[Japan Tech summit 2017] SEC 006
-
Upload
microsoft-tech-summit-2017 -
Category
Technology
-
view
307 -
download
3
Transcript of [Japan Tech summit 2017] SEC 006
![Page 1: [Japan Tech summit 2017] SEC 006](https://reader034.fdocuments.net/reader034/viewer/2022042707/5a6479027f8b9a52568b465d/html5/thumbnails/1.jpg)
Microsoft Tech Summit 2017本情報の内容(添付文書、リンク先などを含む)は、Microsoft Tech Summit 2017 開催日(2017 年 11 月 8日 - 9 日)時点のものであり、予告なく変更される場合があります。
![Page 2: [Japan Tech summit 2017] SEC 006](https://reader034.fdocuments.net/reader034/viewer/2022042707/5a6479027f8b9a52568b465d/html5/thumbnails/2.jpg)
✓ 新しく登場した Azure AD の機能により変わるOffice 365 のインフラ設計とは?
✓ ユーザーが利用しやすく、管理者が管理しやすいインフラ環境とは?
✓ 将来を見据えた Office 365 / SaaS の認証設計とは?
![Page 3: [Japan Tech summit 2017] SEC 006](https://reader034.fdocuments.net/reader034/viewer/2022042707/5a6479027f8b9a52568b465d/html5/thumbnails/3.jpg)
![Page 4: [Japan Tech summit 2017] SEC 006](https://reader034.fdocuments.net/reader034/viewer/2022042707/5a6479027f8b9a52568b465d/html5/thumbnails/4.jpg)
Pros:簡単な展開、オンプレミスAD と同じ ID/パスワードの使用
Cons: SSO ができないアクセス制御ができない
Pros: Windows デスクトップとの統合された SSO
クライアントアクセス制御
Cons:オンプレミスサーバー群の展開が必要
Pros:最小の展開時間、オンプレミス資産が不要
Cons: SSOができない、オンプレミスのディレクトリと統合された運用ができない
クラウド ID 同期 IDパスワードハッシュ同期 フェデレーション ID
![Page 5: [Japan Tech summit 2017] SEC 006](https://reader034.fdocuments.net/reader034/viewer/2022042707/5a6479027f8b9a52568b465d/html5/thumbnails/5.jpg)
ユーザー認証
✓ 17.5% - 同期 ID
✓ 47.8% - フェデレーション ID (ADFS)
28.2%
17.5%
47.8%
6.5%
Azure AD Authentication - Unique Users
1
2
3
4
![Page 6: [Japan Tech summit 2017] SEC 006](https://reader034.fdocuments.net/reader034/viewer/2022042707/5a6479027f8b9a52568b465d/html5/thumbnails/6.jpg)
Pros:簡単な展開、オンプレミスAD と同じ ID/パスワードの使用
Cons: SSO ができないアクセス制御ができない
Pros: Windows デスクトップとの統合された SSO
クライアントアクセス制御
Cons:オンプレミスサーバー群の展開が必要
Pros:最小の展開時間、オンプレミス資産が不要
Cons: SSOができない、オンプレミスのディレクトリと統合された運用ができない
クラウド ID 同期 IDパスワードハッシュ同期 フェデレーション ID
![Page 7: [Japan Tech summit 2017] SEC 006](https://reader034.fdocuments.net/reader034/viewer/2022042707/5a6479027f8b9a52568b465d/html5/thumbnails/7.jpg)
![Page 8: [Japan Tech summit 2017] SEC 006](https://reader034.fdocuments.net/reader034/viewer/2022042707/5a6479027f8b9a52568b465d/html5/thumbnails/8.jpg)
AAD Connect
![Page 9: [Japan Tech summit 2017] SEC 006](https://reader034.fdocuments.net/reader034/viewer/2022042707/5a6479027f8b9a52568b465d/html5/thumbnails/9.jpg)
![Page 10: [Japan Tech summit 2017] SEC 006](https://reader034.fdocuments.net/reader034/viewer/2022042707/5a6479027f8b9a52568b465d/html5/thumbnails/10.jpg)
Pros:簡単な展開、オンプレミスAD と同じ ID/パスワードの使用
Cons: SSO ができない *
Pros: Windows デスクトップとの統合された SSO
クライアントアクセス制御
Cons:オンプレミスサーバー群の展開が必要
Pros:最小の展開時間、オンプレミス資産が不要
Cons: SSOができない、オンプレミスのディレクトリと統合された運用ができない
クラウド ID同期 ID
パスワードハッシュ同期 フェデレーション ID
Pros:簡単な展開、オンプレミスAD と同じ ID/パスワードの使用
Cons: SSO ができない
同期 IDパススルー認証+シームレスSSO
Windows デスクトップとの統合された SSO
Azure AD によるアクセス制御Azure AD によるアクセス制御
*PHS 構成でもシームレス SSO が可能
+シームレスSSO
![Page 11: [Japan Tech summit 2017] SEC 006](https://reader034.fdocuments.net/reader034/viewer/2022042707/5a6479027f8b9a52568b465d/html5/thumbnails/11.jpg)
![Page 12: [Japan Tech summit 2017] SEC 006](https://reader034.fdocuments.net/reader034/viewer/2022042707/5a6479027f8b9a52568b465d/html5/thumbnails/12.jpg)
社内/外のネットワークのPC
• シームレスシングルサインオン(sSSO)社内ネットワーク上のPC(Active Directory管理下)からAD FSを使わずにOffice 365などにシングルサインオンする機能
![Page 13: [Japan Tech summit 2017] SEC 006](https://reader034.fdocuments.net/reader034/viewer/2022042707/5a6479027f8b9a52568b465d/html5/thumbnails/13.jpg)
オンプレ AD がパスワードを検証
AuthNagent
AD FSWAPオンプレ AD が
ユーザー名とパスワードを検証
パスワードはオンプレ
![Page 14: [Japan Tech summit 2017] SEC 006](https://reader034.fdocuments.net/reader034/viewer/2022042707/5a6479027f8b9a52568b465d/html5/thumbnails/14.jpg)
IID + パスワードハッシュ同期
Azure Active Directoryユーザー認証
社内
Microsoft Azure Active Directory
認証は Cloud 側だけで完結する
オンプレと同じ ID, パスワード
オンプレの追加構成は AAD Connect のみ
![Page 15: [Japan Tech summit 2017] SEC 006](https://reader034.fdocuments.net/reader034/viewer/2022042707/5a6479027f8b9a52568b465d/html5/thumbnails/15.jpg)
注意点
![Page 16: [Japan Tech summit 2017] SEC 006](https://reader034.fdocuments.net/reader034/viewer/2022042707/5a6479027f8b9a52568b465d/html5/thumbnails/16.jpg)
社内
Microsoft AzureActive Directory
PTA エージェント
Active Directory
セキュアなパスワード運用
パスワードはオンプレのみに保存
DMZ セグメントおよびインバウンドのポート開放が不要
管理が容易
エージェントベースの展開
高可用性構成も容易
クラウドベースの認証
オンプレと同じ ID, パスワード
スマートロックアウト、Idenity Protectionおよび条件付きアクセスと統合
PTA エージェント
![Page 17: [Japan Tech summit 2017] SEC 006](https://reader034.fdocuments.net/reader034/viewer/2022042707/5a6479027f8b9a52568b465d/html5/thumbnails/17.jpg)
社内
ID 同期 + パススルー認証
PTA がキューをピックアップ
ActiveDirectory
パススルー認証エージェント
Microsoft AzureActive Directory
アプリ
ユーザー ID とパスワードを入力
Azure AD のサインイン画面に接続
Azure ADのサインインが完了
認証情報が暗号化されキューに入る
PTA が Azure AD に認証結果を返す
PTAが認証情報を ADで確認
AD にサインインが完了
PTAが認証情報を復号化
アプリへのサインイン
サインインが成功した場合は、アプリにアクセスする
Azure AD Connect を使用した ID 同期
![Page 18: [Japan Tech summit 2017] SEC 006](https://reader034.fdocuments.net/reader034/viewer/2022042707/5a6479027f8b9a52568b465d/html5/thumbnails/18.jpg)
3rd パーティーのフェデレーション
パスワードハッシュ同期(PHS)
パススルー認証(PTA)
シームレスシングルサインオン(sSSO)
![Page 19: [Japan Tech summit 2017] SEC 006](https://reader034.fdocuments.net/reader034/viewer/2022042707/5a6479027f8b9a52568b465d/html5/thumbnails/19.jpg)
![Page 20: [Japan Tech summit 2017] SEC 006](https://reader034.fdocuments.net/reader034/viewer/2022042707/5a6479027f8b9a52568b465d/html5/thumbnails/20.jpg)
![Page 21: [Japan Tech summit 2017] SEC 006](https://reader034.fdocuments.net/reader034/viewer/2022042707/5a6479027f8b9a52568b465d/html5/thumbnails/21.jpg)
注意点
![Page 22: [Japan Tech summit 2017] SEC 006](https://reader034.fdocuments.net/reader034/viewer/2022042707/5a6479027f8b9a52568b465d/html5/thumbnails/22.jpg)
https://download.microsoft.com/download/F/C/A/FCA7C6E3-7153-4FB1-9825-0B1BB26F14E0/AAD-Office-365-Seamless-Sign-In-Part-1.docx
https://download.microsoft.com/download/F/C/A/FCA7C6E3-7153-4FB1-9825-0B1BB26F14E0/AAD-Office-365-Seamless-Sign-In-Part-2.docx
https://download.microsoft.com/download/F/C/A/FCA7C6E3-7153-4FB1-9825-0B1BB26F14E0/AAD-Office-365-Seamless-Sign-In-Part-3.docx
https://download.microsoft.com/download/F/C/A/FCA7C6E3-7153-4FB1-9825-0B1BB26F14E0/AAD-Office-365-Seamless-Sign-In-Part-4.docx
https://download.microsoft.com/download/F/C/A/FCA7C6E3-7153-4FB1-9825-0B1BB26F14E0/AAD-Office-365-Seamless-Sign-In-Part-5.docx
https://download.Microsoft.com/download/F/C/A/FCA7C6E3-7153-4FB1-9825-0B1BB26F14E0/AAD-Office-365-Seamless-Sign-In-Part-6.docx
https://download.microsoft.com/download/F/C/A/FCA7C6E3-7153-4FB1-9825-0B1BB26F14E0/AAD-Office-365-Seamless-Sign-In-Part-7.docx
https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnect-pass-through-authentication-quick-start
![Page 23: [Japan Tech summit 2017] SEC 006](https://reader034.fdocuments.net/reader034/viewer/2022042707/5a6479027f8b9a52568b465d/html5/thumbnails/23.jpg)
![Page 24: [Japan Tech summit 2017] SEC 006](https://reader034.fdocuments.net/reader034/viewer/2022042707/5a6479027f8b9a52568b465d/html5/thumbnails/24.jpg)
![Page 25: [Japan Tech summit 2017] SEC 006](https://reader034.fdocuments.net/reader034/viewer/2022042707/5a6479027f8b9a52568b465d/html5/thumbnails/25.jpg)
社内
Microsoft AzureActive Directory
Active Directory
管理が容易
追加のオンプレミス構成は不要
Windows 10 以外のデバイスの DRS もサポート
優れたユーザー体験
オンプレ AD に参加したデバイスから、Office 365 / SaaS アプリへのシングルサインオンを提供
Windows 7以降のデバイスをサポート
ユーザーは Azure AD に名前を入力するだけ
macOS + Safari もサポート
統合
パスワードハッシュ同期とパススルー認証の両方で動作
代替えログインIDをサポート
![Page 26: [Japan Tech summit 2017] SEC 006](https://reader034.fdocuments.net/reader034/viewer/2022042707/5a6479027f8b9a52568b465d/html5/thumbnails/26.jpg)
社内
Active DirectoryDomain-joined
Azure AD Connect を使用した ID 同期
Microsoft Azure Active Directory
Office 365, SaaS, and LoB apps
Active Directory に Kerberos 認証を実行し、チケットを取得する
ドメイン参加しているPCからアプリへサインイン
パススルー認証とパスワードハッシュの同期によるシームレスな SSO のしくみ
401
Kerberosチケットを提示し、サービスチケットを取得
サービスチケットを提示しCookie を受け取る
![Page 27: [Japan Tech summit 2017] SEC 006](https://reader034.fdocuments.net/reader034/viewer/2022042707/5a6479027f8b9a52568b465d/html5/thumbnails/27.jpg)
この機能を利用するためには、Active Directory のグループポリシーを使用して、ユーザーのイントラネットゾーンの設定に次の Azure AD URL を追加する必要がある。
https://autologon.microsoftazuread-sso.com
https://aadg.windows.net.nsatc.net
[ユーザーの構成][管理用テンプレート]
[Windows コンポーネント][Internet Explorer]
[インターネットコントロールパネル][セキュリティ]
[サイトとゾーンの割り当て一覧]
![Page 28: [Japan Tech summit 2017] SEC 006](https://reader034.fdocuments.net/reader034/viewer/2022042707/5a6479027f8b9a52568b465d/html5/thumbnails/28.jpg)
![Page 29: [Japan Tech summit 2017] SEC 006](https://reader034.fdocuments.net/reader034/viewer/2022042707/5a6479027f8b9a52568b465d/html5/thumbnails/29.jpg)
オンプレ側に新たな構成は不要(PHSとの連携がお勧め)
Windows 7/8.1 に対する Azure AD へのデバイス登録が可能になる ->アクセス制御に利用可能
注意点
![Page 30: [Japan Tech summit 2017] SEC 006](https://reader034.fdocuments.net/reader034/viewer/2022042707/5a6479027f8b9a52568b465d/html5/thumbnails/30.jpg)
![Page 31: [Japan Tech summit 2017] SEC 006](https://reader034.fdocuments.net/reader034/viewer/2022042707/5a6479027f8b9a52568b465d/html5/thumbnails/31.jpg)
![Page 32: [Japan Tech summit 2017] SEC 006](https://reader034.fdocuments.net/reader034/viewer/2022042707/5a6479027f8b9a52568b465d/html5/thumbnails/32.jpg)
https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnect-sso
![Page 33: [Japan Tech summit 2017] SEC 006](https://reader034.fdocuments.net/reader034/viewer/2022042707/5a6479027f8b9a52568b465d/html5/thumbnails/33.jpg)
![Page 34: [Japan Tech summit 2017] SEC 006](https://reader034.fdocuments.net/reader034/viewer/2022042707/5a6479027f8b9a52568b465d/html5/thumbnails/34.jpg)
![Page 35: [Japan Tech summit 2017] SEC 006](https://reader034.fdocuments.net/reader034/viewer/2022042707/5a6479027f8b9a52568b465d/html5/thumbnails/35.jpg)
アプリ
アプリ毎のルール
クライアントの種類(Web, Rich, mobile)
クラウド、オンプレミスのアプリケーション
ユーザーIDグループメンバーシップ
デバイス
ドメイン参加
Compliance Policy 準拠
プラットフォームの種類(Windows, iOS, Android)
場所
IP アドレスの範囲 多要素認証の強制デバイス登録の強制
許可
ブロック
リスクセッションリスク
IDリスク
YourApp
![Page 36: [Japan Tech summit 2017] SEC 006](https://reader034.fdocuments.net/reader034/viewer/2022042707/5a6479027f8b9a52568b465d/html5/thumbnails/36.jpg)
アプリ
アプリ毎のルール
クライアントの種類(Web, Rich, mobile)
クラウド、オンプレミスのアプリケーション
ユーザーIDグループメンバーシップ
デバイス
ドメイン参加
Compliance Policy 準拠
プラットフォームの種類(Windows, iOS, Android)
場所
IP アドレスの範囲 多要素認証の強制デバイス登録の強制
許可
ブロック
リスクセッションリスク
IDリスク
YourApp
![Page 37: [Japan Tech summit 2017] SEC 006](https://reader034.fdocuments.net/reader034/viewer/2022042707/5a6479027f8b9a52568b465d/html5/thumbnails/37.jpg)
アプリ
アプリ毎のルール
クライアントの種類(Web, Rich, mobile)
クラウド、オンプレミスのアプリケーション
ユーザーIDグループメンバーシップ
デバイス
ドメイン参加
Compliance Policy 準拠
プラットフォームの種類(Windows, iOS, Android)
場所
IP アドレスの範囲 多要素認証の強制デバイス登録の強制
許可
ブロック
リスクセッションリスク
IDリスク
YourApp
![Page 38: [Japan Tech summit 2017] SEC 006](https://reader034.fdocuments.net/reader034/viewer/2022042707/5a6479027f8b9a52568b465d/html5/thumbnails/38.jpg)
アプリ
アプリ毎のルール
クライアントの種類(Web, Rich, mobile)
クラウド、オンプレミスのアプリケーション
ユーザーIDグループメンバーシップ
デバイス
ドメイン参加
Compliance Policy 準拠
プラットフォームの種類(Windows, iOS, Android)
場所
IP アドレスの範囲 多要素認証の強制デバイス登録の強制
許可
ブロック
リスクセッションリスク
IDリスク
YourApp
![Page 39: [Japan Tech summit 2017] SEC 006](https://reader034.fdocuments.net/reader034/viewer/2022042707/5a6479027f8b9a52568b465d/html5/thumbnails/39.jpg)
どのアプリにどこから誰が 許可ただし…
具体的な設定例林さんは Salesforce に社外からアクセスする場合に多要素認証が必要
ユーザー
グループ
情報共有ツール
SaaS
社外
社内
どのデバイスで
スマートフォン
PC
※ Office 365 では、アクセスを完全に制御するには ADFS との組み合わせが必要になる場合があります
拒否
多要素認証が必要
アクセス条件 アクセス可否
会社貸与に準ずるデバイスであること
デバイスがコンプライアンスポリシーに準拠していること
Sales force
Skype (IM/会議)
SharePointOneDrive(情報共有)
YammerTeams
PowerBI
承認されたクライアントアプリケーション
どのアプリで
アプリ
ブラウザ
![Page 40: [Japan Tech summit 2017] SEC 006](https://reader034.fdocuments.net/reader034/viewer/2022042707/5a6479027f8b9a52568b465d/html5/thumbnails/40.jpg)
多要素認証が必要
会社貸与に準ずるデバイスであること
デバイスがコンプライアンスポリシーに準拠していること
承認されたクライアントアプリケーション
![Page 41: [Japan Tech summit 2017] SEC 006](https://reader034.fdocuments.net/reader034/viewer/2022042707/5a6479027f8b9a52568b465d/html5/thumbnails/41.jpg)
![Page 42: [Japan Tech summit 2017] SEC 006](https://reader034.fdocuments.net/reader034/viewer/2022042707/5a6479027f8b9a52568b465d/html5/thumbnails/42.jpg)
https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnectsync-implement-password-synchronization#how-password-synchronization-works
![Page 43: [Japan Tech summit 2017] SEC 006](https://reader034.fdocuments.net/reader034/viewer/2022042707/5a6479027f8b9a52568b465d/html5/thumbnails/43.jpg)
必要事項 PHS + SSO PTA + SSO AD FS
オンプレミスの Active Directory にある新しいユーザー、連絡先、およびグループアカウントを、自動的にクラウドに同期する。
○ ○ ○
ユーザーがオンプレミスのパスワードを使用してサインインし、クラウドサービスにアクセスできるようにする。
○ ○ ○
会社の資格情報を使用してシングルサインオンを実装する。 ○ ○ ○
クラウドにパスワードが保存されていないことを確認する。 ○* ○
オンプレミスに配置したサーバーの障害にサービスが影響されない。
○
オンプレミスの Multi-factor Authentication ソリューションを有効化する。
○
先進認証(ADAL)非対応の Office 2010 / POP / IMAP のアクセス制御*近々、レガシー認証をブロックする機能を実装予定
○
![Page 44: [Japan Tech summit 2017] SEC 006](https://reader034.fdocuments.net/reader034/viewer/2022042707/5a6479027f8b9a52568b465d/html5/thumbnails/44.jpg)
上記条件が満たされているのであれば AD FS から脱出できます
![Page 45: [Japan Tech summit 2017] SEC 006](https://reader034.fdocuments.net/reader034/viewer/2022042707/5a6479027f8b9a52568b465d/html5/thumbnails/45.jpg)
新規の Office 365 展開時には AD FS ありきではなく、
まずは、パスワードハッシュ同期を検討する
シームレス SSO を有効化することをお忘れなく
Office 365 の導入前に立ちはだかる
重たい AD FS から解放されましょう!
![Page 46: [Japan Tech summit 2017] SEC 006](https://reader034.fdocuments.net/reader034/viewer/2022042707/5a6479027f8b9a52568b465d/html5/thumbnails/46.jpg)
Session ID Title
SEC007
16:25 – 17:15Azure AD B2C と LINE 連携により実現する学校や企業における次世代 ID/メッセージ基盤富士榮尚寛氏 伊藤忠テクノソリューションズ株式会社
すみません、以下はアーカイブでご覧ください。
SEC004 Active Directory/Azure Active Directory の構成パターンと正しい認証方式の選択
SEC005ネットワークエンジニア必見!VPN/DMZ は要らなくなる!?Azure AD Application Proxy で実現するセキュアなアクセス
SEC009Azure AD による Web API の保護~ Azure API Management をセキュリティの観点で解説
![Page 47: [Japan Tech summit 2017] SEC 006](https://reader034.fdocuments.net/reader034/viewer/2022042707/5a6479027f8b9a52568b465d/html5/thumbnails/47.jpg)