働き方改革を後押しする Office 365 + リモートワークソリューション～Azure Active Directoryとの組み合わせで実現する～リモートワークソリューション基盤としてのOffice 365活用術

Copyright © NHN Techorus Corp.
NHN テコラス株式会社
シニアクラウドコンサルタント
三瓶義雄
2017年 7月 20日
働き方改革を後押しする
Office 365 + リモートワークソリューション
～Azure Active Directoryとの組み合わせで実現する～
リモートワークソリューション基盤としてのOffice 365活用術

自己紹介
三瓶義雄（さんぺいよしお）
略歴
• 1990年からIT業界一筋（今年で業界歴27年になります・・・）
• 1997年から2015年までマイクロソフトにいました（18年・・・）
 前半は社内IT部門でアジア全域のサーバー、ネットワークをサポート
 後半はプレミアサポートエンジニアとして日本全国の顧客サポート
現在はNHNテコラスにて
クラウドオフィスソリューションの事業企画を担当

会社説明
n h n - t e c h o r u s . c o m
社名 NHN テコラス株式会社
設立 2007年4月
拠点東京、大阪、福岡
資本金 21億円
事業内容 ITインフラ・ソリューション事業
セキュリティ事業
従業員数 201名（2017年7月現在）

ワークスタイルの変化と課題
まとめ
クラウドネイティブ環境
Azure Active Directory のみで実現
利用シーンごとのAzure AD連携
Azure Active Directory の基本
Office 365 の ID管理
1
2
3
4
★
★
5
Demo
Demo
Demo
本日のアジェンダ
オンプレミス Active Directory との連携★

まとめ
Azure Active Directory のみで実現
利用シーンごとのSSO
Azure Active Directory との連携
1
2
3
4
★
★
5
Demo
Demo
Demo

ワークスタイルの変化 : Office 365 で働き方改革を加速
決められた時間
いつでも
決められた場所
どこでも
決められたデバイス
どんなデバイスでも
Microsoft Office メール、予定表個人用ストレージ
ポータルサイト、ドキュメント共有チャット、オンライン会議
PC
タブレットスマートフォン
Mac

例：営業職のOffice365活用によるリモートワーク
社内で利用外出先で利用
Office 365で実現
Exchange Online
予定表メールタスク
OneDrive for Business
情報共有個人ドキュメント
Skype for Business
チャットプレゼンスオンライン会議
Office ProPlus
Microsoft office

でも実際は・・・
複数のクラウドサービスを
組み合わせて実現
個人ドキュメントMicrosoft office
情報共有 CRM
OneDrive for
Business
Office ProPlus
Other Public Cloud
グループウェア
端末認証アプリケーションデータアクセス
管理が大変 or 不可能

Azure Active Directoryで連携すればOK!
個人ドキュメントMicrosoft office
情報共有 CRM
OneDrive for
Business
Office ProPlus
Other Public Cloud
グループウェア
Azure Active Directory

① クラウドID ② クラウドID ＋ディレクトリ同期 ③ フェデレーションID
＋ディレクトリ同期
対象
ユーザー
• ADを運用していない
• 小規模（～ 1,000人）
• ADを運用している • ADを運用している
• 大規模組織（5,000人～）
長所 • 内部設置サーバーが不要 • ユーザーとグループのマスターは内部設
置で持つ
• パスワード同期も可能
• パススルー認証も可能
• シームレスSSOも可能
• 社内IDとシングルサインオン
• ユーザーとグループのマスター、パス
ワードポリシーは内部設置で持つ
• アクセス制御が可能
短所 • シングルサインオンなし
• 異なるパスワードを2種類管理
• ユーザーとグループのマスターはクラウ
ドで持つ
• 社外からはシングルサインオンなし
• 内部設置サーバーが1つ必要
• 高可用性の内部設置サーバーが必要
構成
イメージ
認証
認可
ディレクトリ
同期
フェデレー
ション
社内 Active Directory
認証認可
ディレクトリ
同期
社内 Active Directory
認証認可
Office 365 の ID管理方法

① クラウドID
モバイル
社外PC
社内PC

② クラウドID ＋ディレクトリ同期
モバイル
社外PC
社内PC AD Connect
ドメインコントローラ

③ フェデレーションID＋ディレクトリ同期
モバイル
社外PC
社内PC
ADFS ドメインコントローラ AD Connect

Free Basic P1 P2
ディレクトリサービス機能 (IDaaS) ○ ○ ○ ○
管理可能なオブジェクト数 (ユーザーとグループ) ～500,000 無制限無制限無制限
エンドユーザーアクセスパネル ○ ○ ○ ○
SaaS アプリケーション用 SSO (1ユーザー当たりの上
限アプリケーション数)
10 個 10 個無制限無制限
ディレクトリ同期 ○ ○ ○ ○
ユーザーとグループの管理 ○ ○ ○ ○
ユーザーベースのプロビジョニング ○ ○ ○ ○
デバイス登録 ○ ○ ○ ○
セキュリティレポート ○ (基本) ○ (基本) ○ (詳細) ○ (詳細)
ログオン/アクセスパネルのブランディングのカスタマ
イズ
○ ○ ○
グループベースのアクセス管理とプロビジョニング ○ ○ ○
アプリケーションプロキシ ○ ○ ○
セルフパスワードリセット ○ ○ ○
パスワードを含む、オンプレミスADへの属性の書き戻
し
○ ○
Azure Active Directory各エディションごとの機能（1/2）

Free Basic P1 P2
グループと場所に基づく条件付きアクセス ○ ○
デバイス状態に基づく条件付きアクセス ○ + Intune ○ + Intune
クラウドユーザー用のセルフサービスのグループ管理 ○ ○
Multi-Factor Authentication (クラウドアプリケー
ションおよびオンプレミスアプリケーション)
○ ○
グループアカウントの自動パスワードロールオーバー ○ ○
Microsoft Identity Manager サーバーとユーザー
CAL
○ ○
Azure AD Identity Protection ○
Azure AD Privileged Identity Management ○
デバイス登録 / Azure AD 参加 ○ ○ ○ ○
セルフサービスでの BitLocker 回復キーの利用 ○ ○ ○ ○
Azure AD Connect Health ○ ○
アプリ単位でのアクセス制御 ○ ○
管理者による BitLocker 回復キーの利用 ○ ○
MDM 自動登録 ○ ○

ユーザー名 / パスワード
SAML認証
SAML認証
ID連携
• Azure ADはクラウドアプリケーションに対して認証と認可を提供
• SAMLを使用することで、様々なクラウドアプリケーションと連携可能
• クラウドアプリケーション単位でセキュリティレベルを分離可能
Azure Active Directory による認証/認可の一元化

ユーザー名 / パスワード
SAML認証
ID連携
• Azure AD から提供されるディレクトリ同期ツールを利用
• Active Directory での認証時に使用したユーザー名とパスワードをそのまま Azure AD でも利用可能
同期
SAML認証
Active DirectoryとAzure Active Directory 連携による認証/認可の一元化

まとめ
Azure Active Directory Free のみで実現
利用シーンごとの Azure AD 連携
1
2
3
4
★
★
5
Demo
Demo
Demo

Azure Active Directory Free のみで実現
要件 ① パスワード同期 ②フェデレーション
各クラウドサービスのIDの運用個別個別
各サービスのパスワードの保存先クラウド/ユーザー端末なし
Office 365 標準で利用ができる Azure Active Directory Free Edition のみで
他のクラウドサービスとのシングルサインオンを実現します。

ID情報を事前に保存
サインイン
ID情報をキャッシュ
• 様々なクラウドサービスを使用しており、それぞれ別個のIDで運用している
• クラウドサービスにはサインインのみ簡易になればよい
① パスワード同期によるSSO
Azure
Active Directory
サインイン Azure
Active Directory
ID情報クラウド保存
ID情報端末保存

② フェデレーションによるSSO
SAML連携
サインイン Azure
Active Directory
• 様々なクラウドサービスを使用しており、それぞれ別個のIDで運用している
• パスワードはクラウド上にキャッシュさせたくない

オンプレミス Active Directory との連携
要件 ①パスワード同期 ②パススルー認証 ③ADFS
オンプレミスActive Directoryのユーザー情報、連絡先、
グループアカウントなどを動的に同期する
○ ○ ○
ユーザーがオンプレミスのパスワードを使用してクラウ
ドサービスにサインインする
○ ○ ○
企業の資格情報を使用してクラウドとSSOする ○ ○ ○
クラウドにパスワードが保存されない ○ ○
オンプレミスの多要素認証サービスを使用する ○
Azure AD Connect を構築し、オンプレミスの Active Directory と Azure
Active Directory と連携して、他のクラウドサービスとのシングルサインオン
を実現します。

① パスワード同期
• オンプレミスでActive Directoryは持っている
• 様々なクラウドサービスを使用しており、それぞれ別個の
IDで運用している
• クラウドサービスにはサインインのみ簡易になればよい
パスワード同期

• オンプレミスでActive Directoryは持っている
• 様々なクラウドサービスを使用しており、それぞれ別個の
IDで運用している
• パスワードはクラウド上にキャッシュさせたくない
② パススルー認証
パススルー認証

①アクセス要求
②認証のリダイレクト
③ユーザー名 / パスワード
パススルーエージェント
④認証確認
⑥サインインOK
⑤認証結果を返す
ドメインコントローラ
クラウドオンプレミス
パススルー認証の仕組み

パススルー認証 + シームレスSSO
• オンプレミスでActive Directoryを持っている
• 様々なクラウドサービスを使用しており、それぞれ
別個のIDで運用している
• パスワードをクラウド上に保存したくない
• ADFSを構築するほどの規模ではない
• 手軽にSSOを実現したい
• PC端末がドメイン認証されている
② パススルー認証（＋シームレスSSO）

シームレスSSOの仕組み
Azure AD Connect ドメインコントローラ
クラウド
オンプレミス
④Kerberos認証
②認証リダイレクト
③Kerberos Ticket
Challenge / Response ①アクセス要求
⑤認証確認
ドメイン参加PC

Windows 10 による、パスワードフリーな認証
Windows Hello
• 虹彩認証
• 顔認証アクセスパネル経由でSSO
登録済みのユーザー / デバイスに対して
パスワードを使用しないで認証

Windows 10をAzure Active Directoryに参加させる

• Azure AD に接続されたアプリの一覧を表示するポータルサイト
• アプリをクリックすることで、ID 連携/パスワード連携が行われ、SSO アクセスを実現
• アクセス許可が割り当てられたアプリだけが表示
ad1@yscorp.xyzに割り当てられている
アプリが表示されている
アクセスパネル（https://myapps.Microsoft.com)

まとめ
お金をかけないでも
Azure ADを使って
けっこうかんたんに
他のクラウドサービスと
シングルサインオンが可能
• 端末やアプリケーションの管理が楽になる
• ユーザーも楽になる
様々な環境条件・セキュリティ要件・費用感
に合わせて、最適な構成をご提案
Azure / Office 365 / Active Directory
のプロフェッショナルがご支援します！
でも、
セキュリティやコンプライアンスなど
要件が高度化してきたら
Azure AD Premium / EMS などの
有償アドインで機能向上を！

Appendix：G SuiteのSSO設定手順

Appendix：
Azure Active Directory Connect設定手順

Azure Active Directory設定手順
• オンプレミスADのUPNと異なる
カスタムDNSを使用する場合、
事前に代替UPNサフィックスとして
カスタムDNSを追加しておきます

• セットアップを起動すると、
簡単設定かカスタマイズのど
ちらかを選択します。
• シームレスSSOを構成する場
合はカスタマイズを選択しま
す。

• 必要に応じてオプション構成を
実施します。

• サインオン方式はパススルー
認証を選択します。
• シングルサインオンを有効に
するオプションを選択します。

• O365の資格情報を入力します

• オンプレミスADのフォレスト
を追加します

• オンプレミスADのエンタプライズ
管理者情報を入力します。

• 同期対象を特定のOUに限定
することが出来ます

Appendix：
SalesforceのSSO設定手順

SalesforceとのフェデレーションSSO

まとめ
Azure Active Directory Connect の活用
クラウドサービス利用シーンごとのSSO連携
1
2
3
4
5
6
7
Demo
Demo
Demo
本日のアジェンダ • ワークスタイル変化
• 365で対応できます
• でも実際は365以外
• こんな問題がありま
• 解決するにはこんな
かります
• ・・・・と思ってる
金無しで解決できま
• まず365標準のID管
• これがよくわからな
AzureADの連携を
• 前項で 365の基本の
ここは「Azure AD
ADの基本」とかっ

Freeエディション Basicエディション P1エディション P2エディション
ディレクトリサービス機能 (IDaaS) ○ ○ ○ ○
管理可能なオブジェクト数 (ユーザーとグループ) ～500,000 無制限無制限無制限
エンドユーザーアクセスパネル ○ ○ ○ ○
SaaS アプリケーション用 SSO (1ユーザー当たりの上
限)
10 個のアプリケー
ション
10 個のアプリケー
ション
無制限無制限
ディレクトリ同期 ○ ○ ○ ○
ユーザーとグループの管理 ○ ○ ○ ○
ユーザーベースのプロビジョニング ○ ○ ○ ○
デバイス登録 ○ ○ ○ ○
セキュリティレポート ○ (基本) ○ (基本) ○ (詳細) ○ (詳細)
ログオン/アクセスパネルのブランディングのカスタマ
イズ
○ ○ ○
グループベースのアクセス管理とプロビジョニング ○ ○ ○
アプリケーションプロキシ ○ ○ ○
セルフパスワードリセット ○ ○ ○
パスワードを含む、オンプレミスADへの属性の書き戻し ○ ○
グループと場所に基づく条件付きアクセス ○ ○
デバイス状態に基づく条件付きアクセス ○ + Intune ライセンス ○ + Intune ライセンス
クラウドユーザー用のセルフサービスのグループ管理 ○ ○
Multi-Factor Authentication (クラウドアプリケーショ
ンおよびオンプレミスアプリケーション)
○ ○
グループアカウントの自動パスワードロールオーバー ○ ○
Microsoft Identity Manager サーバーとユーザー CAL ○ ○
Azure AD Identity Protection ○
Azure AD Privileged Identity Management ○

Freeエディション Basicエディション P1エディション P2エディション
デバイス登録 / Azure AD 参加 ○ ○ ○ ○
セルフサービスでの BitLocker 回復キーの利用 ○ ○ ○ ○
Azure AD Connect Health ○ ○
アプリ単位でのアクセス制御 ○ ○
管理者による BitLocker 回復キーの利用 ○ ○
MDM 自動登録 ○ ○

まとめ
• クラウド利用において、ID管理はセキュリティ対策の根本
• 複数のIDを使い分けるより、ID統合で強固なセキュリティ対策を実現
• まずは標準機能でSSOを実装
• 要件が高度化するのに合わせて、有償アドインで機能向上を図る
• Azure AD Premium / EMS
• これからADを導入するのであれば、Azure AD or Azure AD DSの活用も視野
様々な環境条件・セキュリティ要件・費用感に合わせて、最適な構成を御提案
Azure / Office 365 / Active Directoryのプロフェッショナルがご支援

働き方改革を後押しする Office 365 + リモートワークソリューション ～Azure Active Directoryとの組み合わせで実現する～リモートワークソリューション基盤としてのOffice 365活用術

More Related Content

What's hot

Viewers also liked

Similar to 働き方改革を後押しする Office 365 + リモートワークソリューション ～Azure Active Directoryとの組み合わせで実現する～リモートワークソリューション基盤としてのOffice 365活用術

More from NHN テコラス株式会社