Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Windows 10 の新機能 ~Azure AD Domain Join とは~
2015.7.11
Cloud Samurai Roadshow
For IT Professionals
自己紹介
宮川 麻里(みやかわ まり)
MCT (Microsoft Certificate Trainer)
MVP (Most Valuable Professional for Office 365)
㈱IPイノベーションズにて以下の研修...
ご注意
本セッションの内容は
Insider Preview(Build10162)を元に構成
しています。
製品版では仕様など変更になる可能性があります
のでご了承下さい。
Windows 10 の新機能 の数々・・・
Windows Hello
Microsoft Passport
Device Guard
Windows 10 のセキュリティ・認証関連の新機能
マルウェアからの保護
ユーザーがアプリを実行する際...
パスワード問題
パスワード盗難対策
http://www.ipa.go.jp/security/keihatsu/munekyun-pw/slideshow/
出典:IPA 独立行政法人 情報処理推進機構
Windows 10 で利用できる認証
複雑なパスワードは覚えるのも大変・・・・
そもそもパスワードによる本人確認も無理があるのでは・・・
そろそろパスワードとお別れしよう
パスワード以外に Windows 10 で
利用できる認証とは
パスワード以外にWindows 10 で利用できる認証
Windows Hello
生体認証(バイオメトリクス)ベースのセキュリティ機能
パスワード代わりにデバイスを利用して虹彩(こうさい)や指紋で
認証が可能。
赤外線カメラ USB指紋認証
...
パスワード以外にWindows 10 で利用できる認証
FIDO 2.0
生体認証そのものをさすわけではなく、デバイスのセキュアな領域に保存されて
いる秘密鍵にアクセスをしてサインイン要求に署名できるもの
Microsoft Passport
パスワードを使わない認証を利用して
Azure ADへサインイン
TPMに格納されたキーを利用してPRT(Primary Refresh Token)を発行
Azure ADへPRTを送付し、アプリケーショ...
Windows 10
TPM
PINコードや生体認証(Windows Hello)を
利用してTPMを開き、サインインリクエストをTPM
内の秘密鍵で署名してAADに送る
Sign in
Request
Sign in
Request
Micr...
Windows 10 の認証先
Windows 10 は社内の認証と AzureAD への認証を行う
Windows 10
ADDS
社内ドメイン Cloud
Azure AD
Windows 10 の認証先
「Azure ADに参加」 Or 「社内ドメインに参加」どちらかを選択
※Build 10162
「Azure ADに参加」 ⇔ 「社内ドメインに参加」切り替えるには「組織から切断」
Azure ADに参加した状態のままで
ドメインには参加できない(逆も同様)
「システム」→「バージョン情報」
Active Directory ドメインへの参加
設定-システム-バージョン情報-ドメイン参加 ※Build 10162
社内ドメインへの認証
Active Directoryによる認証
Kerberos認証
TGT:Ticket to Get Ticket 準備チケット
XXXX.com ドメイン
①ID/Password送信
②照合しTGTの送信
TGT
③リソースにアクセスする際...
Active Directoryで認証
TGTの有効な範囲内でのSSO
グループポリシー
社内リソースの利用
XXXX.com ドメイン
ドメイン外アプリケーションは別途認証が必要
Active Directoryで認証
ドメイン外アプリケーションとのID連携にはフェデレーション構成が必要
フェデレーションでもIDの入力は必要
社外からのサインインはプロキシ画面
での入力が必要
社内からの認証
シングルサインオン
社外からの認証
シングルサインオン
ID:XXX...
AzureにAPProxyをたてるとオンプレのアプリケーションや外部
サイトをコネクタ(Proxy)経由で認証する。
ユーザーはそのWebアプリのURLを叩くとAzureADにいくが、す
でにAzureADでは認証済みなので、認証ダイアログはで...
Azure Application Proxy とは 詳細はまたの機会に・・・・
Azure AD
Application
Proxy
Connector
http://blogs.technet.com/b/ad/archive/2014/0...
Azure ADへ認証
Azure ADに参加
Azure AD JOIN
デバイスの登録 DRS(Device Registration Service)
AzureADへの認証
資格情報の入力が終わると…
デバイス情報の登録:Device Registration Service
Windows 10
リソース情報
Azure AD
DRS
※DRS(Device Registration Service)
①デバイス登録・ユーザー認証
TPM ...
設定-システム-バージョン情報-Azure ADに参加
※Build 10162
AzureADへの認証
AzureADへの認証
クラウド AD JOINへのサインイン
※Build 10162
Windows 10
TPM
①Windows 10へサインイン
②TPMが開かれ、NGC-KeyIDをTPM内の
秘密鍵で署名してサインインリクエストとして
AADに送る
Sign in
Request
Sign in
Request
Mic...
Windows 10
TPM
④AADでサインインリクエストを確認
Sign in
Request
Sign in
Request
Primary
Refresh
Token
⑤AADはWindows 10デバイスへPRTを送る
AzureAD...
Azure AD JOIN
Azure ADで認証する
社内、社外問わず、PCサインイン時にAzure ADに
認証され、そのアカウントでクラウドアプリケーションを
利用する。
WS-Federation
SAML
OpenID Connect
HUB
社内
社外
Azure AD
Azure AD JOIN
Microsoft
Passport
Windows 10
Windows 10
別途設定必要
Azure AD テナントへのSSO
Azure AD JOINによるアプリケーションへのアクセス
Windows 10
Primary
Refresh
Token
①アプリケーションへアクセス
②アクセストークンを要求される
①
②③AADにPRTを見せてアクセトークン
を要求
...
Azure AD JOINによるアプリケーションへのアクセス
サインイン不要!
すべてのアプリケーションへのSSOが可能か?
ネイティブアプリケーションには
仕組みが必要
Azure AD JOINによるWindows 10 とアプリケーション間のSSO
Web Account Manager
10 10
Visual Studio 2015
Web Account Manager API
Windows 10 ...
Azure AD JOINによるネイティブアプリケーションとのSSO
ネイティブアプリケーションとのトークン共有の流れ
Native Application
Web Account
Manager
Web Account
Manager Pro...
Azure AD JOINによるネイティブアプリケーションとのSSO
参考情報
Microsoft 松崎さん Blog
Windows 10 との SSO 開発
(Web Account Manager を使用
したNative Applica...
Azure AD JOINによるアプリケーションとのSSO
Azure Access Panel の活用
http://myapps.microsoft.com
Azure Access Panel
に事前にパスワード登録
したアプリケーション...
Azure AD JOINによるアプリケーションとのSSO
Azure Access Panel の活用
アプリケーションからギャラリーを追加
まとめ
パスワードを利用しない認証が当たり前の時代に・・・
Windows 10は最後のメジャーバージョンアップ
機能追加は今後もどんどん行われるようです。
Window Server 2016はMicrosoft Passportに
対応され...
Upcoming SlideShare
Loading in …5
×

Windows 10 の新機能 Azure AD Domain Join とは

27,774 views

Published on

2015.07.11 Cloud Samurai Roadshow For IT Professionals

Published in: Internet
  • Dating direct: ❤❤❤ http://bit.ly/39sFWPG ❤❤❤
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • Follow the link, new dating source: ♥♥♥ http://bit.ly/39sFWPG ♥♥♥
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • If you want to download or read this book, Copy link or url below in the New tab ......................................................................................................................... DOWNLOAD FULL PDF EBOOK here { http://bit.ly/2m77EgH } ......................................................................................................................... Download EPUB Ebook here { http://bit.ly/2m77EgH } ......................................................................................................................... Download Doc Ebook here { http://bit.ly/2m77EgH } ......................................................................................................................... .........................................................................................................................
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • If you want to download or read this book, Copy link or url below in the New tab ......................................................................................................................... DOWNLOAD FULL PDF EBOOK here { http://bit.ly/2m77EgH } ......................................................................................................................... Download EPUB Ebook here { http://bit.ly/2m77EgH } ......................................................................................................................... Download Doc Ebook here { http://bit.ly/2m77EgH } ......................................................................................................................... .........................................................................................................................
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • If you want to download or read this book, Copy link or url below in the New tab ......................................................................................................................... DOWNLOAD FULL PDF EBOOK here { http://bit.ly/2m77EgH } ......................................................................................................................... Download EPUB Ebook here { http://bit.ly/2m77EgH } ......................................................................................................................... Download Doc Ebook here { http://bit.ly/2m77EgH } ......................................................................................................................... .........................................................................................................................
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

Windows 10 の新機能 Azure AD Domain Join とは

  1. 1. Windows 10 の新機能 ~Azure AD Domain Join とは~ 2015.7.11 Cloud Samurai Roadshow For IT Professionals
  2. 2. 自己紹介 宮川 麻里(みやかわ まり) MCT (Microsoft Certificate Trainer) MVP (Most Valuable Professional for Office 365) ㈱IPイノベーションズにて以下の研修を主に担当 Windows Server / Active Directory Office 365 / Microsoft Azure
  3. 3. ご注意 本セッションの内容は Insider Preview(Build10162)を元に構成 しています。 製品版では仕様など変更になる可能性があります のでご了承下さい。
  4. 4. Windows 10 の新機能 の数々・・・ Windows Hello Microsoft Passport Device Guard Windows 10 のセキュリティ・認証関連の新機能 マルウェアからの保護 ユーザーがアプリを実行する際に信頼性を チェック Azure AD Domain JOIN(Cloud Domain Join)
  5. 5. パスワード問題
  6. 6. パスワード盗難対策 http://www.ipa.go.jp/security/keihatsu/munekyun-pw/slideshow/ 出典:IPA 独立行政法人 情報処理推進機構
  7. 7. Windows 10 で利用できる認証 複雑なパスワードは覚えるのも大変・・・・ そもそもパスワードによる本人確認も無理があるのでは・・・ そろそろパスワードとお別れしよう
  8. 8. パスワード以外に Windows 10 で 利用できる認証とは
  9. 9. パスワード以外にWindows 10 で利用できる認証 Windows Hello 生体認証(バイオメトリクス)ベースのセキュリティ機能 パスワード代わりにデバイスを利用して虹彩(こうさい)や指紋で 認証が可能。 赤外線カメラ USB指紋認証 デバイス 生体情報はデバイス内部に保存 NEW Fast IDentity Online(FIDO2.0)の仕組みを利用
  10. 10. パスワード以外にWindows 10 で利用できる認証 FIDO 2.0 生体認証そのものをさすわけではなく、デバイスのセキュアな領域に保存されて いる秘密鍵にアクセスをしてサインイン要求に署名できるもの
  11. 11. Microsoft Passport パスワードを使わない認証を利用して Azure ADへサインイン TPMに格納されたキーを利用してPRT(Primary Refresh Token)を発行 Azure ADへPRTを送付し、アプリケーションへのアクセス用のアクセストークン取得 Keyペアを生成して AzureAD に公開鍵の登録 ※TPM( Trusted Platform Module) パスワード以外にWindows 10 で利用できる認証
  12. 12. Windows 10 TPM PINコードや生体認証(Windows Hello)を 利用してTPMを開き、サインインリクエストをTPM 内の秘密鍵で署名してAADに送る Sign in Request Sign in Request Microsoft Passport
  13. 13. Windows 10 の認証先
  14. 14. Windows 10 は社内の認証と AzureAD への認証を行う Windows 10 ADDS 社内ドメイン Cloud Azure AD Windows 10 の認証先
  15. 15. 「Azure ADに参加」 Or 「社内ドメインに参加」どちらかを選択 ※Build 10162
  16. 16. 「Azure ADに参加」 ⇔ 「社内ドメインに参加」切り替えるには「組織から切断」 Azure ADに参加した状態のままで ドメインには参加できない(逆も同様) 「システム」→「バージョン情報」
  17. 17. Active Directory ドメインへの参加
  18. 18. 設定-システム-バージョン情報-ドメイン参加 ※Build 10162 社内ドメインへの認証
  19. 19. Active Directoryによる認証 Kerberos認証 TGT:Ticket to Get Ticket 準備チケット XXXX.com ドメイン ①ID/Password送信 ②照合しTGTの送信 TGT ③リソースにアクセスする際は TGTを提示してリソース用の アクセス用チケット要求 TGT ④TGTを確認しファイルサーバー用STを送付 ID:XXXX Pass:XXXXXX ST ST ST:Service Ticket サービスチケット
  20. 20. Active Directoryで認証 TGTの有効な範囲内でのSSO グループポリシー 社内リソースの利用 XXXX.com ドメイン
  21. 21. ドメイン外アプリケーションは別途認証が必要 Active Directoryで認証
  22. 22. ドメイン外アプリケーションとのID連携にはフェデレーション構成が必要 フェデレーションでもIDの入力は必要 社外からのサインインはプロキシ画面 での入力が必要 社内からの認証 シングルサインオン 社外からの認証 シングルサインオン ID:XXX@xxxx.com Pass:XXXXXXX プロキシの認証 ADDC ディレクトリ同期 ADFS ADFS Proxy
  23. 23. AzureにAPProxyをたてるとオンプレのアプリケーションや外部 サイトをコネクタ(Proxy)経由で認証する。 ユーザーはそのWebアプリのURLを叩くとAzureADにいくが、す でにAzureADでは認証済みなので、認証ダイアログはでない Application Proxyをたてる(Azure Premium) https://msdn.microsoft.com/ja-jp/library/azure/dn768220.aspx
  24. 24. Azure Application Proxy とは 詳細はまたの機会に・・・・ Azure AD Application Proxy Connector http://blogs.technet.com/b/ad/archive/2014/06/10/public-preview-of-azure-ad-application-proxy.aspx オンプレADへ代理認証
  25. 25. Azure ADへ認証 Azure ADに参加 Azure AD JOIN
  26. 26. デバイスの登録 DRS(Device Registration Service) AzureADへの認証 資格情報の入力が終わると…
  27. 27. デバイス情報の登録:Device Registration Service Windows 10 リソース情報 Azure AD DRS ※DRS(Device Registration Service) ①デバイス登録・ユーザー認証 TPM ②デバイスの証明書 ③Keyペアの生成 ④公開鍵を登録 ⑤Azure ADからNGC-KeyIDが 発行される ※NGC(Next Generation Credentials) AzureADへの認証 NGC-KeyID
  28. 28. 設定-システム-バージョン情報-Azure ADに参加 ※Build 10162 AzureADへの認証
  29. 29. AzureADへの認証 クラウド AD JOINへのサインイン ※Build 10162
  30. 30. Windows 10 TPM ①Windows 10へサインイン ②TPMが開かれ、NGC-KeyIDをTPM内の 秘密鍵で署名してサインインリクエストとして AADに送る Sign in Request Sign in Request Microsoft Passport AzureADへの認証 先ほど紹介 ① ② ③ NGC-KeyID
  31. 31. Windows 10 TPM ④AADでサインインリクエストを確認 Sign in Request Sign in Request Primary Refresh Token ⑤AADはWindows 10デバイスへPRTを送る AzureADへの認証 ④ ⑤
  32. 32. Azure AD JOIN Azure ADで認証する 社内、社外問わず、PCサインイン時にAzure ADに 認証され、そのアカウントでクラウドアプリケーションを 利用する。 WS-Federation SAML OpenID Connect
  33. 33. HUB 社内 社外 Azure AD Azure AD JOIN Microsoft Passport Windows 10 Windows 10 別途設定必要 Azure AD テナントへのSSO
  34. 34. Azure AD JOINによるアプリケーションへのアクセス Windows 10 Primary Refresh Token ①アプリケーションへアクセス ②アクセストークンを要求される ① ②③AADにPRTを見せてアクセトークン を要求 ③ ④ Access Token ④アクセストークン取得 ⑤アプリケーションへ ⑤ Access Token
  35. 35. Azure AD JOINによるアプリケーションへのアクセス サインイン不要!
  36. 36. すべてのアプリケーションへのSSOが可能か? ネイティブアプリケーションには 仕組みが必要
  37. 37. Azure AD JOINによるWindows 10 とアプリケーション間のSSO Web Account Manager 10 10 Visual Studio 2015 Web Account Manager API Windows 10 / Windows Phone 10限定の組み込みコンポーネント Web Account Manager と連携させれば カスタムアプリケーションのSSO連携が可能! ネイティブな
  38. 38. Azure AD JOINによるネイティブアプリケーションとのSSO ネイティブアプリケーションとのトークン共有の流れ Native Application Web Account Manager Web Account Manager Provider ① Token Sync Request ② Token Request 10 ③ 認証 ④Token ⑤Request Result Token Request⑥
  39. 39. Azure AD JOINによるネイティブアプリケーションとのSSO 参考情報 Microsoft 松崎さん Blog Windows 10 との SSO 開発 (Web Account Manager を使用 したNative Application) http://blogs.msdn.com/b/tsmatsuz/archive/2015/06/17/azure-ad-develop-windows10 -sso-native-application-using-web-account-manager-api-and-microsoft-passport.aspx
  40. 40. Azure AD JOINによるアプリケーションとのSSO Azure Access Panel の活用 http://myapps.microsoft.com Azure Access Panel に事前にパスワード登録 したアプリケーションに SSOで接続可能!
  41. 41. Azure AD JOINによるアプリケーションとのSSO Azure Access Panel の活用 アプリケーションからギャラリーを追加
  42. 42. まとめ パスワードを利用しない認証が当たり前の時代に・・・ Windows 10は最後のメジャーバージョンアップ 機能追加は今後もどんどん行われるようです。 Window Server 2016はMicrosoft Passportに 対応される(予定) 今後も目を離せません! Next Generation Credentials の利用

×