Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~

7,839 views

Published on

Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~

Published in: Technology
  • DOWNLOAD FULL BOOKS, INTO AVAILABLE FORMAT ......................................................................................................................... ......................................................................................................................... 1.DOWNLOAD FULL. PDF EBOOK here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... 1.DOWNLOAD FULL. EPUB Ebook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... 1.DOWNLOAD FULL. doc Ebook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... 1.DOWNLOAD FULL. PDF EBOOK here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... 1.DOWNLOAD FULL. EPUB Ebook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... 1.DOWNLOAD FULL. doc Ebook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~

  1. 1. 参考記事 https://blogs.msdn.microsoft.com/samueld/2017/06/13/choosing-the-right-sign-in-option-to-connect-to-azure-ad- office-365/
  2. 2. 1. パスワード同期 2. Active Directory Federation Service (ADFS) 3. 3rd party Federation Service 4. パススルー認証(プレビュー) 5. Azure AD シームレス SSO
  3. 3. • Azure AD Connect は生パスワードにア クセスできない • 統一パスワードだが SSO ではない • 利用者は Office 365 にアクセスする ために Azure AD に保存されたパス ワードで再認証する必要がある • オンプレミスはMD4、クラウドは SHA256 MD4 Hashed Password (unicodePwd)
  4. 4. • Azure AD でパスワードを“リセット/変 更”した場合、パスワードをオンプレミス に書き戻す機能 • Azure AD Premium P1/P2 で提供 • 以下の構成でサポートされる • パスワード同期 • フェデレーション • パススルー認証 • 以下の操作がサポートされる • 管理者によるリセット/変更 • ユーザーによるリセット/変更 • 以下は現時点で未サポート • PowerShell v1、v2、または Azure AD Graph API を使用したパスワードのリ セット • “Office 管理ポータル”から管理者が開 始したエンドユーザーのパスワード のリセット MD4 Hashed Password (unicodePwd) Tenant-specific Service Bus Relay 変更を検知 Inbound port の open は不要 Write Back AD DS SetPassword API Write Back Firewall Decrypt password by private key
  5. 5. https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnectsync-connector- genericldap
  6. 6. • Azure AD federation compatibility list https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnect-federation- compatibility • Use a SAML 2.0 Identity Provider (IdP) for Single Sign On https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnect-federation-saml-idp • SAML 2.0 compliant SP-Lite profile • Hybrid Identity directory integration tools comparison https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-hybrid-identity-design-considerations- tools-comparison • Microsoft Connectivity Analyzer https://testconnectivity.microsoft.com/?tabid=Client
  7. 7. Syncwith Password Syncwith Password
  8. 8. • クラウドリソースにアクセスするための認 証をオンプレミスADDSで行う • ハッシュされたパスワードを同期しない • フェデレーションを使用せずにオンプレミ スで認証する • セルフサービスパスワード変更/リセット も可能 • Azure AD Connect でセットアップする • AD FS の可用性を考慮する必要が無い • AD FS の導入に比べればとにかく楽! Preview Tenant-specific Service Bus Relay Inbound port の open は不要Firewall Sync Identity ②ログイン検知 ③取り出し ④Decrypt password by private key ⑤Check Id/password pair With Win32 API >=1.1.557.0 ⑥結果 (注)オンプレミスとクラウドで同じ ID/Passwordを使用できるか、SSOではない!
  9. 9. Supported • web browser-based applications • Office 365 client applications that support modern authentication. • Azure AD Join for Windows 10 devices. • Exchange ActiveSync support. • PowerShell v2.0 or later Unsupported during preview • Office 2013 or earlier • Skype for Business client applications, including Skype for Business 2016. • PowerShell v1.0
  10. 10. P1 P1 P1 P1 P2 P1
  11. 11. • Azure AD にサインインするためのパスワー ド入力が必要がなくなる AZUREADSSOACCT Preview
  12. 12. OS/ブラウザー Internet Explorer Edge Google Chrome Mozilla Firefox Safari Windows 10 あり なし あり はい* Windows 8.1 あり あり はい* Windows 8 あり あり はい* Windows 7 あり あり はい* Mac OS X 該当なし はい* はい* はい* * 追加構成の必要あり https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnect-sso-quick-start#browser- considerations
  13. 13. 特徴 PC ログオン クラウドアプリ利用時 SSO Azure AD のみ 単一IdP Azure AD Azure AD 〇 パスワード同期 ADDSとAzure AD両方に パスワード ADDS Azure AD AAD シームレス SSO と併 用する。IDは入力の必要 あり。 フェデレーション オンプレミスの認証結 果をクラウドに引き継 げる ADDS ADDS 〇 パススルー ADDSに登録された ID/Passwordでクラウド 上のリソースにアクセ スできる ADDS ADDS AAD シームレス SSO と併 用する。IDは入力の必要 あり。
  14. 14. Option Password 同期 パススルー ADFS INFRASTRUCTURE & OPERATIONS サーバー台数 Min: 1 Rec: 2 (+'Staging' server) Min: 1 Rec: 2 for HA Min: 1 Rec: 2 for HA DMZ への展開が必要か NO NO YES(WAP) Min:1, Rec: 2 for HA 自動フェールオーバー用のHAシナ リオはあるか NO YES Service Bus Relay YES ロードバランサ SSL 必須 NO NO YES クラウドからオンプレミスのサー バーを監視できるか Connect Health (Premium) Partial Connect Health (Premium)
  15. 15. Option Password 同期 パススルー ADFS AUTHENTICATION AD - Password Sign-in YES YES YES AD - Desktop SSO YES YES YES AD - Soft Certificates (MDM or GPO provisioned) NO NO YES AD - Smart Card NO NO YES AD - Fail Auth if user is disabled Partial. Typically up to 30 mins for sync cycle to complete Immediate Immediate AD - Fail Auth if user’s password has expired NO YES YES AD - Supports users in multiple trusted AD forests YES YES YES AD - Supports users in multiple untrusted AD forests YES NO YES (2016) untrusted forest can be configured as an LDAP directory 3rd party LDAP - Password sign-in See note 4 NO NO YES (2016) Authenticator App as primary Sign-in (password less) NO NO YES (2016)
  16. 16. Option Password 同期 パススルー ADFS MFA Azure MFA (SMS, Phone, TOTP) YES YES YES (2016) Azure MFA Server (+Pin support) NO NO YES Win10 Hello For Business (Key trust) YES YES YES (2016) Win10 Hello For Business (Cert trust) NO NO Coming Soon (2016) 3rd party MFA NO NO YES (link) Build Custom MFA NO NO YES (link)
  17. 17. Option Password 同期 パススルー ADFS APPLICATIONS Browser YES YES YES Exchange Active Sync (EAS) YES Coming Soon YES Native apps (legacy auth) YES Coming Soon YES Native apps (modern auth) YES YES YES Win 10 desktop sign-in with Username/Password(U/P) on a AAD joined device YES Coming Soon YES
  18. 18. Option Password 同期 パススルー ADFS SIGN-IN EXPERIENCE Customize logo, image and sign-in description YES (premium) (link) YES (premium) (link) YES (link) Customize full layout with CSS customization NO NO YES (link) Customize dynamically with Java Script NO NO YES (link) Sign In with UPN YES YES YES Sign In with Domainsamaccountname NO NO YES Seamless first time sign-in to O365 native apps on Domain Joined devices NO NO YES Office apps are optimized on first sign-in to look up the local UPN and seamlessly sign-in the user using WS-Trust Kerberos endpoints from the Identity provider. Seamless 2nd time sign-in to O365 native apps on Domain Joined devices YES YES YES
  19. 19. Option Password 同期 パススルー ADFS PASSWORD EXPIRY NOTIFICATION & CHANGE Supports password expiry notification in Office Portal & Win10 desktop NO NO YES Custom password change URL link shown in Office Portal & Win10 desktop NO NO YES Integrated password change experience when user’s password has expired NO NO YES
  20. 20. Option Password 同期 パススルー ADFS DEVICES & ACCESS CONTROL Device Registration: Win10 DJ YES YES YES Device Registration: Win7/8.1 DJ Coming Soon YES YES Block legacy protocols Coming Soon (Premium) Coming Soon (Premium) YES (link) Allow legacy protocols only from intranet (e.g. Office 2010) Coming Soon (Premium) Coming Soon (Premium) YES
  21. 21. https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-playbook-intro Azure Active Directory の概念実証戦略
  22. 22. Azure AD Join パスワード連携 OMA-DM オンプレミス SAML 2.0 WS-Federation OpenID Connect OAuth 2.0 Identity is Control Plane ID 管理 認証 Active Directory ID Sync SSO 業界標準プロトコルの サポート 他社 SaaS との ID 連携 Microsoft Passport Windows Hello Windows 10 Browser セキュリティ ポリシー アプリ配布/利用制限 暗号化, 権限管理,追跡 BYOD/CYOD 社内業務 SAML 2.0 WS-Fed. 監査 ログ解析 シャドウIT検出 Azure Machine Learning Intune Subscription RBAC … Proxy Connector KCD ID 同期 アクセス制御 特権 ID 管理 RBAC 多要素認証必須 アクセスOK アクセス不可 ID 連携 Information Protection MDM/ MAM/ MCM B2B Azure IaaS Domain Services VPN 2015.11.25 版 Kerberos ldap NTLM Group Policy SPNego IWA アクセス パネルBusiness Store SCIM 2.0
  23. 23. Identity Provider(Authority)
  24. 24. 30 IdP の構成 Azure MFA オンプレミス パブリッククラウド Azure Active Directory • パスワードの管理 • オンプレミスのIDとアクセス制御 • 長年蓄積されたオンプレミスのITガバナンス • Kerberos からクラウドへのチケット変換 • クラウドサービスに対する IDとアクセス制御 • サービス間のシングルサインオン Kerberos の世界 HTTP の世界 Identity Federation Active Directory ドメイン
  25. 25. 31 Active Directory ドメインの構成 ディレクトリ 認証サーバー Kerberos セキュリティ トークンサービス その他 認証サーバー 業務アプリ サーバー Authority SAML 2.0/ WS-Federation 同期 WS-Fed https SAML リバースプロキシー (含 認証) Conditional Access Microsoft Identity Manager Kerberos/ ldap/NTLM Firewall WS-Fed https SAML AD DS:Active Directory Domain Service AD FS:Active Directory Federation Service WAP:Web Application Proxy Windows Server 2012 R2 ~
  26. 26. • Azure Active Directory をドメインコントローラーとして使用する機能 • 正確には、Azure AD テナントと同期するドメインコントローラーを Azure VNET 上に自動展開するサービス • 既定で 2 台のドメインコントローラーが展開される Azure VNET Kerberos ldap NTLM Group Policy File Server 認証, アクセス制御 ID/Password 同期
  27. 27. Azure VNET Kerberos ldap NTLM Group Policy File Server 認証, アクセス制御 ID/Password 同期 VPN GW VPN Agent 最大250台/VNET辺り
  28. 28. 難点 • 既存ドメインと統合できない • Azure AD Domain Service に新規ドメインコントローラーを追加することもで きない • 既存ADドメインとの認証分離 AAD DS ドメインの世界 AAD の世界 Federation ID & パスワードハッシュ同期 オンプレミス
  29. 29. Azure アプリケーションプロキシ Azure MFA オンプレミス パブリッククラウド Azure Active Directory Azure Application Proxy Azure Proxy Connector 事前認証 代理認証
  30. 30. Azure AD パスワード連携 Access Panel MyApps Azure AD にサインインしていれば、 アクセスパネル がパスワード入力を代行してくれる 事前に登録しておく Form に入力する ID と パ スワードはAzure AD に暗 号化して保存 フォーム認証が必要なアプリ ①サインイン② SSO

×