SlideShare a Scribd company logo

Azure active directory によるデバイス管理の種類とトラブルシュート事例について

Azure AD に関するデバイス管理手法の説明と動作の解説、実際に対応したトラブルシュートの事例を紹介する内容になります。

1 of 39
Download to read offline
Azure Active Directory によるデバ
イス管理の種類とトラブルシュー
ト事例について
2019年6月22日
.Net ラボ勉強会
日本マイクロソフト株式会社
山口 真也
AZURE & IDENTITY AZURE IDENTITY サポートエンジニア
自己紹介と Azure のサポートについて
名前:山口 真也(やまぐち しんや)
・日本マイクロソフトで Azure AD のサポート エンジニア
・今年の7月で日本マイクロソフトにジョインして丸1年になります。
・前職までは、ゲーム会社やSIerでインフラ エンジニアをやっていました。
・Qiita やっています。https://qiita.com/Shinya-Yamaguchi
・Facebook (https://www.facebook.com/shinya.yamaguchi.92)
・Twitter @izuru_yamarara
---
・日本マイクロソフトのAzure のサポートは大きく、 IaaS・PaaS・
Identity(Azure AD)の3あります。
・その中で Identity のサポートメンバーは25人ほどで日本のお客様を中心に
サポートしています。(グローバルのお客様もサポートしています)
目次
1. Azure Active Directoryとは
2. 条件付きアクセスとは
3. デバイスを管理するということ
4. Azure AD Registered (Azure AD 登録) について
5. Azure AD Join (Azure AD 参加) について
6. Hybrid Azure AD Join について
7. 3つのデバイス管理をどう使い分けるか
8. Dual State によるトラブルシュート事例
9. まとめ
Azure Active Directory とは
Azure Active Directory とは
弊社公開情報より抜粋
Azure Active Directory (Azure AD) は Microsoft が提供する
クラウドベースの ID およびアクセス管理サービスであり、
次のリソースへのサインインとアクセスを支援します。
 Microsoft Office 365、Azure portal、その他何千という
SaaS アプリケーションなど、外部リソース。
 企業ネットワークとイントラネット上のアプリや、自分
の組織で開発したクラウド アプリなどの内部リソース。
🤔🤔🤔🤔🤔

Recommended

Hybrid Azure AD Join 動作の仕組みを徹底解説
Hybrid Azure AD Join 動作の仕組みを徹底解説Hybrid Azure AD Join 動作の仕組みを徹底解説
Hybrid Azure AD Join 動作の仕組みを徹底解説Yusuke Kodama
 
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法についてAzure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法についてShinya Yamaguchi
 
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018Shinichiro Kosugi
 
IT エンジニアのための 流し読み Windows 10 - Windows Hello for Business
IT エンジニアのための 流し読み Windows 10 - Windows Hello for BusinessIT エンジニアのための 流し読み Windows 10 - Windows Hello for Business
IT エンジニアのための 流し読み Windows 10 - Windows Hello for BusinessTAKUYA OHTA
 
詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編
詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編
詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編Yusuke Kodama
 
IDaaS を正しく活用するための認証基盤設計
IDaaS を正しく活用するための認証基盤設計IDaaS を正しく活用するための認証基盤設計
IDaaS を正しく活用するための認証基盤設計Trainocate Japan, Ltd.
 
Azure ADアプリケーションを使用した認証のあれやこれ
Azure ADアプリケーションを使用した認証のあれやこれAzure ADアプリケーションを使用した認証のあれやこれ
Azure ADアプリケーションを使用した認証のあれやこれDevTakas
 
Insight into Azure Active Directory #02 - Azure AD B2B Collaboration New Feat...
Insight into Azure Active Directory #02 - Azure AD B2B Collaboration New Feat...Insight into Azure Active Directory #02 - Azure AD B2B Collaboration New Feat...
Insight into Azure Active Directory #02 - Azure AD B2B Collaboration New Feat...Kazuki Takai
 

More Related Content

What's hot

Azure AD の新しいデバイス管理パターンを理解しよう
Azure AD の新しいデバイス管理パターンを理解しようAzure AD の新しいデバイス管理パターンを理解しよう
Azure AD の新しいデバイス管理パターンを理解しようYusuke Kodama
 
IT エンジニアのための 流し読み Windows - Windows 共有 PC モード
IT エンジニアのための 流し読み Windows - Windows 共有 PC モードIT エンジニアのための 流し読み Windows - Windows 共有 PC モード
IT エンジニアのための 流し読み Windows - Windows 共有 PC モードTAKUYA OHTA
 
IntuneとWSUSを使ってWindows Updateをやってみる。
IntuneとWSUSを使ってWindows Updateをやってみる。IntuneとWSUSを使ってWindows Updateをやってみる。
IntuneとWSUSを使ってWindows Updateをやってみる。shotayamamura1
 
IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~
IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~
IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~Trainocate Japan, Ltd.
 
Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~
Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~
Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~junichi anno
 
GoodBye AD FS - Azure Active Directory Only の認証方式へ切り替えよう!
GoodBye AD FS - Azure Active Directory Only の認証方式へ切り替えよう!GoodBye AD FS - Azure Active Directory Only の認証方式へ切り替えよう!
GoodBye AD FS - Azure Active Directory Only の認証方式へ切り替えよう!Yusuke Kodama
 
【第1回EMS勉強会】Autopilot設計時のポイント
【第1回EMS勉強会】Autopilot設計時のポイント【第1回EMS勉強会】Autopilot設計時のポイント
【第1回EMS勉強会】Autopilot設計時のポイントyokimura
 
IP ベースのアクセス制御から脱却してよりセキュアな環境を構築しよう
IP ベースのアクセス制御から脱却してよりセキュアな環境を構築しようIP ベースのアクセス制御から脱却してよりセキュアな環境を構築しよう
IP ベースのアクセス制御から脱却してよりセキュアな環境を構築しようYusuke Kodama
 
Office365勉強会 #23 Azure AD のテナント設計(Office365管理者向け)
Office365勉強会 #23 Azure AD のテナント設計(Office365管理者向け)Office365勉強会 #23 Azure AD のテナント設計(Office365管理者向け)
Office365勉強会 #23 Azure AD のテナント設計(Office365管理者向け)Genki WATANABE
 
Azure Monitor Logで実現するモダンな管理手法
Azure Monitor Logで実現するモダンな管理手法Azure Monitor Logで実現するモダンな管理手法
Azure Monitor Logで実現するモダンな管理手法Takeshi Fukuhara
 
Power BI をアプリに埋め込みたい? ならば Power BI Embedded だ!
Power BI をアプリに埋め込みたい? ならば Power BI Embedded だ!Power BI をアプリに埋め込みたい? ならば Power BI Embedded だ!
Power BI をアプリに埋め込みたい? ならば Power BI Embedded だ!Teruchika Yamada
 
Azure仮想マシンと仮想ネットワーク
Azure仮想マシンと仮想ネットワークAzure仮想マシンと仮想ネットワーク
Azure仮想マシンと仮想ネットワークKuninobu SaSaki
 
Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策
Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策
Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策Yusuke Kodama
 
RHEL on Azure、初めの一歩
RHEL on Azure、初めの一歩RHEL on Azure、初めの一歩
RHEL on Azure、初めの一歩Ryo Fujita
 
IT エンジニアのための 流し読み Windows - Windows のライセンス認証 & サブスクリプションのライセンス認証
IT エンジニアのための 流し読み Windows - Windows のライセンス認証 & サブスクリプションのライセンス認証IT エンジニアのための 流し読み Windows - Windows のライセンス認証 & サブスクリプションのライセンス認証
IT エンジニアのための 流し読み Windows - Windows のライセンス認証 & サブスクリプションのライセンス認証TAKUYA OHTA
 
Microsoft Azure Storage 概要
Microsoft Azure Storage 概要Microsoft Azure Storage 概要
Microsoft Azure Storage 概要Takeshi Fukuhara
 
3分でわかるAzureでのService Principal
3分でわかるAzureでのService Principal3分でわかるAzureでのService Principal
3分でわかるAzureでのService PrincipalToru Makabe
 
Azure AD の SaaS アプリケーション認証への活用
Azure AD の SaaS アプリケーション認証への活用Azure AD の SaaS アプリケーション認証への活用
Azure AD の SaaS アプリケーション認証への活用Yusuke Kodama
 

What's hot (20)

Azure AD の新しいデバイス管理パターンを理解しよう
Azure AD の新しいデバイス管理パターンを理解しようAzure AD の新しいデバイス管理パターンを理解しよう
Azure AD の新しいデバイス管理パターンを理解しよう
 
IT エンジニアのための 流し読み Windows - Windows 共有 PC モード
IT エンジニアのための 流し読み Windows - Windows 共有 PC モードIT エンジニアのための 流し読み Windows - Windows 共有 PC モード
IT エンジニアのための 流し読み Windows - Windows 共有 PC モード
 
IntuneとWSUSを使ってWindows Updateをやってみる。
IntuneとWSUSを使ってWindows Updateをやってみる。IntuneとWSUSを使ってWindows Updateをやってみる。
IntuneとWSUSを使ってWindows Updateをやってみる。
 
IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~
IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~
IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~
 
Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~
Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~
Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~
 
GoodBye AD FS - Azure Active Directory Only の認証方式へ切り替えよう!
GoodBye AD FS - Azure Active Directory Only の認証方式へ切り替えよう!GoodBye AD FS - Azure Active Directory Only の認証方式へ切り替えよう!
GoodBye AD FS - Azure Active Directory Only の認証方式へ切り替えよう!
 
【第1回EMS勉強会】Autopilot設計時のポイント
【第1回EMS勉強会】Autopilot設計時のポイント【第1回EMS勉強会】Autopilot設計時のポイント
【第1回EMS勉強会】Autopilot設計時のポイント
 
IP ベースのアクセス制御から脱却してよりセキュアな環境を構築しよう
IP ベースのアクセス制御から脱却してよりセキュアな環境を構築しようIP ベースのアクセス制御から脱却してよりセキュアな環境を構築しよう
IP ベースのアクセス制御から脱却してよりセキュアな環境を構築しよう
 
Office365勉強会 #23 Azure AD のテナント設計(Office365管理者向け)
Office365勉強会 #23 Azure AD のテナント設計(Office365管理者向け)Office365勉強会 #23 Azure AD のテナント設計(Office365管理者向け)
Office365勉強会 #23 Azure AD のテナント設計(Office365管理者向け)
 
Azure Monitor Logで実現するモダンな管理手法
Azure Monitor Logで実現するモダンな管理手法Azure Monitor Logで実現するモダンな管理手法
Azure Monitor Logで実現するモダンな管理手法
 
Azure Network 概要
Azure Network 概要Azure Network 概要
Azure Network 概要
 
M04_失敗しないための Azure Virtual Desktop 設計ガイド
M04_失敗しないための Azure Virtual Desktop 設計ガイドM04_失敗しないための Azure Virtual Desktop 設計ガイド
M04_失敗しないための Azure Virtual Desktop 設計ガイド
 
Power BI をアプリに埋め込みたい? ならば Power BI Embedded だ!
Power BI をアプリに埋め込みたい? ならば Power BI Embedded だ!Power BI をアプリに埋め込みたい? ならば Power BI Embedded だ!
Power BI をアプリに埋め込みたい? ならば Power BI Embedded だ!
 
Azure仮想マシンと仮想ネットワーク
Azure仮想マシンと仮想ネットワークAzure仮想マシンと仮想ネットワーク
Azure仮想マシンと仮想ネットワーク
 
Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策
Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策
Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策
 
RHEL on Azure、初めの一歩
RHEL on Azure、初めの一歩RHEL on Azure、初めの一歩
RHEL on Azure、初めの一歩
 
IT エンジニアのための 流し読み Windows - Windows のライセンス認証 & サブスクリプションのライセンス認証
IT エンジニアのための 流し読み Windows - Windows のライセンス認証 & サブスクリプションのライセンス認証IT エンジニアのための 流し読み Windows - Windows のライセンス認証 & サブスクリプションのライセンス認証
IT エンジニアのための 流し読み Windows - Windows のライセンス認証 & サブスクリプションのライセンス認証
 
Microsoft Azure Storage 概要
Microsoft Azure Storage 概要Microsoft Azure Storage 概要
Microsoft Azure Storage 概要
 
3分でわかるAzureでのService Principal
3分でわかるAzureでのService Principal3分でわかるAzureでのService Principal
3分でわかるAzureでのService Principal
 
Azure AD の SaaS アプリケーション認証への活用
Azure AD の SaaS アプリケーション認証への活用Azure AD の SaaS アプリケーション認証への活用
Azure AD の SaaS アプリケーション認証への活用
 

Similar to Azure active directory によるデバイス管理の種類とトラブルシュート事例について

働き方改革を後押しする Office 365 + リモートワークソリューション ~Azure Active Directoryとの組み合わせで実現する~リ...
働き方改革を後押しする Office 365 + リモートワークソリューション ~Azure Active Directoryとの組み合わせで実現する~リ...働き方改革を後押しする Office 365 + リモートワークソリューション ~Azure Active Directoryとの組み合わせで実現する~リ...
働き方改革を後押しする Office 365 + リモートワークソリューション ~Azure Active Directoryとの組み合わせで実現する~リ...NHN テコラス株式会社
 
INF-007_ハイブリッドな Active Directory の設計 ~Windows Server 2016 版~
INF-007_ハイブリッドな Active Directory の設計 ~Windows Server 2016 版~INF-007_ハイブリッドな Active Directory の設計 ~Windows Server 2016 版~
INF-007_ハイブリッドな Active Directory の設計 ~Windows Server 2016 版~decode2016
 
Azure Active Directory 利用開始への第一歩
Azure Active Directory 利用開始への第一歩Azure Active Directory 利用開始への第一歩
Azure Active Directory 利用開始への第一歩Yusuke Kodama
 
IT エンジニアのための 流し読み Windows - Windows 365 ってどんな感じ? - せっかちなあなたへ編 -
IT エンジニアのための 流し読み Windows - Windows 365 ってどんな感じ? - せっかちなあなたへ編 -IT エンジニアのための 流し読み Windows - Windows 365 ってどんな感じ? - せっかちなあなたへ編 -
IT エンジニアのための 流し読み Windows - Windows 365 ってどんな感じ? - せっかちなあなたへ編 -TAKUYA OHTA
 
モダンアクセスコントロール実現に向けた戦略策定方法
モダンアクセスコントロール実現に向けた戦略策定方法モダンアクセスコントロール実現に向けた戦略策定方法
モダンアクセスコントロール実現に向けた戦略策定方法Yusuke Kodama
 
How to walk_on_windows_azure_platform
How to walk_on_windows_azure_platformHow to walk_on_windows_azure_platform
How to walk_on_windows_azure_platformYoshida Yuri
 
使ってみようAzure activedirectory
使ってみようAzure activedirectory使ってみようAzure activedirectory
使ってみようAzure activedirectoryTsukasa Kato
 
Azure Active Directory Domain Services (Azure ADDS) キホンのキ
Azure Active Directory Domain Services(Azure ADDS)キホンのキAzure Active Directory Domain Services(Azure ADDS)キホンのキ
Azure Active Directory Domain Services (Azure ADDS) キホンのキTetsuya Yokoyama
 
適切な Azure AD 認証方式の選択の決め手
適切な Azure AD 認証方式の選択の決め手適切な Azure AD 認証方式の選択の決め手
適切な Azure AD 認証方式の選択の決め手Yusuke Kodama
 
SAP on Azure Cloud Workshop Material Japanese 20190221
SAP on Azure Cloud Workshop Material Japanese 20190221SAP on Azure Cloud Workshop Material Japanese 20190221
SAP on Azure Cloud Workshop Material Japanese 20190221Hitoshi Ikemoto
 
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現junichi anno
 
[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際
[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際
[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際de:code 2017
 
MS Interact 2019 - Azureサービスで実現するセキュリティ全体像
MS Interact 2019 - Azureサービスで実現するセキュリティ全体像 MS Interact 2019 - Azureサービスで実現するセキュリティ全体像
MS Interact 2019 - Azureサービスで実現するセキュリティ全体像 Ai Hayakawa
 
Azure overview 2019_feb_v1.02
Azure overview 2019_feb_v1.02Azure overview 2019_feb_v1.02
Azure overview 2019_feb_v1.02Toshihiko Sawaki
 
Intro jazuggirls 20120125
Intro jazuggirls 20120125Intro jazuggirls 20120125
Intro jazuggirls 20120125Saori Ando
 

Similar to Azure active directory によるデバイス管理の種類とトラブルシュート事例について (20)

20171011_最新のハイブリッドID管理基盤パターン
20171011_最新のハイブリッドID管理基盤パターン20171011_最新のハイブリッドID管理基盤パターン
20171011_最新のハイブリッドID管理基盤パターン
 
働き方改革を後押しする Office 365 + リモートワークソリューション ~Azure Active Directoryとの組み合わせで実現する~リ...
働き方改革を後押しする Office 365 + リモートワークソリューション ~Azure Active Directoryとの組み合わせで実現する~リ...働き方改革を後押しする Office 365 + リモートワークソリューション ~Azure Active Directoryとの組み合わせで実現する~リ...
働き方改革を後押しする Office 365 + リモートワークソリューション ~Azure Active Directoryとの組み合わせで実現する~リ...
 
INF-007_ハイブリッドな Active Directory の設計 ~Windows Server 2016 版~
INF-007_ハイブリッドな Active Directory の設計 ~Windows Server 2016 版~INF-007_ハイブリッドな Active Directory の設計 ~Windows Server 2016 版~
INF-007_ハイブリッドな Active Directory の設計 ~Windows Server 2016 版~
 
[Japan Tech summit 2017] SEC 006
[Japan Tech summit 2017] SEC 006[Japan Tech summit 2017] SEC 006
[Japan Tech summit 2017] SEC 006
 
Azure Active Directory 利用開始への第一歩
Azure Active Directory 利用開始への第一歩Azure Active Directory 利用開始への第一歩
Azure Active Directory 利用開始への第一歩
 
IT エンジニアのための 流し読み Windows - Windows 365 ってどんな感じ? - せっかちなあなたへ編 -
IT エンジニアのための 流し読み Windows - Windows 365 ってどんな感じ? - せっかちなあなたへ編 -IT エンジニアのための 流し読み Windows - Windows 365 ってどんな感じ? - せっかちなあなたへ編 -
IT エンジニアのための 流し読み Windows - Windows 365 ってどんな感じ? - せっかちなあなたへ編 -
 
Keynote
KeynoteKeynote
Keynote
 
Azure Active Directory 最新活用シナリオアップデート
Azure Active Directory 最新活用シナリオアップデートAzure Active Directory 最新活用シナリオアップデート
Azure Active Directory 最新活用シナリオアップデート
 
モダンアクセスコントロール実現に向けた戦略策定方法
モダンアクセスコントロール実現に向けた戦略策定方法モダンアクセスコントロール実現に向けた戦略策定方法
モダンアクセスコントロール実現に向けた戦略策定方法
 
How to walk_on_windows_azure_platform
How to walk_on_windows_azure_platformHow to walk_on_windows_azure_platform
How to walk_on_windows_azure_platform
 
使ってみようAzure activedirectory
使ってみようAzure activedirectory使ってみようAzure activedirectory
使ってみようAzure activedirectory
 
Azure Active Directory Domain Services (Azure ADDS) キホンのキ
Azure Active Directory Domain Services(Azure ADDS)キホンのキAzure Active Directory Domain Services(Azure ADDS)キホンのキ
Azure Active Directory Domain Services (Azure ADDS) キホンのキ
 
適切な Azure AD 認証方式の選択の決め手
適切な Azure AD 認証方式の選択の決め手適切な Azure AD 認証方式の選択の決め手
適切な Azure AD 認証方式の選択の決め手
 
SAP on Azure Cloud Workshop Material Japanese 20190221
SAP on Azure Cloud Workshop Material Japanese 20190221SAP on Azure Cloud Workshop Material Japanese 20190221
SAP on Azure Cloud Workshop Material Japanese 20190221
 
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
 
[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際
[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際
[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際
 
MS Interact 2019 - Azureサービスで実現するセキュリティ全体像
MS Interact 2019 - Azureサービスで実現するセキュリティ全体像 MS Interact 2019 - Azureサービスで実現するセキュリティ全体像
MS Interact 2019 - Azureサービスで実現するセキュリティ全体像
 
Azure overview 2019_feb_v1.02
Azure overview 2019_feb_v1.02Azure overview 2019_feb_v1.02
Azure overview 2019_feb_v1.02
 
Intro jazuggirls 20120125
Intro jazuggirls 20120125Intro jazuggirls 20120125
Intro jazuggirls 20120125
 
[Japan Tech summit 2017] CLD 021
[Japan Tech summit 2017]  CLD 021[Japan Tech summit 2017]  CLD 021
[Japan Tech summit 2017] CLD 021
 

Recently uploaded

20240227 完全に理解した LT 「mise いいよ mise」 / morishin
20240227 完全に理解した LT 「mise いいよ mise」 / morishin20240227 完全に理解した LT 「mise いいよ mise」 / morishin
20240227 完全に理解した LT 「mise いいよ mise」 / morishinMakoto Mori
 
COPY FROMで異常データをスキップできるようになった話(第45回 PostgreSQLアンカンファレンス@オンライン 発表資料)
COPY FROMで異常データをスキップできるようになった話(第45回 PostgreSQLアンカンファレンス@オンライン 発表資料)COPY FROMで異常データをスキップできるようになった話(第45回 PostgreSQLアンカンファレンス@オンライン 発表資料)
COPY FROMで異常データをスキップできるようになった話(第45回 PostgreSQLアンカンファレンス@オンライン 発表資料)NTT DATA Technology & Innovation
 
Kubernetes環境のアプリケーションバックアップソフトウェアKasten K10ご紹介
Kubernetes環境のアプリケーションバックアップソフトウェアKasten K10ご紹介Kubernetes環境のアプリケーションバックアップソフトウェアKasten K10ご紹介
Kubernetes環境のアプリケーションバックアップソフトウェアKasten K10ご紹介FumieNakayama
 
scikit-learn以外の分類器でpipelineを作ってみた! いずみん
scikit-learn以外の分類器でpipelineを作ってみた! いずみんscikit-learn以外の分類器でpipelineを作ってみた! いずみん
scikit-learn以外の分類器でpipelineを作ってみた! いずみんtoshinori622
 
20240227_IoTLT_vol108____kitazaki_v1.pdf
20240227_IoTLT_vol108____kitazaki_v1.pdf20240227_IoTLT_vol108____kitazaki_v1.pdf
20240227_IoTLT_vol108____kitazaki_v1.pdfAyachika Kitazaki
 
00001_test_automation_portfolio_20240227
00001_test_automation_portfolio_2024022700001_test_automation_portfolio_20240227
00001_test_automation_portfolio_20240227ssuserf8ea02
 
BusTimeTable by Edge Runtime - 公共交通オープンデータ最前線2024 -
BusTimeTable by Edge Runtime - 公共交通オープンデータ最前線2024 -BusTimeTable by Edge Runtime - 公共交通オープンデータ最前線2024 -
BusTimeTable by Edge Runtime - 公共交通オープンデータ最前線2024 -yuutahatano
 

Recently uploaded (7)

20240227 完全に理解した LT 「mise いいよ mise」 / morishin
20240227 完全に理解した LT 「mise いいよ mise」 / morishin20240227 完全に理解した LT 「mise いいよ mise」 / morishin
20240227 完全に理解した LT 「mise いいよ mise」 / morishin
 
COPY FROMで異常データをスキップできるようになった話(第45回 PostgreSQLアンカンファレンス@オンライン 発表資料)
COPY FROMで異常データをスキップできるようになった話(第45回 PostgreSQLアンカンファレンス@オンライン 発表資料)COPY FROMで異常データをスキップできるようになった話(第45回 PostgreSQLアンカンファレンス@オンライン 発表資料)
COPY FROMで異常データをスキップできるようになった話(第45回 PostgreSQLアンカンファレンス@オンライン 発表資料)
 
Kubernetes環境のアプリケーションバックアップソフトウェアKasten K10ご紹介
Kubernetes環境のアプリケーションバックアップソフトウェアKasten K10ご紹介Kubernetes環境のアプリケーションバックアップソフトウェアKasten K10ご紹介
Kubernetes環境のアプリケーションバックアップソフトウェアKasten K10ご紹介
 
scikit-learn以外の分類器でpipelineを作ってみた! いずみん
scikit-learn以外の分類器でpipelineを作ってみた! いずみんscikit-learn以外の分類器でpipelineを作ってみた! いずみん
scikit-learn以外の分類器でpipelineを作ってみた! いずみん
 
20240227_IoTLT_vol108____kitazaki_v1.pdf
20240227_IoTLT_vol108____kitazaki_v1.pdf20240227_IoTLT_vol108____kitazaki_v1.pdf
20240227_IoTLT_vol108____kitazaki_v1.pdf
 
00001_test_automation_portfolio_20240227
00001_test_automation_portfolio_2024022700001_test_automation_portfolio_20240227
00001_test_automation_portfolio_20240227
 
BusTimeTable by Edge Runtime - 公共交通オープンデータ最前線2024 -
BusTimeTable by Edge Runtime - 公共交通オープンデータ最前線2024 -BusTimeTable by Edge Runtime - 公共交通オープンデータ最前線2024 -
BusTimeTable by Edge Runtime - 公共交通オープンデータ最前線2024 -
 

Azure active directory によるデバイス管理の種類とトラブルシュート事例について

  • 1. Azure Active Directory によるデバ イス管理の種類とトラブルシュー ト事例について 2019年6月22日 .Net ラボ勉強会 日本マイクロソフト株式会社 山口 真也 AZURE & IDENTITY AZURE IDENTITY サポートエンジニア
  • 2. 自己紹介と Azure のサポートについて 名前:山口 真也(やまぐち しんや) ・日本マイクロソフトで Azure AD のサポート エンジニア ・今年の7月で日本マイクロソフトにジョインして丸1年になります。 ・前職までは、ゲーム会社やSIerでインフラ エンジニアをやっていました。 ・Qiita やっています。https://qiita.com/Shinya-Yamaguchi ・Facebook (https://www.facebook.com/shinya.yamaguchi.92) ・Twitter @izuru_yamarara --- ・日本マイクロソフトのAzure のサポートは大きく、 IaaS・PaaS・ Identity(Azure AD)の3あります。 ・その中で Identity のサポートメンバーは25人ほどで日本のお客様を中心に サポートしています。(グローバルのお客様もサポートしています)
  • 3. 目次 1. Azure Active Directoryとは 2. 条件付きアクセスとは 3. デバイスを管理するということ 4. Azure AD Registered (Azure AD 登録) について 5. Azure AD Join (Azure AD 参加) について 6. Hybrid Azure AD Join について 7. 3つのデバイス管理をどう使い分けるか 8. Dual State によるトラブルシュート事例 9. まとめ
  • 5. Azure Active Directory とは 弊社公開情報より抜粋 Azure Active Directory (Azure AD) は Microsoft が提供する クラウドベースの ID およびアクセス管理サービスであり、 次のリソースへのサインインとアクセスを支援します。  Microsoft Office 365、Azure portal、その他何千という SaaS アプリケーションなど、外部リソース。  企業ネットワークとイントラネット上のアプリや、自分 の組織で開発したクラウド アプリなどの内部リソース。
  • 7. Azure AD は Azure 上に Active Directoy をたてる事ではありません Active Directory Domain Service (AD DS) Azure Active Directory Azure Active Directory Domain Services ・オンプレミスのみで構成 ・IaaS の Virtual Machine 上に Domain Controller を構築する ・機能はオンプレミスと同じ Virtual MachineDomain Controller Domain Controller Azure AD Domain Controller PC Office 365 PC ・オンプレミス AD とは別もの ・ クラウド アプリケーションの認証で 利用される ・ Office 365 など ・PasS 版の Domain Controller ・諸々制限あり ・Azure VM 用 Active Directory Active Directory Domain Services Server PCServer (Virtual Machine) Mobile (AD DS) (Azure AD) (Azure AD DS) サーバーを自分で管理 サーバーがクラウドに
  • 8. Azure AD ができること ・アプリケーション管理 ・Authentication ・企業間 (B2B) ・企業 – 消費者間 (B2C) ・条件付きアクセス ・開発者のための Azure Active Directory ・デバイスの管理 ・ドメイン サービス ・エンタープライズ ユーザー ・ハイブリッド ID ・ Identity Governance ・ Identity Protection ・ Azure リソースのマネージド ID ・ Privileged Identity Management (PIM) ・レポートと監視
  • 9. 本セッションではこの2つを扱います ・アプリケーション管理 ・Authentication ・企業間 (B2B) ・企業 – 消費者間 (B2C) ・条件付きアクセス ・開発者のための Azure Active Directory ・デバイスの管理 ・ドメイン サービス ・エンタープライズ ユーザー ・ハイブリッド ID ・ Identity Governance ・ Identity Protection ・ Azure リソースのマネージド ID ・ Privileged Identity Management (PIM) ・レポートと監視
  • 13. Azure ADによるデバイス管理は年々増加 Access ReviewsConditional Access Multi-Factor Authentication Addition of custom cloud apps Remote Access to on-premises apps Privileged Identity Management Dynamic Groups Identity ProtectionAzure AD DS Office 365 App Launcher Group-Based Licensing Access Panel/MyApps Azure AD Connect Connect Health Provisioning- DeprovisioningAzure AD Join Self-Service capabilities MDM-auto enrollment / Enterprise State Roaming Security Reporting Governance HR App Integration B2B collaboration Azure AD B2CSSO to SaaS Microsoft Authenticator - Password-less Access 40M 2.2M2.6M +275% YoY +225% YoY +250% YoY +420% YoY +500% YoY 6M107M
  • 14. Windows 10 コンピューターのデバイス管理方法 Azure AD AD Azure AD joined (AADJ) Azure AD AD Hybrid Azure AD joined (HAADJ) AD Azure AD Azure AD registered (WPJ)
  • 16. 条件付きアクセスによるデバイス管理 条件付きアクセスを使うことで、柔軟なデバイ ス管理が可能となる。 • Hybrid Azure AD Join • Azure AD Join + MDM 準拠 • Azure AD Registered + MDM 準拠 • Hybrid Azure AD Join + MDM 準拠
  • 17. Azure AD Registered (Azure AD 登録) について
  • 18. Azure AD Registered (BYODで活用) MDM (Intune) MDM 登録 デバイスベースのアクセスコン トロールを行う場合に必要 • 会社で管理されていないデバイス・組織外のデバイスを想定した機能 • PC へのログオン方法は従来と変わらない(ローカルアカウント or AD アカウント) • Windows 10 のみ対応 • 主に外部組織のリソースへの SSO を得る場合に利用されるケースが多い ローカル PC アカウント or オンプレ AD のアカウント でログオン Azure AD Azure AD Register デバイスオブジェクト MDM ポリシー Device を Compliant としてマーク Win 10
  • 19. Azure AD Join (Azure AD 参加) について
  • 20. Azure AD Join • Windows PC をクラウドのみで管理するパターン。デバイスの情報は Azure AD に保持される • PC へのログオンは Azure AD の ID で行う (test001@contoso.com など) • Windows 10 のみがこの方式を利用可能 • 既にオンプレミス AD に参加している PC は重ねて Azure AD Join することはできない • PC へのポリシー適用は MDM ツール (Intuneなど) により行われる Azure AD の ID でログオン (test001@contoso.com) MDM (Intune) Azure AD Azure AD Join デバイスオブジェクト MDM 登録 MDM ポリシー Device を Compliant としてマーク Win 10
  • 21. Azure AD Join を構成するメリット 1. オンプレミス AD 廃止への第一歩 2. クラウドリソースにシングルサインオンできる 3. リモートワークをするユーザーに最適な PC 認証を提供でき る 4. 精密なデバイスベースアクセスコントロールが可能
  • 23. Hybrid Azure AD Join について
  • 24. Hybrid Azure AD Join • 既存 Domain Joined 状態はそのままに Azure AD にも登録 • オンプレミス AD の ID を利用して PC にログオン (UPN, sAMAccountName など) • Windows 7 / 8.1 /10 に対応 • オンプレ AD と Azure AD 両方にデバイス情報を保持 • PC へのポリシー適用は GPO にて実施 AD の ID でログオン (test001@contoso.com, domaintest001 など) Win 7/8.1/10 Domain Join Active Directory Azure AD Connect User 同期 Azure AD デバイスオブジェクト GPO 適用 MDM (Intune) MDM 登録 MDM 管理もできるが オプショナル
  • 25. Hybrid Azure AD Join が構成される仕組み AD Azure AD 登録が成功すると、Azure AD のデバイス オブジェクトの AlternativeSecurityIds 属性にサムプリントが押された "MS-Organization-Access" という証明書が取得さ れます。
  • 26. Hybrid Azure AD Join を構成するメリット 1. クラウドリソースとオンプレミスのリソース両方に SSO できる Azure AD Join と同様、基本的に PC ログインとクラウド/オンプレ両 方のアプリに SSO 2. Home Realm Discovery が不要になる クラウドリソースへのアクセス時に UPN 入力が不要になる 3. Domain Joined をベースとしたアクセスコントロールが可能 Conditional Access – Domain Joined 条件が使える
  • 28. 3つのデバイス管理をどう使い分けるか オンプレミス AD 環境・ OS により、利用可能な方式が決まります Windows の OS バージョン オンプレミス AD 環境 (Azure AD と同期済み) Windows 7/8.1Windows 10 Yes ※Windows 7/8.1 は 10 にアップデート オンプレミス AD 環境 (Azure AD と非同期) ワークグループ PC No ドメイン参加解除 が可能
  • 29. 3つのデバイス管理をどう使い分けるか Azure AD Registered Azure AD Join Hybrid Azure AD Join Windows 10 〇 〇 〇 Windows 7/8.1 × × 〇 ※ダウングレード用の設定が必要 Andoroid 〇 × × iOS 〇 × × Mac OS 〇 × ×
  • 30. 3つのデバイス管理をどう使い分けるか(設計例) Azure AD Register Hybrid Azure AD Join Azure AD Join 海外子会社(ドメイン環境) ADWin10 システムWin 7/8.1 海外出張所(ワークグループ環境) Win10Win 7/8.1 Update Update 国内事業所(ドメイン環境) Win 7/8.1 既存 Win10 AD AAD Connect Azure AD 新規 Win10
  • 32. Dual State とは ・Azure AD Registered 状態の Windows 10 デバイスが存在する状態で、 Hybrid Azure AD Join を構成すること。 ・同一の Windows 10 デバイス上に2重に Azure AD にデバイスを登録・参 加することは技術的には可能だが、注意が必要。 Azure AD AD
  • 33. Dual State の問題 • Azure AD には単一のデバイスに対して二つのデバイスオブ ジェクトが作られる • Windows 10 は二つの PRT を Azure AD に送信するよう 動作する • この状態となると、右のような条件付きアクセスを構成してい るときに問題が生じる • 二つ送られる PRT のうち、「Azure AD Registered」の Device ID が先に送られた場合は条件付きアクセスを突破 できずブロックされてしまいます。 ※どちらの Device ID を送るかは制御不可
  • 34. Dual State の問題(イメージ図) 例えば条件付きアクセスの「ハイブリット Azure AD 参加済みのデバイスが必要」のポリ シーが設定されている状態で Office 365 アプリケーションにシングルサインオンしたい場 合の動作。 AD の ID でログオン (test001@contoso.com, domaintest001 など) Azure AD Win 10 PRT (Device Type= Hybrid Azure AD Join) PRT (Device Type= Azure AD Registered) Office 365 条件付きアクセス ブロック
  • 35. Dual State の問題 • Windows 10 (1809) もしくは Windows 10 (1803) の KB4489894適用以降のデバイス の場合、 2重登録を自動的に解除する機能が追加されています。 • ただし、2重登録自動解除の機能は、Intune に登録されている状態では機能しませ ん。 (まずはIntuneの登録自体をリタイヤなどで解除する必要があります。) Hybrid Azure AD Join + Intune の要件の際には、2重構成は NG !! グループ ポリシーを使い、 Hybrid Azure AD Join のデバイスに Intune 登録するように構成しましょう。 URL: https://docs.microsoft.com/en-us/windows/client-management/mdm/enroll-a-windows-10-device-automatically-using-group-policy#configure-the-auto- enrollment-for-a-group-of-devices
  • 37. まとめ ・クラウド環境にある Azure AD にデバイスを管理することは全くリスクはありませ ん。むしろ、オンプレミス環境で管理するよりも安全です。 ・環境にあったデバイスの管理方法を選択しましょう。 (今は Hybrid Azure AD Join のお問い合わせが本当に多くきています。つま りそれだけ現在の主流であることを意味しています) ・Dual State状態にならないように、グループ ポリシーを活用するなど、設計段 階で2重構成にならないように注意しましょう。 (一度2重構成のまま環境を構築してしまうと、正しい状態に戻す作業は本当に 大変ですし人的コストがかかります)
  • 39. Appendix (用語集) 用語 意味 DRS Device Registration Service の略。Azure AD にデバイスを登録するときにアクセスしに行く エンドポイントのこと。 SCP Service Connection Point の略。Azure AD のどのテナントにデバイスを登録しに行けばいい か、SCPに情報が格納されている。SCPの構成がただしくできていないと、デバイスがどの Azure AD テナントにデバイス登録すればいいかわからないため、 Hybrid Azure AD Join の構 成に失敗してしまう。 PRT Primary Refresh Token の略。 Azure AD が発行するトークンで、主にアプリケーションにシ ングル サインオンするために必要。 https://docs.microsoft.com/ja-jp/azure/active-directory/devices/concept-primary-refresh- token MDM Mobile Device Management の略。デバイスセキュリティ管理ツール。Microsoft が提供して いる MDM は Microsoft Intune 。