Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Office365 ID管理のベストプラクティス(Office365勉強会#6)

12,980 views

Published on

Office365の3つのIDの利用形態 ①クラウドID ②クラウドID+ディレクトリ同期 ③フェデレーションID+ディレクトリIDの適用範囲についての考察と運用のTIPSを紹介しています。

Published in: Technology
  • accessibility Books Library allowing access to top content, including thousands of title from favorite author, plus the ability to read or download a huge selection of books for your pc or smartphone within minutes ,Download or read Ebooks here ... ......................................................................................................................... Download FULL PDF EBOOK here { http://bit.ly/2m6jJ5M }
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • accessibility Books Library allowing access to top content, including thousands of title from favorite author, plus the ability to read or download a huge selection of books for your pc or smartphone within minutes.........ACCESS WEBSITE Over for All Ebooks ..... (Unlimited) ......................................................................................................................... Download FULL PDF EBOOK here { http://bit.ly/2m6jJ5M } .........................................................................................................................
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • accessibility Books Library allowing access to top content, including thousands of title from favorite author, plus the ability to read or download a huge selection of books for your pc or smartphone within minutes ,Download or read Ebooks here ... ......................................................................................................................... Download FULL PDF EBOOK here { http://bit.ly/2m6jJ5M }
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • accessibility Books Library allowing access to top content, including thousands of title from favorite author, plus the ability to read or download a huge selection of books for your pc or smartphone within minutes ,Download or read Ebooks here ... ......................................................................................................................... Download FULL PDF EBOOK here { http://bit.ly/2m6jJ5M }
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • accessibility Books Library allowing access to top content, including thousands of title from favorite author, plus the ability to read or download a huge selection of books for your pc or smartphone within minutes ,Download or read Ebooks here ... ......................................................................................................................... Download FULL PDF EBOOK here { http://bit.ly/2m6jJ5M }
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

Office365 ID管理のベストプラクティス(Office365勉強会#6)

  1. 1. MVP - Office365 genkiw(渡辺 元気)
  2. 2. 名前:渡辺 元気(わたなべ げんき) 職業:通信事業者でクラウドサービスの開発 twitter/Facebook:genkiw blog:日々徒然 http://blog.o365mvp.com/ (Office365の技術ネタを中心に公開) MVP Office365 2012.10~2013.09
  3. 3. Office365の代表的な3つのIDの実装パターン について紹介 この2年間でOffice365のID関連で新たに更新 された内容について紹介 Office365のID管理を行う上でのTipsの紹介 上記を踏まえて現時点において各パターンの 適用領域を理解する
  4. 4. クラウドID (Microsoft Online ID) フェデレーションID Office365で認証を実施 連携先で認証を実施 クラウド上のアカウント 同期アカウント Office365で属性変更が可能 同期元(AD)のみ変更が可能 (※基本的に) 同期元のみ変更が可能
  5. 5. クラウドID クラウドID +ディレクトリ同期 フェデレーションID +ディレクトリ同期 シナリオ • ADの無い小規模 組織 • ADを持つ中~大規模 組織 • ADを持つ大規模な組 織 メリット • オンプレミスに サーバー展開不要 • ユーザー・グループ 情報を一元管理可能 • Exchange共存シナリ オが可能 • 社内ADでSSO • ユーザー・グループ 情報を一元管理可能 • パスワード管理はAD で一元管理 • 2要素認証可能 • Exchange共存シナ リオが可能 デメリット • SSO不可 • 2要素認証不可 • 2種類の資格情報 • SSO不可 • 2要素認証不可 • 2種類の資格情報 • サーバーの導入 (DirSync)が必須 • サーバーの導入(AD FS, DirSync)が必須
  6. 6. AD FSでのシングルサインオンはWebブラウザ アクセス(OWAやSharePoint Online)に限定 ⇒ OutlookなどはID/Password入力が必要 (Active Directoryと同じ値、保存可能) ADFS ADFS ProxyADDS internet 内部 DMZ Outlook ※Office365による Proxyアクセスの為
  7. 7. Office365に設定された連絡用メールアドレス・ 携帯番号を利用してパスワード変更 管理者のみ、テナント毎に有効化無効化可能
  8. 8. Exchange Onlineにアクセスしたユーザー名/グ ループ/IP/プロトコルなどを元にアクセス制御 標準機能でIP制限できるのはこの方式のみ ADFS ADFS Proxy CAS MBX Exchange Online MFG X-MS-Forwarded-Client-IP グローバルIP:A グローバルIP:A 社内
  9. 9. デフォルトポリシー 8文字以上16文字以下 パスワードの有効期間90日(無期限化可能) 「小・大文字」「数字」「記号」3種以上(緩和可能)
  10. 10. 買収したPhoneFactorの機能(現在プレビュー) 電話/SMS/スマートフォンAPによる認証 1234-5679
  11. 11. 電話、SMSの他に専用トークンアプリ(Active Authenticationアプリケーション)
  12. 12. ディレクトリ同期ツールでパスワードも同期 定期的にAD→Office365の片方向の差分同期
  13. 13. クラウドID クラウドID +ディレクトリ同期 フェデレーションID +ディレクトリ同期 シナリオ • ADの無い小規模 組織 • ADを持つ中~大規模 組織 • ADを持つ大規模な組 織 メリット • オンプレミスに サーバー展開不要 • ユーザー・グループ 情報を一元管理可能 • Exchange共存シナリ オが可能 • 社内ADでSSO • ユーザー・グループ 情報を一元管理可能 • パスワード管理はAD で一元管理 • 2要素認証可能 • Exchange共存シナ リオが可能 デメリット • SSO不可 • 2要素認証不可 • 2種類の資格情報 • サーバーの導入 (DirSync)が必須 • サーバーの導入(AD FS, DirSync)が必須 クラウドID クラウドID +ディレクトリ同期 フェデレーションID +ディレクトリ同期 シナリオ • ADの無い小規模 組織 • ADを持つ中~大規模 組織 • ADを持つ大規模な組 織 メリット • オンプレミスに サーバー展開不要 • ユーザー・グループ 情報を一元管理可能 • Exchange共存シナリ オが可能 • 社内ADでSSO • ユーザー・グループ 情報を一元管理可能 • パスワード管理はAD で一元管理 • 2要素認証可能 • Exchange共存シナ リオが可能 デメリット • SSO不可 • 2要素認証不可 • 2種類の資格情報 • サーバーの導入 (DirSync)が必須 • サーバーの導入(AD FS, DirSync)が必須 クラウドID クラウドID +ディレクトリ同期 フェデレーションID +ディレクトリ同期 シナリオ • ADの無い小規模 組織 • ADを持つ中~大規模 組織 • ADを持つ大規模な組 織 メリット • オンプレミスに サーバー展開不要 • 2要素認証可能 • ユーザー・グループ 情報を一元管理可能 • パスワード管理はAD で一元管理 • 2要素認証可能 • Exchange共存シナリ オが可能 • 社内ADでSSO • ユーザー・グループ 情報を一元管理可能 • パスワード管理はAD で一元管理 • 2要素認証可能 • Exchange共存シナ リオが可能 • アクセス制限可能 デメリット • SSO不可 • 2要素認証不可 • 2種類の資格情報 • サーバーの導入 (DirSync)が必須 • サーバーの導入(AD FS, DirSync)が必須 ? ≒?
  14. 14. 社内 Windows Server 2012 R2のAD FSでは 「Workplace Join」によるBYOD環境への対応 ADDS ADFS DRS WAP(ADFS Proxy) internet DMZ iOSWindows8.1 デバイスを 登録
  15. 15. 標準で多要素認証を意識したシステムとなって おり、連携が強化されている ログオンしてくるユーザーの • ユーザー/グループ • デバイスの登録/未登録 • 内部/外部 をベースに多要素認証を要求 するポリシーが作成可能 AD FSクレームルールの拡張
  16. 16. 詳しくは、Windows Server 2012 R2 Previewをダ ウンロードするともれなく貰える勉強会キットで 「最新の仮想環境で最新の BYOD を体験するための テスト環境構築手順書」
  17. 17. クラウドID クラウドID +ディレクトリ同期 フェデレーションID +ディレクトリ同期 シナリオ • ADの無い小規模 組織 • ADを持つセキュリ ティ上の制約の比較 的緩やかな組織 • ADを持つ組織 メリット • オンプレミスに サーバー展開不要 • ユーザー・グループ 情報とパスワードを 一元管理可能 • ユーザー・グループ 情報とパスワードを 一元管理可能 • きめ細やかなアクセ ス制御が可能 • アクセスログを自社 で保有、監査可能 デメリット • SSO不可 • 2要素認証不可 • 2種類の資格情報 • サーバーの導入なら びに運用が必須 • サーバーの導入なら びに運用が必須 • 社内外からのADへの 接続性を強く担保す る必要
  18. 18. ディレクトリ同期は通常は3時間に1度しか同期 されない(更新間隔の変更は非サポート) 登録、変更直後や社内IdMとの連携などの為、 手動実行できるVBScriptを作成しておくと便利
  19. 19. 災害時やパンデミック時、社外からのアクセス 制御を解除して、自宅から接続できるように 長期化する可能性がある場合、ADパスワード 無期限化もしくは変更画面の公開を実施 【スクリプト例】 Add-PSSnapin Microsoft.Adfs.PowerShell $BackupRule = (Get-ADFSRelyingPartyTrust).IssuanceAuthorizationRules $FilePath = "c:¥work¥adfs_claims_backup_"+(Get-Date -Format yyyyMMdd)+".bak" Set-Content -Path $FilePath -value $BackupRule $Rule = ' => issue(Type = "http://schemas.Microsoft.com/authorization/claims/permit", Value = "true");' Set-ADFSRelyingPartyTrust -TargetName "Microsoft Office 365 ID プラットフォーム" - IssuanceAuthorizationRules $Rule
  20. 20. 長期でADにログインできないユーザー対策 基本的にIISADMPWDや ASP.NETのサンプルを 元に自力で作成 CodePlexに「Adfs Change Password」が公開中 http://adfschangepassword.codeplex.com/
  21. 21. 大規模災害でADの運用が継続出来なくなった 場合など、ADFSを簡単に解除できる状態に 初期パスワードを設定する必要があるので、 予め定めてスクリプト化しておく。 AD+ディレクトリ同期サーバが生きている場合 はディレクトリ同期ツールで同期しても良い 【スクリプト例】 Import-Module MSOnline $LiveCred = New-Object System.Management.Automation.PSCredential "admin@contoso.onmicrosoft.com",(ConvertTo-SecureString -AsPlainText "P@ssw0rd" -Force) Connect-MsolService -Cred $LiveCred Set-MsolDomainAuthentication -Authentication Managed -DomainName contoso.com Get-MsolUser -all | Set-MsolUserPassword -NewPassword P@ssw0rd
  22. 22. 前述のADFS解除のPowerShellの実行やディレ クトリ同期ツールの実行の為、ADFSの場合でも 1つ以上のクラウドIDを残すことが推奨 多要素認証は有効化できないので、別途強化 することを検討する 定期的にパスワードを変える(年や月を混ぜたパ スフレーズにするなど、スクリプト化を意識) ユーザーIDをadmin(以前のdefault)から変更する
  23. 23. ADFS Proxy SPLAの利用によるOSのVersion Up負担軽減 クラウド上にADやADFSを置くことによりDR対策 運用自体をアウトソースすることも可能 VPN ADDS Office365 internet ADDS ファイルサーバ等 本社 ADFS 支店 支店
  24. 24. クラウドID クラウドID +ディレクトリ同期 フェデレーションID +ディレクトリ同期 シナリオ • ADの無い小規模 組織 • ADを持つセキュリ ティ上の制約の比較 的緩やかな組織 • ADを持つ組織、特に 企業等でセキュリ ティ要件の強い組織 メリット • オンプレミスに サーバー展開不要 • ユーザー・グループ 情報とパスワードを 一元管理可能 • ユーザー・グループ 情報とパスワードを 一元管理可能 • きめ細やかなアクセ ス制御が可能 • アクセスログを自社 で保有、監査可能 デメリット • SSO不可 • 2要素認証不可 • 2種類の資格情報 • サーバーの導入なら びに運用が必須 • サーバーの導入なら びに運用が必須 • 社内外からのADへの 接続性を強く担保す る必要
  25. 25. フィールドSEあがりの安納です (Microsoft 安納さん) http://blogs.technet.com/b/junichia/ IdM実験室(MVP 富士榮さん) http://idmlab.eidentity.jp/ Always on the clock(MVP 国井さん) http://sophiakunii.wordpress.com/ 日々徒然 http://blog.o365mvp.com Office365コミュニティ http://community.office365.com/ Windows Server 2012 R2 Preview 評価用リソース http://technet.microsoft.com/ja-jp/evalcenter/dn205287.aspx 【公式ページなど】 【blog】

×