Azure AD Webinar シリーズ #7 IP ベースのアクセス制御から脱却して よりセキュアな環境を構築しよう

Presentation on theme: "Azure AD Webinar シリーズ #7 IP ベースのアクセス制御から脱却して よりセキュアな環境を構築しよう"— Presentation transcript:

1 Azure AD Webinar シリーズ #7 IP ベースのアクセス制御から脱却して よりセキュアな環境を構築しよう
8/19/2019 Azure AD Webinar シリーズ #7 IP ベースのアクセス制御から脱却して よりセキュアな環境を構築しよう Azure Active Directory Customer Success Team © 2012 Microsoft Corporation. All rights reserved. Microsoft, Windows, and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

2 8/19/2019 本 Webinar シリーズの特徴 開発チームのメンバーがお届けする日本語の Webinar (グローバルで展開されている Webinar の日本語版) Azure AD の基礎 (L100–200) のうち特に重要でかつ見落としやすいトピックをピックアップ

3 いますぐブックマークに ご登録ください！ http://aka.ms/AzureAdWebinar
8/19/2019 いますぐブックマークに ご登録ください！ 今後のスケジュール、これまでの録画・資料等がまとまっています 今日の資料もこちらからダウンロードできます

4 時間の使い方 13:30-14:00 プレゼンテーション → この間に質問を投稿ください 14:00-14:15 Q&A
8/19/2019 こちらをブックマーク → 時間の使い方 13:30-14:00 プレゼンテーション → この間に質問を投稿ください 14:00-14:15 Q&A → 投稿いただいた質問に可能な限りお答えします 本日の資料 URL :

5 もう、時代遅れです ID + 場所 でのアクセス制御

6 “inside is good, outside is bad”
この考え方は捨てましょう！ “inside is good, outside is bad” 社内は安全、社外は危険

7 ID + デバイスの状態での アクセス制御 今の時代のセキュリティは
※ 更に細かい粒度で、アクセス元アプリの状態でのアクセス制御という考え方もあります

8 クラウド・モバイル時代の前 – 全て社内で完結
社内ネットワーク

9 現在の常識 - クラウドサービスの利用 ADFS等でアクセス制御 社内ネットワーク

10 8/19/2019 現在の常識 - どこからでも働く テレワーク ADFS等でアクセス制御 VPN VPN VPN 社内ネットワーク VPN

11 User-Agent ベースでのアクセス制御は危険
ADFS等でアクセス制御 セキュアではありません 例：iOS/AndroidはMDM管理されているから、ADFSではUser-Agentで判定してアクセス許可 社内ネットワーク VPN

12 User-Agent は簡単に偽装可能 exists ([Type == " Value =~ "\b.*Android.*\b|\b.*ManagedBrowser\/.*\b|\b.*Outlook-iOS.*\b|\b.*iPhone.*\b|\b.*iPad.*\b"]) => issue(Type = " Value = "true");

13 IPベースのアクセス制御は限界に ADFS等でアクセス制御 セキュリティ ユーザービリティ 運用コスト VPN 社内ネットワーク VPN

14 場所は問わず、デバイスの状態でアクセス制御
ADFS等「条件付きアクセス」で制御 ゼロトラストセキュリティモデル Forresterが提唱（2010年） Google の BeyondCorp が有名 Microsoft 365 を用いた ゼロ トラスト ネットワークの実現 社内ネットワーク

15 Trusted Devices 信頼されたデバイス
デバイスの状態でアクセス制御 Azure AD 「条件付きアクセス」の役割 管理対象（Intune, SCCM, GPO, WD ATP等 の役割） Trusted Devices 信頼されたデバイス 管理されていないデバイス

16 Trusted Devices 信頼されたデバイス
デバイスの状態でアクセス制御 Azure AD 「条件付きアクセス」の役割 管理対象（Intune, SCCM, GPO, WD ATP等 の役割） Trusted Devices 信頼されたデバイス 管理されていないデバイス

17 Azure AD 条件付きアクセス 条件 制御 アプリケーション
OS Platform Is Compliant / Domain joined Is lost or stolen Device Risk デバイス User identity Group membership Session Risk ユーザー Mobile or Cloud app Per app policy アプリ 場所 IP range Prevent data leak Disable print Restrict download Enforce MFA Block sign-in Allow sign-in アクセス制御 アクセス制限 マイクロソフトのクラウドアプリ マイクロソフト以外のクラウド オンプレミスのアプリ Microsoft Azure Azure AD Identity Protection Service Windows Defender

18

19

20

21

22 Trusted Devices 信頼されたデバイス
デバイスの状態でアクセス制御 Azure AD 「条件付きアクセス」の役割 管理対象（Intune, SCCM, GPO, WD ATP等 の役割） Trusted Devices 信頼されたデバイス 管理されていないデバイス

23 何をもって「信頼されたデバイス」とみなされるか
8/19/2019 何をもって「信頼されたデバイス」とみなされるか

24 iOS/Android、MacOSは、Intune のみ
8/19/2019 iOS/Android、MacOSは、Intune のみ

25 Windows10 も Intuneによる管理を検討しよう
8/19/2019 Windows10 も Intuneによる管理を検討しよう

26 信頼のレベルの違い Intune のポリシーに準拠している状態 最新のGPOが適用されていないかもしれない
8/19/2019 信頼のレベルの違い Intune のポリシーに準拠している状態 最新のGPOが適用されていないかもしれない Windows Updateが適用されていないかもしれない

27 「条件付きアクセス」の設定 Intune のポリシーに準拠している状態 最新のGPOが適用されていないかもしれない
8/19/2019 「条件付きアクセス」の設定 Intune のポリシーに準拠している状態 最新のGPOが適用されていないかもしれない Windows Updateが適用されていないかもしれない

28 Windows10 を Intune に登録する 10の方法

29 次に、「ドメイン参加」状態を信頼することを検討
Windows も Intune で管理することをお奨めするが、 それがすぐに実現できない場合 GPOやWindows Updateの適用状態をネットワークへの接続条件にしている場合には、セキュリティレベルが下がる可能性があるため、要注意

30 Hybrid Azure AD Join のすすめ
管理者の作業で完結、ユーザー作業は一切なし 「ドメイン参加」状態を信頼する場合には必須 ドメイン参加Windows10をIntune管理する場合にも必須 Azure AD AD Domain Joined Azure AD Hybrid Azure AD Joined

31 Azure AD Connect ウィザードで簡単に構成
要バージョン 以上

32 手動で Hybrid Azure AD Join を構成
8/19/2019 手動で Hybrid Azure AD Join を構成 Azure AD Connect のアップグレードが難しい場合 フェデレーション(ADFS等利用)環境 非フェデレーション環境 Windows 10 ダウンレベルOS Windows 7/8.1等 手順 1: サービス接続ポイント（SCP）の構成 （Azure AD Connectでコマンド実行） 要 手順 2: ADFSの変更 （クレームルールの追加） 手順 3: ダウンレベルOSの有効化 （MSIモジュールのインストール） 手順 4: デプロイとロールアウトの制御（GPO） RS1からは任意 その他のダウンレベルOS Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2

33 ID + デバイスの状態での アクセス制御 今の時代のセキュリティは
※ 更に細かい粒度で、アクセス元アプリの状態でのアクセス制御という考え方もあります

34 事例： 国内製造業 13,000ユーザー Before VPNで社内ネットワークに入ってからOffice 365を利用
ADFSのクレームルールでIPホワイトリスティング After ドメイン参加PCからは、VPN無しで場所を問わず業務 AirWatch VPNからIntuneポリシー準拠型へ移行中

35 Azure AD Join + Intune 管理
最新の Windows 管理モデル Windows10 のポリシー管理を GPO から Intune へ 新規導入の Windows10 から？ Azure AD Azure AD Joined

36 まとめ 「社内は安全、社外は危険」という考え方を捨てましょう デバイスの状態でアクセス制御を
こちらをブックマーク → まとめ 「社内は安全、社外は危険」という考え方を捨てましょう デバイスの状態でアクセス制御を アクセス制御には、Azure AD の「条件付きアクセス」を デバイスの健全性保持・状態確認には、Intuneを Windows10 も Intune で管理を それが難しければ、「ドメイン参加」状態の信頼を検討

37 いますぐブックマークに ご登録ください！ http://aka.ms/AzureAdWebinar
8/19/2019 いますぐブックマークに ご登録ください！ 今後のスケジュール、これまでの録画・資料等がまとまっています 今日の資料もこちらからダウンロードできます

38 Azure AD 担当者がフォローするべき情報ソース
必ずフォローすべき Blog EMS Blog: Azure AD (EMS) 開発チームメンバーが新機能情報をいち早く公開。また、Azure AD 管理者がおさえておくべきセキュリティホワイトペーパーなどもこちらに投稿される Japan Azure Identity Support Blog: 新機能に関しての紹介だけでなく、日本の多くの Azure 利用者からサポート依頼を直接受けている Azure Identity サポート エンジニアという立場から、時には私どもの視点を交えて、皆様のお役に立つ情報を発信 Azure AD Tips 集 お客様への技術支援の中で、よくあるご質問や、Docs で提供されているよりも詳しい日本語の解説が必要と感じたトピックを、開発部門の視点で随時アップデート

39 http://aka.ms/AzureAdWebinar 今後のWebinar予定 日程 (仮) トピック
TechReady 23 8/19/2019 4:19 AM 今後のWebinar予定 日程 (仮) トピック 8/30(木) 13:30-14:15 Azure Active Directory 利用開始への第一歩 Getting Ready for Azure AD 9/13(木) 13:30-14:15 IP ベースのアクセス制御からの脱却してよりセキュアな環境を構築しよう Implement zero trust security using device based conditional 9/27(木) 13:30-14:15 Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策 Key things O365 administrators must do for securing corporate identity 10/11(金) 13:30-14:15 Azure AD の SaaS アプリケーション認証への活用 Utilize Azure AD for 3rp Party app authentication 10/25(木) 13:30-14:15 Azure AD で実現するスムーズな外部パートナー協業 Accelerate partner collaboration through Azure AD © 2016 Microsoft Corporation. All rights reserved. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

40 ID-BASED SECURITY Initiative のご紹介
TechReady 23 8/19/2019 4:19 AM ID-BASED SECURITY Initiative のご紹介 ID-BASED Security Initiative 次回 Meeting のご案内 © 2016 Microsoft Corporation. All rights reserved. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

41 8/19/2019 Q & A

42 終了後、アンケートへのご回答お願いいたします！ 今後の Webinar でどんな話を聞きたいか、教えてください。
8/19/2019 ご参加ありがとうございました！ 終了後、アンケートへのご回答お願いいたします！ 今後の Webinar でどんな話を聞きたいか、教えてください。