~ 第6回 Azure Active Directory とは その1 [Online Solution Seminar] クラウド時代の Active Directory 次の一手 ~ 第6回 Azure Active Directory とは その1 日本マイクロソフト株式会社 エバンジェリスト 安納 順一 2014/11/06
クラウド時代の Active Directory 次の一手シリーズ 今後の予定 7月24日 第1回 Active Directory の位置づけ 8月21日 第2回 Active Directory ドメイン サービスの新しい役割 8月28日 第3回 Active Directory フェデレーション サービスの役割 解説 9月04日 第4回 Active Directory フェデレーション サービスの役割 構築編 10月09日 第5回 認証のためのプロキシー Web Application Proxy 11月06日 第6回 Azure Active Directory とは 以降、12月までに第10回くらいまで継続予定です! リクエストがあれば教えてください!
本セミナーの録画は Microsoft Virtual Academy で公開します http://www.microsoftvirtualacademy.com/Live-Training-Events
今後のセミナー予定 http://technet.microsoft.com/ja-JP/dn308916.aspx
Microsoft Azure Active Directory の 本日のテーマ Microsoft Azure Active Directory の インフラ的側面 アプリケーション的側面 何をするためのものなのか? Windows Server AD とは何が違うのか? Azure AD を使うと何がうれしいのか Azure AD を使い始めるための手順 2014年10月末 TechEd EU で発表された情報ももりこみつつ! ※英語スライドが多くてすみません
Microsoft Azure Active Directory Identity as the ”control plane” Simple connection Self-service Single sign on Other Directories Windows Server Active Directory Username ••••••••••• SaaS Azure Office 365 Public cloud On-premises Cloud Microsoft Azure Active Directory
Windows Server Management Marketing 11/7/2018 クラウド上の ディレクトリ アクセスの 集中制御 クラウドアプリへのアクセス制限と監視 利用者の 利便性向上 © 2012 Microsoft Corporation. All rights reserved. Microsoft, Windows, and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Control Plane 他社SaaS Intune 業務 アクセスパネル 認証 Governance Azure RemoteApp + Azure RemoteApp Mobile Service 認証 Governance
Hybrid IdP Active Directory ドメインとAzure AD に よるアイデンティティ フェデレーショ ンを実現する ユーザー認証だけでなく、デバイスの 識別と認証も可能 + 業務 業務 AD FS AD DS 認証はオンプレミスで
Azure Active Directory Sync マルチフォレストに対応した同期ツール 複数の AD を Azure AD に統合 AD FS と併用すれば SSO を実現 Azure AD Premium と併用する ことでパスワードの書き戻し も可能に。 + Azure AD Premium ID 同期 フェデレーション信頼 Azure AD Sync による同期 ID のみ AD 信頼関係
+ Azure AD Premium ID 同期 フェデレーション信頼 Azure AD Sync
Azure AD Sync による同期 (含 パスワード) + Azure AD Premium Azure AD Sync による同期 (含 パスワード)
セルフサービス パスワードリセット(Azure AD ユーザー) フェデレーション信頼により Hybrid IdP を構築した場合、オンプレミス側のパスワードはオンプレミス側で 変更する必要があります。 Azure AD Azure AD側で登録したユーザーは、この機能を使用して自分自身でパスワードをリセットできる(連絡用に指定したメールアドレスに、リセット用のURLが記載されている)。 オンプレミス側のユーザーのパスワードは、オンプレミスで管理されているため、Azure AD側では変更できない AD DS AD FS ただし!!例外があります(次ページ)
Azure AD Premium にアップグレードすると オンプレミスユーザーのパスワードリセットが可能になる Azure AD でリセット後、オンプレミスADにライトバックされる ※DirSync でライトバックの設定を行う必要がある Azure AD Premium ② Azure ADに 書き込まれる ①リセット ③ パスワードだ けライトバック AD DS AD FS
DS1 にディレクトリ同期ツールをインストール 同期ツールをダウンロードしてデスクトップ等に保存 http://www.microsoft.com/en-us/download/details.aspx?id=44225 ダウンロードした Azure Active Directory Sync(英語版)を実行 MicrosoftAzureADConnectionTool.msi インストール先を E:\Azure AD Sync(または F:¥Azure AD Sync) に変更し、「I agree to ...」をチェックして 「Install」
初期インストールが完了し、しばらくすると(30秒程度お待ちください)構成ウィザードが自動的に起動する。 Azure ADテナントの管理者IDとパスワードを指定 <suffix>.onmicrosoft.com もし1分程度待ってもウィザードが起動しない場合には、デスクトップのアイ コンをダブルクリックしてウィザードを起動してください。
ADドメインのドメイン名、ユーザーID(UPNで指定)、パスワードを指定して Add Forest をクリック 複数のフォレストが存在する場合には、ここで同時に追加することができる。 追加が完了したら、「Next」
ここではユーザーのマッピングを行うためのキーとなる属性を変更することができる。 今回は何もせずに「Next」
Azure AD Premium を契約していて、パスワードのライトバック機能を有効にする場合には、 「Password Write-back」にチェックを入れて「次へ」
「Configure」をクリックして、構成を行う。
「Synchronize Now」をチェックして、「Finish」。 数分で初回の同期が完了する。
同期のスケジューリングはタスクスケジューラーに設定されている(3時間ごとに同期)。 必要に応じて、スケジュールを変更することも可能。
Build 2012 11/7/2018 Azure Active Directory editions feature comparison + Office 365 IAM features Azure Active Directory Free Azure Active Directory Basic Azure Active Directory Premium Office 365 IAM features Common Features ディレクトリサービス 500,000 Object Limit No Object Limit No Object limit for Office 365 user accounts ユーザー/グループ管理(追加、削除、更新) Yes AADと統合されたアプリ(SaaS/LOB)間の SSO(ユーザーあたり) 10 apps per user No Limit ユーザーベースのアクセス管理/プロビジョニング AAD ユーザーのセルフサービス パスワードリセット機能 ID同期ツール(Windows Server Active Directory 、マルチフォレスト) セキュリティレポート 3 Basic Reports Advanced Security Reports Cloud App Discovery(Preview、Advanced機能は2015年予定) Premium+ Basic Features グループベースのアクセス管理/プロビジョニング ブランディング機能 (Logon Pages/Access Panel customization) SLA Premium Features 拡張属性の書き戻し (今後の予定) セルフサービス グループ管理 セルフサービスパスワードリセット&オンプレミスに書き戻し 利用状況のレポーティング 多要素認証プロバイダー (クラウド&オンプレミス) Limited Cloud only features for accessing Office 365 アプリケーションプロキシ MIM CAL 管理機能の委任 (今後の予定) © 2012 Microsoft Corporation. All rights reserved. Microsoft, Windows, and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
セキュリティレポート Free Premium サインイン失敗後の成功 知らないデバイスからのサインイン 複数地域からのサインイン 11/7/2018 セキュリティレポート Free Premium 特定のIPアドレスからの怪しいサインイン要求 感染の疑いのあるデバイスからのサインイン イレギュラーなサインイン 変則的なサインイン サインイン失敗後の成功 知らないデバイスからのサインイン 複数地域からのサインイン © 2014 Microsoft Corporation. All rights reserved. Microsoft, Windows, and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Success after Failed Logins 1: <qwrsd!@@#> Nah! Didn’t work 2: <sdsaswer> Nah! Didn’t work 3: <34sdfs> Nah! Didn’t work 4: <sdsaswer> Nah! Didn’t work 5: <asas> Nah! Didn’t work 6: <qwrsd!@@#> Nah! Didn’t work 7: <sdsaswer> Nah! Didn’t work 8: <34sdfs> Nah! Didn’t work 9: <sdsaswer> Nah! Didn’t work 10: <asas> Nah! Didn’t work …………………………………… ………………………………………. …………………………………………. …………………………………….. ………………………………….. 78: <Password>Aha!!!!! That worked! Duh!
Sign-ins from unknown sources IP Address: 31.172.30.4 IP address: 199.34.28.10 TOR Network
Sign-in from multiple geographies Joe@Contoso.com Location: Irkutsk, Russia Time: 7:54 AM, local time (3:54 PM, UTC) Joe@Contoso.com Location: Seattle, WA Time: 8:29 AM, PST (3:29 PM, UTC) 25 minutes later….. If !teleportation.IsInvented() then ImpossibleTravel = True;
Sign-ins from IP addresses with suspicious activity 1: Jeff.Green@contoso.com; Pwd: <23sSw@> 2: Joe.h@contoso.com; Pwd: <ersd> 3: Jim.Harper@contoso.com; Pwd: <23sSw@> 4: Kate.O@contoso.com; Pwd: <23sSw@> 5: Kim.B@contoso.com; Pwd: <2234sSw@> 6: Liam.M@contoso.com; Pwd: <1awssSw@> 7: Mason.G@contoso.com; Pwd: <qswsSw@> ………………………………………………………………………………………… ………………………………………………………………………………………….. ……………………………………………………………………………………….. Flag IP address: 199.34.28.10 for suspicious activity IP address: 199.34.28.10
多要素認証(MFA) アプリケーションの実装に依存しない n 段階認証が可能 ワンタイムパスワード 電話応答 テキストメッセージ 等 Microsoft Azure AD MFA 基本的にAzure AD を通過時に発動するが、AD FS から呼び出すことも可能。 認証要求 電話 AD FS ① ② AD DS
組織を超えたデータガバナンス~Azure Rights Management Services Azure Active Directory Azure RMS HTTP の世界 Security Policy Microsoft Azure AD MFA Provider Policy Microsoft Intune + POLICY Windows Server AD モバイルデバイス セキュリティポリシーを集中管理 社員 Policy 業務 データ Policy
企業のブランディング設定 企業ロゴ ブランドイメージ お知らせ 問い合わせ先 Windows PowerShell を使用すると、ADFSのサインイン画面に企業のロゴやイメージを設定するこ とができます。 企業ロゴ ブランドイメージ お知らせ 問い合わせ先
Azure Active Directory 今後の機能追加予定 11/7/2018 Azure Active Directory 今後の機能追加予定 Business to Business Business to Consumers Device Registration Administrative Units Conditional Access Cloud Domain Joined (Windows 10) © 2012 Microsoft Corporation. All rights reserved. Microsoft, Windows, and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Azure Active Directory Administrative Units: In private preview Support for distributed organizational models Autonomous mgmt. while keeping common identity and org boundary Delegate administration to subsidiaries User management App procurement and mgmt. Scope policy Global admins Org-wide permissions Manage global settings Create structure and policy Delegate permissions and resources Contoso North Am Europe Asia Regional admins Manage regional users, devices, and applications Set local policy US East Germany India Regional policy and app management “Must login with MFA” “Have license/access to regional apps” Azure Active Directory
B2B: cross-organization collaboration “I need to let my partners access my company’s apps using their own credentials.” Share without complex configuration or duplicate users. A user at a large partner may log into my company’s apps with their Active Directory usernames and passwords. A user at a smaller partner may log into my company’s apps with their Office 365 usernames and passwords. Admin configures sharing for cloud apps. “I can’t email my 25 MB file and need to share it with a partner using Box.com.” Seamlessly provide Azure Active Directory to customers & partners For example, a user at a partner can set up everyone in their company. Users can bring their own email-based or social identities.
Azure Active Directory B2C(Business-to-Consumer ) Azure Active Directory B2C offering is tailored for enterprises who serve large populations (100’s of thousands to millions) of individual customers, and whose business success depends upon consumer adoption of web applications for improving customer satisfaction and reducing operational costs. Azure Active Directory B2C will include : Self-Service User registration Login with Social IdP or create your own credentials Optional MFA Bulk user import tools SSO to multiple web sites User interface customization
Cloud Domain Joined Devices Cloud Domain Join makes it possible to connect work-owned Windows devices to your company’s Azure Active Directory tenancy in the cloud. Users can sign-in to Windows with their cloud-hosted work credentials and enjoy modern Windows experiences. 3rd party apps & clouds Apps in Azure Enterprise compliant Services Roaming Settings, Windows backup/Restore, Store access… Data stored in enterprise compliant backend services on Azure. No need to add a personal Microsoft account. SSO from the desktop to org resources SSO from desktop to Office 365 and 1,000’s of enterprise apps, websites and resources. Access enterprise-curated Store and install apps using a work account. Management Automatic MDM enrollment during first-run experience. Support for hybrid environments Traditional Domain Joined PCs also benefit from Cloud Domain Join functionality when the on-prem Active Directory is connected with an Azure Active Directory in the cloud. Cloud Domain Joined Devices
オンプレミスアプリの公開 オンプレミスAPP Azure AD Application Proxy SaaS Apps Azure Active Directory Azure AD Application Proxy SaaS Apps Web Application Proxy オンプレミスAPP On-Prem Apps Active Directory
Azure アプリケーション プロキシー Azure App Proxy Azure AD Premium クラウド上にリバースプロキシ 社内 WEBサーバーにはエージェントをイン ストールするだけ Azure Active Directory で認証 アクセス パネルで公開可能 + Azure App Proxy 社内ネットワーク WEB Server Proxyコネクタ 業務アプリ
© 2014 Microsoft Corporation. All rights reserved © 2014 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.