windows 10 の新機能 azure ad domain join とは
TRANSCRIPT
Windows 10 の新機能 ~Azure AD Domain Join とは~
2015.7.11
Cloud Samurai Roadshow
For IT Professionals
自己紹介
宮川 麻里(みやかわ まり)
MCT (Microsoft Certificate Trainer)
MVP (Most Valuable Professional for Office 365)
㈱IPイノベーションズにて以下の研修を主に担当
Windows Server / Active Directory Office 365 / Microsoft Azure
ご注意
本セッションの内容はInsider Preview(Build10162)を元に構成しています。製品版では仕様など変更になる可能性がありますのでご了承下さい。
Windows 10 の新機能 の数々・・・
Windows Hello
Microsoft Passport
Device Guard
Windows 10 のセキュリティ・認証関連の新機能
マルウェアからの保護ユーザーがアプリを実行する際に信頼性をチェック
Azure AD Domain JOIN(Cloud Domain Join)
パスワード問題
パスワード盗難対策
http://www.ipa.go.jp/security/keihatsu/munekyun-pw/slideshow/
出典:IPA 独立行政法人 情報処理推進機構
Windows 10 で利用できる認証
複雑なパスワードは覚えるのも大変・・・・
そもそもパスワードによる本人確認も無理があるのでは・・・
そろそろパスワードとお別れしよう
パスワード以外に Windows 10 で利用できる認証とは
パスワード以外にWindows 10 で利用できる認証
Windows Hello
生体認証(バイオメトリクス)ベースのセキュリティ機能
パスワード代わりにデバイスを利用して虹彩(こうさい)や指紋で認証が可能。
赤外線カメラ USB指紋認証
デバイス生体情報はデバイス内部に保存
NEW
Fast IDentity Online(FIDO2.0)の仕組みを利用
パスワード以外にWindows 10 で利用できる認証
FIDO 2.0
生体認証そのものをさすわけではなく、デバイスのセキュアな領域に保存されている秘密鍵にアクセスをしてサインイン要求に署名できるもの
Microsoft Passport
パスワードを使わない認証を利用してAzure ADへサインイン
TPMに格納されたキーを利用してPRT(Primary Refresh Token)を発行
Azure ADへPRTを送付し、アプリケーションへのアクセス用のアクセストークン取得
Keyペアを生成して AzureAD に公開鍵の登録
※TPM( Trusted Platform Module)
パスワード以外にWindows 10 で利用できる認証
Windows 10
TPMPINコードや生体認証(Windows Hello)を利用してTPMを開き、サインインリクエストをTPM内の秘密鍵で署名してAADに送る
Sign in
Request
Sign in
Request
Microsoft Passport
Windows 10 の認証先
Windows 10 は社内の認証と AzureAD への認証を行う
Windows 10
ADDS
社内ドメイン Cloud
Azure AD
Windows 10 の認証先
「Azure ADに参加」 Or 「社内ドメインに参加」どちらかを選択
※Build 10162
「Azure ADに参加」 ⇔ 「社内ドメインに参加」切り替えるには「組織から切断」
Azure ADに参加した状態のままでドメインには参加できない(逆も同様)
「システム」→「バージョン情報」
Active Directory ドメインへの参加
設定-システム-バージョン情報-ドメイン参加 ※Build 10162
社内ドメインへの認証
Active Directoryによる認証
Kerberos認証
TGT:Ticket to Get Ticket 準備チケット
XXXX.com ドメイン
①ID/Password送信
②照合しTGTの送信
TGT
③リソースにアクセスする際は
TGTを提示してリソース用の
アクセス用チケット要求
TGT
④TGTを確認しファイルサーバー用STを送付
ID:XXXXPass:XXXXXX
ST
ST
ST:Service Ticket サービスチケット
Active Directoryで認証
TGTの有効な範囲内でのSSO
グループポリシー
社内リソースの利用
XXXX.com ドメイン
ドメイン外アプリケーションは別途認証が必要
Active Directoryで認証
ドメイン外アプリケーションとのID連携にはフェデレーション構成が必要
フェデレーションでもIDの入力は必要
社外からのサインインはプロキシ画面での入力が必要
社内からの認証シングルサインオン
社外からの認証
シングルサインオン
Pass:XXXXXXX
プロキシの認証
ADDCディレクトリ同期
ADFS
ADFS Proxy
AzureにAPProxyをたてるとオンプレのアプリケーションや外部サイトをコネクタ(Proxy)経由で認証する。
ユーザーはそのWebアプリのURLを叩くとAzureADにいくが、すでにAzureADでは認証済みなので、認証ダイアログはでない
Application Proxyをたてる(Azure Premium)
https://msdn.microsoft.com/ja-jp/library/azure/dn768220.aspx
Azure Application Proxy とは 詳細はまたの機会に・・・・
Azure AD
Application
Proxy
Connector
http://blogs.technet.com/b/ad/archive/2014/06/10/public-preview-of-azure-ad-application-proxy.aspx
オンプレADへ代理認証
Azure ADへ認証
Azure ADに参加
Azure AD JOIN
デバイスの登録 DRS(Device Registration Service)
AzureADへの認証
資格情報の入力が終わると…
デバイス情報の登録:Device Registration Service
Windows 10
リソース情報
Azure ADDRS
※DRS(Device Registration Service)
①デバイス登録・ユーザー認証
TPM ②デバイスの証明書
③Keyペアの生成④公開鍵を登録
⑤Azure ADからNGC-KeyIDが発行される
※NGC(Next Generation Credentials)
AzureADへの認証
NGC-KeyID
設定-システム-バージョン情報-Azure ADに参加
※Build 10162
AzureADへの認証
AzureADへの認証クラウド AD JOINへのサインイン
※Build 10162
Windows 10
TPM
①Windows 10へサインイン
②TPMが開かれ、NGC-KeyIDをTPM内の
秘密鍵で署名してサインインリクエストとしてAADに送る
Sign in
Request
Sign in
Request
Microsoft Passport
AzureADへの認証 先ほど紹介
①
② ③
NGC-KeyID
Windows 10
TPM④AADでサインインリクエストを確認
Sign in
Request
Sign in
Request
Primary
Refresh
Token
⑤AADはWindows 10デバイスへPRTを送る
AzureADへの認証
④
⑤
Azure AD JOIN
Azure ADで認証する
社内、社外問わず、PCサインイン時にAzure ADに認証され、そのアカウントでクラウドアプリケーションを利用する。
WS-Federation
SAML
OpenID Connect
HUB
社内
社外
Azure AD
Azure AD JOIN
MicrosoftPassport
Windows 10
Windows 10
別途設定必要
Azure AD テナントへのSSO
Azure AD JOINによるアプリケーションへのアクセス
Windows 10
Primary
Refresh
Token
①アプリケーションへアクセス
②アクセストークンを要求される
①②③AADにPRTを見せてアクセトークン
を要求
③
④ Access
Token
④アクセストークン取得
⑤アプリケーションへ
⑤Access
Token
Azure AD JOINによるアプリケーションへのアクセス
サインイン不要!
すべてのアプリケーションへのSSOが可能か?
ネイティブアプリケーションには仕組みが必要
Azure AD JOINによるWindows 10 とアプリケーション間のSSO
Web Account Manager
10 10
Visual Studio 2015
Web Account Manager API
Windows 10 / Windows Phone 10限定の組み込みコンポーネント
Web Account Manager と連携させればカスタムアプリケーションのSSO連携が可能!
ネイティブな
Azure AD JOINによるネイティブアプリケーションとのSSO
ネイティブアプリケーションとのトークン共有の流れ
Native Application
Web AccountManager
Web Account Manager Provider
① Token Sync Request
② TokenRequest
10
③ 認証
④Token⑤Request
Result
Token Request⑥
Azure AD JOINによるネイティブアプリケーションとのSSO
参考情報
Microsoft 松崎さん Blog
Windows 10 との SSO 開発(Web Account Manager を使用したNative Application)
http://blogs.msdn.com/b/tsmatsuz/archive/2015/06/17/azure-ad-develop-windows10-sso-native-application-using-web-account-manager-api-and-microsoft-passport.aspx
Azure AD JOINによるアプリケーションとのSSO
Azure Access Panel の活用
http://myapps.microsoft.com
Azure Access Panelに事前にパスワード登録したアプリケーションにSSOで接続可能!
Azure AD JOINによるアプリケーションとのSSO
Azure Access Panel の活用
アプリケーションからギャラリーを追加
まとめ
パスワードを利用しない認証が当たり前の時代に・・・
Windows 10は最後のメジャーバージョンアップ
機能追加は今後もどんどん行われるようです。
Window Server 2016はMicrosoft Passportに対応される(予定)
今後も目を離せません!
Next Generation Credentials の利用