Windows 10 の新機能 ～Azure AD Domain Join とは～

2015.7.11

Cloud Samurai Roadshow

For IT Professionals

自己紹介

宮川 麻里（みやかわ まり）

MCT (Microsoft Certificate Trainer)

MVP (Most Valuable Professional for Office 365)

㈱IPイノベーションズにて以下の研修を主に担当

Windows Server / Active Directory Office 365 / Microsoft Azure

ご注意

本セッションの内容はInsider Preview(Build10162)を元に構成しています。製品版では仕様など変更になる可能性がありますのでご了承下さい。

Windows 10 の新機能 の数々・・・

Windows Hello

Microsoft Passport

Device Guard

Windows 10 のセキュリティ・認証関連の新機能

マルウェアからの保護ユーザーがアプリを実行する際に信頼性をチェック

Azure AD Domain JOIN（Cloud Domain Join)

パスワード問題

パスワード盗難対策

http://www.ipa.go.jp/security/keihatsu/munekyun-pw/slideshow/

出典：IPA 独立行政法人 情報処理推進機構

Windows 10 で利用できる認証

複雑なパスワードは覚えるのも大変・・・・

そもそもパスワードによる本人確認も無理があるのでは・・・

そろそろパスワードとお別れしよう

パスワード以外に Windows 10 で利用できる認証とは

パスワード以外にWindows 10 で利用できる認証

Windows Hello

生体認証（バイオメトリクス）ベースのセキュリティ機能

パスワード代わりにデバイスを利用して虹彩(こうさい）や指紋で認証が可能。

赤外線カメラ USB指紋認証

デバイス生体情報はデバイス内部に保存

NEW

Fast IDentity Online（FIDO2.0)の仕組みを利用

パスワード以外にWindows 10 で利用できる認証

FIDO 2.0

生体認証そのものをさすわけではなく、デバイスのセキュアな領域に保存されている秘密鍵にアクセスをしてサインイン要求に署名できるもの

Microsoft Passport

パスワードを使わない認証を利用してAzure ADへサインイン

TPMに格納されたキーを利用してPRT(Primary Refresh Token）を発行

Azure ADへPRTを送付し、アプリケーションへのアクセス用のアクセストークン取得

Keyペアを生成して AzureAD に公開鍵の登録

※TPM（ Trusted Platform Module）

パスワード以外にWindows 10 で利用できる認証

Windows 10

TPMPINコードや生体認証（Windows Hello）を利用してTPMを開き、サインインリクエストをTPM内の秘密鍵で署名してAADに送る

Sign in

Request

Sign in

Request

Microsoft Passport

Windows 10 の認証先

Windows 10 は社内の認証と AzureAD への認証を行う

Windows 10

ADDS

社内ドメイン Cloud

Azure AD

Windows 10 の認証先

「Azure ADに参加」 Or 「社内ドメインに参加」どちらかを選択

※Build 10162

「Azure ADに参加」 ⇔ 「社内ドメインに参加」切り替えるには「組織から切断」

Azure ADに参加した状態のままでドメインには参加できない（逆も同様）

「システム」→「バージョン情報」

Active Directory ドメインへの参加

設定-システム-バージョン情報-ドメイン参加 ※Build 10162

社内ドメインへの認証

Active Directoryによる認証

Kerberos認証

TGT:Ticket to Get Ticket 準備チケット

XXXX.com ドメイン

①ID/Password送信

②照合しTGTの送信

TGT

③リソースにアクセスする際は

TGTを提示してリソース用の

アクセス用チケット要求

TGT

④TGTを確認しファイルサーバー用STを送付

ID:XXXXPass:XXXXXX

ST

ST

ST:Service Ticket サービスチケット

Active Directoryで認証

TGTの有効な範囲内でのSSO

グループポリシー

社内リソースの利用

XXXX.com ドメイン

ドメイン外アプリケーションは別途認証が必要

Active Directoryで認証

ドメイン外アプリケーションとのID連携にはフェデレーション構成が必要

フェデレーションでもIDの入力は必要

社外からのサインインはプロキシ画面での入力が必要

社内からの認証シングルサインオン

社外からの認証

シングルサインオン

ID:XXX@xxxx.com

Pass:XXXXXXX

プロキシの認証

ADDCディレクトリ同期

ADFS

ADFS Proxy

AzureにAPProxyをたてるとオンプレのアプリケーションや外部サイトをコネクタ（Proxy）経由で認証する。

ユーザーはそのWebアプリのURLを叩くとAzureADにいくが、すでにAzureADでは認証済みなので、認証ダイアログはでない

Application Proxyをたてる（Azure Premiuｍ）

https://msdn.microsoft.com/ja-jp/library/azure/dn768220.aspx

Azure Application Proxy とは 詳細はまたの機会に・・・・

Azure AD

Application

Proxy

Connector

http://blogs.technet.com/b/ad/archive/2014/06/10/public-preview-of-azure-ad-application-proxy.aspx

オンプレADへ代理認証

Azure ADへ認証

Azure ADに参加

Azure AD JOIN

デバイスの登録 DRS(Device Registration Service）

AzureADへの認証

資格情報の入力が終わると…

デバイス情報の登録：Device Registration Service

Windows 10

リソース情報

Azure ADDRS

※DRS(Device Registration Service）

①デバイス登録・ユーザー認証

TPM ②デバイスの証明書

③Keyペアの生成④公開鍵を登録

⑤Azure ADからNGC-KeyIDが発行される

※NGC(Next Generation Credentials）

AzureADへの認証

ＮＧＣ－ＫeyID

設定-システム-バージョン情報-Azure ADに参加

※Build 10162

AzureADへの認証

AzureADへの認証クラウド AD JOINへのサインイン

※Build 10162

Windows 10

TPM

①Windows 10へサインイン

②TPMが開かれ、NGC-KeyIDをTPM内の

秘密鍵で署名してサインインリクエストとしてAADに送る

Sign in

Request

Sign in

Request

Microsoft Passport

AzureADへの認証 先ほど紹介

①

② ③

ＮＧＣ－ＫeyID

Windows 10

TPM④AADでサインインリクエストを確認

Sign in

Request

Sign in

Request

Primary

Refresh

Token

⑤AADはWindows 10デバイスへPRTを送る

AzureADへの認証

④

⑤

Azure AD JOIN

Azure ADで認証する

社内、社外問わず、PCサインイン時にAzure ADに認証され、そのアカウントでクラウドアプリケーションを利用する。

WS-Federation

SAML

OpenID Connect

HUB

社内

社外

Azure AD

Azure AD JOIN

MicrosoftPassport

Windows 10

Windows 10

別途設定必要

Azure AD テナントへのSSO

Azure AD JOINによるアプリケーションへのアクセス

Windows 10

Primary

Refresh

Token

①アプリケーションへアクセス

②アクセストークンを要求される

①②③AADにPRTを見せてアクセトークン

を要求

③

④ Access

Token

④アクセストークン取得

⑤アプリケーションへ

⑤Access

Token

Azure AD JOINによるアプリケーションへのアクセス

サインイン不要！

すべてのアプリケーションへのSSOが可能か？

ネイティブアプリケーションには仕組みが必要

Azure AD JOINによるWindows 10 とアプリケーション間のSSO

Web Account Manager

10 10

Visual Studio 2015

Web Account Manager API

Windows 10 / Windows Phone 10限定の組み込みコンポーネント

Web Account Manager と連携させればカスタムアプリケーションのSSO連携が可能！

ネイティブな

Azure AD JOINによるネイティブアプリケーションとのSSO

ネイティブアプリケーションとのトークン共有の流れ

Native Application

Web AccountManager

Web Account Manager Provider

① Token Sync Request

② TokenRequest

10

③ 認証

④Token⑤Request

Result

Token Request⑥

Azure AD JOINによるネイティブアプリケーションとのSSO

参考情報

Microsoft 松崎さん Blog

Windows 10 との SSO 開発(Web Account Manager を使用したNative Application)

http://blogs.msdn.com/b/tsmatsuz/archive/2015/06/17/azure-ad-develop-windows10-sso-native-application-using-web-account-manager-api-and-microsoft-passport.aspx

Azure AD JOINによるアプリケーションとのSSO

Azure Access Panel の活用

http://myapps.microsoft.com

Azure Access Panelに事前にパスワード登録したアプリケーションにSSOで接続可能！

Azure AD JOINによるアプリケーションとのSSO

Azure Access Panel の活用

アプリケーションからギャラリーを追加

まとめ

パスワードを利用しない認証が当たり前の時代に・・・

Windows 10は最後のメジャーバージョンアップ

機能追加は今後もどんどん行われるようです。

Window Server 2016はMicrosoft Passportに対応される（予定）

今後も目を離せません！

Next Generation Credentials の利用