曹祖聖 台灣微軟資深講師 [email protected]...
TRANSCRIPT
1/102
曹祖聖
台灣微軟資深講師
http://teacher.syset.com
MCP, MCP+I, MCSA, MCSE, MCDBA, MCAD, MCSD, MCTS, MCITP, MCPD, MCT, MVP
2/102
企業開始強調行動性
裝置遺失或遭竊所導致的資料外洩是最主要的智慧型手機資安風險 – 歐洲網路和安全委員會
29% 的全球當前工作人力使用3種以上的裝置,並且在不同的地點工作,使用不同的 apps
67% 的人使用智慧型手機來工作,70% 使用平板電腦來工作的人選擇他們自己的裝置
超過 80%的員工在工作中使用未核准的軟體即服務 (SaaS)應用程式
3/102
各式各樣的裝置正在改變傳統 IT公司的途徑
裝置
跨平台的部署和管理應用程式是相當困難的
應用程式
滿足客戶在業務上的挑戰
資料
使用者需要很有效率地來保持法規遵循和降低風險
使用者期待可以在任何地點進行工作並且可以存取他們所以的工作資源
使用者
4/102
裝置 應用程式使用者
實現以使用者為中心的 IT
讓使用者更容易使用
用戶可以在工作上選用不同的裝置,並可以一致地存取到公司資源
整合您的環境
在內部部屬及雲端之間提供單一的應用程式和裝置管理
保護您的資料
協助保護您的企業資訊,並進行風險管理
管理 存取 保護
資料
5/102
真實世界的 SaaS 應用程式與使用裝置
Salesforce.com
force.comAmazon.com
AWS
Private cloud
EC2
System Center
7/102
一個完整的身份與取存管理的雲端解決方案
它包含了目錄服務、進階的身份管理、應用程式存取管理與開發平台
Azure Active Directory Premium 提供私有雲、混合雲、公有雲環境一個身份識別與存取控制的能力
什麼是Azure Active Directory ?
8/102
9/102
10/102
Azure Active Directory Premium 整合概觀
PC 與行動裝置
微軟雲端應用程式
非微軟雲端應用程式
Active Directory
其它身份提供者
12/102
13/102
14/102
15/102
16/102
17/102
Entity Query Query result
Users https://graph.windows.net/contoso.com/users?api-version=2013-
04-05List all users
https://graph.windows.net/contoso.com/users/[email protected]
omGet a specific user by user
principal name
https://graph.windows.net/contoso.com/users?$filter=surname
eq 'Smith'Find users by surname
https://graph.windows.net/contoso.com/users/[email protected]
m/managerGet manager for the specified user
https://graph.windows.net/contoso.com/users/[email protected]
m/directReportsList the direct reports for the
specified user
https://graph.windows.net/contoso.com/users/[email protected]
m[/$links]/memberOfList the group memberships for the
specified user (non-transitive)
Roles https://graph.windows.net/contoso.com/roles List all roles
Groups https://graph.windows.net/contoso.com/groups List all groups
https://graph.windows.net/contoso.com/groups/3f575eef-bb04-
44a5-a9af-eee9f547e3f9/membersList members for the specified
group
Contacts https://graph.windows.net/contoso.com/contacts List all contacts
18/102
http://www.microsoft.com/en-us/server-cloud/products/enterprise-mobility-suite/try.aspx#fbid=78uSJPLcoHW
19/102
http://azure.microsoft.com/en-us/pricing/free-trial/
20/102
21/102
22/102
雲端的目錄服務
23/102
Azure AD 身份驗證 –純雲端
使用者帳號使用者
24/102
Azure AD 身份驗證 –帳號同步式
密碼雜湊
使用者帳號
本地端Active Directory
DirSync 工具
使用者
登入
透過 Identity Synchronization 服務將使用者帳戶的屬性 (含密碼雜湊) 同步到雲端,所有使用者身份驗證都由 Azure Active Directory 處理
25/102
Azure AD 身份驗證 –聯邦式
密碼雜湊
使用者帳號
本地端Active Directory
DirSync 工具
使用者
登入
ADFS驗證
驗證
使用 Identity Synchronization 工具將使用者帳戶的屬性同步到雲端,使用者身份驗證由 ADFS 轉回本地端 Active Directory 處理
26/102
WS-Federation
WS-Trust
SAML 2.0
Metadata
Shibboleth
Graph API
27/102
密碼同步 ADFS SSO
使用一致的使用者密碼來存取應用程式
在本地端控制密碼原則
支援多因子驗證
不需要重覆輸入密碼
由本地端進行身份驗證
進一步進行用戶端存取過濾
28/102
contoso.local
資料層10.2.2.0/24
應用程式層10.2.3.0/24
Web 前端10.2.4.0/24
後端 AD
10.2.1.0/24可用性群組
可用性群組
WFE1WFE2
DC1DC2
負載平衡器
SQLSharePoint
Microsoft Azure 虛擬網路 - 10.2.0.0
WFE3
可用性群組
29/102
Point-to-Site
VPN
Point-to-Site
VPN
DC
contoso.local
資料層10.2.2.0/24
應用程式層10.2.3.0/24
Web 前端10.2.4.0/24
後端 AD
10.2.1.0/24可用性群組
可用性群組
WFE1WFE2
DC1DC2
負載平衡器
SQLSharePoint
Microsoft Azure 虛擬網路 - 10.2.0.0
WFE3
可用性群組
30/102
contoso.local
本地端Active Directory
Site-to-Site VPN
使用Windows Server 2012
R2 做為 IKEv2 VPN 閘道
Point-to-Site
VPN
資料層10.2.2.0/24
應用程式層10.2.3.0/24
Web 前端10.2.4.0/24
後端 AD
10.2.1.0/24可用性群組
可用性群組
WFE1WFE2
DC1DC2
負載平衡器
SQLSharePoint
Microsoft Azure 虛擬網路 - 10.2.0.0
WFE3
可用性群組
31/102
32/102
33/102
34/102
超過 1200 個預先整合完成的 SaaS APP
連接與同步
• 本地端 AD 與雲端 AD
• 本地端其它目錄服務與雲端 AD
雲端的目錄服務
35/102
預先整合完成的 SaaS APP
36/102
超過 1200 個預先整合完成的 SaaS APP
連接與同步
• 本地端 AD 與雲端 AD
• 本地端其它目錄服務與雲端AD
雲端的目錄服務
開發人員可以透過開放的Azure AD API 建構企業的雲端APP
身份與應用程式都在同一個地方
37/102
http://www.microsoft.com/en-us/download/details.aspx?id=44225
https://msdn.microsoft.com/en-us/library/azure/dn790204.aspx
38/102
39/102
40/102
41/102
42/102
43/102
44/102
45/102
46/102
47/102
48/102
49/102
50/102
51/102
52/102
53/102
54/102
55/102
使用 Identity Synchronization 工具將使用者帳戶的屬性同步到雲端,使用者身份驗證由 ADFS 轉回本地端 Active Directory 處理
56/102
57/102
應用程式提供者
身份提供者
應用程式Security Token Service (STS)
Security Token
(Outgoing
Claims)
Security Token
(Incoming
Claims)
使用 SAML 格式傳送 Claims
58/102
真實世界的 STS
STS
token token
STStoken token
RP
59/102
60/102
61/102
ADFS 組成元件
網域控制站(屬性儲存區)
提供宣告屬性
ADFS
Web Application Proxy
Federation Service Proxy應用程式伺服器Relying Party
網域控制站(屬性儲存區)
ADFS
提供宣告屬性Relying-Party
Trust
Claims-Provider Trust
內部網路 伙伴網路
adfs.adatum.com
adfs.adatum.com
62/102
外部用戶端
ADFS
Federation
Service
Proxy
Web伺服器
網域控制站
DMZ 企業內部網路
3
2
4
77
6 5
1
8
63/102
ADFS – B2B SSO
A 公司 (Account Partner) B 公司 (Resource Partner)
內部用戶端
ADFS
ADFS
Web 伺服器
網域控制站
聯邦式信任
7
6
8
5
4
3
2
1 11
9
10
64/102
ADFS –微軟線上服務 SSO
ADFS (IP)
你的企業 微軟
內部用戶端
微軟線上 ADFS
Office 365, Azure
網域控制站
聯邦式信任
7
6
8
4
3
2
1 11
10
9
5
65/102
66/102
67/102
68/102
69/102
http://go.microsoft.com/fwlink/?LinkID=286152
http://go.microsoft.com/fwlink/p/?linkid=236297
$cred=Get-Credential
Connect-MsolService –Credential $cred
70/102
Set-MsolAdfscontext –Computer adfs.demo.com
以下指令擇一執行:
New-MsolFederatedDomain -DomainName demo.com
Convert-MsolDomainToFederated –DomainName demo.com
71/102
按指示,在 contoso.com 中建立以下記錄(擇一)
DNS TXT 記錄@,值為 MS=ms24458965
MX 記錄@,值為 ms24458965.msv1.invalid、優先順序值設為 32767
增加記錄之後,等 15min ~ 72 hr,再執行一次 (擇一):
New-MsolFederatedDomain -DomainName demo.com
Convert-MsolDomainToFederated –DomainNamedemo.com
72/102
73/102
集中管理預先整合的SaaS APP 與其它雲端應用程式
透過進階的存取管理能力,進一步加強商業流程安全性
統一的身份與存取管理主控台
集中管理身份與存取
你的雲端 APP 隨時隨處可用
IT 管理人員
74/102
75/102
授權使用者
管理自己的帳戶
個人化公司應用程式入口網站http://myapps.microsoft.com
+ 行動 APP
76/102
管理自己的帳戶
自助密碼重設與委派雲端使用者群組管理
個人化公司應用程式入口網站http://myapps.microsoft.com
+ 行動 APP
授權使用者
77/102
https://account.activedirectory.windowsazure.com/applications
https://account.activedirectory.windowsazure.com/profile/
78/102
79/102
透過安全報表來追蹤可疑的存取、提供即時的警示、進行後續的分析
內建安全相關功能
監控與保護企業應用程式存取
80/102
81/102
透過安全報表來追蹤可疑的存取、提供即時的警示、進行後續的分析
內建安全相關功能
監控與保護企業應用程式存取
使用第二步驟身份驗證
X X X X X
X X X X X
X X X X X
82/102
任何以下兩種以上的身份驗證:
• 你記得的: 密碼、PIN 碼
• 你手邊的: 手機、信用卡、硬體
• 生物辨識: 指紋、視網膜掃描、
83/102
在 Azure Active Directory Premium 中內建的進階身份與存取服務
透過第二步驟的驗證手續,避免未經授權的本地應用程式或雲端應用程式存取
目前廣為所有企業與個人所使用
什麼第二步驟身份驗證 ?
84/102
第二步驟身份驗證運作方式
行動 APP 電話
ALERT
1 4 5 6 7 6
簡訊
85/102
內部 APP
RADIUSLDAP
IIS RDS/VDI
Multi-Factor
AuthenticationServer
Multi-Factor
Authentication
Service
雲端 APP
使用者必須使用手機或其它行動裝置進行第二步驟驗證,才可以使用應用程式2使用者在任何裝置上,使用他
們已知的帳號和密碼登入1
Windows Server AD or Other LDAP
第二步驟身份驗證運作方式
86/102
87/102
自訂 AAD 商標
88/102
89/102
Cloud App Discovery
代理程式
收集資訊 Active DirectoryCloud App Discovery
90/102
Cloud App Discovery
91/102
http://blogs.technet.com/b/ad/archive/2014/04/28/a-new-azure-ad-module-in-preview-cloud-app-discovery.aspx
https://appdiscovery.azure.com/
92/102
93/102
94/102
https://msdn.microsoft.com/zh-tw/library/azure/jj151815.aspx
https://admodify.codeplex.com/
95/102
https://technet.microsoft.com/zh-tw/library/dn750846.aspx
https://testconnectivity.microsoft.com
http://support.microsoft.com/kb/2684395
https://technet.microsoft.com/en-us/library/jj710171.aspx
96/102
安裝Microsoft Azure PowerShell (用WPI 裝)
Azure Active Directory Module
救回不小心刪除的使用者Get-MsolUser -ReturnDeletedUsers
| ? {$_.UserPrincipalName -like "tim*"} | Restore-MsolUser
參考:
http://technet.microsoft.com/library/jj151815.aspx
97/102
手動啓動 Azure AD 同步Import-Module DirSyncStart-OnlineCoexistenceSyncSet-FullPasswordSync
停用同步$msolcred = Get-CredentialConnect-MsolService -Credential $msolcred
Set-MsolDirSyncEnabled –EnableDirSync $false
$ci = Get-MSOLCompanyInformation$ci.DirectorySynchronizationEnabled
AAD 同步每 3 小時一次、密碼每 2 分鐘一次 !
98/102
-SupportMultiDomain
-SupportMultipleDomain
-SupportMultipleDomain
99/102
檢查同步工具版本,使用 PowerShellGP ('hklm:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Microsoft Online Directory Sync').DisplayVersion
使用 AAD Sync 做為 ADFS 的備援機制http://social.technet.microsoft.com/wiki/contents/articles/17857.dirsync-how-to-switch-from-single-sign-on-to-password-sync.aspx
100/102
Azure AD Free Azure AD PremiumMulti-factor
authentication
Directory as a service Up to
500,000 objects No limit
User and group management
Single sign-on for pre-integrated SaaS and custom
applications
10 apps per
user No limit
Microsoft Directory Synchronization Tool
(Windows Server Active Directory extension)
User-based access management and provisioning
Group-based access management and provisioning
Self-service group management for cloud users
Self-service password change for cloud users
Self-service password reset for cloud users
Security reports ( MFA )
Advanced security reporting (based on machine learning)
Usage reporting
Company branding
(logon pages and Access Panel customization)
Multi-factor authentication (all available features on
Windows Azure and on-premises environments)
Service-level agreement (SLA)
Forefront Identity Manager CAL + Forefront Identity
Manager Server
101/102
結論
PC 與行動裝置
微軟雲端應用程式
非微軟雲端應用程式
Active Directory
其它身份提供者
102/102
http://azure.microsoft.com/en-us/documentation/services/active-directory/
http://azure.microsoft.com/en-us/documentation/services/active-directory/
https://msdn.microsoft.com/en-us/library/azure/jj205462.aspx