MVP - Office365 genkiw（渡辺 元気）

.NETラボ勉強会 2014年6月

名前：渡辺 元気（わたなべ げんき）

職業：通信事業者でクラウドサービスの開発

twitter/Facebook：genkiw

MVP Office365 2012.10-

blog：日々徒然 http://blog.o365mvp.com/

（Office365の技術ネタを中心に公開）

本資料については、個人で準備した環境において、個人的に実施した検証結果を基に記載しております。

あくまで個人の意見・見解であり、所属する会社・組織及びマイクロソフト社とは一切関係はございません。

また、本資料の内容ならびに閲覧により生じた一切の問題及び不利益について、発表者は一切の責任を負う事はできませんのでご了承ください。

ADFSの機能の充実を理解する

ディレクトリ同期の機能の充実を理解する

ID連携の方向性をぼんやりと理解する

Office365リリース当初

• ADの無い組織• 小規模組織

• ADを持つ中～大規模組織

• ADを持つ大規模組織

BPOS

オンラインサービスID（サインインツールのID）

オンラインサービスID +ディレクトリ同期

Office 365

クラウドID（ｵﾝﾗｲﾝｻｰﾋﾞｽID）

クラウドID +ディレクトリ同期

ADFS +ディレクトリ同期

ぎりぎりまでβテスト終了後にシングルサインオン出来るよう

になる旨の表記

AD FSでのシングルサインオンはWebブラウザアクセス（OWAやSharePoint Online)に限定

①OutlookなどはID/Password入力が必要②社内接続のみでもADFS Proxyが必要

ADFS ADFS ProxyADDS

internet

内部 DMZ

Outlook

※Office365によるProxyアクセスの為

Exchange OnlineにアクセスしたIP/プロトコルなどを元にアクセス制御ができるように

仕様変更で満たさなくなったセキュリティ要件（社外からアクセス不可）をカバー

ADFS ADFS Proxy

CAS MBX

Exchange Online

MFG

X-MS-Forwarded-Client-IPグローバルIP：A

グローバルIP：A

社内

2012.06（初期導入ユーザーから1年）頃より、世界中のADFSサーバが次々と動作停止

2011.09に関連するADFSデフォルト設定時の挙動に関連するWikiがTechNetに公開

IIS（ADFS Proxy）上で動作する2FAプロダクト

クラウドID向けに管理者（2013.6～）ならびに一般ユーザー（2014.2～）に提供

下記POP/IMAPのProxyアクセスパターンにおけるグローバルIP Cが通知されなくなった

弊害として同じアドレス帯のAzure上で展開されているサービスのIPが取得できなくなった

ID関係（Azure Active Directory）は変わらないので、サーバサイドはあまり影響は無し

クライアントサイドでは、Office Professional Plus(Office2013)ならびにLync 2013でサインインアシスタントが不要に。

2012.5 2013.3 2013.8 2013.11

Rollup2 Rollup3 KB2843639 KB2896713

•主にバグFix•主にバグFix•要DBスキーマ変更

•脆弱性対応: MS13-066

• FormsSignIn.aspx

修正要

•バグにより一時公開停止

• KB2843639で

発生した問題のバグFix

バグFixが中心であり、機能追加はあまり無い状態

デバイス認証（Workplace Join）AD外のデバイスを識別可能に。BYODを意識

社内

ADDS

ADFS

DRS WAP(ADFS Proxy)

internet

DMZ

iOSWindows8.1

デバイスを登録

標準で多要素認証への対応より柔軟なポリシー設定が可能に

ログオンしてくるユーザーの• ユーザー/グループ• デバイスの登録/未登録• 内部/外部をベースに多要素認証を要求するポリシーが作成可能

ログイン画面のカスタマイズへの対応リダイレクト前の入力値が渡されてくるなど、細かい点も修正

好きな画像を設定可能

会社名

前の画面で入れたID

Exchange Online以外のアクセス制御IPアドレス情報やUser-Agentの情報がADFSに渡されるようになった

IPやUserAgent

ADFS Proxy経由のアクセスのみのロックアウトが可能

gMSA/グループ管理サービスアカウント対応サービスアカウントのパスワード管理不要

Alternative Logon IDの利用が可能にUPNではなく、その他の属性をADFSのログオンIDとして利用する事ができるように

ただし、それで利用するその他の属性もOffice365でドメイン登録されている必要がある

現時点ではあまり活用できるケースが無いかもしれない…が。

2012.6 Shibboleth IDPによるSSOサポート

2013.9 Works with Office 365-Identityプログラムを通じた3td party製IDPのSSOサポート

2014.3 SAML 2.0 federationサポート

ILM2007ベース32bit版のOS（2008無印など）を用意する必要

デフォルト上限オブジェクト数は10,000越える場合はサービスリクエスト

同期間隔の調整やMiisclient.exeの直接操作が非サポートと明言される

BPOS時代に公開されていたカスタマイズ手法が取れなくなる

デフォルト上限オブジェクト数が20,0002011.10.5以降に作成されたテナント

デフォルト上限オブジェクト数が50,0002012.5以降に作成されたテナント

独自ドメイン追加をトリガーに300,000に増加2013.8に機能実装。

既存のテナント（上限が10,000や20,000）も対象

FIM2010ベースに移植ADFSなどと同じく、2008R2に揃えられるように

2012.9に32bit版は2013.1.1でサポートが切れると告知

2013.2に32bit版は2013.10.1で利用できなくなると告知

2011.11ディレクトリ同期の無効化が可能にOffice365側ではオブジェクトの編集ができない

ディレクトリ同期の障害時など「ゴミ」が残る事も

2012.4頃ディレクトリ同期オブジェクトの削除編集はできないが削除はできる様に

2012.9ディレクトリ同期のフィルタに関わる情報がTechNetに公開少し前から英語版のコミュニティのWikiに掲載

新しいバージョンのインストール時に設定が引き継がれない旨が明記

ディレクトリ同期ツールでパスワードも同期

定期的にAD→Office365の片方向の差分同期

FIM2010とソフトウェアライセンスが必要。

FIMのOffice 365 Connectorを取得するためにMicrosoftサポートが必要

ドメインコントローラへのディレクトリ同期インストールがサポート小規模環境やテスト環境の作成が容易に

クラウド⇒オンプレミスのパスワード同期

マルチフォレストサポート

ルールエディタによる柔軟なカスタマイズ

…etc

詳しくはIdM実験室へ

Office 365

クラウドID（ｵﾝﾗｲﾝｻｰﾋﾞｽID）

クラウドID +ディレクトリ同期

ADFS +ディレクトリ同期

AADから他サービス/ MDM用途

AD以外のIDPともHybrid

双方向パスワード同期

Hybrid

より柔軟で安全なHybrid

連携先IdP無し 非AD マルチフォレスト

Hybrid IdP

＋マルチサービス

• OfficeならびにOffice Serverのサブスクリプションモデル化• Azure IaaSなどクラウドのWindows ServerはCALは不要

Windows Server CALビジネスモデルの終了

Windows Server CAL

AD RMS CAL

FIM CAL

単一モデルによるフルサポート

AAD （+Premium）

Azure RMS

Hybrid IDP

File SV DB

AD

AAD

その他IdP

Multi Service/Device

PC

その他クラウドサービス

Office365

ADFSACSその他

BYOD

Store

☑どんどんと新しい機能が実装されるが、それを享受するためには、原則最新バージョンを導入する必要がある

☑場合によってはサーバOSの入れ替えやCALのバージョンアップなども必要になってくる

度重なる機能追加

☑古いバージョンは機能追加されないだけでなく、早晩使えなくなるかもしれないので注意

仕様もどんどん変わります☑お客様に「これはできない仕様です」と言っていた物が、明日にはそれが実現できるようになるかも

☑逆に、今日できていた物が明日できなくなるかも

フィールドSEあがりの安納です （Microsoft 安納さん）http://blogs.technet.com/b/junichia/

IdM実験室（MVP 富士榮さん）http://idmlab.eidentity.jp/

Always on the clock（MVP 国井さん）http://sophiakunii.wordpress.com/

日々徒然http://blog.o365mvp.com

Office365コミュニティhttp://community.office365.com/

【公式ページなど】

【blog】