IDaaS を正しく活用するための認証基盤設計　～Azure Active Directory の構成パターン詳細～

参考記事
https://blogs.msdn.microsoft.com/samueld/2017/06/13/choosing-the-right-sign-in-option-to-
connect-to-azure-ad-office-365/

Azure AD Domain Service
• AutoPilot

• Azure Active Directory をドメインコントローラーとして使用する機能
• 正確には、Azure AD テナントと同期するドメインコントローラーを
Azure VNET 上に自動展開するサービス
• 既定で 2 台のドメインコントローラーが展開される
Azure VNET
Kerberos
ldap
NTLM
Group Policy
File Server
認証,
アクセス制御
ID/Password
同期

• 既存ドメインと統合できない
• Azure AD Domain Service に新規ドメインコントローラーを追加すること
もできない
• 既存ADドメインとの認証分離
AAD DS ドメインの世界 AAD の世界
ID &
パスワードハッシュ同期
オンプレミス

1. パスワード同期
2. Active Directory Federation Service (ADFS)
3. 3rd party Federation Service
4. パススルー認証（プレビュー）
5. Azure AD シームレス SSO

• Azure AD Connect は生パスワードにア
クセスできない
• 統一パスワードだが SSO ではない
• 利用者は Office 365 にアクセスする
ために Azure AD に保存されたパス
ワードで再認証する必要がある
• オンプレミスはMD4、クラウドは
SHA256
MD4 Hashed
Password (unicodePwd)

• Azure AD でパスワードを“リセット/変
更”した場合、パスワードをオンプレミス
に書き戻す機能
• Azure AD Premium P1/P2 で提供
• 以下の構成でサポートされる
• パスワード同期
• フェデレーション
• パススルー認証
• 以下の操作がサポートされる
• 管理者によるリセット/変更
• ユーザーによるリセット/変更
• 以下は現時点で未サポート
• PowerShell v1、v2、または Azure
AD Graph API を使用したパスワー
ドのリセット
• “Office 管理ポータル”から管理者が
開始したエンドユーザーのパスワー
ドのリセット
MD4 Hashed
Password (unicodePwd)
Tenant-specific
Service Bus Relay
変更を検知
Inbound port の open は不要
Write Back
AD DS SetPassword API
Write Back
Firewall
Decrypt password
by private key

https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-
aadconnectsync-connector-genericldap

• Azure AD federation compatibility list
https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnect-
federation-compatibility
• Use a SAML 2.0 Identity Provider (IdP) for Single Sign On
https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnect-
federation-saml-idp
• SAML 2.0 compliant SP-Lite profile
• Hybrid Identity directory integration tools comparison
https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-hybrid-identity-design-
considerations-tools-comparison
• Microsoft Connectivity Analyzer
https://testconnectivity.microsoft.com/?tabid=Client

Syncwith
Password
Syncwith
Password

• クラウドリソースにアクセスするための認
証をオンプレミスADDSで行う
• ハッシュされたパスワードを同期しない
• フェデレーションを使用せずにオンプレミ
スで認証する
• セルフサービスパスワード変更/リセット
も可能
• Azure AD Connect でセットアップする
• AD FS の可用性を考慮する必要が無い
• AD FS の導入に比べればとにかく楽！
Preview
Tenant-specific
Service Bus Relay
Inbound port の open は不要Firewall
Sync
Identity
②ログイン検知
③取り出し
④Decrypt password by private key
⑤Check Id/password pair
With Win32 API
>=1.1.557.0
⑥結果
（注）オンプレミスとクラウドで同じ
ID/Passwordを使用できるか、SSOではな
い！

Supported
• web browser-based applications
• Office 365 client applications that support modern authentication.
• Azure AD Join for Windows 10 devices.
• Exchange ActiveSync support.
• PowerShell v2.0 or later
Unsupported during preview
• Office 2013 or earlier
• Skype for Business client applications, including Skype for Business
2016.
• PowerShell v1.0

• Azure AD にサインインするためのパス
ワード入力が必要がなくなる
AZUREADSSOACCT
Preview

OS/ブラウザー Internet Explorer Edge Google Chrome Mozilla Firefox Safari
Windows 10 ありなしありはい*
Windows 8.1 ありありはい*
Windows 8 ありありはい*
Windows 7 ありありはい*
Mac OS X 該当なしはい* はい* はい*
* 追加構成の必要あり
https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnect-sso-
quick-start#browser-considerations

特徴 PC ログオンクラウドアプリ利用時 SSO
Azure AD のみ単一IdP Azure AD Azure AD 〇
パスワード同期 ADDSとAzure AD両方
にパスワード
ADDS Azure AD AAD シームレス SSO と
併用する。IDは入力の必
要あり。
フェデレーションオンプレミスの認証結
果をクラウドに引き継
げる
ADDS ADDS 〇
パススルー ADDSに登録された
ID/Passwordでクラウ
ド上のリソースにアク
セスできる
ADDS ADDS AAD シームレス SSO と
併用する。IDは入力の必
要あり。

Option Password 同期パススルー ADFS
INFRASTRUCTURE & OPERATIONS
サーバー台数
Min: 1
Rec: 2
(+'Staging' server)
Min: 1
Rec: 2 for HA
Min: 1
Rec: 2 for HA
DMZ への展開が必要か NO NO
YES（WAP）
Min:1, Rec: 2 for
HA
自動フェールオーバー用のHAシナ
リオはあるか
NO
YES
Service Bus Relay
YES
ロードバランサ
SSL 必須 NO NO YES
クラウドからオンプレミスのサー
バーを監視できるか
Connect Health
(Premium)
Partial
Connect Health
(Premium)

AUTHENTICATION
AD - Password Sign-in YES YES YES
AD - Desktop SSO YES YES YES
AD - Soft Certificates
(MDM or GPO provisioned)
NO NO YES
AD - Smart Card NO NO YES
AD - Fail Auth if user is disabled
Partial. Typically up to 30
mins for sync cycle to
complete
Immediate Immediate
AD - Fail Auth if user’s password has
expired
NO YES YES
AD - Supports users in multiple trusted AD
forests
YES YES YES
AD - Supports users in multiple untrusted
AD forests
YES NO
YES (2016)
untrusted forest can be
configured as an LDAP
directory
3rd party LDAP - Password sign-in
See note 4
NO NO YES (2016)
Authenticator App as primary Sign-in
(password less)
NO NO YES (2016)

MFA
Azure MFA (SMS, Phone, TOTP) YES YES YES (2016)
Azure MFA Server (+Pin support) NO NO YES
Win10 Hello For Business (Key trust) YES YES YES (2016)
Win10 Hello For Business (Cert trust) NO NO
Coming Soon
(2016)
3rd party MFA NO NO
YES
(link)
Build Custom MFA NO NO
YES
(link)

APPLICATIONS
Browser YES YES YES
Exchange Active Sync (EAS) YES Coming Soon YES
Native apps (legacy auth) YES Coming Soon YES
Native apps (modern auth) YES YES YES
Win 10 desktop sign-in with
Username/Password(U/P) on a AAD
joined device
YES Coming Soon YES

SIGN-IN EXPERIENCE
Customize logo, image and sign-in description
YES (premium)
(link)
YES (premium)
(link)
YES
(link)
Customize full layout with CSS customization NO NO
YES
(link)
Customize dynamically with Java Script NO NO
YES
(link)
Sign In with UPN YES YES YES
Sign In with Domain¥samaccountname NO NO YES
Seamless first time sign-in to O365 native apps on
Domain Joined devices
NO NO
YES
Office apps are optimized
on first sign-in to look up the
local UPN and seamlessly
sign-in the user using WS-
Trust Kerberos endpoints
from the Identity provider.
Seamless 2nd time sign-in to O365 native apps on
Domain Joined devices
YES YES YES

PASSWORD EXPIRY NOTIFICATION & CHANGE
Supports password expiry
notification in Office Portal & Win10
desktop
NO NO YES
Custom password change URL link
shown in Office Portal & Win10
desktop
NO NO YES
Integrated password change
experience when user’s password
has expired
NO NO YES

DEVICES & ACCESS CONTROL
Device Registration: Win10 DJ YES YES YES
Device Registration: Win7/8.1 DJ Coming Soon YES YES
Block legacy protocols
Coming Soon
(Premium)
Coming Soon
(Premium)
YES
(link)
Allow legacy protocols only from
intranet (e.g. Office 2010)
Coming Soon
(Premium)
Coming Soon
(Premium)
YES

https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-playbook-intro
Azure Active Directory の概念実証戦略

アクセスすべきでない人から秘匿すること
情報

開始
Security as an after thought（結果
論）
計画設計開発テスト展開

セキュリティが「杭」になってしまう原因
なぜシステムが必要なのか?
利用者は目的をもってデバイスを使用する。
それはネットワークに接続され、ソリューションを使用する。
ソリューションはサービスによって構成され、
インフラストラクチャ上で実行される。
Personas have objectives and use devices that connect via networks and consume solutions composed of services running on infrastructure.
こちら側に重きを置いて設計
しようとするから

セキュリティの設計は「人」で行う
なぜシステムが必要なのか?
利用者は目的をもってデバイスを使用する。
それはネットワークに接続され、ソリューションを使用する。
ソリューションはサービスによって構成され、
インフラストラクチャ上で実行される。
Personas have objectives and use devices that connect via networks and consume solutions composed of services running on infrastructure.
人を中心に設計する

Identity
Authentication（認証）
Authorization（認可）
Accountability（説明責任）
Auditing
Audit Log
Access
Active Directory
Family

PIN
生体ネットワーク
を流れない
漏洩しやすい

確実に“本人であること”を
保証する仕組みを実装する
認証された
ユーザーの
権限を明確に
する

情報
Authentication
Monitoring
Access Control
Encryption
Single sign-on

Identity Provider（Authority）

55
Private Enterprise
On-premise
Cloud
Active Directory ドメイン
Active Directory は中を守るもの

56
Private Enterprise
On-premise
Cloud
自宅出張先喫茶店海外
2008年～働き方の変化と Consumerization of IT の波

57
Private Enterprise
On-premise
Cloud
自宅出張先喫茶店
SaaS
海外
クラウドとモバイルデバイスの登場

城下町
関所
人
モ
ノ
他の城下町との連携

59
Private Enterprise
On-premise
Cloud
SaaS
海外
関所となるセキュリティハブの必要性
関所

60
Private Enterprise
On-premise
Cloud
SaaS
海外
関所となるセキュリティハブの必要性
Azure AD

Azure AD Join
パスワード連携
OMA-DM
オンプレミス
SAML 2.0
WS-Federation
OpenID Connect
OAuth 2.0
Identity is Control Plane
ID
管理
認証
Active
Directory
U/P Sync
SSO
業界標準プロトコルの
サポート
他社 SaaS との ID 連携
Microsoft
Passport
Windows Hello
Windows 10
Browser
セキュリティ
ポリシー
アプリ配布/利用制限
暗号化,
権限管理,追跡
BYOD/CYOD
社内業務
SAML 2.0
WS-Fed.
Azure
Machine
Learning
Intune
Subscription
RBAC
…
Proxy
Connector
KCD
ID 同期
条件付きｱｸｾｽ
特権 ID 管理
RBAC 多要素認証必須
アクセスOK
アクセス不可
ID
連携
Information
Protection
MDM/
MAM/
MCM
B2B
Azure IaaS
Domain
Services
VPN
Kerberos
ldap
NTLM
Group Policy
SPNego
IWA
アクセス
パネルBusiness
Store
SCIM 2.0
監査
ﾛｸﾞ解析
ｼｬﾄﾞｳIT検出
ﾘｽｸﾍﾞｰｽ認証
MS Account

63
IdP の構成
Azure
MFA
オンプレミス
パブリッククラウド
Azure Active Directory
• パスワードの管理
• オンプレミスのIDとアクセス制御
• 長年蓄積されたオンプレミスのITガバナンス
• Kerberos からクラウドへのチケット変換
• クラウドサービスに対する
IDとアクセス制御
• サービス間のシングルサインオン
Kerberos の世界
HTTP の世界
Identity
Federation
Active Directory
ドメイン

64
Active Directory ドメインの構成
ディレクトリ
認証サーバー
Kerberos
セキュリティ
トークンサービス
その他
認証サーバー
業務アプリ
サーバー Authority
SAML 2.0/
WS-Federation
同期
WS-Fed
https
SAML
リバースプロキシー
（含認証）
Conditional
Access
Microsoft
Identity
Manager
Kerberos/
ldap/NTLM Firewall
WS-Fed
https
SAML
AD DS：Active Directory Domain Service
AD FS：Active Directory Federation Service
WAP：Web Application Proxy
Windows Server 2012 R2 ～

Azure VNET
Kerberos
ldap
NTLM
Group Policy
File Server
認証,
アクセス制御
ID/Password
同期
VPN GW
VPN
Agent
最大250台/VNET辺
り

難点
• 既存ドメインと統合できない
• Azure AD Domain Service に新規ドメインコントローラーを追加すること
もできない
• 既存ADドメインとの認証分離
AAD DS ドメインの世界 AAD の世界
Federation
ID &
パスワードハッシュ同期
オンプレミス

Azure アプリケーションプロキシ
Azure
MFA
オンプレミス
パブリッククラウド
Azure Active
Directory Azure Application Proxy
Azure Proxy
Connector
事前認証
代理認証

Azure AD パスワード連携
Access Panel
MyApps
Azure AD にサインインしていれば、
アクセスパネルがパスワード入力を代行してくれる
事前に登録しておく
Form に入力する ID と
パスワードはAzure AD
に暗号化して保存
フォーム認証が必要なアプリ
①サインイン② SSO

IDaaS を正しく活用するための認証基盤設計 ～Azure Active Directory の構成パターン詳細～

More Related Content

What's hot

Viewers also liked

Similar to IDaaS を正しく活用するための認証基盤設計 ～Azure Active Directory の構成パターン詳細～

More from Trainocate Japan, Ltd.