SlideShare a Scribd company logo

Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~

junichi anno
junichi anno
junichi annoevengelist at microsoft japan

Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~

Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~

1 of 36
Download to read offline
Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~
参考記事
https://blogs.msdn.microsoft.com/samueld/2017/06/13/choosing-the-right-sign-in-option-to-connect-to-azure-ad-
office-365/
Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~
1. パスワード同期
2. Active Directory Federation Service (ADFS)
3. 3rd party Federation Service
4. パススルー認証(プレビュー)
5. Azure AD シームレス SSO
• Azure AD Connect は生パスワードにア
クセスできない
• 統一パスワードだが SSO ではない
• 利用者は Office 365 にアクセスする
ために Azure AD に保存されたパス
ワードで再認証する必要がある
• オンプレミスはMD4、クラウドは
SHA256
MD4 Hashed
Password (unicodePwd)
• Azure AD でパスワードを“リセット/変
更”した場合、パスワードをオンプレミス
に書き戻す機能
• Azure AD Premium P1/P2 で提供
• 以下の構成でサポートされる
• パスワード同期
• フェデレーション
• パススルー認証
• 以下の操作がサポートされる
• 管理者によるリセット/変更
• ユーザーによるリセット/変更
• 以下は現時点で未サポート
• PowerShell v1、v2、または Azure AD
Graph API を使用したパスワードのリ
セット
• “Office 管理ポータル”から管理者が開
始したエンドユーザーのパスワード
のリセット
MD4 Hashed
Password (unicodePwd)
Tenant-specific
Service Bus Relay
変更を検知
Inbound port の open は不要
Write Back
AD DS SetPassword API
Write Back
Firewall
Decrypt password
by private key
Ad

Recommended

Azure active directory によるデバイス管理の種類とトラブルシュート事例について
Azure active directory によるデバイス管理の種類とトラブルシュート事例についてAzure active directory によるデバイス管理の種類とトラブルシュート事例について
Azure active directory によるデバイス管理の種類とトラブルシュート事例についてShinya Yamaguchi
 
IDaaS を正しく活用するための認証基盤設計
IDaaS を正しく活用するための認証基盤設計IDaaS を正しく活用するための認証基盤設計
IDaaS を正しく活用するための認証基盤設計Trainocate Japan, Ltd.
 
Hybrid Azure AD Join 動作の仕組みを徹底解説
Hybrid Azure AD Join 動作の仕組みを徹底解説Hybrid Azure AD Join 動作の仕組みを徹底解説
Hybrid Azure AD Join 動作の仕組みを徹底解説Yusuke Kodama
 
IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~
IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~
IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~Trainocate Japan, Ltd.
 
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018Shinichiro Kosugi
 
GoodBye AD FS - Azure Active Directory Only の認証方式へ切り替えよう!
GoodBye AD FS - Azure Active Directory Only の認証方式へ切り替えよう!GoodBye AD FS - Azure Active Directory Only の認証方式へ切り替えよう!
GoodBye AD FS - Azure Active Directory Only の認証方式へ切り替えよう!Yusuke Kodama
 
Azure AD の新しいデバイス管理パターンを理解しよう
Azure AD の新しいデバイス管理パターンを理解しようAzure AD の新しいデバイス管理パターンを理解しよう
Azure AD の新しいデバイス管理パターンを理解しようYusuke Kodama
 

More Related Content

What's hot

IP ベースのアクセス制御から脱却してよりセキュアな環境を構築しよう
IP ベースのアクセス制御から脱却してよりセキュアな環境を構築しようIP ベースのアクセス制御から脱却してよりセキュアな環境を構築しよう
IP ベースのアクセス制御から脱却してよりセキュアな環境を構築しようYusuke Kodama
 
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会ShuheiUda
 
[SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか?
[SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか? [SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか?
[SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか? de:code 2017
 
Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策
Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策
Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策Yusuke Kodama
 
適切な Azure AD 認証方式の選択の決め手
適切な Azure AD 認証方式の選択の決め手適切な Azure AD 認証方式の選択の決め手
適切な Azure AD 認証方式の選択の決め手Yusuke Kodama
 
Azure AD セルフサービス機能を用いてコスト削減
Azure AD セルフサービス機能を用いてコスト削減Azure AD セルフサービス機能を用いてコスト削減
Azure AD セルフサービス機能を用いてコスト削減Yusuke Kodama
 
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法についてAzure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法についてShinya Yamaguchi
 
モダンアクセスコントロール実現に向けた戦略策定方法
モダンアクセスコントロール実現に向けた戦略策定方法モダンアクセスコントロール実現に向けた戦略策定方法
モダンアクセスコントロール実現に向けた戦略策定方法Yusuke Kodama
 
Insight into Azure Active Directory #02 - Azure AD B2B Collaboration New Feat...
Insight into Azure Active Directory #02 - Azure AD B2B Collaboration New Feat...Insight into Azure Active Directory #02 - Azure AD B2B Collaboration New Feat...
Insight into Azure Active Directory #02 - Azure AD B2B Collaboration New Feat...Kazuki Takai
 
詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編
詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編
詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編Yusuke Kodama
 
Office365勉強会 #23 Azure AD のテナント設計(Office365管理者向け)
Office365勉強会 #23 Azure AD のテナント設計(Office365管理者向け)Office365勉強会 #23 Azure AD のテナント設計(Office365管理者向け)
Office365勉強会 #23 Azure AD のテナント設計(Office365管理者向け)Genki WATANABE
 
第34回Office 365勉強会 : Microsoftサポート活用術 ~ Microsoft Azureを中心に ~
第34回Office 365勉強会 : Microsoftサポート活用術 ~ Microsoft Azureを中心に ~第34回Office 365勉強会 : Microsoftサポート活用術 ~ Microsoft Azureを中心に ~
第34回Office 365勉強会 : Microsoftサポート活用術 ~ Microsoft Azureを中心に ~Genki WATANABE
 
S18_ゼロトラストを目指し、Windows 10 & M365E5 を徹底活用した弊社 (三井情報) 事例のご紹介 [Microsoft Japan D...
S18_ゼロトラストを目指し、Windows 10 & M365E5 を徹底活用した弊社 (三井情報) 事例のご紹介 [Microsoft Japan D...S18_ゼロトラストを目指し、Windows 10 & M365E5 を徹底活用した弊社 (三井情報) 事例のご紹介 [Microsoft Japan D...
S18_ゼロトラストを目指し、Windows 10 & M365E5 を徹底活用した弊社 (三井情報) 事例のご紹介 [Microsoft Japan D...日本マイクロソフト株式会社
 
AD FS deep dive - claim rule set
AD FS deep dive - claim rule setAD FS deep dive - claim rule set
AD FS deep dive - claim rule setjunichi anno
 
Azure Active Directory 利用開始への第一歩
Azure Active Directory 利用開始への第一歩Azure Active Directory 利用開始への第一歩
Azure Active Directory 利用開始への第一歩Yusuke Kodama
 
20190828 AWS Black Belt Online Seminar Amazon Aurora with PostgreSQL Compatib...
20190828 AWS Black Belt Online Seminar Amazon Aurora with PostgreSQL Compatib...20190828 AWS Black Belt Online Seminar Amazon Aurora with PostgreSQL Compatib...
20190828 AWS Black Belt Online Seminar Amazon Aurora with PostgreSQL Compatib...Amazon Web Services Japan
 
20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報
20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報
20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報Amazon Web Services Japan
 
AWS Black Belt Techシリーズ AWS Direct Connect
AWS Black Belt Techシリーズ AWS Direct ConnectAWS Black Belt Techシリーズ AWS Direct Connect
AWS Black Belt Techシリーズ AWS Direct ConnectAmazon Web Services Japan
 
20200630 AWS Black Belt Online Seminar Amazon Cognito
20200630 AWS Black Belt Online Seminar Amazon Cognito20200630 AWS Black Belt Online Seminar Amazon Cognito
20200630 AWS Black Belt Online Seminar Amazon CognitoAmazon Web Services Japan
 

What's hot (20)

IP ベースのアクセス制御から脱却してよりセキュアな環境を構築しよう
IP ベースのアクセス制御から脱却してよりセキュアな環境を構築しようIP ベースのアクセス制御から脱却してよりセキュアな環境を構築しよう
IP ベースのアクセス制御から脱却してよりセキュアな環境を構築しよう
 
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
 
[SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか?
[SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか? [SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか?
[SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか?
 
Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策
Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策
Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策
 
適切な Azure AD 認証方式の選択の決め手
適切な Azure AD 認証方式の選択の決め手適切な Azure AD 認証方式の選択の決め手
適切な Azure AD 認証方式の選択の決め手
 
Azure AD セルフサービス機能を用いてコスト削減
Azure AD セルフサービス機能を用いてコスト削減Azure AD セルフサービス機能を用いてコスト削減
Azure AD セルフサービス機能を用いてコスト削減
 
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法についてAzure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について
 
モダンアクセスコントロール実現に向けた戦略策定方法
モダンアクセスコントロール実現に向けた戦略策定方法モダンアクセスコントロール実現に向けた戦略策定方法
モダンアクセスコントロール実現に向けた戦略策定方法
 
Insight into Azure Active Directory #02 - Azure AD B2B Collaboration New Feat...
Insight into Azure Active Directory #02 - Azure AD B2B Collaboration New Feat...Insight into Azure Active Directory #02 - Azure AD B2B Collaboration New Feat...
Insight into Azure Active Directory #02 - Azure AD B2B Collaboration New Feat...
 
詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編
詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編
詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編
 
Office365勉強会 #23 Azure AD のテナント設計(Office365管理者向け)
Office365勉強会 #23 Azure AD のテナント設計(Office365管理者向け)Office365勉強会 #23 Azure AD のテナント設計(Office365管理者向け)
Office365勉強会 #23 Azure AD のテナント設計(Office365管理者向け)
 
第34回Office 365勉強会 : Microsoftサポート活用術 ~ Microsoft Azureを中心に ~
第34回Office 365勉強会 : Microsoftサポート活用術 ~ Microsoft Azureを中心に ~第34回Office 365勉強会 : Microsoftサポート活用術 ~ Microsoft Azureを中心に ~
第34回Office 365勉強会 : Microsoftサポート活用術 ~ Microsoft Azureを中心に ~
 
S18_ゼロトラストを目指し、Windows 10 & M365E5 を徹底活用した弊社 (三井情報) 事例のご紹介 [Microsoft Japan D...
S18_ゼロトラストを目指し、Windows 10 & M365E5 を徹底活用した弊社 (三井情報) 事例のご紹介 [Microsoft Japan D...S18_ゼロトラストを目指し、Windows 10 & M365E5 を徹底活用した弊社 (三井情報) 事例のご紹介 [Microsoft Japan D...
S18_ゼロトラストを目指し、Windows 10 & M365E5 を徹底活用した弊社 (三井情報) 事例のご紹介 [Microsoft Japan D...
 
M04_失敗しないための Azure Virtual Desktop 設計ガイド
M04_失敗しないための Azure Virtual Desktop 設計ガイドM04_失敗しないための Azure Virtual Desktop 設計ガイド
M04_失敗しないための Azure Virtual Desktop 設計ガイド
 
AD FS deep dive - claim rule set
AD FS deep dive - claim rule setAD FS deep dive - claim rule set
AD FS deep dive - claim rule set
 
Azure Active Directory 利用開始への第一歩
Azure Active Directory 利用開始への第一歩Azure Active Directory 利用開始への第一歩
Azure Active Directory 利用開始への第一歩
 
20190828 AWS Black Belt Online Seminar Amazon Aurora with PostgreSQL Compatib...
20190828 AWS Black Belt Online Seminar Amazon Aurora with PostgreSQL Compatib...20190828 AWS Black Belt Online Seminar Amazon Aurora with PostgreSQL Compatib...
20190828 AWS Black Belt Online Seminar Amazon Aurora with PostgreSQL Compatib...
 
20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報
20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報
20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報
 
AWS Black Belt Techシリーズ AWS Direct Connect
AWS Black Belt Techシリーズ AWS Direct ConnectAWS Black Belt Techシリーズ AWS Direct Connect
AWS Black Belt Techシリーズ AWS Direct Connect
 
20200630 AWS Black Belt Online Seminar Amazon Cognito
20200630 AWS Black Belt Online Seminar Amazon Cognito20200630 AWS Black Belt Online Seminar Amazon Cognito
20200630 AWS Black Belt Online Seminar Amazon Cognito
 

Viewers also liked

[DI10] IoT を実践する最新のプラクティス ~ Azure IoT Hub 、SDK 、Azure IoT Suite ~
[DI10] IoT を実践する最新のプラクティス ~ Azure IoT Hub 、SDK 、Azure IoT Suite ~[DI10] IoT を実践する最新のプラクティス ~ Azure IoT Hub 、SDK 、Azure IoT Suite ~
[DI10] IoT を実践する最新のプラクティス ~ Azure IoT Hub 、SDK 、Azure IoT Suite ~de:code 2017
 
Azure ADとWindows 10によるドメイン環境の拡張
Azure ADとWindows 10によるドメイン環境の拡張Azure ADとWindows 10によるドメイン環境の拡張
Azure ADとWindows 10によるドメイン環境の拡張Naohiro Fujie
 
Azure ADとIdentity管理
Azure ADとIdentity管理Azure ADとIdentity管理
Azure ADとIdentity管理Naohiro Fujie
 
Azure Active Directory 1枚資料 20151125版
Azure Active Directory 1枚資料 20151125版Azure Active Directory 1枚資料 20151125版
Azure Active Directory 1枚資料 20151125版junichi anno
 
Azureの管理権限について
Azureの管理権限について Azureの管理権限について
Azureの管理権限について junichi anno
 
Azure ADにみるエンタープライズ領域におけるフェデレーションとIDaaSの活用
Azure ADにみるエンタープライズ領域におけるフェデレーションとIDaaSの活用Azure ADにみるエンタープライズ領域におけるフェデレーションとIDaaSの活用
Azure ADにみるエンタープライズ領域におけるフェデレーションとIDaaSの活用Naohiro Fujie
 
クラウドにおける Windows Azure Active Directory の役割
クラウドにおける Windows Azure Active Directory の役割クラウドにおける Windows Azure Active Directory の役割
クラウドにおける Windows Azure Active Directory の役割junichi anno
 
Dal001 sql server 2017 事始め ~ 進化を続ける sql server の最新情報を一挙紹介
Dal001 sql server 2017 事始め ~ 進化を続ける sql server の最新情報を一挙紹介Dal001 sql server 2017 事始め ~ 進化を続ける sql server の最新情報を一挙紹介
Dal001 sql server 2017 事始め ~ 進化を続ける sql server の最新情報を一挙紹介Masayuki Ozawa
 

Viewers also liked (8)

[DI10] IoT を実践する最新のプラクティス ~ Azure IoT Hub 、SDK 、Azure IoT Suite ~
[DI10] IoT を実践する最新のプラクティス ~ Azure IoT Hub 、SDK 、Azure IoT Suite ~[DI10] IoT を実践する最新のプラクティス ~ Azure IoT Hub 、SDK 、Azure IoT Suite ~
[DI10] IoT を実践する最新のプラクティス ~ Azure IoT Hub 、SDK 、Azure IoT Suite ~
 
Azure ADとWindows 10によるドメイン環境の拡張
Azure ADとWindows 10によるドメイン環境の拡張Azure ADとWindows 10によるドメイン環境の拡張
Azure ADとWindows 10によるドメイン環境の拡張
 
Azure ADとIdentity管理
Azure ADとIdentity管理Azure ADとIdentity管理
Azure ADとIdentity管理
 
Azure Active Directory 1枚資料 20151125版
Azure Active Directory 1枚資料 20151125版Azure Active Directory 1枚資料 20151125版
Azure Active Directory 1枚資料 20151125版
 
Azureの管理権限について
Azureの管理権限について Azureの管理権限について
Azureの管理権限について
 
Azure ADにみるエンタープライズ領域におけるフェデレーションとIDaaSの活用
Azure ADにみるエンタープライズ領域におけるフェデレーションとIDaaSの活用Azure ADにみるエンタープライズ領域におけるフェデレーションとIDaaSの活用
Azure ADにみるエンタープライズ領域におけるフェデレーションとIDaaSの活用
 
クラウドにおける Windows Azure Active Directory の役割
クラウドにおける Windows Azure Active Directory の役割クラウドにおける Windows Azure Active Directory の役割
クラウドにおける Windows Azure Active Directory の役割
 
Dal001 sql server 2017 事始め ~ 進化を続ける sql server の最新情報を一挙紹介
Dal001 sql server 2017 事始め ~ 進化を続ける sql server の最新情報を一挙紹介Dal001 sql server 2017 事始め ~ 進化を続ける sql server の最新情報を一挙紹介
Dal001 sql server 2017 事始め ~ 進化を続ける sql server の最新情報を一挙紹介
 

Similar to Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~

Manage ADFS on Office365
Manage ADFS on Office365Manage ADFS on Office365
Manage ADFS on Office365Genki WATANABE
 
INF-007_ハイブリッドな Active Directory の設計 ~Windows Server 2016 版~
INF-007_ハイブリッドな Active Directory の設計 ~Windows Server 2016 版~INF-007_ハイブリッドな Active Directory の設計 ~Windows Server 2016 版~
INF-007_ハイブリッドな Active Directory の設計 ~Windows Server 2016 版~decode2016
 
Prd004 office 365_における_id_統合と
Prd004 office 365_における_id_統合とPrd004 office 365_における_id_統合と
Prd004 office 365_における_id_統合とTech Summit 2016
 
[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際
[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際
[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際de:code 2017
 
多要素認証による Amazon WorkSpaces の利用
多要素認証による Amazon WorkSpaces の利用多要素認証による Amazon WorkSpaces の利用
多要素認証による Amazon WorkSpaces の利用Amazon Web Services Japan
 
Windows Server 2019 Active Directory related information
Windows Server 2019  Active Directory related informationWindows Server 2019  Active Directory related information
Windows Server 2019 Active Directory related informationMari Miyakawa
 
INF-012_デスクトップ仮想化の実践 ~powered by Windows Server 2016 & Azure~
INF-012_デスクトップ仮想化の実践 ~powered by Windows Server 2016 & Azure~INF-012_デスクトップ仮想化の実践 ~powered by Windows Server 2016 & Azure~
INF-012_デスクトップ仮想化の実践 ~powered by Windows Server 2016 & Azure~decode2016
 
デスクトップ仮想化の実践 - powered by Windows Server 2016 & Azure - (Microsoft de:code 2016)
デスクトップ仮想化の実践 - powered by Windows Server 2016 & Azure - (Microsoft de:code 2016)デスクトップ仮想化の実践 - powered by Windows Server 2016 & Azure - (Microsoft de:code 2016)
デスクトップ仮想化の実践 - powered by Windows Server 2016 & Azure - (Microsoft de:code 2016)Takamasa Maejima
 
S05 Microsoft Azure 仮想マシンでの Active Directory 活用シナリオ
S05 Microsoft Azure 仮想マシンでの Active Directory 活用シナリオS05 Microsoft Azure 仮想マシンでの Active Directory 活用シナリオ
S05 Microsoft Azure 仮想マシンでの Active Directory 活用シナリオMicrosoft Azure Japan
 
Azure AD の SaaS アプリケーション認証への活用
Azure AD の SaaS アプリケーション認証への活用Azure AD の SaaS アプリケーション認証への活用
Azure AD の SaaS アプリケーション認証への活用Yusuke Kodama
 
ADFS+Office365によるセキュリティ強化~デバイス・多要素認証
ADFS+Office365によるセキュリティ強化~デバイス・多要素認証ADFS+Office365によるセキュリティ強化~デバイス・多要素認証
ADFS+Office365によるセキュリティ強化~デバイス・多要素認証Suguru Kunii
 
Windows Phone で Active Directory 認証 2011.12.1版
Windows Phone で Active Directory 認証 2011.12.1版Windows Phone で Active Directory 認証 2011.12.1版
Windows Phone で Active Directory 認証 2011.12.1版junichi anno
 
[AWSマイスターシリーズ] AWS Client Side SDK -Android,iOS & JavaScript-
[AWSマイスターシリーズ] AWS Client Side SDK -Android,iOS & JavaScript-[AWSマイスターシリーズ] AWS Client Side SDK -Android,iOS & JavaScript-
[AWSマイスターシリーズ] AWS Client Side SDK -Android,iOS & JavaScript-Amazon Web Services Japan
 
AD設計の基礎から読み解くIaaS On AD
AD設計の基礎から読み解くIaaS On ADAD設計の基礎から読み解くIaaS On AD
AD設計の基礎から読み解くIaaS On ADNaoki Abe
 
AAD authentication for azure app v0.1.20.0317
AAD authentication for azure app v0.1.20.0317AAD authentication for azure app v0.1.20.0317
AAD authentication for azure app v0.1.20.0317Ayumu Inaba
 
Horizon Cloud on Microsoft Azure 概要 (2018年12月版)
Horizon Cloud on Microsoft Azure 概要 (2018年12月版)Horizon Cloud on Microsoft Azure 概要 (2018年12月版)
Horizon Cloud on Microsoft Azure 概要 (2018年12月版)Takamasa Maejima
 
OSSによるマッシュアップ&サービス化を実現するOpen棟梁サービス開発基盤
OSSによるマッシュアップ&サービス化を実現するOpen棟梁サービス開発基盤OSSによるマッシュアップ&サービス化を実現するOpen棟梁サービス開発基盤
OSSによるマッシュアップ&サービス化を実現するOpen棟梁サービス開発基盤Daisuke Nishino
 
[A31]AWS上でOracleを利用するためのはじめの一歩!by Masatoshi Yoshida
[A31]AWS上でOracleを利用するためのはじめの一歩!by Masatoshi Yoshida[A31]AWS上でOracleを利用するためのはじめの一歩!by Masatoshi Yoshida
[A31]AWS上でOracleを利用するためのはじめの一歩!by Masatoshi YoshidaInsight Technology, Inc.
 

Similar to Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~ (20)

[Japan Tech summit 2017] SEC 006
[Japan Tech summit 2017] SEC 006[Japan Tech summit 2017] SEC 006
[Japan Tech summit 2017] SEC 006
 
20171011_最新のハイブリッドID管理基盤パターン
20171011_最新のハイブリッドID管理基盤パターン20171011_最新のハイブリッドID管理基盤パターン
20171011_最新のハイブリッドID管理基盤パターン
 
Manage ADFS on Office365
Manage ADFS on Office365Manage ADFS on Office365
Manage ADFS on Office365
 
INF-007_ハイブリッドな Active Directory の設計 ~Windows Server 2016 版~
INF-007_ハイブリッドな Active Directory の設計 ~Windows Server 2016 版~INF-007_ハイブリッドな Active Directory の設計 ~Windows Server 2016 版~
INF-007_ハイブリッドな Active Directory の設計 ~Windows Server 2016 版~
 
Prd004 office 365_における_id_統合と
Prd004 office 365_における_id_統合とPrd004 office 365_における_id_統合と
Prd004 office 365_における_id_統合と
 
[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際
[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際
[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際
 
多要素認証による Amazon WorkSpaces の利用
多要素認証による Amazon WorkSpaces の利用多要素認証による Amazon WorkSpaces の利用
多要素認証による Amazon WorkSpaces の利用
 
Windows Server 2019 Active Directory related information
Windows Server 2019  Active Directory related informationWindows Server 2019  Active Directory related information
Windows Server 2019 Active Directory related information
 
INF-012_デスクトップ仮想化の実践 ~powered by Windows Server 2016 & Azure~
INF-012_デスクトップ仮想化の実践 ~powered by Windows Server 2016 & Azure~INF-012_デスクトップ仮想化の実践 ~powered by Windows Server 2016 & Azure~
INF-012_デスクトップ仮想化の実践 ~powered by Windows Server 2016 & Azure~
 
デスクトップ仮想化の実践 - powered by Windows Server 2016 & Azure - (Microsoft de:code 2016)
デスクトップ仮想化の実践 - powered by Windows Server 2016 & Azure - (Microsoft de:code 2016)デスクトップ仮想化の実践 - powered by Windows Server 2016 & Azure - (Microsoft de:code 2016)
デスクトップ仮想化の実践 - powered by Windows Server 2016 & Azure - (Microsoft de:code 2016)
 
S05 Microsoft Azure 仮想マシンでの Active Directory 活用シナリオ
S05 Microsoft Azure 仮想マシンでの Active Directory 活用シナリオS05 Microsoft Azure 仮想マシンでの Active Directory 活用シナリオ
S05 Microsoft Azure 仮想マシンでの Active Directory 活用シナリオ
 
Azure AD の SaaS アプリケーション認証への活用
Azure AD の SaaS アプリケーション認証への活用Azure AD の SaaS アプリケーション認証への活用
Azure AD の SaaS アプリケーション認証への活用
 
ADFS+Office365によるセキュリティ強化~デバイス・多要素認証
ADFS+Office365によるセキュリティ強化~デバイス・多要素認証ADFS+Office365によるセキュリティ強化~デバイス・多要素認証
ADFS+Office365によるセキュリティ強化~デバイス・多要素認証
 
Windows Phone で Active Directory 認証 2011.12.1版
Windows Phone で Active Directory 認証 2011.12.1版Windows Phone で Active Directory 認証 2011.12.1版
Windows Phone で Active Directory 認証 2011.12.1版
 
[AWSマイスターシリーズ] AWS Client Side SDK -Android,iOS & JavaScript-
[AWSマイスターシリーズ] AWS Client Side SDK -Android,iOS & JavaScript-[AWSマイスターシリーズ] AWS Client Side SDK -Android,iOS & JavaScript-
[AWSマイスターシリーズ] AWS Client Side SDK -Android,iOS & JavaScript-
 
AD設計の基礎から読み解くIaaS On AD
AD設計の基礎から読み解くIaaS On ADAD設計の基礎から読み解くIaaS On AD
AD設計の基礎から読み解くIaaS On AD
 
AAD authentication for azure app v0.1.20.0317
AAD authentication for azure app v0.1.20.0317AAD authentication for azure app v0.1.20.0317
AAD authentication for azure app v0.1.20.0317
 
Horizon Cloud on Microsoft Azure 概要 (2018年12月版)
Horizon Cloud on Microsoft Azure 概要 (2018年12月版)Horizon Cloud on Microsoft Azure 概要 (2018年12月版)
Horizon Cloud on Microsoft Azure 概要 (2018年12月版)
 
OSSによるマッシュアップ&サービス化を実現するOpen棟梁サービス開発基盤
OSSによるマッシュアップ&サービス化を実現するOpen棟梁サービス開発基盤OSSによるマッシュアップ&サービス化を実現するOpen棟梁サービス開発基盤
OSSによるマッシュアップ&サービス化を実現するOpen棟梁サービス開発基盤
 
[A31]AWS上でOracleを利用するためのはじめの一歩!by Masatoshi Yoshida
[A31]AWS上でOracleを利用するためのはじめの一歩!by Masatoshi Yoshida[A31]AWS上でOracleを利用するためのはじめの一歩!by Masatoshi Yoshida
[A31]AWS上でOracleを利用するためのはじめの一歩!by Masatoshi Yoshida
 

More from junichi anno

V1.1 CD03 Azure Active Directory B2C/B2B コラボレーションによる Customer Identity and Ac...
V1.1 CD03 Azure Active Directory B2C/B2B コラボレーションによる Customer Identity and Ac...V1.1 CD03 Azure Active Directory B2C/B2B コラボレーションによる Customer Identity and Ac...
V1.1 CD03 Azure Active Directory B2C/B2B コラボレーションによる Customer Identity and Ac...junichi anno
 
Microsoft Azure のセキュリティ
Microsoft Azure のセキュリティMicrosoft Azure のセキュリティ
Microsoft Azure のセキュリティjunichi anno
 
Azure AD によるリソースの保護 how to protect and govern resources under the Azure AD
Azure AD によるリソースの保護 how to protect and govern resources under the Azure ADAzure AD によるリソースの保護 how to protect and govern resources under the Azure AD
Azure AD によるリソースの保護 how to protect and govern resources under the Azure ADjunichi anno
 
Azure AD による Web API の 保護
Azure AD による Web API の 保護 Azure AD による Web API の 保護
Azure AD による Web API の 保護 junichi anno
 
個人情報を守るための アプリケーション設計(概要)
個人情報を守るためのアプリケーション設計(概要)個人情報を守るためのアプリケーション設計(概要)
個人情報を守るための アプリケーション設計(概要)junichi anno
 
IoT のセキュリティアーキテクチャと実装モデル on Azure
IoT のセキュリティアーキテクチャと実装モデル on AzureIoT のセキュリティアーキテクチャと実装モデル on Azure
IoT のセキュリティアーキテクチャと実装モデル on Azurejunichi anno
 
DevSecOps: セキュリティ問題に迅速に対応するためのパイプライン設計
DevSecOps: セキュリティ問題に迅速に対応するためのパイプライン設計DevSecOps: セキュリティ問題に迅速に対応するためのパイプライン設計
DevSecOps: セキュリティ問題に迅速に対応するためのパイプライン設計junichi anno
 
リソーステンプレート入門
リソーステンプレート入門リソーステンプレート入門
リソーステンプレート入門junichi anno
 
File Server on Azure IaaS
File Server on Azure IaaSFile Server on Azure IaaS
File Server on Azure IaaSjunichi anno
 
Windows File Service 総復習-Windows Server 2012 R2編 第1版
Windows File Service 総復習-Windows Server 2012 R2編 第1版Windows File Service 総復習-Windows Server 2012 R2編 第1版
Windows File Service 総復習-Windows Server 2012 R2編 第1版junichi anno
 
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...junichi anno
 
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版junichi anno
 
Hyper-V を Windows PowerShell から管理する
Hyper-V を Windows PowerShell から管理するHyper-V を Windows PowerShell から管理する
Hyper-V を Windows PowerShell から管理するjunichi anno
 
Vdi を より使いやすいインフラにするためのセキュリティ設計
Vdi を より使いやすいインフラにするためのセキュリティ設計Vdi を より使いやすいインフラにするためのセキュリティ設計
Vdi を より使いやすいインフラにするためのセキュリティ設計junichi anno
 
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現junichi anno
 
SaaS としての IDM の役割
SaaS としての IDM の役割SaaS としての IDM の役割
SaaS としての IDM の役割junichi anno
 
Dynamic Access Control 演習編
Dynamic Access Control 演習編Dynamic Access Control 演習編
Dynamic Access Control 演習編junichi anno
 
Dynamic Access Control 解説編
Dynamic Access Control 解説編Dynamic Access Control 解説編
Dynamic Access Control 解説編junichi anno
 
Shared Nothing Live Migration で重要な「委任」について
Shared Nothing Live Migration で重要な「委任」についてShared Nothing Live Migration で重要な「委任」について
Shared Nothing Live Migration で重要な「委任」についてjunichi anno
 

More from junichi anno (20)

V1.1 CD03 Azure Active Directory B2C/B2B コラボレーションによる Customer Identity and Ac...
V1.1 CD03 Azure Active Directory B2C/B2B コラボレーションによる Customer Identity and Ac...V1.1 CD03 Azure Active Directory B2C/B2B コラボレーションによる Customer Identity and Ac...
V1.1 CD03 Azure Active Directory B2C/B2B コラボレーションによる Customer Identity and Ac...
 
Microsoft Azure のセキュリティ
Microsoft Azure のセキュリティMicrosoft Azure のセキュリティ
Microsoft Azure のセキュリティ
 
Azure AD によるリソースの保護 how to protect and govern resources under the Azure AD
Azure AD によるリソースの保護 how to protect and govern resources under the Azure ADAzure AD によるリソースの保護 how to protect and govern resources under the Azure AD
Azure AD によるリソースの保護 how to protect and govern resources under the Azure AD
 
Azure AD による Web API の 保護
Azure AD による Web API の 保護 Azure AD による Web API の 保護
Azure AD による Web API の 保護
 
Azure Key Vault
Azure Key VaultAzure Key Vault
Azure Key Vault
 
個人情報を守るための アプリケーション設計(概要)
個人情報を守るためのアプリケーション設計(概要)個人情報を守るためのアプリケーション設計(概要)
個人情報を守るための アプリケーション設計(概要)
 
IoT のセキュリティアーキテクチャと実装モデル on Azure
IoT のセキュリティアーキテクチャと実装モデル on AzureIoT のセキュリティアーキテクチャと実装モデル on Azure
IoT のセキュリティアーキテクチャと実装モデル on Azure
 
DevSecOps: セキュリティ問題に迅速に対応するためのパイプライン設計
DevSecOps: セキュリティ問題に迅速に対応するためのパイプライン設計DevSecOps: セキュリティ問題に迅速に対応するためのパイプライン設計
DevSecOps: セキュリティ問題に迅速に対応するためのパイプライン設計
 
リソーステンプレート入門
リソーステンプレート入門リソーステンプレート入門
リソーステンプレート入門
 
File Server on Azure IaaS
File Server on Azure IaaSFile Server on Azure IaaS
File Server on Azure IaaS
 
Windows File Service 総復習-Windows Server 2012 R2編 第1版
Windows File Service 総復習-Windows Server 2012 R2編 第1版Windows File Service 総復習-Windows Server 2012 R2編 第1版
Windows File Service 総復習-Windows Server 2012 R2編 第1版
 
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...
 
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
 
Hyper-V を Windows PowerShell から管理する
Hyper-V を Windows PowerShell から管理するHyper-V を Windows PowerShell から管理する
Hyper-V を Windows PowerShell から管理する
 
Vdi を より使いやすいインフラにするためのセキュリティ設計
Vdi を より使いやすいインフラにするためのセキュリティ設計Vdi を より使いやすいインフラにするためのセキュリティ設計
Vdi を より使いやすいインフラにするためのセキュリティ設計
 
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
 
SaaS としての IDM の役割
SaaS としての IDM の役割SaaS としての IDM の役割
SaaS としての IDM の役割
 
Dynamic Access Control 演習編
Dynamic Access Control 演習編Dynamic Access Control 演習編
Dynamic Access Control 演習編
 
Dynamic Access Control 解説編
Dynamic Access Control 解説編Dynamic Access Control 解説編
Dynamic Access Control 解説編
 
Shared Nothing Live Migration で重要な「委任」について
Shared Nothing Live Migration で重要な「委任」についてShared Nothing Live Migration で重要な「委任」について
Shared Nothing Live Migration で重要な「委任」について
 

Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~

  • 4. 1. パスワード同期 2. Active Directory Federation Service (ADFS) 3. 3rd party Federation Service 4. パススルー認証(プレビュー) 5. Azure AD シームレス SSO
  • 5. • Azure AD Connect は生パスワードにア クセスできない • 統一パスワードだが SSO ではない • 利用者は Office 365 にアクセスする ために Azure AD に保存されたパス ワードで再認証する必要がある • オンプレミスはMD4、クラウドは SHA256 MD4 Hashed Password (unicodePwd)
  • 6. • Azure AD でパスワードを“リセット/変 更”した場合、パスワードをオンプレミス に書き戻す機能 • Azure AD Premium P1/P2 で提供 • 以下の構成でサポートされる • パスワード同期 • フェデレーション • パススルー認証 • 以下の操作がサポートされる • 管理者によるリセット/変更 • ユーザーによるリセット/変更 • 以下は現時点で未サポート • PowerShell v1、v2、または Azure AD Graph API を使用したパスワードのリ セット • “Office 管理ポータル”から管理者が開 始したエンドユーザーのパスワード のリセット MD4 Hashed Password (unicodePwd) Tenant-specific Service Bus Relay 変更を検知 Inbound port の open は不要 Write Back AD DS SetPassword API Write Back Firewall Decrypt password by private key
  • 10. • Azure AD federation compatibility list https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnect-federation- compatibility • Use a SAML 2.0 Identity Provider (IdP) for Single Sign On https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnect-federation-saml-idp • SAML 2.0 compliant SP-Lite profile • Hybrid Identity directory integration tools comparison https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-hybrid-identity-design-considerations- tools-comparison • Microsoft Connectivity Analyzer https://testconnectivity.microsoft.com/?tabid=Client
  • 12. • クラウドリソースにアクセスするための認 証をオンプレミスADDSで行う • ハッシュされたパスワードを同期しない • フェデレーションを使用せずにオンプレミ スで認証する • セルフサービスパスワード変更/リセット も可能 • Azure AD Connect でセットアップする • AD FS の可用性を考慮する必要が無い • AD FS の導入に比べればとにかく楽! Preview Tenant-specific Service Bus Relay Inbound port の open は不要Firewall Sync Identity ②ログイン検知 ③取り出し ④Decrypt password by private key ⑤Check Id/password pair With Win32 API >=1.1.557.0 ⑥結果 (注)オンプレミスとクラウドで同じ ID/Passwordを使用できるか、SSOではない!
  • 13. Supported • web browser-based applications • Office 365 client applications that support modern authentication. • Azure AD Join for Windows 10 devices. • Exchange ActiveSync support. • PowerShell v2.0 or later Unsupported during preview • Office 2013 or earlier • Skype for Business client applications, including Skype for Business 2016. • PowerShell v1.0
  • 15. • Azure AD にサインインするためのパスワー ド入力が必要がなくなる AZUREADSSOACCT Preview
  • 16. OS/ブラウザー Internet Explorer Edge Google Chrome Mozilla Firefox Safari Windows 10 あり なし あり はい* Windows 8.1 あり あり はい* Windows 8 あり あり はい* Windows 7 あり あり はい* Mac OS X 該当なし はい* はい* はい* * 追加構成の必要あり https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnect-sso-quick-start#browser- considerations
  • 17. 特徴 PC ログオン クラウドアプリ利用時 SSO Azure AD のみ 単一IdP Azure AD Azure AD 〇 パスワード同期 ADDSとAzure AD両方に パスワード ADDS Azure AD AAD シームレス SSO と併 用する。IDは入力の必要 あり。 フェデレーション オンプレミスの認証結 果をクラウドに引き継 げる ADDS ADDS 〇 パススルー ADDSに登録された ID/Passwordでクラウド 上のリソースにアクセ スできる ADDS ADDS AAD シームレス SSO と併 用する。IDは入力の必要 あり。
  • 19. Option Password 同期 パススルー ADFS INFRASTRUCTURE & OPERATIONS サーバー台数 Min: 1 Rec: 2 (+'Staging' server) Min: 1 Rec: 2 for HA Min: 1 Rec: 2 for HA DMZ への展開が必要か NO NO YES(WAP) Min:1, Rec: 2 for HA 自動フェールオーバー用のHAシナ リオはあるか NO YES Service Bus Relay YES ロードバランサ SSL 必須 NO NO YES クラウドからオンプレミスのサー バーを監視できるか Connect Health (Premium) Partial Connect Health (Premium)
  • 20. Option Password 同期 パススルー ADFS AUTHENTICATION AD - Password Sign-in YES YES YES AD - Desktop SSO YES YES YES AD - Soft Certificates (MDM or GPO provisioned) NO NO YES AD - Smart Card NO NO YES AD - Fail Auth if user is disabled Partial. Typically up to 30 mins for sync cycle to complete Immediate Immediate AD - Fail Auth if user’s password has expired NO YES YES AD - Supports users in multiple trusted AD forests YES YES YES AD - Supports users in multiple untrusted AD forests YES NO YES (2016) untrusted forest can be configured as an LDAP directory 3rd party LDAP - Password sign-in See note 4 NO NO YES (2016) Authenticator App as primary Sign-in (password less) NO NO YES (2016)
  • 21. Option Password 同期 パススルー ADFS MFA Azure MFA (SMS, Phone, TOTP) YES YES YES (2016) Azure MFA Server (+Pin support) NO NO YES Win10 Hello For Business (Key trust) YES YES YES (2016) Win10 Hello For Business (Cert trust) NO NO Coming Soon (2016) 3rd party MFA NO NO YES (link) Build Custom MFA NO NO YES (link)
  • 22. Option Password 同期 パススルー ADFS APPLICATIONS Browser YES YES YES Exchange Active Sync (EAS) YES Coming Soon YES Native apps (legacy auth) YES Coming Soon YES Native apps (modern auth) YES YES YES Win 10 desktop sign-in with Username/Password(U/P) on a AAD joined device YES Coming Soon YES
  • 23. Option Password 同期 パススルー ADFS SIGN-IN EXPERIENCE Customize logo, image and sign-in description YES (premium) (link) YES (premium) (link) YES (link) Customize full layout with CSS customization NO NO YES (link) Customize dynamically with Java Script NO NO YES (link) Sign In with UPN YES YES YES Sign In with Domainsamaccountname NO NO YES Seamless first time sign-in to O365 native apps on Domain Joined devices NO NO YES Office apps are optimized on first sign-in to look up the local UPN and seamlessly sign-in the user using WS-Trust Kerberos endpoints from the Identity provider. Seamless 2nd time sign-in to O365 native apps on Domain Joined devices YES YES YES
  • 24. Option Password 同期 パススルー ADFS PASSWORD EXPIRY NOTIFICATION & CHANGE Supports password expiry notification in Office Portal & Win10 desktop NO NO YES Custom password change URL link shown in Office Portal & Win10 desktop NO NO YES Integrated password change experience when user’s password has expired NO NO YES
  • 25. Option Password 同期 パススルー ADFS DEVICES & ACCESS CONTROL Device Registration: Win10 DJ YES YES YES Device Registration: Win7/8.1 DJ Coming Soon YES YES Block legacy protocols Coming Soon (Premium) Coming Soon (Premium) YES (link) Allow legacy protocols only from intranet (e.g. Office 2010) Coming Soon (Premium) Coming Soon (Premium) YES
  • 28. Azure AD Join パスワード連携 OMA-DM オンプレミス SAML 2.0 WS-Federation OpenID Connect OAuth 2.0 Identity is Control Plane ID 管理 認証 Active Directory ID Sync SSO 業界標準プロトコルの サポート 他社 SaaS との ID 連携 Microsoft Passport Windows Hello Windows 10 Browser セキュリティ ポリシー アプリ配布/利用制限 暗号化, 権限管理,追跡 BYOD/CYOD 社内業務 SAML 2.0 WS-Fed. 監査 ログ解析 シャドウIT検出 Azure Machine Learning Intune Subscription RBAC … Proxy Connector KCD ID 同期 アクセス制御 特権 ID 管理 RBAC 多要素認証必須 アクセスOK アクセス不可 ID 連携 Information Protection MDM/ MAM/ MCM B2B Azure IaaS Domain Services VPN 2015.11.25 版 Kerberos ldap NTLM Group Policy SPNego IWA アクセス パネルBusiness Store SCIM 2.0
  • 30. 30 IdP の構成 Azure MFA オンプレミス パブリッククラウド Azure Active Directory • パスワードの管理 • オンプレミスのIDとアクセス制御 • 長年蓄積されたオンプレミスのITガバナンス • Kerberos からクラウドへのチケット変換 • クラウドサービスに対する IDとアクセス制御 • サービス間のシングルサインオン Kerberos の世界 HTTP の世界 Identity Federation Active Directory ドメイン
  • 31. 31 Active Directory ドメインの構成 ディレクトリ 認証サーバー Kerberos セキュリティ トークンサービス その他 認証サーバー 業務アプリ サーバー Authority SAML 2.0/ WS-Federation 同期 WS-Fed https SAML リバースプロキシー (含 認証) Conditional Access Microsoft Identity Manager Kerberos/ ldap/NTLM Firewall WS-Fed https SAML AD DS:Active Directory Domain Service AD FS:Active Directory Federation Service WAP:Web Application Proxy Windows Server 2012 R2 ~
  • 32. • Azure Active Directory をドメインコントローラーとして使用する機能 • 正確には、Azure AD テナントと同期するドメインコントローラーを Azure VNET 上に自動展開するサービス • 既定で 2 台のドメインコントローラーが展開される Azure VNET Kerberos ldap NTLM Group Policy File Server 認証, アクセス制御 ID/Password 同期
  • 33. Azure VNET Kerberos ldap NTLM Group Policy File Server 認証, アクセス制御 ID/Password 同期 VPN GW VPN Agent 最大250台/VNET辺り
  • 34. 難点 • 既存ドメインと統合できない • Azure AD Domain Service に新規ドメインコントローラーを追加することもで きない • 既存ADドメインとの認証分離 AAD DS ドメインの世界 AAD の世界 Federation ID & パスワードハッシュ同期 オンプレミス
  • 35. Azure アプリケーションプロキシ Azure MFA オンプレミス パブリッククラウド Azure Active Directory Azure Application Proxy Azure Proxy Connector 事前認証 代理認証
  • 36. Azure AD パスワード連携 Access Panel MyApps Azure AD にサインインしていれば、 アクセスパネル がパスワード入力を代行してくれる 事前に登録しておく Form に入力する ID と パ スワードはAzure AD に暗 号化して保存 フォーム認証が必要なアプリ ①サインイン② SSO