[japan tech summit 2017] sec 004
Post on 21-Jan-2018
190 Views
Preview:
TRANSCRIPT
Microsoft Tech Summit 2017本情報の内容(添付文書、リンク先などを含む)は、Microsoft Tech Summit 2017 開催日(2017 年 11 月 8日 - 9 日)時点のものであり、予告なく変更される場合があります。
2
3
Azure AD Connect サーバー
同期エンジン ++
4
Azure AD Connect サーバー
同期エンジン ++
オンプレミス
Windows Server ツール
5
Active Directory
Azure AD Connect サーバーオンプレミス
繋ぐAzure
Active Directory
クラウド
Office 365
6
Active Directory
Azure AD Connect サーバー
Azure Active Directory
クラウド
Office 365
オンプレミス
ファイアウォールで保護された世界
インターネットの世界
組織のアカウントの認証サービス
クラウド アカウントの認証サービス
Kerberos プロトコル
SAML プロトコル
繋ぐ
7
オンプレミス Active Directory
ユーザー
グループ
Azure AD
ユーザー
グループ
オンプレミス Active Directory Azure AD
ユーザー管理者
・ ユーザー名・ パスワード
・ ユーザー名・ パスワード
業務アプリ
ドメインのパスワードポリシー
Azure AD のパスワード
ポリシー
ドメインのパスワードポリシー
Azure AD のパスワード
ポリシー
どっちも管理するのは大変 ・・・
アカウントがいっぱいでパスワードを覚えきれない・・・
8
2. オンプレミスから Azure AD に
シングル サインインオン できる
1. オンプレミスから Azure AD に、
アカウントを同期 できる
オンプレミスActive Directory
Azure AD
Azure AD Connectサーバー
オンプレミスのアカウントだけ管理すればよい!
オンプレミスActive Directory
Azure AD
Azure AD Connectサーバー
オンプレミスのユーザー名とパスワードだけ覚えておけばよい
管理者 ユーザー
ドメインのパスワードポリシー
9
オンプレミスActive Directory
+ シームレス シングルサインオン(sSSO)
3. AD FS フェデレーション
1. パスワード同期
2. パススルー認証
10
シームレス シングルサインオン(sSSO)
??
?
?
?
?? ?
?
??
?
?
?
?
11
Azure AD Connect で構成できるサインイン方式の、
どれを、どのように 選択 するのがよいのか?
みなさまが 判断 できるようになることを目標に、
12
オンプレミスActive Directory
Azure AD
ディレクトリ同期
Office 365 ライセンス
ドメインユーザー
13
1. 「ディレクトリ同期」 の重要な属性
2. Azure AD Connect で構成するサインイン オプションの特徴
3. みなさんは、どれを選択しますか?
15
オンプレミス Active Directory Azure Active Directory
ユーザー
グループ グループ
メールが有効な連絡先
ユーザー
ディレクトリ同期
(既定 30分サイクル)
一部、書き戻しをサポート(パスワード、デバイス、グループ)
メールが有効な連絡先
HTTP/HTTPS(80/443)
16
オンプレミス Active Directory Azure Active DirectoryAzure AD Connect
1
①読み込む①読み込む
②書き込む
17
ソース アンカー(Source Anchor)
18
オンプレミス Active Directory
msDS-ConsistencyGuid これです!
19
オンプレミス Active Directory
ObjectGUID
msDS-ConsistencyGuid
読み込む
Azure AD Connect
Azure Active Directory
書き込む
immutableID
生成
格納
作成
生成
ソースアンカーの値を格納
20
オンプレミス Active Directory
msDS-ConsistencyGuid
Azure Active Directory
immutableID
ソースアンカーの値を格納
ソースアンカー 今後は、これらの属性を比較することで、
「完全一致」 を確認する
21
オンプレミス Active Directory
Azure Active Directory
すでにユーザー登録が終わっている2 つのディレクトリを、後で同期することになったら?
userPrincipalName :
@abcxx.tech
userPrincipalName :
yamada@abcxx.tech
これは、Azure AD にサインインする時のユーザー名です
22
・ userPrincipalName
・ msDS-ConsistencyGuid
・ immutableID
・ ソース アンカーの大元 “objectGUID”(既定)
23
オンプレミス Active Directory
25
オンプレミスActive Directory
2-4. シームレス シングルサインオン(sSSO)
2-1. AD FS フェデレーション
2-3. パスワード同期
2-2. パススルー認証
26
Azure AD Connectの構成画面
Azure AD Connectサーバー
2-1. AD FS フェデレーション
27
ドメインコントローラー
認証
AD FSサーバー
オンプレミス Active Directory
・ SSO・ 多要素認証・ 条件付き
アクセス
AD FSプロキシ
AD FS 1
28
Azure AD
Office 365
ユーザー
オンプレミスActive Directory
AD FSサーバードメインコントローラー
認証シングルサインオン
ディレクトリ同期
ユーザー名
29
Azure AD
Office 365
ドメインコントローラー
Azure AD Connectサーバー
オンプレミスActive Directory
AD FS サーバー ファーム
AD FSプロキシサーバー ファーム
境界ネットワーク
ユーザー
認証
シングルサインオン
ディレクトリ同期
ユーザー名、パスワード
30
Azure AD
フェデレーション信頼
ドメインコントローラー
Azure AD Connectサーバー
AD FSサーバーファーム
・ 可用性を考慮して、AD FS サーバーと AD FS プロキシを展開・ SSL サーバー証明書の管理(更新)・ Azure AD との “フェデレーション信頼” の構成・ インフラストラクチャーの障害対策の計画
この構成には、技術力が求められる2
AD FSプロキシサーバー ファーム
境界ネットワーク
31
サーバー ファームのリモート展開、フェデレーション信頼の構成、フェデレーション SSL 証明書の更新、ログイン検証 など
AD FS サーバー ファーム
AD FS プロキシ サーバー ファーム
Azure AD Connect
3
Azure ADフェデレーション信頼
Azure AD Connectの構成画面
32
同期エンジン ++
34
同期エンジン ++
35
・ オンプレミスに、Windows Server 2012 R2 以降のサーバーを展開しておく
・ 境界ネットワークに、Windows Server 2012 R2 以降のサーバーを展開しておく
・ フェデレーション ドメイン名 を決める
・ SSL 証明書 を取得する
・ 内部/外部 DNS サーバーを構成する
・ フェデレーション ドメイン名で 接続 できることを確認しておく
など
4
36
Azure AD Connect サーバー
パススルー認証
(AuthN)エージェント
Azure AD Connectの構成画面
2-2. パススルー認証
37
Azure AD Office 365
ドメインコントローラー
Azure AD Connect サーバー
パススルー
※ Azure AD ユーザーのパスワードは、クラウドに保存されていない
ディレクトリ同期
ユーザー
パスワードの検証
ユーザー名、パスワード
1
38
Azure AD Office 365
ドメインコントローラー
Azure AD Connectサーバー
パススルー認証
エージェント HTTPS
2
パススルー
※パスワード検証要求を待ち受けて応答するだけ
ユーザー名、パスワード
ユーザー
39
パススルー認証3
ドメインコントローラー
スタンドアロンのパススルー
認証エージェント
(2台目)Azure AD Connectサーバー(1台目)
パススルー認証
エージェント
認証
よりシンプルなサーバー構成
41
Azure AD Connectサーバー
Azure AD Connectの構成画面
パスワード同期
エージェント
2-3. パスワード同期
42
ディレクトリ同期(既定 30 分間隔)
パスワード同期(2 分間隔、変更不可)
Azure AD Connect サーバー
オンプレミス Active Directory
Azure Active Directory
パスワード同期
エージェント
※オンプレミスのユーザーパスワードが、同期によって、クラウドに保存される
ドメインコントローラー
ドメインのパスワードポリシー
1
43
Azure AD Office 365
ドメインコントローラー ユーザー名、
パスワード
Azure AD Connectサーバー
ディレクトリ同期
ユーザー
パスワード同期 認証
※ Azure AD ユーザーのパスワードは、クラウドに保存されている
2
44
パスワード同期3
ドメインコントローラー
パスワード同期
エージェント
ステージングモード
(2台目)
Azure AD Connectサーバー(1台目)
パスワード同期
エージェント
最もシンプルなサーバー構成
Azure AD
認証パスワード
保存
45
Azure AD
ディレクトリ同期
パスワード同期
ドメインコントローラー
Azure AD Connectサーバー
パスワードをクラウドに保存して大丈夫 ・・・?
4
ユーザーのパスワードを
保存
46
47
Azure AD Connect サーバー
オンプレミスActive Directory
Azure AD
“Password”
ドメイン コントローラー
MD4 + salt + PBKDF2
+ HMAC-SHA256
ユーザー
“Password”
48
“Password”
49
f15abd57801840f3348ddccafb677f6a
50
”
51
3280fec20a8389842d5aaebaacda9e4fd09b2c80af816111ff
e90a9f83f20527※ PBKDF = Password based Key Derivation Function(RFC 2898)
52
1c0912757d1aa5bc672a94f5aa3c89a580c475dcd90823ed646d02423d2c8da0
53
”
1c0912757d1aa5bc672a94f5aa3c89a580c475dcd90823ed646d02423d2c8da0
f15abd57801840f3348ddccafb677f6a
3280fec20a8389842d5aaebaacda9e4fd09b2c80af816111ffe90a9f83f20527
“Password”
54
オンプレミス Active Directory
Pass-the Hash : 不正に入手したパスワードのハッシュ値を悪用して、組織に侵入する、なりすまし攻撃
55
復習
Azure AD Office 365
ドメインコントローラー
Azure AD Connect サーバー
パススルー
※ Azure AD ユーザーのパスワードは、クラウドに保存されていない
ディレクトリ同期
リモートからアクセスするドメイン ユーザー
パスワードの検証
ユーザー名、パスワード
56
復習
Azure AD Office 365
ドメインコントローラー ユーザー名、
パスワード
Azure AD Connectサーバー
ディレクトリ同期
パスワード同期 認証
※ Azure AD ユーザーのパスワードは、クラウドに保存されている
リモートからアクセスするドメイン ユーザー
57
Azure AD Office 365
ドメインコントローラー
ドメインユーザー
Azure AD Connectサーバー
ユーザー名、パスワード
ディレクトリ同期
認証
Azure AD ユーザーのパスワードは、クラウドに保存されていない
パススルー
認証
ユーザー名、パスワード
58
Azure AD Office 365
ドメインコントローラー
ドメインユーザー
Azure AD Connectサーバー
ディレクトリ同期
パスワード同期
Azure AD ユーザーのパスワードは、クラウドに保存されている
ユーザー名、パスワード
認証
ユーザー名、パスワード
認証
59
持っていません
60
Azure AD Connectサーバー
パスワード同期 + sSSO パススルー認証 + sSSO
2-4. シームレス シングルサインオン(sSSO)
61
シームレスシングルサインオン1
ドメインコントローラー
Azure AD Connectサーバー
パススルー認証を有効化
63
Kerberos の複合化キーを Azure AD と共有
シームレスシングルサインオン1
ドメインコントローラー
Azure AD Connectサーバー
AZUREADSSOACC
Azure AD共有
64
ドメインコントローラー
AZUREADSSOACC
Azure AD
Azure Active Directory シームレス シングル サインオン: よく寄せられる質問
定期的にロール オーバー
65
2
ドメインコントローラー
66
いいえ
68
69
長所があります
■
■
https://blogs.technet.microsoft.com/uktechnet/2017/09/27/mastering-identity-with-azure-active-directory-episode-8-integrating-with-on-premises-ad-and-ad-fs/
■ https://www.itpromentor.com/compare-sso/
70
71
オプション パスワード同期 + sSSO パススルー認証 + sSSO AD FS
展開コストの高さと複雑さ 低 中 高
オンプレミスに展開するサーバーの数最低 1 台、
推奨 2 台(ステージング モード)最低 1 台、
推奨 2 台(エージェント冗長化)最低 1 台、
推奨 2 台(サーバー ファーム)
境界ネットワークに展開するサーバーの数 不要 不要最低 : 1 台、
推奨 : 2 台(高可用性)
サーバーの自動フェールオーバーのサポートいいえ
(ステージング モード)はい
(エージェントの冗長化)はい
(ファーム構成)
SSL 証明書が必要 いいえ いいえ はい
System Center Operations Manager による、オンプレミス コンポーネントの監視
いいえ いいえ はい
Azure AD Connect Health による、オンプレミス コンポーネントの監視
一部(Azure AD Premium P1)
ーはい
(Azure AD Premium P1)
自動更新管理 ー エージェントの自動更新 証明書の自動ロールオーバー
組織ネットワークとインターネット間の接続がダウンしても、リモートから Azure AD にサインインできる
はい いいえ いいえ
72
https://aka.ms/aadconnecthealth
※ 最低 1 つの Azure AD Premium P1 ライセンス必要
73
オプション パスワード同期 + sSSO パススルー認証 + sSSO AD FS
オンプレミス デバイスからAzure AD への シングル サインオン
はい はい はい
オンプレス パスワードを使用するサインイン はい はい はい
リモートから Azure AD へのアクセスをオンプレミスで認証する
いいえ はい はい
UPN 属性によるサインイン はい はい はい
<ドメイン名>\<sAMAccountName属性> によるサインイン
いいえ いいえ はい
サインイン ページのカスタマイズはい
(Azure AD Premium P1)はい
(Azure AD Premium P1)はい
CSS や JavaScript によるカスタマイズ いいえ いいえ はい
74
オプション パスワード同期 + sSSO パススルー認証 + sSSO AD FS
証明書ベースの認証 いいえ いいえ はい
オンプレス ユーザーが無効化されると、Azure AD ユーザーも無効化になる
同期サイクルである 30 分後(既定)に反映される
はい はい
オンプレス ユーザーがロックアウトされると、Azure AD ユーザーの認証が失敗する
いいえ はい はい
オンプレス ユーザーのパスワードが期限切れによるロックアウト
いいえ はい はい
信頼関係がある複数のAD フォレストのユーザーの認証
はい はい はい
信頼関係がない複数のAD フォレストのユーザーの認証
はい いいえはい
(AD FS 2016)
サードパーティーの LDAP ディレクトリによるサインイン
いいえ いいえはい
(AD FS 2016)
75
オプション パスワード同期 + sSSO パススルー認証 + sSSO AD FS
パスワードをクラウドに同期するはい
(よりセキュアにハッシュされて格納)いいえ
いいえ(Fall-back としてパスワード同
期を使用できる)
セルフ パスワード リセット はい(Azure AD Premium P1)
はい(Azure AD Premium P1)
はい(Azure AD Premium P1)
パスワードの書き戻し はい はい はい
オンプレミスのパスワード ポリシーの適用
一部(パスワードの複雑性のポリシー、パスワードの有効期限のポリシー)
はい はい
パスワード期限切れ通知のサポート いいえ いいえ はい
Azure AD ID 保護はい
(Azure AD Premium P2)はい
(Azure AD Premium P2)いいえ
オンプレミス ユーザー アカウントのロックアウト保護
ー スマート ロックアウト エクストラネット ロックアウト
76
オプション パスワード同期 + sSSO パススルー認証 + sSSO AD FS
オンプレミスの多要素認証ソリューション いいえ いいえ はい
クラウド アプリケーションへのAzure の多要素認証ソリューション
はい はい はい
Azure MFA サーバー いいえ いいえ はい
サード パーティー MFAはい
(Azure AD Premium P2)はい
(Azure AD Premium P2)はい
カスタム MFA いいえ いいえ はい
Win10 の Windows Hello for Business(キー ベース)
はい はいはい
(AD FS 2016)
Win10 の Windows Hello for Business(証明書ベース)
はい(with MDM)
はい(with MDM)
はい
Azure AD の条件付きアクセス はい はい はい
77
オプション パスワード同期 + sSSO パススルー認証 + sSSO AD FS
デバイス登録 : Win10 はい はい はい
デバイス登録 : Win7/8.1 Coming Soon はい はい
レガシー プロトコルのブロック Coming Soon (Premium) Coming Soon (Premium) はい
イントラネットからのみレガシー プロトコルの許可(Office 2010 など)
Coming Soon (Premium) Coming Soon (Premium) はい
ブラウザー はい はい はい
Exchange Active Sync (EAS) はい Coming Soon はい
ネイティブ アプリケーション (レガシー認証) はい Coming Soon はい
ネイティブ アプリケーション (モダン認証) はい はい はい
78
79
80
81
Azure AD Office 365
ドメイン コントローラー
ドメインユーザー
シングルサインオン
復習
82
ドメイン コントローラー
リモートからアクセスしている
ドメイン ユーザー
Azure AD
認証 認証
83
ドメイン コントローラー
リモートからアクセスしている
ドメイン ユーザー
Azure AD
認証
それは、組織内の全ユーザーを対象としていますか?
認証
フェデレーション ドメイン名をユーザー名に含む、全ユーザーが対象
フェデレーション ドメイン名を含むユーザーは、Azure AD に直接作成できなくなります
パススルーのドメイン名を含むユーザーも、Azure AD に新規作成でき、
直接 AzureAD に作成したユーザーは対象外(同期ユーザーのみ対象)
84
ドメイン コントローラー
リモートからアクセスしている
ドメイン ユーザー
Azure AD
認証
85
ドメイン コントローラー
リモートからアクセスしている
ドメイン ユーザー
Azure AD
認証
86
87
高
AD FS サーバー ファーム
WAP サーバー ファーム
境界ネットワーク
AD FS フェデレーション
パススルー認証 パスワード同期
スタンドアロンのパススルー認証
エージェント
(エージェント2台目)
Azure AD Connectサーバー
(エージェント1台目)
パススルー認証
エージェント
パスワード同期
エージェント
Azure AD Connectサーバーステージングモード
(2台目)
Azure AD Connectサーバー
(1台目)
パスワード同期
エージェント
低中
オンプレミス
88
89
・アクセスブロック・デバイス ワイプ
アクセス許可
クラウド アプリケーション
正当なユーザー
信頼できる場所
デバイスの状態
ユーザー
サインインのリスク
Azure AD条件付きアクセス
ポリシー
Azure の多要素認証
サインイン
オンプレミス
社内アプリケーション
Azure AD
多要素認証の強制
正当なユーザーに対する、
細やかなアクセス制御
ユーザー認証を強力にする
91
92
顔 虹彩 指紋
生体
本人しか持ちえない情報 本人が持っているデバイス
+
+
本人が持っているデバイス
誰もが知り得る情報
ユーザー名を入力
本人だけが知っている情報
PIN コードを入力
+
+
+
プライベート キー
パブリック キー
認証
Public
パブリック キー
認証
Public
プライベート キー
ドメイン ユーザー
ドメイン ユーザー
93
Windows 10
参加と認証
オンプレミス Active Directory ドメイン
Azure Active Directory
参加と認証
または
AD FS 2016サーバー
+
Intune
+
94
95
96
Azure AD へのシングルサインオン方式の
選択は、
ぜひ、
組織全体のセキュリティ対策と組み合わせて、
検討してください
97
多要素認証の要求
アクセス許可
アクセスのブロック
強制的なパスワードリセット***
***
アクセスの制限
制御
ユーザー
準拠デバイス
信頼できる場所
アプリケーション
条件
機会学習
ポリシー
リアル タイム評価エンジン
リスク
3
ポリシー適用
怪しいユーザー アクションを機械学習で自動検出
顔 虹彩 指紋
生体
強力な認証
クラウド アプリケーション
オンプレミス
社内アプリケーション
参考 : Microsoft Ignite 2017 「BRK2019」 セッション スライドより
98
初めての方にも理解していただける内容になっています。
この本の 10 章で、Azure AD Connectの基本的な構成方法を解説しています。
Session ID Title
SEC005ネットワークエンジニア必見!VPN/DMZ は要らなくなる!?Azure AD Application Proxy で実現するセキュアなアクセス
SEC006Office 365 関係者に告ぐ「”脱 AD FS”の準備は整った」Azure AD による SSO とアクセス制御
SEC007Azure AD B2C と LINE 連携により実現する学校や企業における次世代 ID/メッセージ基盤
SEC009Azure AD による Web API の保護~ Azure API Management をセキュリティの観点で解説
99
■
■
■
■
101
■
■
■ https://docs.microsoft.com/ja-jp/windows/access-protection/hello-for-business/hello-identity-
verification
102
103
top related