Windows Server 2016 および Windows Server 2019 におけるADDS / ADFS / Azure AD 連携サービスについて

1. Windows Server Community Meetup #02
Windows Server 2019
～Active Directory関連情報～
２０１８．１０．２７

2. 自己紹介
2
宮川 麻里（Mari Miyakawa)
MVP for Office Apps and Services
System Center Users Group Japan 所属
オンライン記事 / ブログ
＠IT
Keymans Net
Blog MCT’s Notebook (http://www.mnote365.com)
Work
研修 / 技術支援など
Office 365 / Microsoft Azure / EMS

3. アジェンダ
3
ADDS / ADFS in Windows Server 2019
サインインに関するセキュリティ強化

4. Windows Server 2019 テーマ
4
Hybrid
・Windows 管理センターとAzureサービスの組み合わせ
・Storage Migration Service
・Azure File Sync
・Storage Replica
・Security 強化

5. Windows Server 2019 GA

6. Windows Server 2019
Active Directory Domain Services

7. Active Directory Domain Services
New Feature
ほぼなし

8. 機能レベル Windows Server 2016
Active Directory Domain Services

9. 機能レベル
Active Directory Domain Services
Windows Server 2019
※GA後のものではない：GA後の状態は要確認

10. Active Directory Domain Services
ドメイン機能レベル・フォレスト機能レベル
https://docs.microsoft.com/ja-jp/windows-server/identity/ad-
ds/active-directory-functional-levels
資格情報保護関連

11. Active Directory 移行ツール (ADMT)
Windows Server 2016
時点でサポート終了
今後の開発もなし
Active Directory Domain Services

12. Windows Server 2019
Active Directory Federation Service

13. Active Directory Federation Service
よりセキュアにユーザーログインを強化
ADFS WAP

14. Azure AD へ多岐にわたるサインイン手法
Active Directory Federation Service

15. Office 365にログインするフェデレーションプロバイダー
7,700万超えユーザー
1位
Active Directory Federation Service

16. AD FS in Azure
On-premises Azure
高可用性
Active Directory Federation Service

17. 社内リソースの保護
Active Directory Federation Service

18. 2018年8月にブロックされた認証の件数
12億9千万件

19. 最近の攻撃手法：パスワードスプレー攻撃
k.ito@contoso.com
m.sato@contoso.com
s.kato@contoso.com
・
・
・
y.takagi@contoso.com
・
・
・
Password1
Password1
Password1
Password1
・
・
・
Pa$$w0rd
Pa$$w0rd
Pa$$w0rd
Pa$$w0rd
・
・
・

20. 推測しやすいパスワード
Password
Summer
Winter
Spring
September
Football
2018
1234
Company Name
Pa$$w0rd

21. サインインに関するセキュリティ強化

22. Extranet Smart Lockout
社内や既知の場所からのアクセスはそのまま認証可能
未確認の場所から数回サインインを試行するとカウントされ閾値を
超えると攻撃者であると判断される

23. Connect Health
Azure AD Connect Health for ADFS
Azure AD Connect Health for ADDS

24. インフラとアプリケーションのサインインをあらゆる手法で監視
電子メールによる
アラート通知
インフラストラクチャー
の継続的な監視
パフォーマンス
傾向分析
アプリケーション
使用状況分析
不正なパスワード
レポート
リスクのある
IPレポート
Connect Health

25. ADDS サービス / ADFS サービス / Azure AD Connect サービス
Connect Health

26. Connect Health
監視対象Serverへ
エージェントをインストール
http://go.microsoft.com/fwlink/?LinkID=820540
＜ADDS/ADFS エージェントダウンロードURL＞
http://go.microsoft.com/fwlink/?LinkID=518973

27. 監視内容
Connect Health ADDS
・ドメインコントローラーの正常性
・レプリケーションの状態
・パフォーマンスの状態

28. 監視内容
Connect Health
・認証トラフィック分析
・リスキーなIPレポート
・パフォーマンスの状態
リクエスト数 / 処理サーバ毎・社内参加デバイス毎・接続IP毎など
社外からのログイン失敗があらかじめ設定したしきい値を超えた場合
など
（Public Preview)
ADFS

29. 監視内容
Connect Health ADFS

30. Connect Health
同期エラー （Public Preview)
AADConnect

31. ライセンス体系
Connect Health
Azure AD Connect ライセンス詳細
https://docs.microsoft.com/ja-jp/azure/active-directory/hybrid/reference-
connect-health-faq
Azure AD Premium P1
課金対象 ライセンス数
最初の1台目
１ライセンス
２台目以降
台数×25ライセンス

32. プライマリ認証をパスワード以外に設定
多要素認証をプライマリ認証へ
Extranet
・証明書認証
・Azure MFA

33. プライマリ認証をパスワード以外に設定
プライマリ認証方法の編集

34. プライマリ認証をパスワード以外に設定
多要素認証－証明書認証
プライマリ 多要素

35. プライマリ認証をパスワード以外に設定
多要素認証－証明書認証
・認証局設定
・クライアントへ証明書インストールなど
その他作業

36. プライマリ認証をパスワード以外に設定
PowerShell
Azure AD P1
＄cartable64=New-adfsAzureMfaTenantCertificate –TenantID <ドメイン名>
New-MsolServicePrincipalCredential
–AppPrincipalID 981f26a1-7f43-403b-a875-f8b09b8cd720
Set-AdfsAzureMfaTenant -TenantId <ドメイン名> -ClientId 981f26a1-7f43-403b-
a875-f8b09b8cd720
多要素認証－Azure MFA
https://docs.microsoft.com/ja-jp/windows-server/identity/ad-fs/operations
/configure-ad-fs-and-azure-mfa
＜Microsoft docs＞
証明書生成
Multi-factor Auth クライアント用の資格情報を追加
ADFSへセット

37. プライマリ認証をパスワード以外に設定
多要素認証－Azure MFA

38. プライマリ認証をパスワード以外に設定
多要素認証設定
https://aka.ms/mfasetup

39. 外部からのレガシプロトコルの接続をブロック
発行承認要求規則
@RuleName = "Allow all intranet traffic"
c1:[Type == "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value == "true"]
=> issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");
@RuleName = "Allow Exchange ActiveSync"
c1:[Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application",
Value == "Microsoft.Exchange.ActiveSync"]
=> issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");
@RuleName = "Allow extranet browser and browser dialog traffic"
c1:[Type == "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value == "false"] &&
c2:[Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-
path", Value =~ "(/adfs/ls)|(/adfs/oauth2)"]
=> issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");

40. 外部からのレガシプロトコルの接続をブロック
発行承認要求規則 アクセス制御ポリシー
このテンプレートを元にさらに細かくクレームルールの記載も可能

41. 外部からのレガシプロトコルの接続をブロック
Azure AD 条件付きアクセス制御
・適用させる人数分のライセンス（Azure AD P1)必要
・プロトコル別認可は不可
・プレビュー版
（2018.10 現在）

42. 3rd Party 認証プロバイダをプライマリ認証へ
プライマリ認証をパスワード以外に設定
https://myignite.techcommunity.microsoft.com/sessions/64556?WT.mc_id=IT
OPSTALK-blog-socuff
What's new in Active Directory Federation Services in Windows Server 2019

43. クラウドおよびオンプレミス環境の
パスワードポリシー強化
Azure AD Password Protection

44. Azure AD Password Protection
クラウド上のパスワードポリシー強化
Global・Custom
禁止されている
パスワードリスト
パスワード変更
・セルフパスワードリセット
・パスワードハッシュ同期
・パススルー認証
AI 企業
ポリシー

45. Azure AD Password Protection
クラウド上のパスワードポリシー強化

46. オンプレミス環境のパスワードポリシー強化
Global・Custom
禁止されている
パスワードリスト
Azure AD
Password
Protection
DC Agent Service
１時間毎
sysvol
フォルダ
Azure AD Password Protection

47. ライセンス体系
Azure AD Premium P1Azure AD Basic
オンプレミス
Windows Server
Active Directory
Azure AD
Azure AD Password Protection

48. ADFS のリスクアセスメントモデル
ユーザーのサインインリスク評価モジュールの強化

49. AD FS
Request risk?
Your Code
User risk?
Azure Active
Directory
Identity
Protection
拒否/許可
Your Code
Your Code
AD FS Pluggable Risk Assessment Model
http
コンテキスト
強化
された
モジュール
Microsoft Ignite:BRK3030
- What's new in Active Directory Federation Services (AD FS) in Windows Server 2019
ADFS のリスクアセスメントモデル

50. まとめ
セキュリティ強化にもAzure とオンプレのハイブリッド