Microsoft Tech Summit 2017本情報の内容(添付文書、リンク先などを含む)は、Microsoft Tech Summit 2017 開催日(2017 年 11 月 8日 - 9 日)時点のものであり、予告なく変更される場合があります。
うちの営業職たちに、外出先から社内システム使わせたいんだけどさ
iPadとかも使えるようにしてよ
?
Azure Active Directory http://sales/
http://sales/
https://sales-teppeiy.msappproxy.net/
Azure Active Directory http://sales/
http://sales/
https://sales-teppeiy.msappproxy.net/
すべてのOffice 365、Microsoft Azure のお客様は Azure Active Directoryを利用
9.5億ユーザー
90 %の Fortune 500が利用
1,220億回の認証/月2017年8月
56,000有償サブスクリプション
1,200万テナント
https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-application-proxy-get-started
https://www.microsoft.com/ja-jp/cloud-platform/azure-active-directory-features
1.1 Azureポータル (portal.azure.com) でAppProxyの有効化
1.2 オンプレサーバーにコネクタをインストール
2.1 Azureポータル (portal.azure.com) でアプリを追加
2.2 追加したアプリにユーザーの割り当て(アクセス権限付与)
Azure AD(Office 365)のテナントを持っていない場合、こちらから取得
https://azure.microsoft.com/ja-jp/trial/get-started-active-directory/
https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-application-proxy-enable
ステップ 1.1: portal.azure.comでAppProxyの有効化
ステップ 1.2: コネクタのインストール(ダウンロード)
ステップ 1.2: コネクタのインストール
ステップ 1.2: コネクタのインストール(確認)
ステップ 1.2: コネクタのインストール(確認)
送信ポート番号 説明
80 セキュリティ検証用の送信 HTTP トラフィックに使用されます。
443 Azure AD に対するユーザー認証に使用されます (コネクタ登録プロセスでのみ必要)。
https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-application-proxy-enable#open-your-ports
*.msappproxy.net
*.servicebus.windows.netlogin.windows.net (コネクタ登録時のみ)
login.microsoftonline.net (コネクタ登録時のみ)
もしくは、毎週更新される Azure DataCenter IP 範囲
C:¥Program Files¥Microsoft AAD App Proxy Connector¥ApplicationProxyConnectorService.exe.config
https://docs.microsoft.com/ja-jp/azure/active-directory/application-proxy-working-with-proxy-servers
ステップ 1.2: コネクタのインストール(確認)
1. インフラのセットアップ1.1 Azureポータル (portal.azure.com) でAppProxyの有効化
1.2 オンプレサーバーにコネクタをインストール
Azure AD(Office 365)のテナントを持っていない場合、こちらから取得
https://azure.microsoft.com/ja-jp/trial/get-started-active-directory/
https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-application-proxy-enable
ステップ 2.1: アプリの追加
ステップ 2.1: アプリの追加
ステップ 2.1: アプリの追加
http://sales/
https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-application-proxy-custom-domains
ステップ 2.2: ユーザーの割り当て
内部URL配下のみ公開される
→ ルートを公開
http://sales/
https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-application-proxy-troubleshoot#the-page-is-not-rendered-correctly
Beforehttp://sales/top/ ←意図するページ
Afterhttp://sales/ ← でもこっちに飛ぶ
→ ホームページURLの設定
https://docs.microsoft.com/ja-jp/azure/active-directory/application-proxy-office365-app-launcher
→ 社内URL=社外URL
→ リンク変換公開している他アプリの内部URLを外部URLへ変換
https://docs.microsoft.com/ja-jp/azure/active-directory/application-proxy-link-translation
<a href=http://support/>サポートオペレーション情報</a>
<a href=https://support-teppeiy.msappproxy.net/>サポートオペレーション情報</a>
Azure Active Directory http://sales/
https://sales-teppeiy.msappproxy.net/
①
Azure Active Directory http://sales/
https://sales-teppeiy.msappproxy.net/
②①
https://docs.microsoft.com/ja-jp/azure/active-directory/application-proxy-sso-azure-portal
https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-application-proxy-sso-using-kcd
http://sales/
https://sales-teppeiy.msappproxy.net/
Azure Active Directory
Kerberos の制約付き委任(KCD)の利用
1. コネクタがユーザーの代理でDCに認証2. ケルベロスチケットをもらう
3. コネクタがアプリにチケットを渡す
https://docs.microsoft.com/ja-jp/azure/active-directory/application-proxy-sso-overview
https://docs.Microsoft.com/ja-jp/azure/active-directory/application-proxy-publish-remote-desktop
https://docs.microsoft.com/ja-jp/azure/active-directory/application-proxy-enable-remote-access-sharepoint
https://docs.microsoft.com/ja-jp/azure/active-directory/application-proxy-teams
https://docs.microsoft.com/ja-jp/azure/active-directory/application-proxy-understand-connectors#capacity-planning
コア RAM 予想される待機時間 (ミリ秒) - P99 最大 TPS
2 8 325 586
4 16 320 1150
8 32 270 1190
16 64 245 1200*
豊洲データセンター
AWS東京リージョン
https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-application-proxy-connectors-azure-portal
Ring1
Ring2
https://docs.microsoft.com/ja-jp/azure/active-directory/application-proxy-network-topology-considerations
②① ③
https://docs.microsoft.com/ja-jp/intune/app-configuration-managed-browser#how-to-configure-application-proxy-settings-for-the-managed-browser
http://*.contoso.local
営業 Sales.contoso.local
サポート Support.contoso.local
人事 HR.contoso.local
Office 365 の延長でSSO
VPN張らないと・・・なんてことがなくなる
攻撃対象をゼロに、対策はマイクロソフトに任す
アクセス制御をAzure ADに集約
複雑なインフラの維持管理が不要
DMZも不要に
https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-application-proxy-get-started
うちの営業職たちに、外出先から社内システム使わせたいんだけどさ
iPadとかも使えるようにしてよ
Session ID Title
SEC004 Active Directory/Azure Active Directory の構成パターンと正しい認証方式の選択
SEC006 Office 365 関係者に告ぐ「"脱 AD FS"の準備は整った」 Azure AD による SSO とアクセス制御
SEC010 Secure Modern Workstyle を実現するための EMS 活用の基礎