Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Azure ADとWindows 10による
ドメイン環境の拡張
MVP for Enterprise Mobility
Naohiro Fujie / @phr_eidentity / http://idmlab.eidentity.jp
1
自己紹介
• Blog
• IdM実験室(Identityに関することを徒然と):http://idmlab.eidentity.p
• Social
• Facebook Page : eIdentity:https://www.facebo...
Agenda
1. 従来のID基盤の限界とAzure Active Directoryによる拡張
2. Windows 10で変わるドメインの世界
3. まとめ
従来のID基盤の限界と
Azure Active Directoryによる拡張
社内PC
ドメイン
リソース
(アプリケーション)
管理
管理
利用
社内ADによる資産の管理・利用
関係会社
・取引先
社内ネットワーク
モバイル
ユーザ
クラウド・サービスADドメインでの管理の限界
個別管理、
アクセス許可
新しい要求:ク...
社内PC
ドメイン
個社リソース
社内ネットワーク
モバイルユーザ
クラウド・サービス
(共有リソース)
関係会社
・取引先
ID基盤
利用
管理
ポリシーに沿った利用
利用
社内と
SSO
利用
社内と
SSO
登録・管理
Azure ADに...
Azure AD
社内ネットワーク インターネット
社内ネットワーク
+インターネット
ファイルサーバ 社内Webアプリ クラウドWebアプリ
AD DS AD FS / WAP
ID基盤
アプリ
連携
デバイス
管理
Windows PC モ...
8
比較項目 オンプレミスID基盤 クラウドID基盤
製品・サービス 特徴 製品・サービス 特徴
管理主体と対象 AD DS ユーザ、グループ、
デバイス(ドメイン参加PC)
Azure AD ユーザ、グループ、
デバイス(直接Azure AD...
Azure AD
SaaSアプリケーション
自社開発アプリケーション
Azure ADと連携しているAPL群
③認証
①アクセス
②認証要求
④認証結果
APL登録
- URL情報の交換
- 公開鍵の取得、APL側へ登録
ID情報の同期
⑤認証...
社内ネットワーク
Azure AD
SaaSアプリケーションID連携
(SAML/OpenID Connect/ws-federation)
Azure ADと連携して
いるAPL間でSSO
ID連携
(SAML/ws-federation)
...
連携アプリの選択と利用
12
SSOとID同期の設定
13
IPベースのアクセス制御
Windows 10で変わるドメインの世界
IdP
Apps
Organization Network
Office365
SAML/OIDC SPAD DS AD FS Windows
Apps
Firewall
VPN or WAP
(Reverse Proxy)
Single Si...
• どこにからでも、どんなデバイスから
でも、デバイス~アプリケーション間
でのSSOを実現
• 必要な要素
• どこからでも使えるID管理基盤
• どこからでも使えるデバイス管理基盤
• 各基盤に対応するデバイス
• 過渡期における移行も大事...
Internal Services Azure Active Directory Cloud Services
Office365
SAML/OIDC SP
WebAPI
AD FS
AD DS
IdP
(SAML/OIDC)
AuthZ
(O...
シナリオ 参加先 オンプレSSO クラウドSSO
SSO方式 APL連携先 SSO方式 APL連携先
オンプレミス AD DS WIA AD DS なし なし
オンプレミス AD DS WIA AD DS AD FSへのWIA AD FS
ハイ...
あらかじめ登録された
端末を信頼
あらかじめ登録された
ユーザを信頼
認証サーバデバイスユーザ
キーペアを用いた
署名検証で認証
知識(PIN・パスワー
ド)、生体情報で認証
余談)Microsoft Passport
信頼のチェインによりデバ...
概要 特徴
① PCは従来と同様にオンプレミスADへ参加、デバ
イス情報をAzure ADへ同期することで各種アプ
リケーションへシングルサインオン
• Windows Server 2012R2ドメインで実現可能なので、
早期実現が可能
• ...
シナリオ 参加先 オンプレSSO クラウドSSO
SSO方式 APL連携先 SSO方式 APL連携先
オンプレミス AD DS WIA AD DS なし なし
オンプレミス AD DS WIA AD FSへのWIA AD FS
ハイブリッド A...
ファイルサーバ等 ドメインコントローラ AAD Connect
デバイス
情報同期
社内PC
(Windows 10)
ドメイン参加
Azure AD アプリケーション群
ドメイン参加
PCログイン
統合Windows認証
デバイス
情報同期
...
ファイルサーバ等 ドメインコントローラ AAD Connect
デバイス
情報同期
社内PC
(Windows 10)
ドメイン参加
Azure AD アプリケーション群
ドメイン参加
PCログイン
統合Windows
認証
デバイス
情報同期...
ファイルサーバ等
ドメインコントローラ
+AD FS(WS 2016) AAD Connect
デバイス
情報同期
社内PC
(Windows 10)
ドメイン参加
Azure AD アプリケーション群
ドメイン参加
PCログイン
Micros...
まとめ
まとめ
• Azure AD/Intuneを核としたクラウドID基盤を活用することにより、
従来のドメインの限界であったモバイル、クラウド、他社連携といっ
た課題を解決することが可能
• Windows 10、Windows Server 20...
おしらせ
Active Directory & Security Conference 2016
• 日時:2016年3月18日(金)12:00~20:00
• 場所:日本マイクロソフト株式会社 品川本社セミナルームA~D
• 申込URL:ht...
Upcoming SlideShare
Loading in …5
×

Azure ADとWindows 10によるドメイン環境の拡張

8,135 views

Published on

MVP Community Camp 2016 Tokyoで使ったスライドです。

紹介文)
セッション概要:クラウドやモバイルを活用しようとすると、例えばPCへのログインだけで社内のアプリケーションへシングルサインオンできたり、グループポリシーでデバイスの制御を行う、といった従来の社内ドメイン環境でできていたことが不可能になってきています。しかし、Windows 10とAzure AD/Intuneを活用することで従来のドメイン環境に近い利便性や管理レベルを維持しつつクラウドを利用することができるようになってきています。本セッションではクラウド・モバイルをセキュアに利用するためのAzure ADやIntune、Windows 10の上手な活用方法を紹介します。

Published in: Technology
  • Be the first to comment

Azure ADとWindows 10によるドメイン環境の拡張

  1. 1. Azure ADとWindows 10による ドメイン環境の拡張 MVP for Enterprise Mobility Naohiro Fujie / @phr_eidentity / http://idmlab.eidentity.jp 1
  2. 2. 自己紹介 • Blog • IdM実験室(Identityに関することを徒然と):http://idmlab.eidentity.p • Social • Facebook Page : eIdentity:https://www.facebook.com/eidentity • Modules(codeplex) • Generic REST MA for FIM/MIM:https://restmafim.codeplex.com/ • 記事 • 企業のID管理/シングルサインオンの新しい選択肢「IDaaS」の活用 (http://www.atmarkit.co.jp/ait/articles/1508/07/news034.html)etc • その他 • JNSA アイデンティティ管理WG(書籍:「クラウド環境におけるアイデンティティ管理ガイドライン」etc) • OpenID Foundation Japan 教育・翻訳WG(OAuth/OpenID Connect仕様翻訳)、エンタープライズ・アイデン ティティWG
  3. 3. Agenda 1. 従来のID基盤の限界とAzure Active Directoryによる拡張 2. Windows 10で変わるドメインの世界 3. まとめ
  4. 4. 従来のID基盤の限界と Azure Active Directoryによる拡張
  5. 5. 社内PC ドメイン リソース (アプリケーション) 管理 管理 利用 社内ADによる資産の管理・利用 関係会社 ・取引先 社内ネットワーク モバイル ユーザ クラウド・サービスADドメインでの管理の限界 個別管理、 アクセス許可 新しい要求:クラウドや社外利用者を含めた管理 FireWall デバイス 管理が困難 個別ログイン SSO 出来ない アクセス 管理が困難 従来のID基盤の限界
  6. 6. 社内PC ドメイン 個社リソース 社内ネットワーク モバイルユーザ クラウド・サービス (共有リソース) 関係会社 ・取引先 ID基盤 利用 管理 ポリシーに沿った利用 利用 社内と SSO 利用 社内と SSO 登録・管理 Azure ADによるクラウドや社外利用者・モバイルを含めたアクセス管理 Azure ADによるID基盤の拡張 Azure AD/Intune(クラウドID基盤) ID連携 ID連携 ID連携 アクセス管 理の一元化
  7. 7. Azure AD 社内ネットワーク インターネット 社内ネットワーク +インターネット ファイルサーバ 社内Webアプリ クラウドWebアプリ AD DS AD FS / WAP ID基盤 アプリ 連携 デバイス 管理 Windows PC モバイルデバイス AD DSによるオンプレミスID基盤 AD FSによるクラウドへの拡張(ハイブリッドID基盤) Azure ADによるクラウドID基盤 ドメイン参加/ グループポリ シーによる管理 統合Windows認証 ID連携(SAML/OpenID Connect等) DRS(デバイス登録 サービス) /Intuneによる管理 構成要素
  8. 8. 8 比較項目 オンプレミスID基盤 クラウドID基盤 製品・サービス 特徴 製品・サービス 特徴 管理主体と対象 AD DS ユーザ、グループ、 デバイス(ドメイン参加PC) Azure AD ユーザ、グループ、 デバイス(直接Azure ADで管 理するWindows 10、オンプレ のドメイン参加PC) ポリシー適用 AD DS/SCCM 詳細な制限が可能 Azure AD /Intune 詳細な制限は不可能(モバイル デバイス管理機能が中心) シングルサインオン 対象 AD DS ファイルサーバ等を含む統合 Windows認証 - Kerberos/NTLMアプリケー ションやリソースは不可能 AD FS SAML/ws-federationに対応し たWebアプリケーション(個別 設定が前提) Azure AD SAML/ws- federation/OpenID Connect に対応したWebアプリケー ション(あらかじめプリセット されたアプリケーションから選 択、および個別設定が可能) ID管理 MIM (Microsoft Identity Manager) 各種アプリケーションへのID同 期が可能(開発・カスタマイズ が前提) Azure AD 主要SaaSアプリケーションへ のID同期機能がプリセット SCIMに対応したアプリケー ションへのID同期も可能だが 限定的 オンプレミスID基盤との比較
  9. 9. Azure AD SaaSアプリケーション 自社開発アプリケーション Azure ADと連携しているAPL群 ③認証 ①アクセス ②認証要求 ④認証結果 APL登録 - URL情報の交換 - 公開鍵の取得、APL側へ登録 ID情報の同期 ⑤認証結果 の検証 ⑥同期済み ユーザとの 紐づけ シングルサインオン(APL連携) Azure AD
  10. 10. 社内ネットワーク Azure AD SaaSアプリケーションID連携 (SAML/OpenID Connect/ws-federation) Azure ADと連携して いるAPL間でSSO ID連携 (SAML/ws-federation) AD FS Azure AD Connect AD DS ID情報の同期ID情報の同期 Azure ADを経由して 社内AD FSへ連携 企業内ユーザ 統合Windows 認証でSSO シングルサインオン(APL連携)/ハイブリッド Azure AD
  11. 11. 連携アプリの選択と利用
  12. 12. 12 SSOとID同期の設定
  13. 13. 13 IPベースのアクセス制御
  14. 14. Windows 10で変わるドメインの世界
  15. 15. IdP Apps Organization Network Office365 SAML/OIDC SPAD DS AD FS Windows Apps Firewall VPN or WAP (Reverse Proxy) Single Sign On Non SSO ID/PWD 目指すもの=デバイス・APLのSSO 今できるデバイス・APL間のSSOの範囲 どこから 社内から どんなデバイスから ADドメインに参加したPC から 何に対して ドメインに参加したアプリ ケーション AD FSと連携したアプリ ケーション AD FSを導入しても、制限はある ・社外ではPCログオンとAPLログオンは別 ・ドメイン参加PCのみ
  16. 16. • どこにからでも、どんなデバイスから でも、デバイス~アプリケーション間 でのSSOを実現 • 必要な要素 • どこからでも使えるID管理基盤 • どこからでも使えるデバイス管理基盤 • 各基盤に対応するデバイス • 過渡期における移行も大事 • レガシー基盤との橋渡し IdP Apps Organization Network Office365 SAML/OIDC SPAD DS AD FS Windows Apps Firewall VPN or WAP (Reverse Proxy) Single Sign On Non SSO ID/PWD どこからでも使える - ID基盤 - デバイス管理基盤 対応デバイス 対応デバイス 橋渡し 目指すもの=デバイス・APLのSSO Azure AD Windows 10
  17. 17. Internal Services Azure Active Directory Cloud Services Office365 SAML/OIDC SP WebAPI AD FS AD DS IdP (SAML/OIDC) AuthZ (OAuth2.0)Device Mgmt Reporting Store Apps Registered Windows 10 Devices (Internal or External) Sync Org’s Apps Single Sign On • 統一されたID/デバイス管理 • クラウド、オンプレのHUBとし て機能 • 統一ポリシーの適用 • デバイスの種類、アプリケー ションの種類に依存しないSSO • WEBアプリケーション、ネイ ティブアプリケーション、デバ イスを跨いだSSO • PC、モバイルに向けた共通のエ クスペリエンス 目指すもの=デバイス・APLのSSO
  18. 18. シナリオ 参加先 オンプレSSO クラウドSSO SSO方式 APL連携先 SSO方式 APL連携先 オンプレミス AD DS WIA AD DS なし なし オンプレミス AD DS WIA AD DS AD FSへのWIA AD FS ハイブリッド AD DS WIA AD DS Azure AD⇒AD FSへのWIA Azure AD クラウド Azure AD なし なし Passport Azure AD ハイブリッド AD DS WIA AD DS Passport (デバイス同期) Azure AD ハイブリッド Azure AD Azure WAP経由 のWIA(ID同期) AD DS Passport Azure AD ハイブリッド AD DS Passport(AD FS) AD DS Passport (デバイス同期) Azure AD ハイブリッド Azure AD Passport(AD FS) (デバイス同期) AD DS Passport Azure AD Windows 10のドメイン参加 ※WIA:統合Windows認証 Windows 10新機能 Windows 10+Windows Server 2016新機能
  19. 19. あらかじめ登録された 端末を信頼 あらかじめ登録された ユーザを信頼 認証サーバデバイスユーザ キーペアを用いた 署名検証で認証 知識(PIN・パスワー ド)、生体情報で認証 余談)Microsoft Passport 信頼のチェインによりデバイスとユーザの認証を分離。 ・端末認証:キーペアによる署名検証 ・ユーザ認証:秘密鍵を取り出す目的。手段は問わず
  20. 20. 概要 特徴 ① PCは従来と同様にオンプレミスADへ参加、デバ イス情報をAzure ADへ同期することで各種アプ リケーションへシングルサインオン • Windows Server 2012R2ドメインで実現可能なので、 早期実現が可能 • 別コンポーネントが不要なので構成がシンプル • SSOのセットアップ完了に若干時間がかかる ② PCはAzure ADへ参加、オンプレミスのリソース (Webに限定)へはAzure AD Web Application Proxy(WAP)を利用することでシ ングルサインオン(社内ドメイン参加PCは構成 パターン①と同じ) • Windows Server 2012R2ドメインで実現可能なので、 早期実現が可能 • Azure AD WAPが必要 • SSO対応できる社内アプリケーションがWebアプリに 限定される(ファイルサーバ等は不可能) ③ PCはオンプレミスAD、Azure ADのいずれかに 参加、オンプレミスのADとAzure ADがID連携、 Azure AD Connectでデバイス情報を同期する ことで各種アプリケーションへシングルサイン オン • Windows Server 2016リリースを待つ必要あり • AD FS(構成によってはAD CS)が必要 • デバイスのドメイン参加形態の自由度は高い ハイブリッド構成パターン
  21. 21. シナリオ 参加先 オンプレSSO クラウドSSO SSO方式 APL連携先 SSO方式 APL連携先 オンプレミス AD DS WIA AD DS なし なし オンプレミス AD DS WIA AD FSへのWIA AD FS ハイブリッド AD DS WIA Azure AD⇒AD FSへのWIA Azure AD クラウド Azure AD なし なし Passport Azure AD ハイブリッド AD DS WIA AD DS Passport (デバイス同期) Azure AD ハイブリッド Azure AD Azure WAP経由 のWIA(ID同期) AD DS Passport Azure AD ハイブリッド AD DS Passport(AD FS) AD DS Passport (デバイス同期) Azure AD ハイブリッド Azure AD Passport(AD FS) (デバイス同期) AD DS Passport Azure AD Windows 10のドメイン参加 ※WIA:統合Windows認証 Windows 10新機能 Windows 10+Windows Server 2016新機能 1 3 3 2
  22. 22. ファイルサーバ等 ドメインコントローラ AAD Connect デバイス 情報同期 社内PC (Windows 10) ドメイン参加 Azure AD アプリケーション群 ドメイン参加 PCログイン 統合Windows認証 デバイス 情報同期 Microsoft Passport 連携 ①デバイスをAzure ADへ同期してPassport利用 参考) デバイス情報をAzure ADへ登録する方 法にはAzure AD Connectを使う方法と、 AD FSでデバイス・クレームを発行す る方法の2つが存在 デバイス情報をオンプレミスからAzure ADへ同期することにより、 Microsoft Passportを利用可能とする
  23. 23. ファイルサーバ等 ドメインコントローラ AAD Connect デバイス 情報同期 社内PC (Windows 10) ドメイン参加 Azure AD アプリケーション群 ドメイン参加 PCログイン 統合Windows 認証 デバイス 情報同期 Microsoft Passport 連携 Azure WAP 連携 社外PC (Windows 10) Azure AD参加 PCログイン Microsoft Passport Webアプリ 統合Windows認証 (WAP経由) ②Azure AD WAPで外部デバイスに内部リソースを開放 Azure AD WAP(Web Application Proxy)を使い、Azure AD参加している 社外PCに社内の統合Windows認証アプリケーションを開放
  24. 24. ファイルサーバ等 ドメインコントローラ +AD FS(WS 2016) AAD Connect デバイス 情報同期 社内PC (Windows 10) ドメイン参加 Azure AD アプリケーション群 ドメイン参加 PCログイン Microsoft Passport デバイス 情報同期 Microsoft Passport 連携 社内 or 社外PC (Windows 10) Azure AD参加 PCログイン Microsoft Passport Microsoft Passport ID連携 ③社内も社外もMicrosoft Passport デバイス情報をオンプレミスとAzure ADで相互に同期することにより、 社内外でMicrosoft Passportを利用可能とする
  25. 25. まとめ
  26. 26. まとめ • Azure AD/Intuneを核としたクラウドID基盤を活用することにより、 従来のドメインの限界であったモバイル、クラウド、他社連携といっ た課題を解決することが可能 • Windows 10、Windows Server 2016を活用するとさらに柔軟かつ利 便性の高いユーザ利用環境を構築することが可能
  27. 27. おしらせ Active Directory & Security Conference 2016 • 日時:2016年3月18日(金)12:00~20:00 • 場所:日本マイクロソフト株式会社 品川本社セミナルームA~D • 申込URL:http://aka.ms/ad15th • もしくは:http://events.msfthcp.com/?CR_CC=200764089&eventID=JA-EMS-IPVNT-FY16- 03Mar-18-Active-Directory-Security-Coference%20&ls=Website&lsd=AzureWebsite • 概要:Active Directory が登場から 15 周年を迎えたことを記念し、これまでの Active Directory の 歩みを振り返りつつ、Active Directory の業界における位置づけ、Active Directory を使用したさま ざまなシステム設計手法、TIPS、トラブルシューティング、今後の方向性などについてお伝えする、 Active Directory とセキュリティをテーマにしたカンファレンスです。

×