Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Azure Active Directory
May 2016
0.8億の MAU
大手法人 70% が Azure AD を利用中
May 2017
1.2億の MAU
Your
App
オンプレミス時代の
保護対象
人(ID) デバイス データ・アプリ
Windows PC
AD
人(ID) デバイス データ・アプリ
Exchange
Online
SharePoint
Online
Yammer
Groups
Windows PC
AD
Your
App
人(ID) デバイス データ・アプリ
Exchange
Online
SharePoint
Online
Yammer
Groups
Windows PC
AD
Your
App
クラウド時代の
保護対象
つなぐ まもる
Azure AD
7.5億人の
ユーザーが利用
19万の
アプリが接続
*Office 365 を除く数字
Demo
Web Application を Azure AD と接続する
つなぐ まもる
Azure AD 毎日 10TB の
データを
機械学習で処理
毎日 150万回の
アタックを回避
7.5億人の
ユーザーが利用
19万の
アプリが接続
毎日 3万人の
攻撃を受けた可能性の
あるユーザーを特定
毎日 13億回 ...
アプリ
アプリ毎のルール
クライアントの種類
(Web, Rich, mobile)
クラウド、
オンプレミスの
アプリケーション
ユーザーID
グループメンバーシップ
デバイス
ドメイン参加
Compliance Policy 準拠
プラット...
アプリ
アプリ毎のルール
クライアントの種類
(Web, Rich, mobile)
クラウド、
オンプレミスの
アプリケーション
ユーザーID
グループメンバーシップ
デバイス
ドメイン参加
Compliance Policy 準拠
プラット...
アプリ
アプリ毎のルール
クライアントの種類
(Web, Rich, mobile)
クラウド、
オンプレミスの
アプリケーション
ユーザーID
グループメンバーシップ
デバイス
ドメイン参加
Compliance Policy 準拠
プラット...
アプリ
アプリ毎のルール
クライアントの種類
(Web, Rich, mobile)
クラウド、
オンプレミスの
アプリケーション
ユーザーID
グループメンバーシップ
デバイス
ドメイン参加
Compliance Policy 準拠
プラット...
ID の不正利用からの保護(MFA)
ID の不正利用からの保護
Azure Multi-Factor Authentication (Azure MFA)
ユーザーが
知ってる
情報
ユーザーが
持っている
もの
ログイン
ID の不正利用からの保護
モバイルアプリ 通話 ショート
メッセージ
承認しますか?
1 4 5 6 7 6
ユーザーへのメリット
• 過度なパスワード要件を求めら
れず、ある程度覚えやすいパス
ワードが利用可能
管理者へのメリット
• 多要素認証専用の機器(トーク
ン等)の管理が不要
• SaaS, 社内 Web アプリにも
利用可能
セキュリティ上...
Demo
ロケーションベースの条件付きアクセス
信頼されていないネットワークから接続する
→多要素認証を求められる
不明なソースからのサインイン
複数のエラー後のサインイン
複数の地域からのサインイン
不審なアクティビティのある IP アドレスからのサインイン
不規則なサインイン アクティビティ
感染している可能性があるデバイスからのサインイン
異常なサイン...
重大度
低
重大度
中
重大度
高
・感染しているデバイスからの
サインイン
・特殊な場所へのあり得ない移動
・匿名の IP アドレスからの
サインイン
・不審なアクティビティのある
IP アドレスからのサインイン
・未知の場所からのサインイン...
サインインをブロック
多要素認証を追加で要求
パスワードを変更
アプリ
Demo
リスクベース認証
アクセス元を匿名化してアプリにアクセス
→ アクセスがブロックされる
パスワード
+ Phone Factor
社外ネットワークからの
アクセス時は多要素認証を強制したい
企業所有のモバイルデバイスのみ
アクセスを許可したい
✅
企業所有
個人所有
安全なデバイスのみアクセスを許可したい
✅
✅
マルウェア感染済...
Azure Active
Directory
Premium
② 認証プロセス
① 社外から
アクセス
④ 多要素認証を要求
・事前に社内で利用する IP アドレスを登録
・デバイスのロケーションに応じて多要素認証を要求
モバイルアプリ
Mic...
Azure Active
Directory
Premium
② 認証プロセス
① 企業所有
デバイスから
クセス
・Microsoft Intune に登録されたデバイスか
どうかをチェックし、未登録時は登録を要求
③ デバイスの管理ステータ...
Azure AD
Browser Web AppOAuth-
authorize
OAuth-
token
graph
Navigate to your application
Post authN token and authZ code t...
Azure AD
Browser
Unified enrollment
Device object
- Device ID
- isManaged
- MDMStatus
Webサイトへのア
クセスが検疫され、
デバイスの登録が
促される
Of...
• ADAL または WAM API を使用するアプリケーション
https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-conditional-acc...
• ADAL または WAM API を使用するアプリケーション
https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-conditional-acc...
https://technet.microsoft.com/ja-jp/library/mt710548.aspx
SAML 2.0
WS-Federation
OpenID Connect
OAuth 2.0
Office 365
Email...
Azure AD
Browser
Unified enrollment
Device object
- Device ID
- isManaged
- MDMStatus
Webサイトへのア
クセスが検疫され、
デバイスの登録が
促される
Of...
Office 365
Email
service
ADAL 非対応アプリの対策
Office 2010
POP/IMAP
SharePoint
(API)
service
https://aka.ms/sec007adfs
AD FS
Clai...
まとめ
”つなぐ”
“まもる”
Azure AD
関連セッション情報
Session ID
Title Name Date time
SC02
シチュエーション別
Active Directory デザインパターン
宮川 麻里
Day 1
14:20~15:10
SC10
自社開発モバイルアプ...
リファレンス
https://aka.ms/decode17sc04_dev
リファレンス
Microsoft MVP for Enterprise Mobility
富士榮(Naohiro Fujie)さんの 動画
https://channel9.msdn.com/Niners/NFujie
セッションアンケートにご協力ください
 専用アプリからご回答いただけます。
decode 2017
 スケジュールビルダーで受講セッションを
登録後、アンケート画面からご回答ください。
 アンケートの回答時間はたったの 15 秒です!
Ask the Speaker のご案内
本セッションの詳細は『Ask the Speaker Room』各コーナーカウンタにて
ご説明させていただきます。是非、お立ち寄りください。
© 2017 Microsoft Corporation. All rights reserved.
本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。
[SC04] あなたのサービスを "ID" で守る! Azure Active Directory の条件付きアクセスの基礎と実装
[SC04] あなたのサービスを "ID" で守る! Azure Active Directory の条件付きアクセスの基礎と実装
[SC04] あなたのサービスを "ID" で守る! Azure Active Directory の条件付きアクセスの基礎と実装
[SC04] あなたのサービスを "ID" で守る! Azure Active Directory の条件付きアクセスの基礎と実装
[SC04] あなたのサービスを "ID" で守る! Azure Active Directory の条件付きアクセスの基礎と実装
[SC04] あなたのサービスを "ID" で守る! Azure Active Directory の条件付きアクセスの基礎と実装
[SC04] あなたのサービスを "ID" で守る! Azure Active Directory の条件付きアクセスの基礎と実装
[SC04] あなたのサービスを "ID" で守る! Azure Active Directory の条件付きアクセスの基礎と実装
[SC04] あなたのサービスを "ID" で守る! Azure Active Directory の条件付きアクセスの基礎と実装
[SC04] あなたのサービスを "ID" で守る! Azure Active Directory の条件付きアクセスの基礎と実装
[SC04] あなたのサービスを "ID" で守る! Azure Active Directory の条件付きアクセスの基礎と実装
Upcoming SlideShare
Loading in …5
×

4

Share

Download to read offline

[SC04] あなたのサービスを "ID" で守る! Azure Active Directory の条件付きアクセスの基礎と実装

Download to read offline

サービスをデプロイする前に「ID の安全性」を保障することに苦労されてはいませんでしょうか? 例えば、ID の不正利用のリスクを低減させるための多要素認証機能や、パスワードを定期的に変更/リセットさせる機能、不正アクセスを検知するためのログ出力機能など、サービスの本質とは少し離れた場所にある機能の実装です。また、クラウド上にサービスを構成しているにも関わらずアクセス元を特定するためにアクセスする際には VPN が必要で、利便性やコストを犠牲にしたサービスをデプロイしたご経験はありませんしょうか? このセッションでは、Azure Active Directory を利用することで、サービスの安全性を最小限のコーディングで実装するための方法をご紹介いたします。

受講対象: インフラ設計とくにセキュリティの設計にかかわるエンジニアの方々

製品/テクノロジ: 運用/セキュリティ/エンタープライズ モビリティ/アイデンティティ (AD/Azure AD)/Microsoft Azure/Microsoft Intune

松井 大
日本マイクロソフト株式会社
クラウド & ソリューション ビジネス統括本部
テクノロジー ソリューション プロフェッショナル

Related Books

Free with a 30 day trial from Scribd

See all

Related Audiobooks

Free with a 30 day trial from Scribd

See all

[SC04] あなたのサービスを "ID" で守る! Azure Active Directory の条件付きアクセスの基礎と実装

  1. 1. Azure Active Directory
  2. 2. May 2016 0.8億の MAU 大手法人 70% が Azure AD を利用中 May 2017 1.2億の MAU Your App
  3. 3. オンプレミス時代の 保護対象 人(ID) デバイス データ・アプリ Windows PC AD
  4. 4. 人(ID) デバイス データ・アプリ Exchange Online SharePoint Online Yammer Groups Windows PC AD Your App
  5. 5. 人(ID) デバイス データ・アプリ Exchange Online SharePoint Online Yammer Groups Windows PC AD Your App クラウド時代の 保護対象
  6. 6. つなぐ まもる Azure AD 7.5億人の ユーザーが利用 19万の アプリが接続 *Office 365 を除く数字
  7. 7. Demo Web Application を Azure AD と接続する
  8. 8. つなぐ まもる Azure AD 毎日 10TB の データを 機械学習で処理 毎日 150万回の アタックを回避 7.5億人の ユーザーが利用 19万の アプリが接続 毎日 3万人の 攻撃を受けた可能性の あるユーザーを特定 毎日 13億回 の 認証を処理 *Office 365 を除く数字
  9. 9. アプリ アプリ毎のルール クライアントの種類 (Web, Rich, mobile) クラウド、 オンプレミスの アプリケーション ユーザーID グループメンバーシップ デバイス ドメイン参加 Compliance Policy 準拠 プラットフォームの種類 (Windows, iOS, Android) 場所 IP アドレスの範囲 多要素認証の強制 デバイス登録の強制 許可 ブロック リスク セッション リスク IDリスク Your App
  10. 10. アプリ アプリ毎のルール クライアントの種類 (Web, Rich, mobile) クラウド、 オンプレミスの アプリケーション ユーザーID グループメンバーシップ デバイス ドメイン参加 Compliance Policy 準拠 プラットフォームの種類 (Windows, iOS, Android) 場所 IP アドレスの範囲 多要素認証の強制 デバイス登録の強制 許可 ブロック リスク セッション リスク IDリスク Your App
  11. 11. アプリ アプリ毎のルール クライアントの種類 (Web, Rich, mobile) クラウド、 オンプレミスの アプリケーション ユーザーID グループメンバーシップ デバイス ドメイン参加 Compliance Policy 準拠 プラットフォームの種類 (Windows, iOS, Android) 場所 IP アドレスの範囲 多要素認証の強制 デバイス登録の強制 許可 ブロック リスク セッション リスク IDリスク Your App
  12. 12. アプリ アプリ毎のルール クライアントの種類 (Web, Rich, mobile) クラウド、 オンプレミスの アプリケーション ユーザーID グループメンバーシップ デバイス ドメイン参加 Compliance Policy 準拠 プラットフォームの種類 (Windows, iOS, Android) 場所 IP アドレスの範囲 多要素認証の強制 デバイス登録の強制 許可 ブロック リスク セッション リスク IDリスク Your App
  13. 13. ID の不正利用からの保護(MFA)
  14. 14. ID の不正利用からの保護 Azure Multi-Factor Authentication (Azure MFA) ユーザーが 知ってる 情報 ユーザーが 持っている もの ログイン
  15. 15. ID の不正利用からの保護 モバイルアプリ 通話 ショート メッセージ 承認しますか? 1 4 5 6 7 6
  16. 16. ユーザーへのメリット • 過度なパスワード要件を求めら れず、ある程度覚えやすいパス ワードが利用可能 管理者へのメリット • 多要素認証専用の機器(トーク ン等)の管理が不要 • SaaS, 社内 Web アプリにも 利用可能 セキュリティ上のメリット • ID 流出による不正アクセス防止 1. サイン イン試行 Azure AD 2. 多要素認 証の要求 3. サイン イン成功 PIN: **** https://azure.microsoft.com/ja-jp/documentation/articles/multi-factor-authentication/
  17. 17. Demo ロケーションベースの条件付きアクセス 信頼されていないネットワークから接続する →多要素認証を求められる
  18. 18. 不明なソースからのサインイン 複数のエラー後のサインイン 複数の地域からのサインイン 不審なアクティビティのある IP アドレスからのサインイン 不規則なサインイン アクティビティ 感染している可能性があるデバイスからのサインイン 異常なサインイン アクティビティがあるユーザー Azure AD
  19. 19. 重大度 低 重大度 中 重大度 高 ・感染しているデバイスからの サインイン ・特殊な場所へのあり得ない移動 ・匿名の IP アドレスからの サインイン ・不審なアクティビティのある IP アドレスからのサインイン ・未知の場所からのサインイン ・漏えいした資格情報
  20. 20. サインインをブロック 多要素認証を追加で要求 パスワードを変更 アプリ
  21. 21. Demo リスクベース認証 アクセス元を匿名化してアプリにアクセス → アクセスがブロックされる
  22. 22. パスワード + Phone Factor 社外ネットワークからの アクセス時は多要素認証を強制したい 企業所有のモバイルデバイスのみ アクセスを許可したい ✅ 企業所有 個人所有 安全なデバイスのみアクセスを許可したい ✅ ✅ マルウェア感染済み マルウェア未感染 マルウェア感染 モバイルデバイス向けの Office 365 アプリ・データを保護したい Office 365 用モバイルアプリ
  23. 23. Azure Active Directory Premium ② 認証プロセス ① 社外から アクセス ④ 多要素認証を要求 ・事前に社内で利用する IP アドレスを登録 ・デバイスのロケーションに応じて多要素認証を要求 モバイルアプリ Microsoft Authenticator 電話 (Call) SMS メッセージ ③ デバイスの IP アドレスをチェック 多要素認証オプション Azure Active Directory Premium 場所ベースの条件付きアクセス 多要素認証の利用により なりすましによる不正アクセスをブロック
  24. 24. Azure Active Directory Premium ② 認証プロセス ① 企業所有 デバイスから クセス ・Microsoft Intune に登録されたデバイスか どうかをチェックし、未登録時は登録を要求 ③ デバイスの管理ステータスをチェック Azure Active Directory Premium デバイスベースの条件付きアクセス Microsoft Intune ④ デバイス登録を要求 ⑤ デバイス登録プロセス ⑥ デバイス登録時にデバイスの所有形態をチェック ・事前に企業所有デバイスの IMEI を登録 ・IMEI が合致するデバイスのみ登録を許可 事前に登録された識別子を持つ モバイルデバイスのみ登録を 許可することが可能
  25. 25. Azure AD Browser Web AppOAuth- authorize OAuth- token graph Navigate to your application Post authN token and authZ code to your application’s redirect URL No session, send authN request Verify token signature 302 redirect for sign in OpenID Connect request (user signs in) Set cookie and return user to page they started on Redeem authZ code Return access token and refresh token Call the Graph API
  26. 26. Azure AD Browser Unified enrollment Device object - Device ID - isManaged - MDMStatus Webサイトへのア クセスが検疫され、 デバイスの登録が 促される Office 365 Email service Intune 4 Register device in Azure AD 1 AAD => WorkPlace Join Intune => デバイス登録 3 Enroll into Intune 4 デバイスの管理と、 ポリシーの適用 5 8 Exchange から データを取得 Intuneへ リダイレクト 2ブラウザを利用して Exchange へ接続 7 6 条件付きアクセスの仕組み(ブラウザの例) サインイン用の クッキーを発行 条件付きアクセスはどこで機能しているのか?
  27. 27. • ADAL または WAM API を使用するアプリケーション https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-conditional-access/ https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-conditional-access-device-remediation/ https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-conditional-access-policy-connected-applications/
  28. 28. • ADAL または WAM API を使用するアプリケーション https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-conditional-access/ https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-conditional-access-automatic-device-registration-setup/ https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-conditional-access-policy-connected-applications/ • ADAL 非サポート
  29. 29. https://technet.microsoft.com/ja-jp/library/mt710548.aspx SAML 2.0 WS-Federation OpenID Connect OAuth 2.0 Office 365 Email service SharePoint (API) service
  30. 30. Azure AD Browser Unified enrollment Device object - Device ID - isManaged - MDMStatus Webサイトへのア クセスが検疫され、 デバイスの登録が 促される Office 365 Email service Intune 4 Register device in Azure AD 1 AAD => WorkPlace Join Intune => デバイス録 3 Enroll into Intune 4 デバイスの管理と、 ポリシーの適用 5 8 Exchange から データを取得 Intuneへ リダイレクト 2 7 6 条件付きアクセスの仕組み(ADAL 非対応の例) サインイン用の クッキーを発行 Office 2010 POP/IMAP SharePoint (API) service 1 ユーザーID/パス ワードを利用し て認証 データを取得 2 データを取得 2 認証がAzure ADに来ないため 条件が適用できない
  31. 31. Office 365 Email service ADAL 非対応アプリの対策 Office 2010 POP/IMAP SharePoint (API) service https://aka.ms/sec007adfs AD FS Claim Rule
  32. 32. まとめ
  33. 33. ”つなぐ” “まもる” Azure AD
  34. 34. 関連セッション情報 Session ID Title Name Date time SC02 シチュエーション別 Active Directory デザインパターン 宮川 麻里 Day 1 14:20~15:10 SC10 自社開発モバイルアプリの DLP 対応 化を Microsoft Intune で可能に Takuo Robert Nishi Day1 15:40~16:30 SC15 Windows Hello で実現する ハイブリッド 生体認証 小町 紘之 Day1 17:00~17:50 SC07 Azure AD と Ruby で学ぶ OpenID Connect! 真武 信和 Day 2 14:50~15:40 SC05 株式会社アシックス様における Azure AD 導入プロジェクトの実際 富士榮 尚寛 Day 2 17:30~18:20
  35. 35. リファレンス https://aka.ms/decode17sc04_dev
  36. 36. リファレンス Microsoft MVP for Enterprise Mobility 富士榮(Naohiro Fujie)さんの 動画 https://channel9.msdn.com/Niners/NFujie
  37. 37. セッションアンケートにご協力ください  専用アプリからご回答いただけます。 decode 2017  スケジュールビルダーで受講セッションを 登録後、アンケート画面からご回答ください。  アンケートの回答時間はたったの 15 秒です!
  38. 38. Ask the Speaker のご案内 本セッションの詳細は『Ask the Speaker Room』各コーナーカウンタにて ご説明させていただきます。是非、お立ち寄りください。
  39. 39. © 2017 Microsoft Corporation. All rights reserved. 本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。
  • HiroYoko1

    Aug. 2, 2021
  • YoshikiMasuda1

    Jun. 9, 2021
  • hiroofujimaru1

    Sep. 3, 2017
  • nakagawa1966

    Jun. 17, 2017

サービスをデプロイする前に「ID の安全性」を保障することに苦労されてはいませんでしょうか? 例えば、ID の不正利用のリスクを低減させるための多要素認証機能や、パスワードを定期的に変更/リセットさせる機能、不正アクセスを検知するためのログ出力機能など、サービスの本質とは少し離れた場所にある機能の実装です。また、クラウド上にサービスを構成しているにも関わらずアクセス元を特定するためにアクセスする際には VPN が必要で、利便性やコストを犠牲にしたサービスをデプロイしたご経験はありませんしょうか? このセッションでは、Azure Active Directory を利用することで、サービスの安全性を最小限のコーディングで実装するための方法をご紹介いたします。 受講対象: インフラ設計とくにセキュリティの設計にかかわるエンジニアの方々 製品/テクノロジ: 運用/セキュリティ/エンタープライズ モビリティ/アイデンティティ (AD/Azure AD)/Microsoft Azure/Microsoft Intune 松井 大 日本マイクロソフト株式会社 クラウド & ソリューション ビジネス統括本部 テクノロジー ソリューション プロフェッショナル

Views

Total views

1,576

On Slideshare

0

From embeds

0

Number of embeds

1

Actions

Downloads

106

Shares

0

Comments

0

Likes

4

×