adfs+office365によるセキュリティ強化~デバイス・多要素認証
DESCRIPTION
2014年6月28日勉強会資料 ADFS+Office365によるセキュリティ強化~デバイス認証・多要素認証編TRANSCRIPT
![Page 1: ADFS+Office365によるセキュリティ強化~デバイス・多要素認証](https://reader031.vdocuments.pub/reader031/viewer/2022031701/557ddc11d8b42a124f8b4f67/html5/thumbnails/1.jpg)
ADFS+Office365によるセキュリティ強化~デバイス認証/多要素認証編
株式会社ソフィアネットワーク
国井 傑 (くにい すぐる)
スライドは↓こちら↓からダウンロードhttp://www.slideshare.net/sugurukunii/
![Page 2: ADFS+Office365によるセキュリティ強化~デバイス・多要素認証](https://reader031.vdocuments.pub/reader031/viewer/2022031701/557ddc11d8b42a124f8b4f67/html5/thumbnails/2.jpg)
自己紹介
Copyright 2014 Sophia Network Ltd.2
Microsoft MVP for Directory Services (2006~2014)
マイクロソフト認定トレーナー(1997~)
ブログAlways on the clock
@sophiakunii
株式会社ソフィアネットワーク 所属
連載~基礎から分かるActive Directory再入門
スライドは↓こちら↓からダウンロードhttp://www.slideshare.net/sugurukunii/
![Page 3: ADFS+Office365によるセキュリティ強化~デバイス・多要素認証](https://reader031.vdocuments.pub/reader031/viewer/2022031701/557ddc11d8b42a124f8b4f67/html5/thumbnails/3.jpg)
ADFS トレーニングコースがリニューアルします!
Copyright 2014 Sophia Network Ltd.3
ニーズに合わせて、2つのコースをご提供!
Office 365ユーザー認証ベストプラクティス (2日コース)
Microsoft Azureを活用したADFS構築 (1日コース)
こんな人におすすめです。テスト環境を用意するだけでも大変なので、手っ取り早く学習したい。
今はとりあえずADFSが動いているけど、トラブルが起きたらどうしよう。
クラウド連携の案件で先行者利益を取りたい!
詳しくはクリエ・イルミネートWebサイトでご確認ください。http://www.crie-illuminate.jp
![Page 4: ADFS+Office365によるセキュリティ強化~デバイス・多要素認証](https://reader031.vdocuments.pub/reader031/viewer/2022031701/557ddc11d8b42a124f8b4f67/html5/thumbnails/4.jpg)
こんな人に聞いてもらいたい
Copyright 2014 Sophia Network Ltd.4
スライドは↓こちら↓からダウンロードhttp://www.slideshare.net/sugurukunii/
![Page 5: ADFS+Office365によるセキュリティ強化~デバイス・多要素認証](https://reader031.vdocuments.pub/reader031/viewer/2022031701/557ddc11d8b42a124f8b4f67/html5/thumbnails/5.jpg)
これからお話しすること
1. はじめに
2. ADFSの多要素認証をOffice 365に実装
3. ADFSのデバイス認証をOffice 365に実装
Copyright 2014 Sophia Network Ltd.5
スライドは↓こちら↓からダウンロードhttp://www.slideshare.net/sugurukunii/
![Page 6: ADFS+Office365によるセキュリティ強化~デバイス・多要素認証](https://reader031.vdocuments.pub/reader031/viewer/2022031701/557ddc11d8b42a124f8b4f67/html5/thumbnails/6.jpg)
はじめに
Copyright 2014 Sophia Network Ltd.6
![Page 7: ADFS+Office365によるセキュリティ強化~デバイス・多要素認証](https://reader031.vdocuments.pub/reader031/viewer/2022031701/557ddc11d8b42a124f8b4f67/html5/thumbnails/7.jpg)
ユーザー名とパスワードだけでは、もう限界資格情報はすべて一緒は危険だし、別々にすれば覚えられない
7
![Page 8: ADFS+Office365によるセキュリティ強化~デバイス・多要素認証](https://reader031.vdocuments.pub/reader031/viewer/2022031701/557ddc11d8b42a124f8b4f67/html5/thumbnails/8.jpg)
【おさらい】 ADFSを利用したクラウドとの信頼関係Active Directoryフェデレーションサービス(ADFS)を活用すれば、クラウドを「1回のサインインでアクセスできる範囲」にできる
Office 365 のサインインもActive Directoryドメインサービスと統合できる
Copyright 2014 Sophia Network Ltd.
![Page 9: ADFS+Office365によるセキュリティ強化~デバイス・多要素認証](https://reader031.vdocuments.pub/reader031/viewer/2022031701/557ddc11d8b42a124f8b4f67/html5/thumbnails/9.jpg)
Office 365の認証を安全にするために
Copyright 2014 Sophia Network Ltd.9
![Page 10: ADFS+Office365によるセキュリティ強化~デバイス・多要素認証](https://reader031.vdocuments.pub/reader031/viewer/2022031701/557ddc11d8b42a124f8b4f67/html5/thumbnails/10.jpg)
複数の要素を利用した認証を行う~ ADFSの多要素認証をOffice 365に実装
Copyright 2014 Sophia Network Ltd.10
![Page 11: ADFS+Office365によるセキュリティ強化~デバイス・多要素認証](https://reader031.vdocuments.pub/reader031/viewer/2022031701/557ddc11d8b42a124f8b4f67/html5/thumbnails/11.jpg)
多要素認証とは? 複数の要素を利用して本人確認(認証)を行うこと
認証に使われる「要素」
1要素目 = ユーザー名/パスワード (知っていることを前提とした認証)
2要素目 = 電話、メール、OTPデバイスなど (所有していることを前提とした認証)
Copyright 2014 Sophia Network Ltd.11
+
![Page 12: ADFS+Office365によるセキュリティ強化~デバイス・多要素認証](https://reader031.vdocuments.pub/reader031/viewer/2022031701/557ddc11d8b42a124f8b4f67/html5/thumbnails/12.jpg)
Office 365の多要素認証 Azue ADで実装する多要素認証
Office365など、Azure ADを利用するクラウドサービスのみで利用可能
ユーザー単位で多要素認証を実装
多要素認証の方法は自分で選択可能 (電話・SMS・モバイルアプリ)
ADFSで実装する多要素認証
ADFSを利用する、すべてのサービス/アプリケーションで利用可能
様々な単位で多要素認証の有効・無効を設定可能
多要素認証には様々な認証方法を実装可能だが、既定では証明書による認証のみをサポート
Copyright 2014 Sophia Network Ltd.12
![Page 13: ADFS+Office365によるセキュリティ強化~デバイス・多要素認証](https://reader031.vdocuments.pub/reader031/viewer/2022031701/557ddc11d8b42a124f8b4f67/html5/thumbnails/13.jpg)
多要素認証で利用可能な認証方法を追加する 認証方法の追加
Microsoft Azure Multi-Factor Authenticationの利用
Microsoft.IdentityServer.web.dllファイルのカスタマイズ参考「カスタム多要素認証プロバイダーの作成(概要のみ)」(Always on the clock)
Copyright 2014 Sophia Network Ltd.13
![Page 14: ADFS+Office365によるセキュリティ強化~デバイス・多要素認証](https://reader031.vdocuments.pub/reader031/viewer/2022031701/557ddc11d8b42a124f8b4f67/html5/thumbnails/14.jpg)
Microsoft Azure Multi-Factor Authentication AAD の有償オプションとして用意された多要素認証機能
以下の認証方法をサポート電話
テキストメッセージ (SMS)
モバイルアプリ (Phone Factor, Inc)
OAUTHトークン (サードパーティのOTPデバイスを利用)
AAD内では「多要素認証プロバイダー」という名称で機能を提供
レポート機能の提供
ワンタイムバイパスによる多要素認証を一時的に使わない設定
音声メッセージのカスタマイズなど
Copyright 2014 Sophia Network Ltd.14
![Page 15: ADFS+Office365によるセキュリティ強化~デバイス・多要素認証](https://reader031.vdocuments.pub/reader031/viewer/2022031701/557ddc11d8b42a124f8b4f67/html5/thumbnails/15.jpg)
Microsoft Azure Multi-Factor Authentication
Copyright 2014 Sophia Network Ltd.15
利用開始方法
1. Azure管理ポータルから新規または既存のAADテナントを登録
2. Azure管理ポータルから多要素認証プロバイダーを登録
3. Azure管理ポータルから多要素認証プロバイダーポータルにアクセス
![Page 16: ADFS+Office365によるセキュリティ強化~デバイス・多要素認証](https://reader031.vdocuments.pub/reader031/viewer/2022031701/557ddc11d8b42a124f8b4f67/html5/thumbnails/16.jpg)
Azure Multi-Factor Authenticationアプリケーション
Azure管理ポータルから提供される、ADFSの多要素認証をカスタマイズするアプリケーション
参考「Windows Azure Multi-Factor Authenticationを利用したADFSの多要素認証の設定」
参考「モバイルアプリからOffice 365の多要素認証を使う」(以上、always on the clockより)
Copyright 2014 Sophia Network Ltd.16
![Page 17: ADFS+Office365によるセキュリティ強化~デバイス・多要素認証](https://reader031.vdocuments.pub/reader031/viewer/2022031701/557ddc11d8b42a124f8b4f67/html5/thumbnails/17.jpg)
多要素認証利用のためのアクセス制御設定 Set-ADFSAdditionalAuthenticationRuleコマンドレットで設定
基本的な構文
条件=>処理
条件部分の書き方
ここでの「処理」とは「多要素認証を行いなさい」ということ
Copyright 2014 Sophia Network Ltd.17
issue(Type = “http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod”, Value = “http://schemas.microsoft.com/claims/multipleauthn”);
Exists([Type==○○, Value==××])
c:[Type==○○, Value==××]
![Page 18: ADFS+Office365によるセキュリティ強化~デバイス・多要素認証](https://reader031.vdocuments.pub/reader031/viewer/2022031701/557ddc11d8b42a124f8b4f67/html5/thumbnails/18.jpg)
多要素認証利用のためのアクセス制御設定 条件のシナリオ1:社内ネットワークからブラウザーでアクセスした場合
条件のシナリオ2 : Workplace Joinによるデバイス認証をしていない場合
Copyright 2014 Sophia Network Ltd.18
exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path", Value == "/adfs/ls/wia"])
c:[Type == "http://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", Value == "false"]
NOT EXISTS([Type == "http://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser"])
![Page 19: ADFS+Office365によるセキュリティ強化~デバイス・多要素認証](https://reader031.vdocuments.pub/reader031/viewer/2022031701/557ddc11d8b42a124f8b4f67/html5/thumbnails/19.jpg)
多要素認証利用のためのアクセス制御設定 条件のシナリオ1の場合における、アクセス制御設定の全文
Copyright 2014 Sophia Network Ltd.19
‘exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path", Value == "/adfs/ls/wia"])=> issue(Type = “http://schemas.microsoft.com/ws/2008/06/
identity/claims/authenticationmethod”, Value = “http://schemas.microsoft.com/claims/multipleauthn”);’
![Page 20: ADFS+Office365によるセキュリティ強化~デバイス・多要素認証](https://reader031.vdocuments.pub/reader031/viewer/2022031701/557ddc11d8b42a124f8b4f67/html5/thumbnails/20.jpg)
参考情報「ADFS+Office365でブラウザーアクセスのみ多要素認証を設定」(Always on the clock)
Copyright 2014 Sophia Network Ltd.20
![Page 21: ADFS+Office365によるセキュリティ強化~デバイス・多要素認証](https://reader031.vdocuments.pub/reader031/viewer/2022031701/557ddc11d8b42a124f8b4f67/html5/thumbnails/21.jpg)
デバイスをベースにした認証を行う~ADFSのデバイス認証をOffice 365に実装
Copyright 2014 Sophia Network Ltd.21
![Page 22: ADFS+Office365によるセキュリティ強化~デバイス・多要素認証](https://reader031.vdocuments.pub/reader031/viewer/2022031701/557ddc11d8b42a124f8b4f67/html5/thumbnails/22.jpg)
Office 365のデバイス認証 ADFSで実装するデバイス認証
ADFSを利用する、すべてのサービス/アプリケーションで利用可能
Workplace Join機能を利用可能なWindows, iOSデバイスをサポート
Azue ADで実装するデバイス認証 (NEW!)
Office365など、Azure ADを利用するクラウドサービスのみで利用可能
Workplace Join機能を利用可能なWindows, iOSデバイスをサポート
いずれのデバイス認証もADFSサーバー/Webアプリケーションプロキシ必須
Copyright 2014 Sophia Network Ltd.22
![Page 23: ADFS+Office365によるセキュリティ強化~デバイス・多要素認証](https://reader031.vdocuments.pub/reader031/viewer/2022031701/557ddc11d8b42a124f8b4f67/html5/thumbnails/23.jpg)
ADFSで実装するデバイス認証 ADFSでユーザー認証とデバイス認証を実装し、登録されたデバイスだけがADFSからトークンをもらえる
登録されたデバイスだけがOffice 365にアクセスできる
Copyright 2014 Sophia Network Ltd.23
![Page 24: ADFS+Office365によるセキュリティ強化~デバイス・多要素認証](https://reader031.vdocuments.pub/reader031/viewer/2022031701/557ddc11d8b42a124f8b4f67/html5/thumbnails/24.jpg)
Azure ADで実装するデバイス認証 Azure ADでデバイス認証、ADFSでユーザー認証を実装し、登録されたデバイスだけがADFSからトークンをもらえる
登録されたデバイスだけがOffice 365にアクセスできる
Copyright 2014 Sophia Network Ltd.24
![Page 25: ADFS+Office365によるセキュリティ強化~デバイス・多要素認証](https://reader031.vdocuments.pub/reader031/viewer/2022031701/557ddc11d8b42a124f8b4f67/html5/thumbnails/25.jpg)
Device Registration ServiceとWorkplace Joinの関係
ADFSサーバーのデバイス認証の場合(初回登録時)
Copyright 2014 Sophia Network Ltd.25
![Page 26: ADFS+Office365によるセキュリティ強化~デバイス・多要素認証](https://reader031.vdocuments.pub/reader031/viewer/2022031701/557ddc11d8b42a124f8b4f67/html5/thumbnails/26.jpg)
Device Registration ServiceとWorkplace Joinの関係
Azure ADのデバイス認証の場合(初回登録時)
Copyright 2014 Sophia Network Ltd.26
![Page 27: ADFS+Office365によるセキュリティ強化~デバイス・多要素認証](https://reader031.vdocuments.pub/reader031/viewer/2022031701/557ddc11d8b42a124f8b4f67/html5/thumbnails/27.jpg)
Device Registration ServiceとWorkplace Joinの関係
ADFSサーバーのデバイス認証の場合(デバイス認証時)
Copyright 2014 Sophia Network Ltd.27
![Page 28: ADFS+Office365によるセキュリティ強化~デバイス・多要素認証](https://reader031.vdocuments.pub/reader031/viewer/2022031701/557ddc11d8b42a124f8b4f67/html5/thumbnails/28.jpg)
Device Registration ServiceとWorkplace Joinの関係
Azure ADのデバイス認証の場合(デバイス認証時)
Copyright 2014 Sophia Network Ltd.28
![Page 29: ADFS+Office365によるセキュリティ強化~デバイス・多要素認証](https://reader031.vdocuments.pub/reader031/viewer/2022031701/557ddc11d8b42a124f8b4f67/html5/thumbnails/29.jpg)
Device Registration ServiceとWorkplace Joinの関係
Active Directoryに保存される情報
Copyright 2014 Sophia Network Ltd.29
![Page 30: ADFS+Office365によるセキュリティ強化~デバイス・多要素認証](https://reader031.vdocuments.pub/reader031/viewer/2022031701/557ddc11d8b42a124f8b4f67/html5/thumbnails/30.jpg)
Device Registration ServiceとWorkplace Joinの関係
デバイス認証後のアクセス制御
Copyright 2014 Sophia Network Ltd.30
![Page 31: ADFS+Office365によるセキュリティ強化~デバイス・多要素認証](https://reader031.vdocuments.pub/reader031/viewer/2022031701/557ddc11d8b42a124f8b4f67/html5/thumbnails/31.jpg)
デバイス認証利用のためのアクセス制御設定 Microsoft Office365 Identity Platform証明書利用者信頼の
発行承認規則で設定
クレームルールの書き方
処理部の書き方
条件部の書き方は次のスライドから
Copyright 2014 Sophia Network Ltd.31
issue (Type = “http://schemas.microsoft.com/authorization/claims/permit”,value = “true”);
![Page 32: ADFS+Office365によるセキュリティ強化~デバイス・多要素認証](https://reader031.vdocuments.pub/reader031/viewer/2022031701/557ddc11d8b42a124f8b4f67/html5/thumbnails/32.jpg)
デバイス認証利用のためのアクセス制御設定 条件のシナリオ1:デバイスクレームがある場合
条件のシナリオ2 : iOS の場合
Copyright 2014 Sophia Network Ltd.32
exists([Type == ”http://schemas.microsoft.com/2012/01/devicecontext/claims/identifier”])
exists([Type == ”http://schemas.microsoft.com/2012/01/devicecontext/claims/ostype”, Value == “iOS”])
![Page 33: ADFS+Office365によるセキュリティ強化~デバイス・多要素認証](https://reader031.vdocuments.pub/reader031/viewer/2022031701/557ddc11d8b42a124f8b4f67/html5/thumbnails/33.jpg)
デバイス認証利用のためのアクセス制御設定 条件のシナリオ1の場合における、アクセス制御設定の全文
Copyright 2014 Sophia Network Ltd.33
exists([Type == ”http://schemas.microsoft.com/2012/01/devicecontext/claims/identifier”])=> issue (Type =
“http://schemas.microsoft.com/authorization/claims/permit”,value = “true”);
![Page 34: ADFS+Office365によるセキュリティ強化~デバイス・多要素認証](https://reader031.vdocuments.pub/reader031/viewer/2022031701/557ddc11d8b42a124f8b4f67/html5/thumbnails/34.jpg)
ADFSサーバーのデバイス認証の実装
「Windows Server 2012 R2を使ってiOSだけがOffice365にアクセスできるようにする(1)~(3)」
Azure ADのデバイス認証の実装
「ADFSでデバイス認証を実装」
デバイス認証のクレームルール
「Windows Server 2012 R2を使ってiOSだけがOffice365にアクセスできるようにする(3)」(以上、Always on the clock)
参考情報
Copyright 2014 Sophia Network Ltd.34
![Page 35: ADFS+Office365によるセキュリティ強化~デバイス・多要素認証](https://reader031.vdocuments.pub/reader031/viewer/2022031701/557ddc11d8b42a124f8b4f67/html5/thumbnails/35.jpg)
まとめ ~ Office 365の認証を安全にするために
Copyright 2014 Sophia Network Ltd.35
![Page 36: ADFS+Office365によるセキュリティ強化~デバイス・多要素認証](https://reader031.vdocuments.pub/reader031/viewer/2022031701/557ddc11d8b42a124f8b4f67/html5/thumbnails/36.jpg)
Microsoft Confidential36
We don’t even have to try,It’s always a good time.
from “good time” by owl city & carly rae jepsen