Azure ADとWindows 10によるドメイン環境の拡張

MVP for Enterprise Mobility

Naohiro Fujie / @phr_eidentity / http://idmlab.eidentity.jp

1

自己紹介• Blog

• IdM実験室（Identityに関することを徒然と）：http://idmlab.eidentity.p

• Social

• Facebook Page : eIdentity：https://www.facebook.com/eidentity

• Modules（codeplex）

• Generic REST MA for FIM/MIM：https://restmafim.codeplex.com/

• 記事

• 企業のID管理／シングルサインオンの新しい選択肢「IDaaS」の活用

（http://www.atmarkit.co.jp/ait/articles/1508/07/news034.html）etc

• その他

• JNSA アイデンティティ管理WG（書籍：「クラウド環境におけるアイデンティティ管理ガイドライン」etc）

• OpenID Foundation Japan 教育・翻訳WG（OAuth/OpenID Connect仕様翻訳）、エンタープライズ・アイデン

ティティWG

Agenda1. 従来のID基盤の限界とAzure Active Directoryによる拡張

2. Windows 10で変わるドメインの世界

3. まとめ

従来のID基盤の限界とAzure Active Directoryによる拡張

社内PC

ドメイン

リソース（アプリケーション）

管理

管理

利用

社内ADによる資産の管理・利用

関係会社・取引先

社内ネットワーク

モバイルユーザ

クラウド・サービスADドメインでの管理の限界

個別管理、アクセス許可

新しい要求：クラウドや社外利用者を含めた管理

FireWall

デバイス管理が困難

個別ログイン

SSO出来ない

アクセス管理が困難

従来のID基盤の限界

社内PC

ドメイン

個社リソース

社内ネットワーク

モバイルユーザ

クラウド・サービス（共有リソース）

関係会社・取引先

ID基盤

利用

管理

ポリシーに沿った利用

利用

社内とSSO

利用

社内とSSO

登録・管理

Azure ADによるクラウドや社外利用者・モバイルを含めたアクセス管理

Azure ADによるID基盤の拡張

Azure AD/Intune（クラウドID基盤）

ID連携 ID連携

ID連

携

アクセス管理の一元化

Azure AD

社内ネットワーク インターネット

社内ネットワーク＋インターネット

ファイルサーバ 社内Webアプリ クラウドWebアプリ

AD DS AD FS / WAP

ID基盤

アプリ連携

デバイス管理

Windows PC モバイルデバイス

AD DSによるオンプレミスID基盤

AD FSによるｸﾗｳﾄﾞへの拡張（ﾊｲﾌﾞﾘｯﾄﾞID基盤）

Azure ADによるクラウドID基盤

ドメイン参加／グループポリ

シーによる管理

統合Windows認証 ID連携（SAML/OpenID Connect等）

DRS(デバイス登録サービス）

／Intuneによる管理

構成要素

8

比較項目 オンプレミスID基盤 クラウドID基盤

製品・サービス 特徴 製品・サービス 特徴

管理主体と対象 AD DS ユーザ、グループ、デバイス（ドメイン参加PC）

Azure AD ユーザ、グループ、デバイス（直接Azure ADで管理するWindows 10、オンプレのドメイン参加PC）

ポリシー適用 AD DS/SCCM 詳細な制限が可能 Azure AD/Intune

詳細な制限は不可能（モバイルデバイス管理機能が中心）

シングルサインオン対象

AD DS ファイルサーバ等を含む統合Windows認証

- Kerberos/NTLMアプリケーションやリソースは不可能

AD FS SAML/ws-federationに対応したWebアプリケーション（個別設定が前提）

Azure AD SAML/ws-federation/OpenID Connectに対応したWebアプリケーション（あらかじめプリセットされたアプリケーションから選択、および個別設定が可能）

ID管理 MIM(Microsoft Identity Manager)

各種アプリケーションへのID同期が可能（開発・カスタマイズが前提）

Azure AD 主要SaaSアプリケーションへのID同期機能がプリセットSCIMに対応したアプリケーションへのID同期も可能だが限定的

オンプレミスID基盤との比較

Azure AD

SaaSアプリケーション

自社開発アプリケーション

Azure ADと連携しているAPL群

③認証

①アクセス

②認証要求

④認証結果

APL登録- URL情報の交換- 公開鍵の取得、APL側へ登録

ID情報の同期

⑤認証結果の検証

⑥同期済みユーザとの紐づけ

シングルサインオン(APL連携)

Azure AD

社内ネットワーク

Azure AD

SaaSアプリケーションID連携（SAML/OpenID Connect/ws-federation）

Azure ADと連携しているAPL間でSSO

ID連携（SAML/ws-federation）

AD FS

Azure ADConnect

AD DS

ID情報の同期ID情報の同期

Azure ADを経由して社内AD FSへ連携

企業内ユーザ

統合Windows認証でSSO

シングルサインオン(APL連携)/ハイブリッド

Azure AD

連携アプリの選択と利用

12

SSOとID同期の設定

13

IPベースのアクセス制御

Windows 10で変わるドメインの世界

IdPApps

Organization Network

Office365SAML/OIDC SPAD DS AD FS Windows

Apps

Firewall

VPN or WAP(Reverse Proxy)

Single Sign On

Non SSO

ID/PWD

目指すもの＝デバイス・APLのSSO

今できるデバイス・APL間のSSOの範囲

どこから 社内から

どんなデバイスから ADドメインに参加したPCから

何に対して ドメインに参加したアプリケーション

AD FSと連携したアプリケーション

AD FSを導入しても、制限はある・社外ではPCログオンとAPLログオンは別・ドメイン参加PCのみ

• どこにからでも、どんなデバイスから

でも、デバイス～アプリケーション間

でのSSOを実現

• 必要な要素

• どこからでも使えるID管理基盤

• どこからでも使えるデバイス管理基盤

• 各基盤に対応するデバイス

• 過渡期における移行も大事

• レガシー基盤との橋渡し

IdPApps

Organization Network

Office365SAML/OIDC SPAD DS AD FS Windows

Apps

Firewall

VPN or WAP(Reverse Proxy)

Single Sign On

Non SSO

ID/PWD

どこからでも使える- ID基盤- デバイス管理基盤

対応デバイス

対応デバイス

橋渡し

目指すもの＝デバイス・APLのSSO

Azure AD

Windows 10

Internal Services Azure Active Directory Cloud Services

Office365

SAML/OIDC SPWebAPI

AD FSAD DS

IdP(SAML/OIDC)

AuthZ(OAuth2.0)Device

Mgmt

Reporting

Store Apps

Registered Windows 10 Devices(Internal or External)

Sync

Org’s Apps

Single Sign On

• 統一されたID/デバイス管理

• クラウド、オンプレのHUBとし

て機能

• 統一ポリシーの適用

• デバイスの種類、アプリケー

ションの種類に依存しないSSO

• WEBアプリケーション、ネイ

ティブアプリケーション、デバ

イスを跨いだSSO

• PC、モバイルに向けた共通のエ

クスペリエンス

目指すもの＝デバイス・APLのSSO

シナリオ 参加先 オンプレSSO クラウドSSO

SSO方式 APL連携先 SSO方式 APL連携先

オンプレミス AD DS WIA AD DS なし なし

オンプレミス AD DS WIA AD DS AD FSへのWIA AD FS

ハイブリッド AD DS WIA AD DS Azure AD⇒AD FSへのWIA

Azure AD

クラウド Azure AD なし なし Passport Azure AD

ハイブリッド AD DS WIA AD DS Passport(デバイス同期）

Azure AD

ハイブリッド Azure AD Azure WAP経由のWIA（ID同期）

AD DS Passport Azure AD

ハイブリッド AD DS Passport(AD FS) AD DS Passport(デバイス同期）

Azure AD

ハイブリッド Azure AD Passport(AD FS)(デバイス同期）

AD DS Passport Azure AD

Windows 10のドメイン参加 ※WIA:統合Windows認証

Windows 10新機能 Windows 10＋Windows Server 2016新機能

あらかじめ登録された端末を信頼

あらかじめ登録されたユーザを信頼

認証サーバデバイスユーザ

キーペアを用いた署名検証で認証

知識（PIN・パスワード）、生体情報で認証

余談）Microsoft Passport

信頼のチェインによりデバイスとユーザの認証を分離。・端末認証：キーペアによる署名検証・ユーザ認証：秘密鍵を取り出す目的。手段は問わず

概要 特徴

① PCは従来と同様にオンプレミスADへ参加、デバイス情報をAzure ADへ同期することで各種アプリケーションへシングルサインオン

• Windows Server 2012R2ドメインで実現可能なので、早期実現が可能

• 別コンポーネントが不要なので構成がシンプル• SSOのセットアップ完了に若干時間がかかる

② PCはAzure ADへ参加、オンプレミスのリソース（Webに限定）へはAzure AD Web Application Proxy（WAP）を利用することでシングルサインオン（社内ドメイン参加PCは構成パターン①と同じ）

• Windows Server 2012R2ドメインで実現可能なので、早期実現が可能

• Azure AD WAPが必要• SSO対応できる社内アプリケーションがWebアプリに

限定される（ファイルサーバ等は不可能）

③ PCはオンプレミスAD、Azure ADのいずれかに参加、オンプレミスのADとAzure ADがID連携、Azure AD Connectでデバイス情報を同期することで各種アプリケーションへシングルサインオン

• Windows Server 2016リリースを待つ必要あり• AD FS（構成によってはAD CS）が必要• デバイスのドメイン参加形態の自由度は高い

ハイブリッド構成パターン

シナリオ 参加先 オンプレSSO クラウドSSO

SSO方式 APL連携先 SSO方式 APL連携先

オンプレミス AD DS WIA AD DS なし なし

オンプレミス AD DS WIA AD FSへのWIA AD FS

ハイブリッド AD DS WIA Azure AD⇒AD FSへのWIA

Azure AD

クラウド Azure AD なし なし Passport Azure AD

ハイブリッド AD DS WIA AD DS Passport(デバイス同期）

Azure AD

ハイブリッド Azure AD Azure WAP経由のWIA（ID同期）

AD DS Passport Azure AD

ハイブリッド AD DS Passport(AD FS) AD DS Passport(デバイス同期）

Azure AD

ハイブリッド Azure AD Passport(AD FS)(デバイス同期）

AD DS Passport Azure AD

Windows 10のドメイン参加 ※WIA:統合Windows認証

Windows 10新機能 Windows 10＋Windows Server 2016新機能

１

３

３

２

ファイルサーバ等 ドメインコントローラ AAD Connect

デバイス情報同期

社内PC（Windows 10）

ドメイン参加

Azure AD アプリケーション群

ドメイン参加PCログイン

統合Windows認証

デバイス情報同期

Microsoft Passport

連携

①デバイスをAzure ADへ同期してPassport利用

参考）デバイス情報をAzure ADへ登録する方法にはAzure AD Connectを使う方法と、AD FSでデバイス・クレームを発行する方法の2つが存在

デバイス情報をオンプレミスからAzure ADへ同期することにより、Microsoft Passportを利用可能とする

ファイルサーバ等 ドメインコントローラ AAD Connect

デバイス情報同期

社内PC（Windows 10）

ドメイン参加

Azure AD アプリケーション群

ドメイン参加PCログイン

統合Windows認証

デバイス情報同期

MicrosoftPassport

連携

Azure WAP 連携

社外PC（Windows 10）

Azure AD参加PCログイン

Microsoft Passport

Webアプリ

統合Windows認証（WAP経由）

②Azure AD WAPで外部デバイスに内部リソースを開放

Azure AD WAP(Web Application Proxy)を使い、Azure AD参加している社外PCに社内の統合Windows認証アプリケーションを開放

ファイルサーバ等ドメインコントローラ＋AD FS（WS 2016） AAD Connect

デバイス情報同期

社内PC（Windows 10）

ドメイン参加

Azure AD アプリケーション群

ドメイン参加PCログイン

Microsoft Passport

デバイス情報同期

Microsoft Passport

連携

社内 or 社外PC（Windows 10）

Azure AD参加PCログイン

Microsoft Passport

Microsoft Passport

ID連携

③社内も社外もMicrosoft Passport

デバイス情報をオンプレミスとAzure ADで相互に同期することにより、社内外でMicrosoft Passportを利用可能とする

まとめ

まとめ

• Azure AD/Intuneを核としたクラウドID基盤を活用することにより、

従来のドメインの限界であったモバイル、クラウド、他社連携といっ

た課題を解決することが可能

• Windows 10、Windows Server 2016を活用するとさらに柔軟かつ利

便性の高いユーザ利用環境を構築することが可能

おしらせActive Directory & Security Conference 2016

• 日時：2016年3月18日（金）12:00～20:00

• 場所：日本マイクロソフト株式会社 品川本社セミナルームA～D

• 申込URL：http://aka.ms/ad15th

• もしくは：http://events.msfthcp.com/?CR_CC=200764089&eventID=JA-EMS-IPVNT-FY16-

03Mar-18-Active-Directory-Security-Coference%20&ls=Website&lsd=AzureWebsite

• 概要：Active Directory が登場から 15 周年を迎えたことを記念し、これまでの Active Directory の

歩みを振り返りつつ、Active Directory の業界における位置づけ、Active Directory を使用したさま

ざまなシステム設計手法、TIPS、トラブルシューティング、今後の方向性などについてお伝えする、

Active Directory とセキュリティをテーマにしたカンファレンスです。