Azure AD Webinar シリーズ #1 適切な Azure AD 認証方式 選択の決め手 9/15/2019 Azure AD Webinar シリーズ #1 適切な Azure AD 認証方式 選択の決め手 Azure Active Directory Customer Success Team © 2012 Microsoft Corporation. All rights reserved. Microsoft, Windows, and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
9/15/2019 本 Webinar シリーズの特徴 開発チームのメンバーがお届けする日本語の Webinar (グローバルで展開されている Webinar の日本語版) Azure AD の基礎 (L100–200) のうち特に重要でかつ見落としやすいトピックをピックアップ
本日のアジェンダ 適切な Azure AD 認証方式の選択の決め手 Why is this choice important? 9/15/2019 本日のアジェンダ 適切な Azure AD 認証方式の選択の決め手 Why is this choice important? What are your options in Azure AD? Decision tree walkthrough with case studies Recommendations
It is the first important decision Why is this choice important? TechReady 23 9/15/2019 12:13 PM It is the first important decision It is your foundation of your infrastructure It is hard to change © 2016 Microsoft Corporation. All rights reserved. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
What are your authentication options with Azure AD? TechReady 23 What are your authentication options with Azure AD? 9/15/2019 12:13 PM 多くの場合、以下 ①~③ の 3 つが検討対象となる クラウド専用 ID Cloud Only Active Directory 同期なし Cloud Authentication ① パスワードハッシュ同期 (PHS) Password Hash Sync + Seamless SSO ② パススルー認証 (PTA) Pass-through authentication + Seamless SSO Active Directory 同期あり ③ フェデレーション認証 Federated Authentication (ADFS or 3rd Party) Federated Authentication © 2016 Microsoft Corporation. All rights reserved. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Microsoft の認証方式に関する推奨事項 TechReady 23 9/15/2019 12:13 PM パスワードハッシュ同期を第一選択とすることを推奨 ① パスワードハッシュ同期 (PHS) Password Hash Sync + Seamless SSO このオプションが第一選択 Cloud Authentication ② パススルー認証 (PTA) Pass-through authentication + Seamless SSO ③ フェデレーション認証 Federated Authentication (ADFS or 3rd Party) Federated Authentication © 2016 Microsoft Corporation. All rights reserved. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
パスワードハッシュ同期 (Password Hash Sync) Cloud [一番推奨な理由] ADFS/WAP が不要となり、構築/運用コストを抑えることができる 認証が Azure AD (Microsoft データセンター) で完結するので、認証パフォーマンスや可用性をお客様が気にする必要がない 攻撃の口をオンプレミスに持たないので、最もセキュア On-premises SaaS Public Cloud Azure Azure AD Application access User Azure AD Connect 🔑 User sign-in Identity sync with password hashes Directory query Active Directory
Seamless Single Sign On Cloud On-premises SaaS Public Cloud Azure Application access 🔑 User sign-in from domain joined machine User Azure AD Azure AD Connect 🔑 Kerberos authentication Identity sync with password hashes Directory query Active Directory
パススルー認証 (Pass-through authentication) Cloud On-premises SaaS Public Cloud Azure Azure AD Connect Identity sync Directory query Azure AD Application access PTA Agent 🔑 Pass-through authentication User Active Directory 🔑 User sign-in PTA Agent
フェデレーション認証 (Federated Authentication) SaaS Public Cloud Azure Cloud Perimeter On-premises Azure AD Connect Identity sync Azure AD Application access Directory query User 🔑 User sign-in Active Directory 🔑 Validation Federation Proxy Federation Server 🔑 User sign-in redirection Federation Server Federation Proxy
Azure AD Authentication decision tree Start Do you need Active Directory integration? Do you want cloud authentication & password protection? Do you have an existing federation provider? Yes No Yes No Yes No Do you have an authentication requirement not natively supported by Azure AD*? Do you have an authentication requirement not natively supported by Azure AD*? Do you want cloud authentication instead of integrating with your federation provider? Yes Yes Yes No No No Cloud only Password Hash Sync + Seamless SSO Pass-through authentication + Seamless SSO Federation
チェックポイント1 : パスワードハッシュ同期を利用するかどうか クラウド認証を利用することによるメリットを享受するかどうかを決める インフラ面でのメリット 環境構成がシンプル (Azure AD Connect のみあればよい) 上記環境のメンテナンス (パッチ適用やバージョンアップなど) が不要 セキュリティ面でのメリット 認証の口をオンプレミス (DMZ) に持つ必要がなく、その部分に対する防御策が不要 クラウド認証側に搭載されている高度な認証/ID セキュリティ機能を利用することが可能 漏洩した資格情報レポート (Leaked Credentials Report) Smart Lockout など ※ PHS 方式の考慮点については以下を参照 http://aka.ms/auth-options
チェックポイント2 : フェデレーション認証を利用すべきかを判断 以前はフェデレーション (ADFS) 認証を行わなければできなかった以下のことが現在は Azure AD のみで出来るようになっている ただし、一部の特殊な要件に対してはフェデレーション認証を用いることが必要。 要件の例に関しては以下を参照 http://aka.ms/auth-options オンプレミス AD とのシングルサインオン (Seamless SSO) アクセス制御 (Conditional Access) 3rd Party SaaS アプリケーションとのシングルサインオン Windows 7/8.1 の Hybrid AD Join Azure MFA の RADIUS 連携 (NPS extension)
チェックポイント3 : PHS 以外の方式を選択した場合の考慮点 災害対策として サイバー攻撃や災害によるオンプレミス停止の際、パスワードハッシュ同期を実施済みの組織は認証方式を切り替えることによりシステムを復帰することが可能 セキュリティ対策として Azure AD ではリスクのあるユーザーや認証アクションを記録するリスクイベント収集の機能が存在し、その中で漏洩した資格情報が組織内に存在しないか確認、存在した場合にアクセス制御を行う機能 (Leaked Credentials Report) が提供されている。この機能はパスワードハッシュ同期の有効化が前提となっている。
Fabrikam Inc – Widget manufacturing business 9/15/2019 12:13 PM 30 years Many factories around the world 7000 factory workers Workday Office 365 © 2014 Microsoft Corporation. All rights reserved. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Azure AD Authentication decision tree Start Do you need Active Directory integration? Do you want cloud authentication & password protection? Yes Yes
Azure AD Authentication decision tree Start Do you need Active Directory integration? Do you want cloud authentication & password protection? Sign-on using smartcards or certificates Sign-on using on-premises MFA Server Sign-on using 3rd party authentication solution An Enterprise PKI supporting Windows Hello for Business Yes Yes Do you have an authentication requirement not natively supported by Azure AD*? Yes No Password Hash Sync + Seamless SSO Federation
Woodgrove Bank – A national financial institution 9/15/2019 12:13 PM Strong regulatory operation Present in almost every region 100’000 employees Office 365 SaaS apps LOB apps © 2014 Microsoft Corporation. All rights reserved. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Azure AD Authentication decision tree Start Do you need Active Directory integration? Do you want cloud authentication & password protection? Do you have an existing federation provider? Yes No Yes No Do you have an authentication requirement not natively supported by Azure AD*? Do you want cloud authentication instead of integrating with your federation provider? Yes Yes No Pass-through authentication with + SSO
Azure AD Authentication decision tree Start Do you need Active Directory integration? Do you want cloud authentication & password protection? Do you have an existing federation provider? Yes No Yes No Sign-on using smartcards or certificates Sign-on using on-premises MFA Server Sign-on using 3rd party authentication solution An Enterprise PKI supporting Windows Hello for Business Do you have an authentication requirement not natively supported by Azure AD*? Do you want cloud authentication instead of integrating with your federation provider? No Yes Yes Federation
Azure AD 認証方式の比較 ◎ 〇 × パススルー認証の制約事項 各認証方式の詳細な機能比較については以下 URL を参照 評価項目 TechReady 23 Azure AD 認証方式の比較 9/15/2019 12:13 PM 評価項目 パスワードハッシュ同期 パススルー認証 フェデレーション認証 (ADFS 利用の場合) Infra setup (構築の大変さ) ◎ Azure AD Connect のみ 〇 AAD Connect + Agent × 沢山サーバーが必要 User Experience (ユーザビリティ) SSO および Azure MFA SSO および MFA (オンプレ/3rd Party 可) Business Continuity (可用性対応の大変さ) Azure AD にお任せ Agent サーバーの高可用性検討 PHS 有効化で強化可能 すべてのサーバーに高可用性対応が必要 Advanced Scenarios Leaked Credentials Report Smart Lockout アカウント状態の即時反映 数多くの認証要件に対応可能 Considerations アカウントステータスの同期に制限あり 対応していないシナリオが存在 (下のリンクを確認) オンプレサーバーの運用管理 パススルー認証の制約事項 https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnect-pass-through-authentication-current-limitations 各認証方式の詳細な機能比較については以下 URL を参照 http://aka.ms/auth-options © 2016 Microsoft Corporation. All rights reserved. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Microsoft の認証方式に関する推奨事項 TechReady 23 9/15/2019 12:13 PM パスワードハッシュ同期を第一選択とすること どのオプションを選択したとしても、パスワードハッシュ同期を有効化すること [代表的なメリット] オンプレミス環境の構築・管理から解放される 導入が簡単 最低限のサーバー台数 (必要となるのは Azure AD Connect のみ) 証明書管理が不要 DMZ を含む外部からの認証アクセスセキュリティ管理が不要 など 認証は Microsoft データセンターにお任せとなるため、可用性の考慮が不要 [理由] 災害時のオンプレミスシステムダウンへの備えとして クラウドベースの高度な認証セキュリティ機能の利用のため © 2016 Microsoft Corporation. All rights reserved. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Resources More webinars Resources TechReady 23 9/15/2019 12:13 PM Resources Choosing the right authentication method article http://aka.ms/auth-options Migration Guides http://aka.ms/aadauthmigrate Coming soon! Deployment wizard https://aka.ms/aadconnectwiz More webinars http://aka.ms/aadwebinars © 2016 Microsoft Corporation. All rights reserved. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Resources aka.ms/AzureADWebinar Coming topics 日程 (仮) トピック TechReady 23 Coming topics 9/15/2019 12:13 PM Resources aka.ms/AzureADWebinar 日程 (仮) トピック 6/7(木) 13:30-14:00 Azure AD の SaaS アプリケーション認証への活用 Utilize Azure AD for 3rp Party app authentication 6/21(木) Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策 Key things O365 administrators must do for securing corporate identity 7/5(木) Azure AD で実現するスムーズな外部パートナー協業 Accelerate partner collaboration through Azure AD 7/19(木) Azure AD セルフサービス機能を用いてコスト削減 How to use full Azure AD self-service capabilities © 2016 Microsoft Corporation. All rights reserved. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
ID-BASED SECURITY Initiative のご紹介 TechReady 23 ID-BASED SECURITY Initiative のご紹介 9/15/2019 12:13 PM Resources ID-BASED Security Initiative https://id-bsi.connpass.com/ 次回 Meeting のご案内 https://id-bsi.connpass.com/event/87081/ © 2016 Microsoft Corporation. All rights reserved. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
9/15/2019 Thank you!