Sec004 cloud first、_mobile_first_におけるid

Session ID: SEC004
本情報の内容（添付文書、リンク先などを含む）は、Microsoft Tech Summit 開催日（2016年11月1－2日）時点のものであり、予告なく変更される場合があります。

• 本セッションのゴール

• クラウドサービスのアクセス制御に必要な要素とは？
• ユーザー ID（Identity） vs デバイス
• セキュアなクラウド ID (Identity) 管理
• Azure Active Directory (AD)
• 多要素認証（MFA), （SSPR)
• 会社リソースへのセキュアなアクセス制御
• Azure AD Conditional Access + Microsoft Intune
• ユーザーリスク、場所、デバイスの状態
• 個人デバイス vs 会社支給

Enterprise Mobility + Security (EMS)
ID管理と
アクセス制御
Azure Active
Directory
Premium
モバイルデバイス
+アプリ管理、
Compliance 適用
Intune
Information
protection
Azure
Information
Protection
(AIP)
ユーザーの
振る舞い分析
による脅威の検出
Advanced Threat
Analytics
(ATA)
クラウド、
SaaSアプリ
セキュリティ
Cloud App
Security
(MCAS)

デバイス
ネットワーク
境界

デバイス
ネットワーク
境界
ユーザー
(Identity) Azure Active Directory

•Perimeter Defense Approach
(保護された端末/ネットワーク前提のアクセス)
エクストラネット
イントラネット
DMZ
インターネット
保護
データ
VPN
境界、デバイス
を管理/保護

•People Centric Approach
(誰が/いつ/どこで/何を許可するか管理/制御)
DMZ
保護
データ
VPN
DMZ
保護
データ
会社PC
BYOD
Mobile PC
非Windows
を管理/保護

•People Centric Approach
(誰が/いつ/どこで/何を許可するか管理/制御)
DMZ
保護
データ
VPN
DMZ
保護
データ
会社PC
BYOD
Mobile PC
非Windows
を管理/保護
ユーザーの
振る舞いを
管理/保護
データ

Mobile-first, cloud-first reality
情報(データ)漏洩
情報漏洩の63%が、パスワード弱さ、既
定値の継続利用、そして漏洩が原因
63% 0.6%
IT 支出の成長率
Gartner によると 2016年 Globalの IT
にかける支出は0.6% 成長と予想
シャドー IT
80%以上の社員が IT部門で認めてい
ないソフトウェア（SaaSアプリ）を業務で
利用していると回答
80%

認証
認可
監査
人の識別
権限、許可
ログ

• ユーザー = 人 : ID (Identity)
認証
認可
監査
人の識別
権限、許可
ログ
ID管理
割当て
レポート
Azure Active Directory

• Single Sign-On (SSO)
• 利便性: 複数の ID 、パスワードを覚える必要がない
• セキュリティ: 統一された強固なパスワードポリシー
• 管理面：認証プロセスを集中管理
• 多要素認証
• 追加の認証：コールバック、SMS、アプリ通知 / PIN
Jim.Bob@contoso.com

• 利便性: 複数の ID 、パスワードを覚える必要がない
• 多要素認証
• クラウド ID 全般の保護
• ID 、パスワード漏洩またはそのリスクの対策
Jim.Bob@contoso.com

 Machine Learning により検出
した脅威を管理画面に表示
 構成変更（修復）の推奨通知
 リスクレベル（高、中、低）の
評価
 リスクベース Conditional
Access により不審なログオン
と漏洩した ID を制御
ID 流出
感染した
デバイス
構成の脆弱性
リスク
ベースポリシー
リスクのある
ログインに
MFA を強制
不審な攻撃を
ブロック
リスクのある
ID / パスワード
変更を強制Machine-Learning Engine
ブルート
フォース
攻撃
不審な
サインイン

• 利便性: 複数の ID とパスワードを覚える必要がない
• 多要素認証
Jim.Bob@contoso.com
オンプレミス AD の ID 保護
Advanced Threat Analytics (ATA)

• 利便性: 複数の ID とパスワードを覚える必要がない
• 多要素認証
• クラウド特権 ID の保護
• 特権 ID の不正使用およびそのリスクの対策
Jim.Bob@contoso.com

• Joe さんが Exchange の特権 ID を要求
• IT 部門の担当者が Joeさんの ID を
オンプレミス AD の “Domain Admins”
グループに追加
• Joe さんが自分のオンプレミス ID
（“Domain Admins” として）
でログイン
• Joe さんが管理作業を実施、完了

• Joe さんが Exchange Online の特権 ID を要求
• IT 部門の担当者が Joeさんのクラウド ID を
Azure AD の “Global Admin” ロールに追加
• Joe さんが自分のクラウド ID
(joe@contoso.com)
（“Global Admin” ロールとして）
でサインイン
Joe さんのクラウド ID は
“Global Admin” ロールに
（永続的に）追加された状態
でログイン

でログイン
クラウド管理者の利便性向上
セキュリティレベルの引き上げも必要
• Joe さんが Exchange Online の特権 ID を要求
• IT 部門の担当者が Joeさんのクラウド ID を
Azure AD の “Global Admin” ロールに追加
• Joe さんが自分のクラウド ID
(joe@contoso.com)
（“Global Admin” ロールとして）
でサインイン
Joe さんのクラウド ID は
“Global Admin” ロールに
（永続的に）追加された状態

クラウド特権 ID の保護
PRIVILEGED IDENTITY 管理コンソール
• ジャストインタイム管理者アクセス
• アクティベーション操作により特権
の有効化
• アクティベーションに MFA を強制
• アクティベーションから管理者指定の
期間が経過すると特権は無効化
• 特権ロールが割り当てられたすべての
ID（永続管理者、管理者候補）を検出
• 監査イベントの表示
• 管理者へのアラート通知
監査
セキュリティ
管理者
Privileged
Identity Management
ユーザー
（管理者候補）
ID認証監視
レポート
MFA
アラート
Read only
管理者プロファイル
Billing Admin
Global Admin
Service Admin

アプリ
アプリ毎のルール
クライアントの種類
(Web, Rich, mobile)
クラウド、
オンプレミスの
アプリケーション
ユーザーID
グループメンバーシップ
デバイス
ドメイン参加
Compliance Policy 準拠
プラットフォームの種類
(Windows, iOS, Android)
場所
IP アドレスの範囲
MFAの強制
許可
ブロック
リスク
セッション
リスク
IDリスク

ドメイン参加
Azure AD join

Workplace join
ドメイン参加
Azure AD join

会社支給のデバイス
(COD)
個人のデバイス
(BYOD))

会社支給のデバイス
(COD)
個人のデバイス
(BYOD))
AD+SCCM で
セキュリティポリシーを適用
＝セキュアな PC
Intune(MDM)
Compliance Policy に準拠
＝セキュアなデバイス

デバイス
オブジェクト
- device id
- isManaged
- MDMStatus
Intune
Office 365
SaaS サービス
Azure AD
デバイス
オブジェクト
の登録
デバイスの
状態を
書き込み
デバイス登録
認証
アクセス
許可/ブロック

デバイス
オブジェクト
- device id
- isManaged
- MDMStatus
Intune
オンプレミス
Active Directory
Office 365
SaaS サービス
Azure AD
デバイス
オブジェクト
の登録
デバイスの
状態を
書き込み
デバイス登録
認証
アクセス
許可/ブロック
デバイス
オブジェクト
の登録

サービス Conditional Access ルール
Exchange Online
ロケーション（場所）ベースアクセスルール
• 社外アクセスは多要素認証を要求
• すべてのユーザーにルール適用
デバイスベースアクセスルール
• デバイスの条件
• ドメイン参加済のWindows 7, 8.1, 10
• Intune Compliance Policyに準拠
• Intune 登録済の iOS , Android,
Windows 10
• すべてのユーザーを対象
• 対象アプリ
• Browser/Nativeアプリを対象
SharePoint Online
Dynamics CRM Online
Office 365 Yammer
Azure AD アプリケーションギャラリー
に公開した SaaS アプリ
(Salesforce, Box)
Azure AD Application Proxy 経由で公開
したオンプレミス Web アプリ
Azure AD に登録した自社開発アプリ

ドメイン参加
Azure AD join
Workplace joinComing later
Coming later

ドメイン参加
Azure AD join
Workplace join

• モバイルアプリ単位のアクセス制御
• Intune MAM アプリのみアクセスを許可
• Exchange Online
• Outlook for iOS, Android
• ブラウザアクセスは計画中
• SharePoint Online
• 計画中
MAM Policy
適用
Native/3rd Party
Mail app
Outlook for
iOS, Android Exchange
Online
Azure Active Directory

• Lookout Mobile Threat Protection
• モバイルデバイス（ iOS, Android ）リスクベース
• 中間者攻撃
• マルウェア感染
• Cisco ISE
• Network Access control ( Wi-Fi, VPN ) との連携
• Citrix NetScaler
• VPN ソリューションとの連携

• クラウドサービスのアクセス制御
• ユーザー ID（Identity）管理が最も大事
• クラウド ID (Identity) 管理
• Azure AD Conditional Access + Intune

アプリケーションサービスプラットフォーム
Outlook 2016 Exchange Windows 10, Windows Mobile 10,
Windows 8.1, Windows 7, Mac
Outlook 2013 (modern authentication
有効化)
Exchange Windows 10, Windows Mobile 10,
Windows 8.1, Windows 7
Skype for Business (with modern
authentication 有効化)
exchange (Exchange is accessed for
calendar and conversation history)
Windows 10, Windows 8.1, Windows 7
Outlook Mobile app Exchange iOS and Android
Office 2016; Word, Excel, Sharepoint SharePoint Windows 10, Windows Mobile 10,
Windows 8.1, Windows 7, Mac
Office 2013 (modern authentication
有効化)
SharePoint Windows 10, Windows Mobile 10,
Windows 8.1, Windows 7
Dynamics CRM app Dynamics CRM Windows 10, Windows 8.1, Windows 7,
iOS, Android
Yammer app Yammer Windows Mobile 10, iOS, Android
Azure Remote App Azure Remote App service Windows 10, Windows 8.1, Windows
7,Mac, iOS, Android

Sec004 cloud first、_mobile_first_におけるid

More Related Content

What's hot

Similar to Sec004 cloud first、_mobile_first_におけるid

More from Tech Summit 2016

Sec004 cloud first、_mobile_first_におけるid