Azure AD Webinar シリーズ #7 IP ベースのアクセス制御から脱却して よりセキュアな環境を構築しよう

Slides:



Advertisements
Similar presentations
マイクロソフトがホスティングする拡張性に優れたサービス ベース アプリケーション プラットフォーム.
Advertisements

Microsoft VDI 事例とクラウド化. あらためて MS VDI と RDP の進化 3 Windows Server 2012 R2 の標準機能 1 platform 1 experience 4 deployment choices サーバーベースの リモートデスクトップ 旧ターミナル.
この部分こそが必 要とされている ! Runtime 自身と Expression が カバーする!
Windows Azure ハンズオン トレーニング Windows Azure Web サイト入門.
Oscar Koenders Principal Group Program Manager Microsoft Corporation
第28回codeseek勉強会 WPF で簡単ビデオ再生 2008年5月27日(火)
D2-301 現時点の本資料は 完成版のスライドではありません。
MSON-B2 .NET Framework Web アプリケーション開発
Windows Summit /1/2017 © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be.
Windows Summit /1/2017 © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be.
Windows Summit /1/2017 © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be.
C# Programming .NET / C# Group 検索ワードでみる C#の困り事とその対策
3/3/2017 8:49 AM © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered.
3/4/ :37 PM © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered.
Expression Blend 3で始めるSilverlight 3アプリケーション開発
Active Directory って? Windows Server で標準提供されるディレクトリ サービス ・グローバルなデータ ストア
ParadoxのLiveScripting事情
MPN9月の変更内容のご案内 - 新クラウドコンピテンシーのリリース - 既存コンピテンシーのアップデート Sep, 2014
Using connected devices in Metro style apps Metro スタイル アプリで デバイスを使用する
3/11/2017 7:02 PM © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered.
Windows Summit /13/2017 © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be.
MIX 09 3/14/2017 9:51 PM © 2009 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered.
表紙です.
3/17/2017 1:49 AM © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered.
データはお客様に属し、かつ、コントロール可能
HP ProLiant DL980 G7 SQL Server 2008 R2 NUMA 環境 ベンチマークテスト結果報告書
ビジネスにおける オープンソースの利用価値
Japan Regional General Session
大学におけるクラウド活用の 最新動向と先進ソリューションの 事例
3/21/2017 3:39 AM © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered.
Using tiles and notifications タイルと通知の使用
[コース: A1] .NET Framework の基礎
Windows Summit /6/2017 © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be.
Windows Summit /8/2017 © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be.
Windows Summit /9/2017 © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be.
Microsoft Consumer Channels and Central Marketing Group
クラウドコンピテンシーの パフォーマンス要件における 追加の達成方法のご紹介
MPNオンライン説明会 ~ はじめに ~ 本日はご参加いただきありがとうございます。 セミナー参加にあたってのお願いとご注意
Windows Summit /11/7 © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be.
Microsoft Partner Network Office 365 社内使用ライセンスの有効化
~ 第6回 Azure Active Directory とは その1
Azure Pack そして災害対策 日本マイクロソフト株式会社 エバンジェリスト 高添 修
Windows Summit /22/2018 © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may.
Windows Summit /11/23 © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may.
Windows Summit /24/2018 © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may.
Expression Blend 3で始めるSilverlight 3アプリケーション開発
Chad Siefert Senior Test Lead Microsoft Corporation
Windows Azure 通知ハブ.
12/9/ :14 AM © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered.
suppose to be expected to be should be
Microsoft Visual Studio 2005 Tools for
Windows Summit /21/2019 © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be.
Windows Summit /22/2019 © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be.
MIX 09 2/23/2019 1:22 PM © 2009 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered.
Max Morris Principal Program Manager Microsoft Corporation
Windows Summit /24/2019 © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be.
主要関係者の特定用テンプレート Windows 10 and Office 365 導入ステップ 2/24/2019
Yochay Kiriaty Senior Technical Evangelist Microsoft® Corporation
~ 第5回 認証のためのプロキシー Web Application Proxy
Windows Summit /4/10 © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be.
Craig Rowland Senior Program Manager Microsoft Corporation
Microsoft Consumer Channels and Central Marketing Group
Azure AD Webinar シリーズ Azure AD の新しいデバイス管理パターンを 理解しよう
Windows Summit 2010 © 2010 Microsoft Corporation.All rights reserved.Microsoft、Windows、Windows Vista およびその他の製品名は、米国 Microsoft Corporation の米国およびその他の国における登録商標または商標です。
Azure AD Webinar シリーズ Microsoft Intune による モバイルデバイスとアプリのセキュアな管理とは
Windows Summit /22/2019 © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be.
Azure AD Webinar シリーズ 詳説!Azure AD 条件付きアクセス 設計のやり方編
Azure AD Webinar シリーズ #6 Azure Active Directory 利用開始への第一歩
Azure AD Webinar シリーズ #1 適切な Azure AD 認証方式 選択の決め手
Windows Azure メディアサービス
Presentation transcript:

Azure AD Webinar シリーズ #7 IP ベースのアクセス制御から脱却して よりセキュアな環境を構築しよう 8/19/2019 Azure AD Webinar シリーズ #7 IP ベースのアクセス制御から脱却して よりセキュアな環境を構築しよう Azure Active Directory Customer Success Team © 2012 Microsoft Corporation. All rights reserved. Microsoft, Windows, and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

8/19/2019 本 Webinar シリーズの特徴 開発チームのメンバーがお届けする日本語の Webinar (グローバルで展開されている Webinar の日本語版) Azure AD の基礎 (L100–200) のうち特に重要でかつ見落としやすいトピックをピックアップ

いますぐブックマークに ご登録ください! http://aka.ms/AzureAdWebinar 8/19/2019 いますぐブックマークに ご登録ください! 今後のスケジュール、これまでの録画・資料等がまとまっています 今日の資料もこちらからダウンロードできます http://aka.ms/AzureAdWebinar

時間の使い方 13:30-14:00 プレゼンテーション → この間に質問を投稿ください 14:00-14:15 Q&A 8/19/2019 こちらをブックマーク → http://aka.ms/AzureAdWebinar 時間の使い方 13:30-14:00 プレゼンテーション → この間に質問を投稿ください 14:00-14:15 Q&A → 投稿いただいた質問に可能な限りお答えします 本日の資料 URL : http://aka.ms/AzureAdWebinar

もう、時代遅れです ID + 場所 でのアクセス制御

“inside is good, outside is bad” この考え方は捨てましょう! “inside is good, outside is bad” 社内は安全、社外は危険

ID + デバイスの状態での アクセス制御 今の時代のセキュリティは ※ 更に細かい粒度で、アクセス元アプリの状態でのアクセス制御という考え方もあります

クラウド・モバイル時代の前 – 全て社内で完結 社内ネットワーク

現在の常識 - クラウドサービスの利用 ADFS等でアクセス制御 社内ネットワーク

8/19/2019 現在の常識 - どこからでも働く テレワーク ADFS等でアクセス制御 VPN VPN VPN 社内ネットワーク VPN

User-Agent ベースでのアクセス制御は危険 ADFS等でアクセス制御 セキュアではありません 例:iOS/AndroidはMDM管理されているから、ADFSではUser-Agentで判定してアクセス許可 社内ネットワーク VPN

User-Agent は簡単に偽装可能 exists ([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-user-agent", Value =~ "\b.*Android.*\b|\b.*ManagedBrowser\/.*\b|\b.*Outlook-iOS.*\b|\b.*iPhone.*\b|\b.*iPad.*\b"]) => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");

IPベースのアクセス制御は限界に ADFS等でアクセス制御 セキュリティ ユーザービリティ 運用コスト VPN 社内ネットワーク VPN

場所は問わず、デバイスの状態でアクセス制御 ADFS等「条件付きアクセス」で制御 ゼロトラストセキュリティモデル Forresterが提唱(2010年) Google の BeyondCorp が有名 Microsoft 365 を用いた ゼロ トラスト ネットワークの実現 https://blogs.technet.microsoft.com/jpazureid/2018/06/29/building-zero-trust-networks-with-microsoft-365/ 社内ネットワーク

Trusted Devices 信頼されたデバイス デバイスの状態でアクセス制御 Azure AD 「条件付きアクセス」の役割 管理対象(Intune, SCCM, GPO, WD ATP等 の役割) Trusted Devices 信頼されたデバイス 管理されていないデバイス

Trusted Devices 信頼されたデバイス デバイスの状態でアクセス制御 Azure AD 「条件付きアクセス」の役割 管理対象(Intune, SCCM, GPO, WD ATP等 の役割) Trusted Devices 信頼されたデバイス 管理されていないデバイス

Azure AD 条件付きアクセス 条件 制御 アプリケーション OS Platform Is Compliant / Domain joined Is lost or stolen Device Risk デバイス User identity Group membership Session Risk ユーザー Mobile or Cloud app Per app policy アプリ 場所 IP range Prevent data leak Disable print Restrict download Enforce MFA Block sign-in Allow sign-in アクセス制御 アクセス制限 マイクロソフトのクラウドアプリ マイクロソフト以外のクラウド オンプレミスのアプリ Microsoft Azure Azure AD Identity Protection Service Windows Defender https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-conditional-access-azure-portal

Trusted Devices 信頼されたデバイス デバイスの状態でアクセス制御 Azure AD 「条件付きアクセス」の役割 管理対象(Intune, SCCM, GPO, WD ATP等 の役割) Trusted Devices 信頼されたデバイス 管理されていないデバイス

何をもって「信頼されたデバイス」とみなされるか 8/19/2019 何をもって「信頼されたデバイス」とみなされるか

iOS/Android、MacOSは、Intune のみ 8/19/2019 iOS/Android、MacOSは、Intune のみ

Windows10 も Intuneによる管理を検討しよう 8/19/2019 Windows10 も Intuneによる管理を検討しよう

信頼のレベルの違い Intune のポリシーに準拠している状態 最新のGPOが適用されていないかもしれない 8/19/2019 信頼のレベルの違い Intune のポリシーに準拠している状態 最新のGPOが適用されていないかもしれない Windows Updateが適用されていないかもしれない

「条件付きアクセス」の設定 Intune のポリシーに準拠している状態 最新のGPOが適用されていないかもしれない 8/19/2019 「条件付きアクセス」の設定 Intune のポリシーに準拠している状態 最新のGPOが適用されていないかもしれない Windows Updateが適用されていないかもしれない

Windows10 を Intune に登録する 10の方法 https://blogs.technet.microsoft.com/microscott/managing-windows-10-with-intune-the-many-ways-to-enrol/

次に、「ドメイン参加」状態を信頼することを検討 Windows も Intune で管理することをお奨めするが、 それがすぐに実現できない場合 GPOやWindows Updateの適用状態をネットワークへの接続条件にしている場合には、セキュリティレベルが下がる可能性があるため、要注意

Hybrid Azure AD Join のすすめ 管理者の作業で完結、ユーザー作業は一切なし 「ドメイン参加」状態を信頼する場合には必須 ドメイン参加Windows10をIntune管理する場合にも必須 Azure AD AD Domain Joined Azure AD Hybrid Azure AD Joined https://docs.microsoft.com/ja-jp/azure/active-directory/devices/overview#hybrid-azure-ad-joined-devices

Azure AD Connect ウィザードで簡単に構成 要バージョン 1.1.819.0 以上 https://docs.microsoft.com/ja-jp/azure/active-directory/devices/hybrid-azuread-join-federated-domains

手動で Hybrid Azure AD Join を構成 8/19/2019 手動で Hybrid Azure AD Join を構成 Azure AD Connect のアップグレードが難しい場合 フェデレーション(ADFS等利用)環境 非フェデレーション環境 Windows 10 ダウンレベルOS Windows 7/8.1等 手順 1: サービス接続ポイント(SCP)の構成 (Azure AD Connectでコマンド実行) 要 手順 2: ADFSの変更 (クレームルールの追加) 手順 3: ダウンレベルOSの有効化 (MSIモジュールのインストール) 手順 4: デプロイとロールアウトの制御(GPO) RS1からは任意 その他のダウンレベルOS Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 https://docs.microsoft.com/ja-jp/azure/active-directory/devices/hybrid-azuread-join-manual-steps

ID + デバイスの状態での アクセス制御 今の時代のセキュリティは ※ 更に細かい粒度で、アクセス元アプリの状態でのアクセス制御という考え方もあります

事例: 国内製造業 13,000ユーザー Before VPNで社内ネットワークに入ってからOffice 365を利用 ADFSのクレームルールでIPホワイトリスティング After ドメイン参加PCからは、VPN無しで場所を問わず業務 AirWatch VPNからIntuneポリシー準拠型へ移行中

Azure AD Join + Intune 管理 最新の Windows 管理モデル Windows10 のポリシー管理を GPO から Intune へ 新規導入の Windows10 から? Azure AD Azure AD Joined

まとめ 「社内は安全、社外は危険」という考え方を捨てましょう デバイスの状態でアクセス制御を こちらをブックマーク → http://aka.ms/AzureAdWebinar まとめ 「社内は安全、社外は危険」という考え方を捨てましょう デバイスの状態でアクセス制御を アクセス制御には、Azure AD の「条件付きアクセス」を デバイスの健全性保持・状態確認には、Intuneを Windows10 も Intune で管理を それが難しければ、「ドメイン参加」状態の信頼を検討

いますぐブックマークに ご登録ください! http://aka.ms/AzureAdWebinar 8/19/2019 いますぐブックマークに ご登録ください! 今後のスケジュール、これまでの録画・資料等がまとまっています 今日の資料もこちらからダウンロードできます http://aka.ms/AzureAdWebinar

Azure AD 担当者がフォローするべき情報ソース 必ずフォローすべき Blog EMS Blog: http://aka.ms/emsblog/ Azure AD (EMS) 開発チームメンバーが新機能情報をいち早く公開。また、Azure AD 管理者がおさえておくべきセキュリティホワイトペーパーなどもこちらに投稿される Japan Azure Identity Support Blog: https://blogs.technet.microsoft.com/jpazureid 新機能に関しての紹介だけでなく、日本の多くの Azure 利用者からサポート依頼を直接受けている Azure Identity サポート エンジニアという立場から、時には私どもの視点を交えて、皆様のお役に立つ情報を発信 Azure AD Tips 集 http://aka.ms/aadtips お客様への技術支援の中で、よくあるご質問や、Docs で提供されているよりも詳しい日本語の解説が必要と感じたトピックを、開発部門の視点で随時アップデート

http://aka.ms/AzureAdWebinar 今後のWebinar予定 日程 (仮) トピック TechReady 23 8/19/2019 4:19 AM 今後のWebinar予定 http://aka.ms/AzureAdWebinar 日程 (仮) トピック 8/30(木) 13:30-14:15 Azure Active Directory 利用開始への第一歩 Getting Ready for Azure AD 9/13(木) 13:30-14:15 IP ベースのアクセス制御からの脱却してよりセキュアな環境を構築しよう Implement zero trust security using device based conditional 9/27(木) 13:30-14:15 Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策 Key things O365 administrators must do for securing corporate identity 10/11(金) 13:30-14:15 Azure AD の SaaS アプリケーション認証への活用 Utilize Azure AD for 3rp Party app authentication 10/25(木) 13:30-14:15 Azure AD で実現するスムーズな外部パートナー協業 Accelerate partner collaboration through Azure AD © 2016 Microsoft Corporation. All rights reserved. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

ID-BASED SECURITY Initiative のご紹介 TechReady 23 8/19/2019 4:19 AM ID-BASED SECURITY Initiative のご紹介 ID-BASED Security Initiative https://id-bsi.connpass.com/ 次回 Meeting のご案内 https://id-bsi.connpass.com/event/87081/ © 2016 Microsoft Corporation. All rights reserved. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

8/19/2019 Q & A

終了後、アンケートへのご回答お願いいたします! 今後の Webinar でどんな話を聞きたいか、教えてください。 8/19/2019 ご参加ありがとうございました! 終了後、アンケートへのご回答お願いいたします! 今後の Webinar でどんな話を聞きたいか、教えてください。