[SC02] シチュエーション別 Active Directory デザインパターンde:code 2017
Active Directory を中心としたアイデンティティ プロバイダはオンプレミスからハイブリッドやクラウドまで様々な構成が実現され飛躍的な進化を遂げています。
多様化する選択肢のなかからどれを選択しどのように設計すべきなのか?
Windows Server 2016 の認証新機能から Azure AD、Azure Active Directory Domain Services まで、それぞれの特徴を理解し企業にとっての Best Practice を見極めましょう!
受講対象: Active Directory の設計に携わるエンジニア
製品/テクノロジ: Microsoft Azure/Windows Server/アーキテクチャ/アイデンティティ (AD/Azure AD)/セキュリティ/クラウド
宮川 麻里
Microsoft MVP
[SC02] シチュエーション別 Active Directory デザインパターンde:code 2017
Active Directory を中心としたアイデンティティ プロバイダはオンプレミスからハイブリッドやクラウドまで様々な構成が実現され飛躍的な進化を遂げています。
多様化する選択肢のなかからどれを選択しどのように設計すべきなのか?
Windows Server 2016 の認証新機能から Azure AD、Azure Active Directory Domain Services まで、それぞれの特徴を理解し企業にとっての Best Practice を見極めましょう!
受講対象: Active Directory の設計に携わるエンジニア
製品/テクノロジ: Microsoft Azure/Windows Server/アーキテクチャ/アイデンティティ (AD/Azure AD)/セキュリティ/クラウド
宮川 麻里
Microsoft MVP
デスクトップ仮想化の実践 - powered by Windows Server 2016 & Azure - (Microsoft de:code 2016)Takamasa Maejima
2016年5月に開催された Microsoft de:code 2016 での、RDS (Remote Desktop Services) on Microsoft Azure に関するセッションスライドです。
[イベント名] Microsoft de:code 2016
[開催日] 2016年5月24日
[セッションID] INF-012
[セッションタイトル] デスクトップ仮想化の実践 - powered by Windows Server 2016 & Azure -
SPL-003_黒船襲来! 世界DevOps トップ企業 x マイクロソフトによるトークバトル セッションdecode2016
The document discusses the history and evolution of DevOps. It describes how DevOps originated from practices developed by early web companies to deliver value quickly to customers. It also discusses how enterprises are now adopting DevOps practices to help facilitate faster, safer software delivery through automation, collaboration between development and operations teams, and other cultural shifts. The document also briefly profiles the company Chef and its role in helping to define DevOps best practices through its automation platform.
2. Agenda
• 2種類の Active Directory の違いと役割、
連携方法を理解しましょう
• Windows Server 2016 ADDS/ADFS で
できるようになることを理解しましょう
ハイブリッドな Active Directory を構成するうえで必要な知識
関連製品
• Azure Active Directory Free
• Windows Server 2016 Active Directory(AD DS/AD FS)
• Windows 10 Anniversary Update
15. Windows 10 アプリとシングルサインオン」 にて
Enterprise
Container
Personal
Container
Web Account Manager
Custom Application
Web Account Provider
16. • Microsoft Account を使用する
or Azure AD に参加する(Azure AD Join)
or Windows Server 2016 {AD DS + AD FS} ドメインに参加する
or 「職場または学校アカウントを追加」する(旧 Workplace Join)
Microsoft Passport を使用するには
• Windows 10
• Microsoft Passport の利用が有効化されている(規定値は“有効”)
Passport for Work
今回はここをター
ゲットにします• グループポリシー
or System Center Configuration Manager
or Microsoft Intune
or 3rd party MDM
PINの管理を行う
管理ツール
17. Protocol AD DS AD FS Azure AD
Kerberos, NTLM, LDAP v3 2000 ~ Azure AD DS
WS-Federation 2012 ~ ○
SAML 2.0 2012 ~ ○
OAuth 2.0 auth code grant, public client 2012 R2 ○
OpenID Connect 2016 ○
OAuth 2.0 implicit grant 2016 ○
OAuth 2.0 auth code grant, confidential client 2016 ○
OAuth 2.0 client credential grant 2016 ○
OAuth 2.0 on behalf of 2016 ○
Microsoft Passport 2016 ○
18. 認証基盤シナリオ
PC オンプレミスアプリ クラウドアプリ
ドメイン ログオン 連携先 認証方式 連携先 認証方式
従来の
シナリオ
オンプレミス AD DS Kerberos AD DS WIA
オンプレミス AD DS Kerberos
AD DS WIA
AD FS WS-Fed, SAML2.0
AD FS WS-Fed, SAML2.0
ハイブリッド
・フェデレーション
AD DS Kerberos
AD DS WIA
Azure AD
WS-Fed, SAML2.0
OpenID Connect
Password Form 連携
Azure Application Proxy
AD FS WS-Fed, SAML2.0
Azure AD
WS-Fed, SAML2.0
OpenID Connect
Password 連携
Azure Application Proxy
Windows 10
クラウド Azure AD
Microsoft
Passport
Azure AD Microsoft Passport Azure AD Microsoft Passport
ハイブリッド
・フェデレーション
・デバイス同期
AD DS Kerberos Azure AD Microsoft Passport Azure AD Microsoft Passport
Windows 10
+
WS 2016
オンプレミス
AD DS
AD FS
Microsoft
Passport
AD FS
Microsoft Passport
OpenID Connect
AD FS
Microsoft Passport
OpenID Connect
ハイブリッド
・フェデレーション
・デバイス同期
Azure AD
Microsoft
Passport
AD FS
Microsoft Passport
OpenID Connect
AD FS
Microsoft Passport
OpenID Connect
19.
20. Passport for Work の使用~Azure AD に参加する
課題
• パスワードが Azure AD に残ってしまう
• オンプレミスとは認証が分断される
31. 対策
• Azure AD Connect Health による監視
AD FS
Web Application Proxy
Azure AD DS(予定)
• ファーム構成
• AD FS
• Web Application Proxy
落ちたらサービスが利用できません!
Azure AD
Domain Service
Azure VNET
Azure AD
Connect
Azure AD
Connect Health
32. • Azure AD MFA
• Azure AD MFA + MFA Server
Microsoft Passport が使えないデバイスはどうする?
認証強度を高めるための”多要素認証” 活用 」
多要素認証による“ユーザー認証の堅牢化“
ちなみに、Windows Server 2016 AD FS には MFA Server addin が標準装備されます。