Active Directory って? Windows Server で標準提供されるディレクトリ サービス ・グローバルなデータ ストア ・グローバルなデータ ストア ・認証サービス ・組織全体のセキュリティ ポリシーの管理と展開 ファイル共有 メール ポータル データベース Active Directory 証明書 サービス アクセス ポイント
説明責任 ID管理・アクセス制御の基本 識別 認証 認可 3/7/2017 10:23 PM © 2014 Microsoft Corporation. All rights reserved. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
ID管理の課題 業務アプリA 業務アプリB 業務アプリC 業務アプリD
ADによるシングル サインオン(認証) Active Directory プリントサーバー ファイルサーバー Webサーバー 3/7/2017 10:23 PM ADによるシングル サインオン(認証) Active Directory プリントサーバー ファイルサーバー Webサーバー ・複数IDを管理する必要がなくなる ・Password Reset や 異動の負荷減 VPNサーバー Mailサーバー 管理者 ・単一ID/Passによるログイン ・ID/Pass の使い回し、紙による記録等のリスク排除 エンドユーザー © 2014 Microsoft Corporation. All rights reserved. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
シングルサインオンの問題点 ユーザー単位でアクセス権付与 誰がいつ何をしたのか? 一つ漏れたら、全てが流出 3/7/2017 10:23 PM シングルサインオンの問題点 ユーザー単位でアクセス権付与 複数のシステムに用意にアクセスできる反面、管理対象は増加 不適切な権限付与(楽だから)増加 誰がいつ何をしたのか? 増えた管理対象全てが監査対象 膨大なログ管理 → 不可能 → 放置 一つ漏れたら、全てが流出 単一IDによるアクセスのデメリット →多要素認証によって回避 © 2014 Microsoft Corporation. All rights reserved. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
AD の Role-based Access Control(認可) How Role Assignment What Role Who Role Group Where Scope -ManagementRole -ManagementRoleEntry -ManagementScope -RoleGroup -RoleGroupMember -ManagementRoleAssignment
ADによる監査(説明責任)
クラウド時代における課題点 クラウドの利点 これまで全て社内NWにあったリソースが社外へ NW境界がセキュリティ境界ではなくなる 3/7/2017 10:23 PM クラウド時代における課題点 クラウドの利点 どのデバイスからでもいつでも利用できる(マルチデバイス、BYOD) 俊敏性・柔軟性・アクセサビリティの高さ これまで全て社内NWにあったリソースが社外へ NW境界がセキュリティ境界ではなくなる ガバナンス/説明責任をどのように果たすのか? © 2014 Microsoft Corporation. All rights reserved. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
これまでの世界 On Premise時代の IT ガバナンス データ・アプリ 人(ID) デバイス
ITガバナンスの実状 データ・アプリ 人(ID) デバイス
ITガバナンスの実状 ツールの二元 柔軟な組織 管理 とID SSO コストの上昇 きめ細 やかな シャドーIT 情報管理 データ・アプリ デバイス
これから クラウド時代の IT ガバナンス ツールの 柔軟な組織 一元化 とID SSO コスト管理 きめ IT 細やかな情報管理 アセットの管理 柔軟な組織 とID ツールの 一元化 SSO コスト管理 データ・アプリ 人(ID) デバイス
Windows Server Active Directory Microsoft Azure Active Directory 3/7/2017 10:23 PM People-Centric IT という考え方 全てはユーザーを起点としてつながっている 利用者中心の IT が生産性を高める ユーザー デバイス アプリケーション データ 識別・認証・認可・説明責任 Windows Server Active Directory Microsoft Azure Active Directory © 2014 Microsoft Corporation. All rights reserved. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Azure Active Directory による認証・認可基盤 3/7/2017 10:23 PM Azure Active Directory による認証・認可基盤 IT managed identities Active Directory Sync Azure Active Directory © 2014 Microsoft Corporation. All rights reserved. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Azure RMS ドキュメント単位の暗号化 3/7/2017 10:23 PM © 2014 Microsoft Corporation. All rights reserved. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
ドキュメント追跡機能 3/7/2017 10:23 PM © 2014 Microsoft Corporation. All rights reserved. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Microsoft Intuneによるマルチデバイス管理 モバイルデバイスの管理 MDM アプリ/コンテンツの保護 MAM /MCM インベントリ収集 セキュリティポリシーの管理 リモートワイプ Wi-Fi / VPN /証明書/メール設定の配布 Apple Configurator のサポート セレクティブワイプ 企業所有デバイスのキッティング効率化 使用条件の同意の取得 デバイスへのアプリのプッシュインストール アプリ単位のコピー & ペーストの制御 アプリ単位の VPN 設定 LOB アプリのラッピング Office Apps のラッピング Manage Browser / PDF Viewer の提供 未許可アプリの利用状況取得 メールを利用するデバイスの検疫
ポリシーによる検疫・制御 ポリシー設定例 ・AzureAD へのデバイス必須 ・脱獄禁止 ・条件を満たさない場合 O365/Exchange へのアクセス不可 ・ビジネスアプリのスクリーンショット禁止 ポリシー適用
管理されたアプリ/ 社内データ ・管理されたアプリとのコピペ・スクリーンショット禁止 ・セレクティブ ワイプによって業務データのみ消去 3/7/2017 10:23 PM ・管理されたアプリとのコピペ・スクリーンショット禁止 ・セレクティブ ワイプによって業務データのみ消去 © 2014 Microsoft Corporation. All rights reserved. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
まとめ ・なぜ今認証基盤なのか? ・もはやNW境界はセキュリティ境界ではない ・People-Centric IT 3/7/2017 10:23 PM まとめ ・なぜ今認証基盤なのか? ・もはやNW境界はセキュリティ境界ではない ・People-Centric IT © 2014 Microsoft Corporation. All rights reserved. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.