Yusuke Kodama, profile picture
Uploaded byYusuke Kodama
PPTX, PDF1,377 views

詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編

Azure AD Webinar session 3-2 https://aka.ms/AzureADWebinar

Embed presentation

Downloaded 26 times
Azure AD Webinar シリーズ Conditional Access Deep Dive 動作の仕組みを理解する編 Azure Active Directory Customer Success Team
• 開発チームのメンバーがお届けする日本語の Webinar (グローバルで展開されている Webinar の日本語版) • Azure AD の基礎 (L100–200) のうち特に重要でか つ見落としやすいトピックをピックアップ 本 Webinar シリーズの特徴
今後のスケジュール、これまでの録画・資料等がまとまっています 今日の資料もこちらからダウンロードできます http://aka.ms/AzureAdWebinar いますぐブックマークに ご登録ください!
これまでのセッション • 適切な Azure AD 認証方式の選択の決め手 • Azure AD の SaaS アプリケーション認証への活用 • Office365 および Azure AD 管理者が必ずやっておくべきセキュリ ティ対策 • Azure AD で実現するスムーズな外部パートナー協業 • Azure AD セルフサービス機能を用いてコスト削減 • Azure Active Directory 利用開始への第一歩 • IP ベースのアクセス制御から脱却してよりセキュアな環境を構築しよう
13:30-14:15 プレゼンテーション → この間に質問を投稿ください 14:15-14:30 Q&A → 投稿いただいた質問に可能な限りお答えします 時間の使い方 こちらをブックマーク → http://aka.ms/AzureAdWebinar 本日の資料 URL : http://aka.ms/AzureAdWebinar
モダンアクセスコントロール実現に向けた戦略策定方法 日程 (仮) トピック 3/7(木) 13:30-14:30 モダンアクセスコントロール実現に向けた戦略策定方法 Enterprise strategy towards modern access control 3/20(水) 13:30-14:30 詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編 Azure AD Conditional Access deep dive - How it works 4/4(木) 13:30-14:30 詳説!Azure AD 条件付きアクセス - 設計のやり方編 Azure AD Conditional Access deep dive - Design methodology 4/18(木) 13:30-14:30 Azure AD の新しいデバイス管理パターンを理解しよう Modern device management with Azure AD 5/9 (木) 13:30-14:30 Intuneによるモバイルデバイスとアプリのセキュアな管理とは Manage and secure mobile devices and apps with Intune 5/16(木) 13:30-14:30 Hybrid Azure AD Join 動作の仕組みを徹底解説 Hybrid Azure AD Join deep dive
前回のおさらい ① 社内ネットワーク リソース
前回のおさらい ②
前回のおさらい ③ • 既存の ADFS クレームルールは考え方が古い場合が多いのでそのまま移行しようとしない • M365 Golden Config を参考にしてポリシー設計を行う (aka.ms/M365goldenconfig) • セキュリティ上有効化することを強く推奨 • 条件付きアクセスを利用する際、必須となる • ADFS クレームルールのバイパスグループを活用して安全に段階移行する
• ネットワーク → ゼロトラスト • AD FS クレームルール → 条件付きアクセスへ • GPO → Intune MDM • Intune 以外の MDM → Intune MDM 典型的なチャレンジ(疑問や課題) モダンアクセスコントロール実現に向けた戦略策定方法 Enterprise strategy towards modern access control 詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解 Azure AD Conditional Access deep dive - How it work 詳説!Azure AD 条件付きアクセス - 設計のやり方編 Azure AD Conditional Access deep dive - Design meth Azure AD の新しいデバイス管理パターンを理解しよう Modern device management with Azure AD Intuneによるモバイルデバイスとアプリのセキュアな管理とは Manage and secure mobile devices and apps with Int Hybrid Azure AD Join 動作の仕組みを徹底解説 Hybrid Azure AD Join deep dive 本日
• レガシー認証と先進認証とは? • 条件付きアクセスの概要 • 条件付きアクセスを設計する前に理解しておくべき動作の仕組みを説明 本日のセッションの内容
レガシー認証と先進認証
レガシー認証 https://docs.microsoft.com/ja-jp/office365/enterprise/modern-auth-for-office-2013-and-2016
• ID/パスワードの認証のみ • 先進認証を有効化してもレガシー認証が使えなくなるわけではない • できれば ExO 側でブロック、条件付きアクセスでもブロック可 • 2020 年 10 月 13 日 に EWS の レガシー認証 (基本認証) を遮断予定 https://blogs.technet.microsoft.com/exchange/2018/07/03/upcoming-changes-to- exchange-web-services-ews-api-for-office-365/ レガシー認証がなぜダメなのか https://docs.microsoft.com/ja-jp/office365/enterprise/modern-auth-for-office-2013-and-2016
先進認証(Modern AuthN) https://docs.microsoft.com/ja-jp/office365/enterprise/modern-auth-for-office-2013-and-2016
条件付きアクセスの動作の仕組み
条件付きアクセスとは? 多要素認証を要求 アクセスを許可 アクセスを拒否 パスワードリセット を要求 コントロール ユーザー デバイス 場所 クライアントアプリ コンディション 機械 学習 ポリシー リアルタイム 評価エンジン セッションリスク 3 10TB ポリシー を評価 どんなアクセス だったら どうさせる ****** MS 製アプリ 3rd パーティ SaaS オンプレアプリ
条件付きアクセスはいつ評価されるか? ※フェデレーション環境におけるログインフロー
条件付きアクセス (CA)
割り当て = サインインイベント時の状態
アクセス制御 =状態が合致した場合、どうするか
割り当て、アクセス制御 の 考え方 例1 全員がExO に、アクセスする場合、 MFA、または、 準拠デバイスが必要 例2 全員がExOに 非準拠 Windows 上の リッチクライアントから アクセスしようとしたら、 ブロック
対象外を使って効率的に「割り当て」条件を指定
• 割り当て条件に該当する場合 → アクセスをブロック • 割り当て条件に該当する場合 → 制限付きでアクセスを許可 規定でアクセス許可 = ブラックリスト方式 Group A ポリシー#1 Group B ポリシー#2 以下のような、ポリシー条件に該当 しないサインインイベントは、アクセ ス許可される • Group B のメンバーが ServiceNowにアクセス • Group C のメンバーがExOにア クセス Group C
CAポリシーは「すべて」評価される
CA エンジンの動作イメージ インプット = 状態
CA エンジンの動作イメージ グループB インプット = 状態
CA エンジンの動作イメージ 社内 インプット = 状態
サインインログを見ればポリシー適用状態がわかる
サインインログを見ればポリシー適用状態がわかる
サインインログを見ればポリシー適用状態がわかる
ログ反映まで5−10分ぐらいかかる
名前付きの場所
社外からはMFAを要求する場合
CA CAで保護されるのはクラウド側 カレンダー情報取得
• 条件付きアクセスを用いた認証強化には先進認証が必要 • 動作はブラックリスト方式であるため、設計時に要考慮 • [割り当て] と [アクセス制御] の二つの要素でユーザー動作を制御 • アクセスポリシーに順序はなく、すべてが評価される • [対象外] うまく使って割り当て条件を指定する • 問題があったら “サインインログ” を確認すると知りたいことはほぼすべてわかる まとめ
• ネットワーク → ゼロトラスト • AD FS クレームルール → 条件付きアクセスへ • GPO → Intune MDM • Intune 以外の MDM → Intune MDM 典型的なチャレンジ(疑問や課題) モダンアクセスコントロール実現に向けた戦略策定方法 Enterprise strategy towards modern access control 詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解 Azure AD Conditional Access deep dive - How it works 詳説!Azure AD 条件付きアクセス - 設計のやり方編 Azure AD Conditional Access deep dive - Design metho Azure AD の新しいデバイス管理パターンを理解しよう Modern device management with Azure AD Intuneによるモバイルデバイスとアプリのセキュアな管理とは Manage and secure mobile devices and apps with Intu Hybrid Azure AD Join 動作の仕組みを徹底解説 Hybrid Azure AD Join deep dive
今後のスケジュール、これまでの録画・資料等がまとまっています 今日の資料もこちらからダウンロードできます http://aka.ms/AzureAdWebinar いますぐブックマークに ご登録ください!
• EMS Blog: http://aka.ms/emsblog/ Azure AD (EMS) 開発チームメンバーが新機能情報をいち早く公開。また、Azure AD 管理者がおさえておく べきセキュリティホワイトペーパーなどもこちらに投稿される • Japan Azure Identity Support Blog: https://blogs.technet.microsoft.com/jpazureid 新機能に関しての紹介だけでなく、日本の多くの Azure 利用者からサポート依頼を直接受けている Azure Identity サポート エンジニアという立場から、時には私どもの視点を交えて、皆様のお役に立つ情報を発信 • http://aka.ms/aadtips お客様への技術支援の中で、よくあるご質問や、Docs で提供されているよりも詳しい日本語の解説が必要と感 じたトピックを、開発部門の視点で随時アップデート Azure AD 担当者がフォローするべき情報ソース
日程 (仮) トピック 3/7(木) 13:30-14:30 モダンアクセスコントロール実現に向けた戦略策定方法 Enterprise strategy towards modern access control 3/20(水) 13:30-14:30 詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編 Azure AD Conditional Access deep dive - How it works 4/4(木) 13:30-14:30 詳説!Azure AD 条件付きアクセス - 設計のやり方編 Azure AD Conditional Access deep dive - Design methodology 4/18(木) 13:30-14:30 Azure AD の新しいデバイス管理パターンを理解しよう Modern device management with Azure AD 5/9 (木) 13:30-14:30 Intuneによるモバイルデバイスとアプリのセキュアな管理とは Manage and secure mobile devices and apps with Intune 5/16(木) 13:30-14:30 Hybrid Azure AD Join 動作の仕組みを徹底解説 Hybrid Azure AD Join deep dive 今後のWebinar予定 http://aka.ms/AzureAdWebinar
ID-BASED SECURITY Initiative のご紹介 • ID-BASED Security Initiative https://id-bsi.connpass.com/ • 次回 Meeting のご案内 https://id-bsi.connpass.com/event/87081/
ご参加ありがとうございました! 終了後、アンケートへのご回答お願いいたします! 今後の Webinar でどんな話を聞きたいか、教えてください。

More Related Content

PPTX
Hybrid Azure AD Join 動作の仕組みを徹底解説
byYusuke Kodama
 
PPTX
DeNA の AWS アカウント管理とセキュリティ監査自動化
byDeNA
 
PPTX
Azure AD による Web API の 保護
byjunichi anno
 
PDF
AWS Black Belt Online Seminar 2018 Amazon DynamoDB Advanced Design Pattern
byAmazon Web Services Japan
 
PPTX
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について
byShinya Yamaguchi
 
PPTX
IP ベースのアクセス制御から脱却してよりセキュアな環境を構築しよう
byYusuke Kodama
 
PPTX
Azure active directory によるデバイス管理の種類とトラブルシュート事例について
byShinya Yamaguchi
 
PDF
GoodBye AD FS - Azure Active Directory Only の認証方式へ切り替えよう!
byYusuke Kodama
 
Hybrid Azure AD Join 動作の仕組みを徹底解説
byYusuke Kodama
 
DeNA の AWS アカウント管理とセキュリティ監査自動化
byDeNA
 
Azure AD による Web API の 保護
byjunichi anno
 
AWS Black Belt Online Seminar 2018 Amazon DynamoDB Advanced Design Pattern
byAmazon Web Services Japan
 
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について
byShinya Yamaguchi
 
IP ベースのアクセス制御から脱却してよりセキュアな環境を構築しよう
byYusuke Kodama
 
Azure active directory によるデバイス管理の種類とトラブルシュート事例について
byShinya Yamaguchi
 
GoodBye AD FS - Azure Active Directory Only の認証方式へ切り替えよう!
byYusuke Kodama
 

What's hot

PPTX
適切な Azure AD 認証方式の選択の決め手
byYusuke Kodama
 
PDF
IT エンジニアのための 流し読み Windows - Windows 共有 PC モード
byTAKUYA OHTA
 
PPTX
Azure API Management 俺的マニュアル
by貴志 上坂
 
PPTX
Azure Api Management 俺的マニュアル 2020年3月版
by貴志 上坂
 
PDF
半日でわかる コンテナー技術 (入門編)
byToru Makabe
 
PPTX
ログの書き方がチームの生産性を爆上げする話
byTsuyoshi Ushio
 
PPTX
Azure AD の新しいデバイス管理パターンを理解しよう
byYusuke Kodama
 
PPTX
Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~
byjunichi anno
 
PDF
Azure Monitor Logで実現するモダンな管理手法
byTakeshi Fukuhara
 
PDF
20190410 AWS Black Belt Online Seminar Amazon Elastic Container Service for K...
byAmazon Web Services Japan
 
PPTX
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
byShuheiUda
 
PDF
IT エンジニアのための 流し読み Windows 10 - Windows Hello for Business
byTAKUYA OHTA
 
PPTX
Azure ADアプリケーションを使用した認証のあれやこれ
byDevTakas
 
PDF
ゲームアーキテクチャパターン (Aurora Serverless / DynamoDB)
byAmazon Web Services Japan
 
PPTX
KeycloakでAPI認可に入門する
byHitachi, Ltd. OSS Solution Center.
 
PDF
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
byAmazon Web Services Japan
 
PPTX
Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策
byYusuke Kodama
 
PDF
ZOZOTOWNのマルチクラウドへの挑戦と挫折、そして未来
byHiromasa Oka
 
PDF
なぜOpenID Connectが必要となったのか、その歴史的背景
byTatsuo Kudo
 
PPTX
Keycloak入門
byHiroyuki Wada
 
適切な Azure AD 認証方式の選択の決め手
byYusuke Kodama
 
IT エンジニアのための 流し読み Windows - Windows 共有 PC モード
byTAKUYA OHTA
 
Azure API Management 俺的マニュアル
by貴志 上坂
 
Azure Api Management 俺的マニュアル 2020年3月版
by貴志 上坂
 
半日でわかる コンテナー技術 (入門編)
byToru Makabe
 
ログの書き方がチームの生産性を爆上げする話
byTsuyoshi Ushio
 
Azure AD の新しいデバイス管理パターンを理解しよう
byYusuke Kodama
 
Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~
byjunichi anno
 
Azure Monitor Logで実現するモダンな管理手法
byTakeshi Fukuhara
 
20190410 AWS Black Belt Online Seminar Amazon Elastic Container Service for K...
byAmazon Web Services Japan
 
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
byShuheiUda
 
IT エンジニアのための 流し読み Windows 10 - Windows Hello for Business
byTAKUYA OHTA
 
Azure ADアプリケーションを使用した認証のあれやこれ
byDevTakas
 
ゲームアーキテクチャパターン (Aurora Serverless / DynamoDB)
byAmazon Web Services Japan
 
KeycloakでAPI認可に入門する
byHitachi, Ltd. OSS Solution Center.
 
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
byAmazon Web Services Japan
 
Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策
byYusuke Kodama
 
ZOZOTOWNのマルチクラウドへの挑戦と挫折、そして未来
byHiromasa Oka
 
なぜOpenID Connectが必要となったのか、その歴史的背景
byTatsuo Kudo
 
Keycloak入門
byHiroyuki Wada
 

Similar to 詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編

PPTX
モダンアクセスコントロール実現に向けた戦略策定方法
byYusuke Kodama
 
PDF
Sec007 条件付きアクセス
byTech Summit 2016
 
PDF
[SC04] あなたのサービスを "ID" で守る! Azure Active Directory の条件付きアクセスの基礎と実装
byde:code 2017
 
PPTX
Azure Active Directory 利用開始への第一歩
byYusuke Kodama
 
PDF
20 分で理解する Azure Active Directory 最新アップデートと利活用シナリオ
byYusuke Kodama
 
PDF
Azure Active Directory 最新活用シナリオアップデート
byID-Based Security イニシアティブ
 
PDF
Cld013 一体どこまででき
byTech Summit 2016
 
PPTX
Cld013 一体どこまででき
byTech Summit 2016
 
PPTX
世界の事例から学ぶ「モビリティ」と「セキュリティ」のあるべき姿
byT.R. Nishi
 
PDF
ADFS クレームルール言語 Deep Dive
bySuguru Kunii
 
PDF
[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際
byde:code 2017
 
PDF
【de:code 2020】 Apps on Azure AD - アプリケーション連携 WHY と HOW
by日本マイクロソフト株式会社
 
PPTX
AzureAD for Java
byYoshio Terada
 
PDF
Vdi を より使いやすいインフラにするためのセキュリティ設計
byjunichi anno
 
PDF
20171011_ID-based Securityにおける中核サービスとしてのAzure Active Directory
byID-Based Security イニシアティブ
 
PDF
Azure ad 条件付きアクセス Legacy block_Preview
byR N
 
PDF
AAD authentication for azure app v0.1.20.0317
byAyumu Inaba
 
PDF
Paas_Security_Part1
byRyoma Nagata
 
PDF
Sec006 世界の事例から学
byTech Summit 2016
 
PDF
Sec004 cloud first、_mobile_first_におけるid
byTech Summit 2016
 
モダンアクセスコントロール実現に向けた戦略策定方法
byYusuke Kodama
 
Sec007 条件付きアクセス
byTech Summit 2016
 
[SC04] あなたのサービスを "ID" で守る! Azure Active Directory の条件付きアクセスの基礎と実装
byde:code 2017
 
Azure Active Directory 利用開始への第一歩
byYusuke Kodama
 
20 分で理解する Azure Active Directory 最新アップデートと利活用シナリオ
byYusuke Kodama
 
Azure Active Directory 最新活用シナリオアップデート
byID-Based Security イニシアティブ
 
Cld013 一体どこまででき
byTech Summit 2016
 
Cld013 一体どこまででき
byTech Summit 2016
 
世界の事例から学ぶ「モビリティ」と「セキュリティ」のあるべき姿
byT.R. Nishi
 
ADFS クレームルール言語 Deep Dive
bySuguru Kunii
 
[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際
byde:code 2017
 
【de:code 2020】 Apps on Azure AD - アプリケーション連携 WHY と HOW
by日本マイクロソフト株式会社
 
AzureAD for Java
byYoshio Terada
 
Vdi を より使いやすいインフラにするためのセキュリティ設計
byjunichi anno
 
20171011_ID-based Securityにおける中核サービスとしてのAzure Active Directory
byID-Based Security イニシアティブ
 
Azure ad 条件付きアクセス Legacy block_Preview
byR N
 
AAD authentication for azure app v0.1.20.0317
byAyumu Inaba
 
Paas_Security_Part1
byRyoma Nagata
 
Sec006 世界の事例から学
byTech Summit 2016
 
Sec004 cloud first、_mobile_first_におけるid
byTech Summit 2016
 

詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編

Editor's Notes

  • #8 利用者の検証に加え、常にデバイスの状態も評価する 利用場所は問わない。社内からの利用も同様な扱いに