Upload
tsukasa-katou
View
120
Download
1
Embed Size (px)
Citation preview
Azure Active Directoryの最新機能の概要紹介
JAZUG 福岡(ふくあず) × Fukuoka.NET合同企画
de:code2016 振り返り勉強会
2016/6/23
Tsukasa Katoh
はじめに
Azure Active Directoryの機能についてここ1年くらいで実装されてきたものについて紹介しています。
本資料の内容は2016年6月ごろの状況です。プレビューの機能については特に仕様が変わる可能性がありますのでご注意ください。
Copyright© 2015, JAZUG All Rights Reserved.
3
自己紹介
加藤 司(Tsuksa Katou)
熊本市在住
元金融系インフラエンジニア
現在はクラウドインテグレータをやっています
コミュニティ活動・Japan Azure User Group熊本支部 代表・熊本クラウド語ろう会 代表
Copyright© 2015, JAZUG All Rights Reserved.
4
Facebook https://www.facebook.com/tsukasa.katou.9
de:code2016に行ってみて
今回が de:code 初参加でしたが、ものすごく活気にあふれてい
て刺激を受けました。
企業などの出展ブースやプログラミング体験コーナーなど色々
な趣向で楽しむことができました。
2日間で150を超えるセッションがあり、充実した2日間になっ
たと思います。
Copyright© 2015, JAZUG All Rights Reserved.
5
Azure Active Direcotry(AAD)とは
クラウドの認証基盤Azure,Office365,Microsoft Intune, Dynamics CRMなどの認証基盤
業界標準プロトコルのサポートOpenID Connect & Oauth 2.0, SAML 2.0, WS-Federation
クロスプラットフォームサポートWindows, iOS, Mac, Android, etc…
Copyright© 2015, JAZUG All Rights Reserved.
7
Azure Active Direcotry(AAD)とは
Copyright© 2015, JAZUG All Rights Reserved.
8
オンプレミス Microsoft Azure
ID同期
SharePoint OnlineExchange OnlineSkype for Business
SaasWeb アプリ
認証
AD DS+ AD FS
新機能・サービス
Copyright© 2015, JAZUG All Rights Reserved.
9
• Azure AD Connect v1.1
• Azure AD Connect Health
• Microsoft Identity Manager 2016ID管理・同期
• Azure AD ドメインサービス [プレビュー]
• Microsoft Passport for Work [プレビュー]
• Azure AD B2C [プレビュー]
• Azure AD B2Bコラボレーション [プレビュー]
認証関連
• Azure AD Identity Protection [プレビュー]
• Azure AD Privileged Identity Management [プレビュー]
• Microsoft Advanced Threat Analyticsセキュリティ
• Azure AD Join
• Office365先進認証•新しい認証エンドポイント
ID管理・同期
Azure AD Connect v1.1
Azure AD Connect Health
Microsoft Identity Manager 2016
Copyright© 2015, JAZUG All Rights Reserved.
11
ID管理・同期
Azure AD Connect v1.1DirSync, Azure AD Sync サポート終了(2017/04/13)
自動アップグレード
• 新しいバージョンがリリースされると自動的にアップグレードされる※自動アップグレードはAzure AD Connect Health基盤を利用
同期間隔の変更(規定値:3時間⇒30分間隔へ変更)
ステージングモード
• 同期サーバーのスタンバイサーバーが構築可能になった
• エクスポートをしないステージングモードの追加
AD DSとAzure ADの双方向の同期
• 単一のAzure ADテナントへの複数の同期サーバー構成はサポート外
Copyright© 2015, JAZUG All Rights Reserved.
12
ID管理・同期
Azure AD Connect HealthAzure AD Connect Health for AD FS
• AD FSの死活監視やパフォーマンス監視
• AD FSの使用状況の分析、レポートの作成
Azure AD Connect Health for Sync
• Azure AD Connectサーバーの死活監視
• 同期操作の分析、Azure ADへのエクスポートについての概要情報表示
Microsoft Identity Manager 2016オンプレミスID管理
Forefront Identity Manager (FIM) の後継
Copyright© 2015, JAZUG All Rights Reserved.
13
認証関連
認証プロトコル新しい認証エンドポイント
Azure AD Join
Microsoft Passport for Work [プレビュー]
Office 365 先進認証Azure AD ドメインサービス [プレビュー]
Azure AD B2C [プレビュー]
Azure AD B2B [プレビュー]
Copyright© 2015, JAZUG All Rights Reserved.
15
認証関連
認証プロトコル
Copyright© 2015, JAZUG All Rights Reserved.
16
クラウド
• SAML 2.0
•WS-Federation
•OAuth 2.0
•OpenID Connect
オンプレミス
• SAML 2.0
•WS-Federation
•Oauth 2.0 (一部WS 2016)
•OpenID Connect (WS 2016)
• Kerberos/NTLM
• LDAP
クレームベース認証
認証関連
新しいエンドポイント(v2.0 エンドポイント) [一部GA]Microsoft アカウントとAzure AD アカウントの認証エンドポイントの統合
• Microsoft アカウントとAzure AD アカウントの両方からのサインインを受け付けるアプリの作成が可能に・OpenID Connect と Oauth 2.0のサポート・Microsoft Authentication Library (MSAL) … [Preview]
部分的なリリースであるため機能的制限があるため、利用する機能によって使うバージョンを切り分ける必要がある。
Copyright© 2015, JAZUG All Rights Reserved.
17
認証関連
Azure AD Join会社所有のデバイスを Azure Active Directory に登録することでデバイスの一元管理
Azure AD に参加できるのはWindows 10 のみ
Copyright© 2015, JAZUG All Rights Reserved.
18
認証関連
Microsoft Passport for Work [Preview]Windows Server 2016 での Passport認証対応
ドメイン参加端末でもPassport認証が利用可能となる
• 従来はドメイン参加 or Azure AD参加
Azure ADとのAAD Connectによる連携
• コンピュータオブジェクトの同期(デバイスのライトバック構成が必要)
Widnows Server 2016 AD FS
• Microsoft Passport for Workに対応 ⇒ ハイブリッド構成でのPassport認証が可能に
• OpenID Connect対応
Copyright© 2015, JAZUG All Rights Reserved.
19
認証関連
Office 365 先進認証 [一部GA]Office クライアントの ActiveDirectory Authentication Library(ADAL)ベースの認証方式への対応
• SharePoint Online:有効
• Exchange Online:無効(PoweShellで有効化する)
• Skype Online:無効(Microsoft Connectからリクエスト)
Office 2013以降必須
• 対応状況は以下参照https://blogs.office.com/2015/11/19/updated-office-365-modern-authentication-public-preview/
Copyright© 2015, JAZUG All Rights Reserved.
20
認証関連
Azure ADドメインサービス (AAD DS) [Preview]AD DSと完全互換性のドメインサービス
Azure 仮想ネットワーク上にAzure AD テナントと同期するドメインコントローラーを展開(Kerberos, LDAP, グループポリシーなどの提供)
Linux 仮想マシンのドメイン参加サポート• 現状はRed Hat Enterprise Linuxのみサポート
AAD DSの制約• 管理者権限(Domain Admins, Enterprise Admins)などのグループは利用不可
• ディレクトリデータへの書き込み、スキーマ拡張不可(変更に関してはAzureADより)
• グループポリシーはAAD DSの既定のもののみ利用可(カスタムGPO作成不可)
Copyright© 2015, JAZUG All Rights Reserved.
21
認証関連
Azure AD B2Bコラボレーション [Preview]外部組織ユーザーの招待、アプリケーションの割り当てが可能
外部ユーザーの招待・承認にはCSVファイルにより行われる
Azure AD B2C [Preview]コンシューマーの ID とアクセスの管理
規模に応じた料金体系(Freeレベルからスケールが可能)
ソーシャルアカウント利用⇒Facebook, Google+ LinkedInなど
Copyright© 2015, JAZUG All Rights Reserved.
22
セキュリティ
Azure AD Identity Protection [プレビュー]
Azure AD Privileged Identity Management[プレビュー]
Microsoft Advanced Threat Analytics
Copyright© 2015, JAZUG All Rights Reserved.
24
セキュリティ
Azure AD Identity Protection [Preview]リスクベース認証機能の提供
• リスクの検出⇒機械学習とヒューリスティック規則を使用して、リスクイベントを検出
• リスクの調査⇒リスクイベントの通知、レポートの生成
• ID保護⇒条件付きアクセスポリシーによる自動的ID保護
Copyright© 2015, JAZUG All Rights Reserved.
25
セキュリティ
Azure AD Privileged Identity Management [Preview]Just-in-Time (JIT) による特権管理
• 許可された時間内でのみ特権付与
特権 ID と、Azure AD や他の Microsoft オンラインサービス (Office 365 や Microsoft Intune など) のリソースへのアクセスを管理、制御、監視
Microsoft Advanced Threat Analyticsネットワーク設置型IDS・システム内での疑わしいアクティビティ・攻撃の検出・ユーザーの行動をプロファイリングおよび検出対象を判断する
Copyright© 2015, JAZUG All Rights Reserved.
26
まとめ
OpenID Connect や Microsoft Passportのサポートにより、幅広いアカウントの管理ができるようになりアプリケーションの認証等に幅が出てくる
独自認証を利用するより、クレームベース認証方式を採用することでクラウド・オンプレミスを問わず認証できるアプリケーションの構築が可能に
セキュリティはしっかりとしていかないといけないので特権管理等は計画的に
Copyright© 2015, JAZUG All Rights Reserved.
27