~ 第1回 Active Directory の位置づけ

Slides:



Advertisements
Similar presentations
WINDOWS AZURE上での ACTIVE DIRECTORY構築入門 Windows Azure ハンズオン トレーニング.
Advertisements

マイクロソフトがホスティングする拡張性に優れたサービス ベース アプリケーション プラットフォーム.
クラウドが広げる PC 管理と セキュリティの選択肢 Windows Intune クラウド & ソリューションビジネス統括本部 シニアテクノロジースペシャリスト 小林 直史 T2-205.
1. Windows 利用者のための フレキシブル・ワークスタイル・コンセプト 【概要編】 日本マイクロソフト株式会社 デベロッパー & プラットフォーム統括本部 エバンジェリスト 安納 順一 (あんのう じゅんいち) T1-101.
Microsoft VDI 事例とクラウド化. あらためて MS VDI と RDP の進化 3 Windows Server 2012 R2 の標準機能 1 platform 1 experience 4 deployment choices サーバーベースの リモートデスクトップ 旧ターミナル.
この部分こそが必 要とされている ! Runtime 自身と Expression が カバーする!
Windows Azure ハンズオン トレーニング Windows Azure Web サイト入門.
Oscar Koenders Principal Group Program Manager Microsoft Corporation
2/28/2017 1:47 AM © 2009 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered.
D2-301 現時点の本資料は 完成版のスライドではありません。
MSON-B2 .NET Framework Web アプリケーション開発
3/1/2017 1:30 AM © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered.
Windows Summit /1/2017 © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be.
Windows Summit /1/2017 © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be.
Windows Summit /1/2017 © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be.
C# Programming .NET / C# Group 検索ワードでみる C#の困り事とその対策
3/3/2017 8:49 AM © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered.
3/4/ :37 PM © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered.
Expression Blend 3で始めるSilverlight 3アプリケーション開発
Active Directory って? Windows Server で標準提供されるディレクトリ サービス ・グローバルなデータ ストア
ParadoxのLiveScripting事情
MPN9月の変更内容のご案内 - 新クラウドコンピテンシーのリリース - 既存コンピテンシーのアップデート Sep, 2014
Using connected devices in Metro style apps Metro スタイル アプリで デバイスを使用する
3/11/2017 7:02 PM © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered.
Windows Summit /13/2017 © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be.
表紙です.
3/17/2017 1:49 AM © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered.
データはお客様に属し、かつ、コントロール可能
HP ProLiant DL980 G7 SQL Server 2008 R2 NUMA 環境 ベンチマークテスト結果報告書
ビジネスにおける オープンソースの利用価値
大学におけるクラウド活用の 最新動向と先進ソリューションの 事例
Using tiles and notifications タイルと通知の使用
[コース: A1] .NET Framework の基礎
Windows Summit /6/2017 © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be.
Windows Summit /8/2017 © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be.
Windows Summit /9/2017 © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be.
Microsoft Consumer Channels and Central Marketing Group
クラウドコンピテンシーの パフォーマンス要件における 追加の達成方法のご紹介
MPNオンライン説明会 ~ はじめに ~ 本日はご参加いただきありがとうございます。 セミナー参加にあたってのお願いとご注意
Windows Summit /11/7 © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be.
Microsoft Partner Network Office 365 社内使用ライセンスの有効化
~ 第6回 Azure Active Directory とは その1
Azure Pack そして災害対策 日本マイクロソフト株式会社 エバンジェリスト 高添 修
11/9/2018 3:35 AM Windows Azure Platform ハンズオン トレーニング Windows Azure アプリケーション開発概要 ~ Windows Azure 入門編 ~ © 2007 Microsoft Corporation. All rights reserved.
SaaS アプリとの SSO を使った業務イメージの共有
11/16/ :27 AM © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered.
Windows Summit /22/2018 © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may.
Windows Summit /24/2018 © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may.
Expression Blend 3で始めるSilverlight 3アプリケーション開発
Chad Siefert Senior Test Lead Microsoft Corporation
Windows Azure 通知ハブ.
12/9/ :14 AM © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered.
suppose to be expected to be should be
Microsoft Visual Studio 2005 Tools for
Windows Summit /21/2019 © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be.
Windows Summit /22/2019 © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be.
MIX 09 2/23/2019 1:22 PM © 2009 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered.
Max Morris Principal Program Manager Microsoft Corporation
Windows Summit /24/2019 © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be.
主要関係者の特定用テンプレート Windows 10 and Office 365 導入ステップ 2/24/2019
Yochay Kiriaty Senior Technical Evangelist Microsoft® Corporation
~ 第5回 認証のためのプロキシー Web Application Proxy
Windows Summit /4/10 © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be.
Craig Rowland Senior Program Manager Microsoft Corporation
Microsoft Consumer Channels and Central Marketing Group
Windows Summit 2010 © 2010 Microsoft Corporation.All rights reserved.Microsoft、Windows、Windows Vista およびその他の製品名は、米国 Microsoft Corporation の米国およびその他の国における登録商標または商標です。
Windows Summit /22/2019 © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be.
MIX 09 8/2/2019 8:06 AM © 2009 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered.
クラウドコンピューティングとWindows Azure Platform
Windows Azure メディアサービス
Presentation transcript:

~ 第1回 Active Directory の位置づけ [Online Solution Seminar] クラウド時代の Active Directory 次の一手 ~ 第1回 Active Directory の位置づけ 日本マイクロソフト株式会社 エバンジェリスト 安納 順一 2014/07/24

クラウド時代の Active Directory 次の一手シリーズ 今後の予定 7月24日 第1回 Active Directory の位置づけ 8月21日 第2回 Active Directory ドメイン サービスの新しい役割 8月28日 第3回 Active Directory フェデレーション サービスの役割 解説 9月04日 第4回 Active Directory フェデレーション サービスの役割 構築編 日程未定 Active Directory の移行 日程未定 Windows PowerShell による Active Directory の管理 以降、12月までに第10回くらいまで継続予定です! リクエストがあれば教えてください!

Agenda クラウドファースト/モバイルファースト時代における最新 Active Directory の位置づけについて解説します。 クラウド移行の第一歩は認証基盤です。ここを抑えずに、他のサービスを設計することはできません。 10年前に登場した Active Directory がクラウド時代に向けてどう進化したのか、是非その目でお確かめください。 ・マイクロソフトが提供する認証基盤の勢威 ・Active Directory のブランディングの整理 ・Active Directory を構成するサービス群の整理 ・Windows Server Active Directory と Azure Active Directory の違い ・Windows Server 2003/R2 以降、新たに実装された機能と価値 Windows Server 2003 時代からの差分を埋めましょう!

2003 から 2012 R2/Azure までの進化 IaaS VPN Scheduler Windows Azure Backup Windows Server 2008 R2 SP1 Windows Server 2012 Windows Server 2003 Windows Server 2003 R2 Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 R2 2003.06 2005.12 2008.2 2009.9 2011.02 2012.09 2013.10 2010.01 2012.06 2014.02 2014.03 IaaS VPN Scheduler Windows Azure Backup Japan Datacenter Microsoft Azure Automation RemoteApp SMB File Service Hyper-V Recovery API Management

2003 から 2012 R2/Azure までの進化 Hyper-V によるサーバー仮想化の進化 ライブマイグレーション レプリカ Windows Server 2008 R2 SP1 Windows Server 2012 Windows Server 2003 Windows Server 2003 R2 Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 R2 Hyper-V によるサーバー仮想化の進化 ライブマイグレーション レプリカ ダイナミックメモリ Linux サポート 等 ストレージ仮想化テクノロジー ネットワーク仮想化テクノロジー Azure IaaS とのハイブリッドクラウド Hyper-V Recovery Service 2003.06 2005.12 2008.2 2009.9 2011.02 2012.09 2013.10 2010.01 2012.06 2014.02 2014.03 IaaS VPN Scheduler Windows Azure Backup Japan Datacenter Microsoft Azure Automation RemoteApp SMB File Service Hyper-V Recovery API Management

2003 から 2012 R2/Azure までの進化 Private Cloud & Hybrid Cloud Windows Server 2008 R2 SP1 Windows Server 2012 Windows Server 2003 Windows Server 2003 R2 Windows Server 2008 Windows Server 2012 R2 Windows Server 2008 R2 Private Cloud & Hybrid Cloud 2003.06 2005.12 2008.2 2009.9 2011.02 2012.09 System Center 2012 2013.10 System Center 2012 R2 2010.01 2012.06 2014.02 2014.03 IaaS VPN Japan Datacenter Microsoft Azure Scheduler Windows Azure Backup Automation RemoteApp SMB File Service Hyper-V Recovery API Management

2003 から 2012 R2/Azure までの進化 Active Directory の進化 Windows Server 2008 R2 SP1 Windows Server 2012 Windows Server 2003 Windows Server 2003 R2 Windows Server 2008 Windows Server 2012 R2 Windows Server 2008 R2 Hyper-V によるサーバー仮想化の進化 ライブマイグレーション レプリカ ダイナミックメモリ Linux サポート 等 ストレージ仮想化テクノロジー ネットワーク仮想化テクノロジー Private Cloud & Hybrid Cloud Active Directory の進化 AD FS による ID フェデレーションのサポート モバイルデバイス認証のサポート 認証プロキシー機能のサポート 仮想マシンサポート Azure Active Directory のリリース Hybrid Identity Provider 2003.06 2005.12 2008.2 2009.9 2011.02 2012.09 System Center 2012 2013.10 System Center 2012 R2 2010.01 2012.06 2014.02 2014.03 IaaS VPN Japan Datacenter Microsoft Azure Scheduler Windows Azure Backup Automation RemoteApp SMB File Service Hyper-V Recovery API Management

そもそも Active Directory って? Windows Server Active Directory 社内 IT ガバナンスを強化するサービス群 AD DS :Active Directory ドメイン サービス AD LDS :Active Directory ライトウェイト ディレクトリ サービス AD CS :Active Directory 証明書サービス AD RMS :Active Directory ライツ マネジメント サービス AD FS :Active Directory フェデレーション サービス Microsoft Azure Active Directory クラウドサービスの認証を行うための基盤

マイクロソフトの IdP プラットフォーム全体像 Consumer Enterprise Microsoft Account (Windows Live ID) Microsoft Azure Active Directory Sync Windows Server Active Directory Federation FIM 他社 IdP 唐突ですが、こんな話から。 簡単に。 マイクロソフトはあらゆる用途でのIdPを提供しているこことを理解していただきたい。 ・Enterprise オンプレミス ・Enterprise オン クラウド ・Consumer Microsoft 全製品 Microsoft 全 OS Windows 8 Metadata Sync Sync HR

Microsoft Azure Active Directory おさえておきましょう “同じこと”はできません AD on Azure IaaS Microsoft Azure Active Directory Microsoft Azure IaaS 上に配置 した Windows Server Active Directory ドメインサービスの こと Windows 認証が可能 オンプレミスと同じことがで きる Office 365 や Windows Intune などが使用しているマルチテ ナント型の認証サービス Windows 認証はできない 認証 HUB IDaaS / IDMaaS

2003 時代の Active Directory ドメインの使われ方 ユーザー認証 ファイルシステムへのアクセス制御 グループポリシーによるユーザーと PC の制御 セキュリティの壁 セキュリティドメイン 入れない 出さない

IT 部門が抱える課題 IT ガバナンスの強化 社内リソース クラウドサービス 個人持ちのモバイルデバイス + 生産性向上 2/23/2019 5:13 AM IT 部門が抱える課題 IT ガバナンスの強化 社内リソース クラウドサービス 個人持ちのモバイルデバイス + 生産性向上 現在のニーズに置き換えてみると © 2013 Microsoft Corporation. All rights reserved. Microsoft, Windows, and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Active Directory もニーズに合わせて進化している Windows Server 2003/R2 Active Directory Windows Server 2012 R2 Active Directory 使用している機能 ユーザー認証 グループポリシー ファイルのアクセス権 Kerberos の強化 社内ITガバナンスの強化 Direct Access Dynamic Access Control フェデレーション サービスの大強化 ドメイン外連携の強化 SAMLトークンの発行 認証プロキシー モバイルデバイス認証 クラウドとの認証連携 UINX ID 管理(旧 SFU) Application Mode フェデレーションサービス Rights Management 証明書サービス 仮想化のサポート 展開のバリエーション AD on Hyper-V/AD on IaaS 管理 ADSI + VBScript Windows PowerShell

社内 IT ガバナンスの強化

どこにいてもセキュリティポリシーの監視下へ~ DirectAccess 社内セキュリティポリシーによる継続的な監視 PC のセキュリティはリアルタイムに監視されている 社内ネットワーク Active Directory ドメイン INTERNET ドメインコントローラー Firewall R-Proxy Direct Access Server Hotel Windows XP Office 2003 Desktop Phone Work Station/Office Smart phone Unmanaged/ Rogue Device Windows7/8 評価 Network Access Protection 業務サーバー ファイルサーバー 検疫ネットワーク 重要なポイント: Windows 8 は、ユーザー デバイスからネットワークまで、エンタープライズ クライアント コンピューティングのセ キュリティとバックエンド インフラストラクチャへのアクセスを強化します。 1. クライアント: Windows 8 は新しいテクノロジーを使用して、クライアントの安全を守り、脅威から保護します。 2. 接続: Windows 8 は社内ネットワークまたはインターネット経由での接続を保護します。 3. リソース: Windows 8 は単一認証および承認テクノロジーを使用して、リソースを保護します。   トークの流れ: ソーシャル ネットワーキング、コンシューマー デバイス、およびアプリケーションの普及により、セキュリティが以 前よりも頻繁にメインニュースとして、またメディアで取り上げられるようになっています。セキュリティの脅威は現 代の組織とユーザーにとって最大の懸念であり、最優先課題です。Microsoft は最優先事項としてセキュリティに 投資し、クライアント セキュリティは Windows 8 の主要な投資分野です。Windows 8 は、Microsoft のエンドツー エンドなセキュリティ サービスを強化するまったく新しい機能を提供します。これは、クライアントとクライアントの 通信相手であり接続先であるリソースを保護し、そのすべてを管理できることを意味します。このスライドは、クラ イアントと接続の保護に関するテクノロジーを示しています。    クライアント (Secured Boot、Defender、SmartScreen、BitLocker) セキュリティはクライアントそのものから始まり、なくすべきリスクや軽減すべき新しいリスクが次々と登場していま す。たとえば、ルートキット、ブート セクター キット、およびその他の種類のマルウェアは、ソーシャル エンジニア リング攻撃や脆弱性につけ込むことによってシステムへの侵入口を見つけることができます。これらの感染は検 出されないまま隠れていることが多く、デバイスとその中のデータが盗難や悪用のリスクにさらされています。 このような問題に対処するために、Windows 8 は Secured Boot と Windows Defender を搭載しています。これら は、マルウェアの侵入を防ぎ、マルウェアがオペレーティング システムとアンチマルウェア ソフトウェアから隠れ るのを防ぎます。マルウェア対策は、Internet Explorer 10 の SmartScreen と Application Reputation Web サービ スによって、さらに強化されます。これらは、ユーザーが未知のソフトウェアや有害ソフトウェアをダウンロードする のを防止します。(事後にアンチマルウェア ソフトウェアが感染を検出して、システムをクリーンにするのではなく、 そもそもマルウェアがダウンロードされるのを防ぐ方がどれほどいいか、考えてみてください。) Windows 8 のこれらの機能は、オペレーティング システムとデータをサイバー攻撃から保護しますが、デバイス が紛失したり、盗まれた場合はどうでしょうか。多くの場合、デバイス上のデータは大きなリスクにさらされること になります。保護されていないデバイス上のデータは、簡単に表示したり、コピーできるからです。このリスクに対 処するため、Windows 8 は、BitLocker や BitLocker To Go などの暗号化テクノロジーを備えています。  接続 (DirectAccess、Modern Authenticators) クライアント PC から社内ネットワークに接続するときには、セキュアな接続を容易に作成できることと、それらの 接続が強力な認証手段によって認証されることが重要です。スマートカードなどの複数要素認証が人気のある方 法になっています。ただし、そのような認証方法を試してみると、高価で設定が困難であることに気づくことも少な くありません。たとえば、遠隔地にいて、今すぐアクセスを必要としている人のために新しいスマートカードを入手 するにはどうしたらよいのでしょうか。スレートを使用するユーザー全員のために USB スマートカードを購入する 必要が本当にあるでしょうか。スマートカードを紛失したり、破損した場合、どうなるのでしょうか。ユーザーがすで に持っているもので多要素認証を実現した方がよいのではないでしょうか。 Windows 8 では、Windows Server 2012 の Active Directory と DirectAccess の強化により、インターネットから社 内リソースへのアクセスが今までより簡単になります。DirectAccess はクライアントへの展開と設定が容易であり、 クライアントは Modern Authenticators を多要素認証に利用できるようになります。Modern Authenticators では、 PC や携帯電話を仮想スマートカード デバイスとして使用できます。

社内ファイルサーバー全体を統制 ~ Dynamic Access Control DAC(Dynamic Access Control) 従来 ACL AD DS GPO FSRM Access Rules Owner ACL File Server Owner

Expression-Based Access Control ユーザー側の属性とリソース側で定義した属性の条件によってアクセスを制御 条件が合致すればアクセス可能 アクセスルール ユーザーCountry = リソース Country ユーザー Department = リソース Department デバイス Owner = “Microsoft” ユーザー属性 リソース属性 Country Department Rules Country Department デバイス属性 Type Owner

Dynamic Access Control アクセス権のつけ忘れ、外し忘れ Expression-Based Access Control... ...利用者とリソースの属性によって動的にアクセスを制御する ID 管理者は ID のプロビジョニングに対して責任を持つ リソース管理者は、リソースの属性に対して責任を持つ リソース属性管理 (リソース管理者) アクセスルール管理 ID 管理(ID 管理者) Rules A A 営業部 IT部 人事部 A Resource 所属 所属が… 営業部:Read IT部:Backup 経理部:R/W 経理部 IT部 A A 営業部 企画部 経理部

DAC でのアクセス制御プロセス RFC2113 に対応した AD DS AD DS DAC においては クレーム = 「分類属性」として定義 トークン = Kerberos チケットとして AD DS から発行される Kerberos チケット(トークン)に含めるのに必要な属性は、AD DS 上に定義されていなければならない RFC2113 に対応した AD DS Windows Server 2012 必須 ※Kerberosに属性を含める機構が必要 AD DS ファイルサーバー ①ログオン 事前に「分類属性」を定義しておく Windows Server 2012/8 必須 ※属性を受信して解析する機能が必要 ②属性情報を含んだKerberos チケット Ticket ③ アクセス ユーザー on Windows 8 Name = Junichi Anno Company = MSKK チケットとクレームを照合

重要データの流出対策 FSRM RMS File Server ファイル サーバー リソース マネージャ(FSRM) 自動分類、スクリーニング Rights Management Service(RMS) 暗号化、アクセス権限設定 ダイナミック アクセス 制御(DAC) 機密 Data スクリーニング 重要Data FSRM RMS 参照期限 暗号化 暗号化 重要Data 重要Data 個人情報 分類 読み取り 印刷禁止 コピペ禁止 保存禁止 重要データ保管庫 File Server

ドメイン外連携の強化

Active Directory のフォーカス 「セキュリティ」から「プロダクティビティ(生産性)」へ セキュリティの強化 社内での安全性が高まる 2003/R2 2012/R2 社外でも安全性が高まる 働き方に自由度が出る 生産性が高まる

ドメイン外連携の目的 SaaS 社内セキュリティ ドメイン 社内 PC 業務データ 業務アプリ 業務サービス モバイルデバイス 2/23/2019 5:13 AM ドメイン外連携の目的 クラウドサービスにも IT ガバナンスを効かせたい BYOD でも IT ガバナンスを効かせたい SaaS 社内セキュリティ ドメイン 社内 PC 現在のニーズに置き換えてみると 業務データ 業務アプリ 業務サービス モバイルデバイス © 2013 Microsoft Corporation. All rights reserved. Microsoft, Windows, and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Active Directory の守備範囲を広げる必要がある パブリック クラウド IaaS/SaaS/PaaS との連携 外部 IdP との連携 社内 社外 オンプレミス セキュリティドメイン セキュリティドメイン 企業間連携 Enterprise BYOD

ドメイン外連携の窓口を作る SaaS AD FS の導入 オンプレミスで「セキュリティコントロール」を行う 社内 PC 業務データ 業務アプリ 業務サービス AD DS AD FS WAP WAP : Web Application Proxy

クラウド側リソースはクラウド IdP に接続する Azure AD SaaS 社内 PC 業務データ 業務アプリ 業務サービス AD DS AD FS WAP WAP : Web Application Proxy

オンプレミスとクラウドはフェデレーション信頼 認証 / セキュリティコントロールはオンプレミスで行う Azure AD SaaS Hybrid IdP 社内 PC 業務データ 業務アプリ 業務サービス AD DS AD FS WAP WAP : Web Application Proxy

認証プロキシー:Web Application Proxy 認証プロキシー機能を持ったリバースプロキシー Active Directory ドメイン Web Application Start AD DS AD FS Web Application Proxy

さらに ”デバイス認証” 機能を加える 安全性 IdP セキュリティドメイン ユーザーと デバイスを 認証 認証不可 =アクセス禁止 ユーザーだけ認証 全てドメイン内 ユーザーはドメイン内 すべてドメイン外 安全性 高 低

Workplace Join(社内ネットワークへの参加) ADドメインに参加していない個人デバイスを認証できる (事前に AD ドメインへのデバイス登録が必要) サポートされている OS Windows 8.1, Windows RT 8.1 Windows 7(ドメイン参加必須) iOS Android(機種依存) AD DS ②ユーザー 認証 ④デバイス登録 AD FS デバイス登録 サービス(DRS) 個人デバイス ①「社内ネットワークに参加」 UserID/Password クレーム処理 エンジン Start HTTPS ⑤ 証明書インストール

クラウド 社内デバイス 個人デバイス AD DS AD FS WAP オンプレミス

仮想化のサポート

Active Directory の IaaS 化 AD をクラウド上で パブリック クラウド IaaS/SaaS/PaaS との連携 外部 IdP との連携 社内 社外 オンプレミス セキュリティドメイン セキュリティドメイン 企業間連携 Enterprise BYOD

AD on Azure IaaS AD DS AD FS DNS SaaS Web Application Proxy 2/23/2019 5:13 AM AD on Azure IaaS SaaS Internet Microsoft Azure Active Directory WS-Fed. 信頼関係 Microsoft Azure Software Load Balancer Cloud Service Cloud Service Web Application Proxy AD DS DNS AD FS Internal Load Balancer Virtual Network VPN Gateway 足りないのは 個人デバイスを通すかどうかの判定ができないこと Site to Site 接続 企業内ネットワーク WWW AD DS File SV Client Client Client Client VPN Device © 2013 Microsoft Corporation. All rights reserved. Microsoft, Windows, and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

まとめ

新しい認証基盤に求められる機能 統合認証とセキュリティポリシーの集中制御 認証と認可の分離(アプリケーションから認証を切り離す) 既存認証基盤の強化 統合認証とセキュリティポリシーの集中制御 認証と認可の分離(アプリケーションから認証を切り離す) 認証プロキシー(社外ネットワークからの認証を受付) 認証の強化(多要素認証) ハイブリッド化 パブリッククラウドとの統合認証 モバイルデバイスの認証

Hybrid IdP が「ID のモビリティ」を実現する AD FS により社内リソースの集中 的なアクセス制御が可能 Active Directory SaaS Apps AD FS マルチファクター認証 リソース AD FS Web Application Proxy (includes ADFS Proxy) パートナー企業との ID 連携 Firewall 業務 アプリケーション Windows Server 2012 R2 はHTTP.SYS を使用しているので安全性が高まった。よって、AD DSと共存しやすく なった。 クレーム対 応アプリ Office Forms Based Access ネットワークロケーション や IP アドレス、ユーザー属 性、デバイス属性などによ る、多要素認証/認可 Restful OAuth apps BYODデバイス登録と デバイス認証

お試しください! Microsoft Azure では無料でトライアルが可能 5分で学べる Azure サブスクリプション 申込み編 購入前には 5分で学べる Azure サブスクリプション 申込み編 も参照ください。

アプローチ方法:People-Centric IT ユーザー デバイス アプリ データ どこからでも サインインできる どんなアプリケー ションにもアクセ スできる どんなデバイスでも 利用できる どんなデータで も利用できる 「情報」がアプリケーションの後ろにあるってことが重要!! モビリティを与えるためのインフラが必要

Enterprise IT Governance Enterprise Mobility とは 企業のあらゆるリソースに”モビリティ”をもたらすこと モビリティを実現しうる管理性と安全性が担保されていること ユーザーがあらゆるデバイスを介し、企業の IT ガバナンスが効いた状態で、あ らゆる企業アプリケーションや企業データに安全にアクセスが可能であること。 デバイス アプリ ユーザー データ 個人 社外 WEB Cloud 企業のデータ 企業 社内 デスクトップ On-prem Enterprise IT Governance

ID のモビリティ どこからでもサインインできる どのサービスにも同じ ID でサインインできる ドメイン 非参加 ドメイン 参加 Active Directory ドメイン AD DS AD FS ドメイン 非参加 認証 プロキシ 認証要求 (Web Application       Proxy) ドメイン 参加 Kerberos Proxy 認証要求 (Direct Access Server)

デバイスのモビリティ IT Governance デバイス認証 GW どこからでも、どんなデバイスからでも(安全に)アクセスできる どのデバイスにもガバナンスが効かせられる IT Governance Mobile Devices Firewall On-prem Resources デバイス認証 GW Domain Device (Managed) Windows to Go

アプリケーションのモビリティ どこからでも、どんなデバイスからでも利用可能 ※モビリティを持つアプリケーションを採用することが重要! Mobile Devices Browser SaaS/Web Apps アプリ配信 RDP Client iTune Store Office Mobile 2013 アプリ配信 Google Play Domain Device (Managed) Browser Azure Remote App Office 2013 RDP Client IaaS Remote App on-prem

データのモビリティ IT Governance 社内ネットワーク どのデバイスからでも安全に利用できる データは常に社内のセキュリティポリシーに守られている Mobile Devices IT Governance 社内ネットワーク 流出 Domain Device (Managed) 流出