Active Directory を中心としたアイデンティティ プロバイダはオンプレミスからハイブリッドやクラウドまで様々な構成が実現され飛躍的な進化を遂げています。 多様化する選択肢のなかからどれを選択しどのように設計すべきなのか? Windows Server 2016 の認証新機能から Azure AD、Azure Active Directory Domain Services まで、それぞれの特徴を理解し企業にとっての Best Practice を見極めましょう! 受講対象: Active Directory の設計に携わるエンジニア 製品/テクノロジ: Microsoft Azure/Windows Server/アーキテクチャ/アイデンティティ (AD/Azure AD)/セキュリティ/クラウド 宮川 麻里 Microsoft MVP

2. MCT (Microsoft Certified Trainer)
MVP (Office Servers and Services )
宮川 麻里 Mari Miyakawa
Microsoft Azure / Office 365 / EMS / Active Directory など
企業様向けカスタマイズトレーニングや技術支援実施

4. Prologue

5. 2020 年
まもなくやってくる

6. まもなくやってくる
2020.1 .14
Windows 7
Windows Server 2008 / 2008 R2

9. 連 携
クラウドベースの認証管理基盤
認証 & 認可
生産性向上
コスト削減
セキュリティ
強化
ワークスタイル
変革

10. 2017年 移行準備

11. 2018年 2019年 2020年
移行作業
･Local
ファイル整理
注目
ポイント
移行作業軽減
Backup 不要
･Master
イメージ作成
･SCCM/WSUS

12. 2018年 OS

13. 2018年 2019年 2020年
移行作業
注目
ポイント
移行作業軽減
Backup 不要
Client OS
Server OS
入れ替え
･Local
ファイル整理
･Master
イメージ作成
･SCCM/WSUS

14. ID 保護
脅威対策
情報保護
新機能
Windows as a Service
機能改善
＋
多彩なデバイス利用
半年ごとの更新
Current Branch for Business

15. １つ目の転換期

16. 自動的にアップグレードされ続ける環境
コスト削減
効率的な検証とテスト
開発手法の考え方変換
DevOps DevSec
Ops

17. マルチフォレスト マルチドメイン必要ですか？
Simple is Best

18. 関連セッションあり
生体認証でドメインへ
さようならパスワード
DC ADFS
Windows Hello + Microsoft Passport
生体認証（PIN) + デバイス = 多要素認証

19. ハイブリッドな Identity
Azure Active Directory
• オンプレミスのIDとアクセス制御
• クラウドサービスに対する
IDとアクセス制御
ADDC ADFS
Proxy
Identity Federation
ADFS
4.03rdLDAP
Active Directory Federation Service
SSO

20. ハイブリッドな Identity
Azure Active Directory
• オンプレミスのIDとアクセス制御
ADDC
Identity Federation
3rdLDAP
AADConnect
Azure Active Directory Connect
パススルー認証
• クラウドサービスに対する
IDとアクセス制御
SSO
Public Preview

21. 懸念事項ありませんか？

22. クラウド化

23. 2019年 クラウド化

24. 2018年 2019年 2020年
移行作業
注目
ポイント
・移行作業軽減
・Backup 不要
Client OS
Server OS
入れ替え
・生体認証による
ドメイン参加
・セキュアな環境
・多彩なデバイス
オンプレミスを
クラウドへ
･Local
ファイル整理
･Master
イメージ作成
･SCCM/WSUS

25. 想定される手段

26. Azure
サイト間 VPN
Express Route
Or
DC Connect ADFS WAP
AAD
業務
考慮すべき Point
・DNS・ディスク
・ドメイン構成 ・GC
・レプリケーション など

27. Azure Active Directory Domain Services (AADDS)
Azure Active Directory で Kerberos

28. 28
AADDS
ユーザー情報
Azure Active Directory Domain Services
管理ツール
ARMは
VNET ピアリング
移行元
SaaS
徐々にSaaS / PaaS へ移行

29. ２つ目の転換期

30. Azure Active Directory

31. 2020 年 クラウド ID 基盤

32. 2018年 2019年 2020年
移行作業
注目
ポイント
・移行作業軽減
・Backup 不要
ClientOS
ServerOS
入れ替え
・生体認証で
ドメイン参加
・セキュアな環境
オンプレミスを
クラウドへ
・オンプレミス
Server レス
･Local
ファイル整理
･Master
イメージ作成
･SCCM/WSUS
・クラウドID基盤
・生産性向上
・コスト削減
・セキュリティ強化
・ワークスタイル
変革

33. Enterprise Mobility Suite
Intune
Domain
Services
関連セッションあり

34. Epilogue

36. Session
ID
Title Name Date time
SC04
あなたのサービスを "ID" で守る！
Azure Active Directory の
条件付きアクセスの基礎と実装
松井 大
Day 1
15:40～16：30
SC15
Windows Hello で実現する
ハイブリッド 生体認証
小町 紘之
Day１
17：00～17：50
SC07
Azure AD と Ruby で学ぶ
OpenID Connect!
真武 信和
Day 2
14：50～15：40
SC05
株式会社アシックス様における
Azure AD 導入プロジェクトの実際
富士榮 尚寛
Day 2
17：30～18：20

37. セッションアンケートにご協力ください
➢ 専用アプリからご回答いただけます。
decode 2017
➢ スケジュールビルダーで受講セッションを
登録後、アンケート画面からご回答ください。
➢ アンケートの回答時間はたったの 15 秒です!

38. Ask the Speaker のご案内
本セッションの詳細は『Ask the Speaker Room』各コーナーカウンタにて
ご説明させていただきます。是非、お立ち寄りください。

39. Appendix

40. 認証管理基盤・オブジェクト一元管理
Windows Server 2012 R2 まで
アクセス権
認証管理
グループポリシー

41. 復習
公開鍵暗号化方式利用
デバイスと本人の2段階認証

42. Windows 10 以前のデバイスは別構成必要
DRS
条件付き
アクセス
※処理の流れ
トークンの流れではない
関連セッションあり

43. 多要素認証のみでログイン
アクセス制御ポリシー（ADFS ポリシー）
Windows Hello For Business
Open ID Connect / oAuth 2.0 による認証
LDAPの認証サポート
ADDS & ADFS
認証まわり新機能
グループポリシー作成時のUIの利便性向上

44. LDAP v3 準拠ディレクトリサービス対応
LDAP v3

45. 関連セッションあり
id_token
Open ID Connect / OAuth 2.0 認証

46. アクセス制御ポリシー
難解なクレームルールを記述せずにGUIで制御が可能
場所
MFA強制
特定グループ

47. Windows Server 2016 では MFA Server 不要
Azure MFA
アダプター
標準搭載
Azure AD
Premium P1
多要素認証でログイン

48. メジャーなプロトコル / トークンに対応
プロトコル おもなトークン
OpenID Connect /OAuth(2.0) JSON Web Token
SAML 2.0 SAML Token
WS-Federation Primary refresh token
Microsoft Passport Access token

49. 共同作業環境を手早く設定
※招待ユーザーを登録することに課金は発生しない
2017年4月 GA

50. ソーシャル認証利用のアプリ開発
SNSアカウント
情報
B2C
属性情報
関連セッションあり

51. 2017.05.02 現在
サインインユーザー： 670万人
アプリケーション利用実績
https://blogs.technet.microsoft.com/enterprisemobility/2017/05/01/azure-ad-and-
third-party-apps-its-a-bigger-deal-than-you-might-think/
Azure AD and third-party apps: It’s a bigger deal than you might think!
利用アプリ数：190,000
Custom
Application

52. Domain Admins / Enterprise Admins がない
現時点ではクラシックポータルのみ
→ARM と接続する場合は vNET ピアリングを設定
ドメイン構成のカスタマイズは不可
グループポリシーのカスタマイズ不可
→AADDS ADMINISTRATORS グループを作成
→Azure AD ディレクトリ毎に１つのドメイン 作成
→複雑なポリシー利用は Intune の併用を検討
→連携するサービスに注意

53. ・DataDiskを追加しデータファイル保管
・ドメインコントローラー（DNSServer)フォワーダー変更
・複数リージョンの場合は適宜 Active Directory サイトを作成
・マルチドメイン・フォレストでオンプレミスハイブリッド構成は
ユニバーサルグループキャッシュを有効化する
→Cドライブのデータは削除対象
→168.63.129.16を削除する。名前解決ができなくなる。
https://support.microsoft.com/ja-jp/help/3048295
→サイト間レプリケーションによる通信コスト削減
→GC 参照の軽減

55. © 2017 Microsoft Corporation. All rights reserved.
本情報の内容（添付文書、リンク先などを含む）は、作成日時点でのものであり、予告なく変更される場合があります。