- 49. © 2017 Microsoft Corporation. All rights reserved. 本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。
Login to see the comments