Office365の運用回りの中で、ADFS/DisSyncを中心にOffice365が出てから3年間での仕様変更と運用での対応など。今までの経緯を踏まえた上で、これからのロードマップや柔軟な対応の必要性について話をします。

1. MVP - Office365
genkiw（渡辺 元気）
.NETラボ勉強会 2014年6月

2. 名前：渡辺 元気（わたなべ げんき）
職業：通信事業者でクラウドサービスの開発
twitter/Facebook：genkiw
MVP Office365 2012.10-
blog：日々徒然 http://blog.o365mvp.com/
（Office365の技術ネタを中心に公開）

3. 本資料については、個人で準備した環境において、個人的に実施した検証結
果を基に記載しております。
あくまで個人の意見・見解であり、所属する会社・組織及びマイクロソフト
社とは一切関係はございません。
また、本資料の内容ならびに閲覧により生じた一切の問題及び不利益につい
て、発表者は一切の責任を負う事はできませんのでご了承ください。

4. ADFSの機能の充実を理解する
ディレクトリ同期の機能の充実を理解する
ID連携の方向性をぼんやりと理解する

5. Office365リリース当初
• ADの無い組織
• 小規模組織
• ADを持つ中～
大規模組織
• ADを持つ大規模組織
BPOS
オンラインサービスID
（サインインツールのID）
オンラインサービスID +
ディレクトリ同期
Office 365
クラウドID
（ｵﾝﾗｲﾝｻｰﾋﾞｽID）
クラウドID +
ディレクトリ同期
ADFS +
ディレクトリ同期

7. ぎりぎりまでβテスト終了後に
シングルサインオン出来るよう
になる旨の表記

8. AD FSでのシングルサインオンはWebブラウザ
アクセス（OWAやSharePoint Online)に限定
①OutlookなどはID/Password入力が必要
②社内接続のみでもADFS Proxyが必要
ADFS ADFS ProxyADDS
internet
内部 DMZ
Outlook
※Office365による
Proxyアクセスの為

9. Exchange OnlineにアクセスしたIP/プロトコル
などを元にアクセス制御ができるように
仕様変更で満たさなくなったセキュリティ要件（社
外からアクセス不可）をカバー
ADFS ADFS Proxy
CAS MBX
Exchange Online
MFG
X-MS-Forwarded-Client-IP
グローバルIP：A
グローバルIP：A
社内

10. 2012.06（初期導入ユーザーから1年）頃より、
世界中のADFSサーバが次々と動作停止

11. 2011.09に関連するADFSデフォルト設定時の
挙動に関連するWikiがTechNetに公開

12. IIS（ADFS Proxy）上で動作する2FAプロダクト
クラウドID向けに管理者（2013.6～）ならびに
一般ユーザー（2014.2～）に提供

13. 下記POP/IMAPのProxyアクセスパターンにお
けるグローバルIP Cが通知されなくなった
弊害として同じアドレス帯のAzure上で展開さ
れているサービスのIPが取得できなくなった

14. ID関係（Azure Active Directory）は変わらない
ので、サーバサイドはあまり影響は無し
クライアントサイドでは、Office Professional
Plus(Office2013)ならびにLync 2013でサインイ
ンアシスタントが不要に。

15. 2012.5 2013.3 2013.8 2013.11
Rollup2 Rollup3 KB2843639 KB2896713
• 主にバグFix
• 主にバグFix
• 要DBスキーマ
変更
• 脆弱性対応:
MS13-066
• FormsSignIn.aspx
修正要
• バグにより一
時公開停止
• KB2843639で
発生した問題
のバグFix
バグFixが中心であり、機能追加はあまり
無い状態

16. デバイス認証（Workplace Join）
AD外のデバイスを識別可能に。BYODを意識
社内
ADDS
ADFS
DRS WAP(ADFS Proxy)
internet
DMZ
iOSWindows8.1
デバイスを
登録

17. 標準で多要素認証への対応
より柔軟なポリシー設定が可能に
ログオンしてくるユーザーの
• ユーザー/グループ
• デバイスの登録/未登録
• 内部/外部
をベースに多要素認証を要求
するポリシーが作成可能

18. ログイン画面のカスタマイズへの対応
リダイレクト前の入力値が渡されてくるなど、
細かい点も修正
好きな画像を
設定可能
会社名
前の画面で入れたID

19. Exchange Online以外のアクセス制御
IPアドレス情報やUser-Agentの情報がADFSに
渡されるようになった
IPや
UserAgent

20. ADFS Proxy経由のアクセスのみのロックアウト
が可能
gMSA/グループ管理サービスアカウント対応
サービスアカウントのパスワード管理不要

21. Alternative Logon IDの利用が可能に
UPNではなく、その他の属性をADFSのログオンID
として利用する事ができるように
ただし、それで利用するその他の属性もOffice365
でドメイン登録されている必要がある
現時点ではあまり活用できるケースが無
いかもしれない…が。

22. 2012.6 Shibboleth IDPによるSSOサポート
2013.9 Works with Office 365-Identityプログラ
ムを通じた3td party製IDPのSSOサポート
2014.3 SAML 2.0 federationサポート

24. ILM2007ベース
32bit版のOS（2008無印など）を用意する必要
デフォルト上限オブジェクト数は10,000
越える場合はサービスリクエスト
同期間隔の調整やMiisclient.exeの直接操作
が非サポートと明言される
BPOS時代に公開されていたカスタマイズ手法が
取れなくなる

25. デフォルト上限オブジェクト数が20,000
2011.10.5以降に作成されたテナント
デフォルト上限オブジェクト数が50,000
2012.5以降に作成されたテナント
独自ドメイン追加をトリガーに300,000に増加
2013.8に機能実装。
既存のテナント（上限が10,000や20,000）も対象

26. FIM2010ベースに移植
ADFSなどと同じく、2008R2に揃えられるように
2012.9に32bit版は2013.1.1でサポートが切れると告知
2013.2に32bit版は2013.10.1で利用できなくなると告知

27. 2011.11 ディレクトリ同期の無効化が可能に
Office365側ではオブジェクトの編集ができない
ディレクトリ同期の障害時など「ゴミ」が残る事も
2012.4頃 ディレクトリ同期オブジェクトの削除
編集はできないが削除はできる様に

28. 2012.9 ディレクトリ同期のフィルタに関わる情
報がTechNetに公開
少し前から英語版のコミュニティのWikiに掲載
新しいバージョンのインストール時に設定が引き
継がれない旨が明記

29. ディレクトリ同期ツールでパスワードも同期
定期的にAD→Office365の片方向の差分同期

30. FIM2010とソフトウェアライセンスが必要。
FIMのOffice 365 Connectorを取得するために
Microsoftサポートが必要

31. ドメインコントローラへのディレクトリ同期イン
ストールがサポート
小規模環境やテスト環境の作成が容易に

32. クラウド⇒オンプレミスのパスワード同期
マルチフォレストサポート
ルールエディタによる柔軟なカスタマイズ
…etc
詳しくは
IdM実験室へ

33. Office 365
クラウドID
（ｵﾝﾗｲﾝｻｰﾋﾞｽID）
クラウドID +
ディレクトリ同期
ADFS +
ディレクトリ同期
AADから
他サービス
/ MDM用途
AD以外の
IDPとも
Hybrid
双方向パス
ワード同期
Hybrid
より柔軟で
安全な
Hybrid
連携先IdP
無し 非AD マルチフォレスト
Hybrid IdP
＋
マルチサービス

34. • OfficeならびにOffice Serverのサブスクリプションモデル化
• Azure IaaSなどクラウドのWindows ServerはCALは不要
Windows Server CALビジネスモデルの終了
Windows Server CAL
AD RMS CAL
FIM CAL
単一モデルによるフルサポート
AAD （+Premium）
Azure RMS
Hybrid IDP
File SV DB
AD
AAD
その他IdP
Multi Service/Device
PC
その他クラウド
サービス
Office365
ADFS
ACS
その他
BYOD
Store

35. ☑どんどんと新しい機能が実装されるが、それを享受するた
めには、原則最新バージョンを導入する必要がある
☑場合によってはサーバOSの入れ替えやCALのバージョン
アップなども必要になってくる
度重なる機能追加
☑古いバージョンは機能追加されないだけでなく、早晩使えな
くなるかもしれないので注意
仕様もどんどん変わります
☑お客様に「これはできない仕様です」と言っていた物が、明
日にはそれが実現できるようになるかも
☑逆に、今日できていた物が明日できなくなるかも

36. フィールドSEあがりの安納です （Microsoft 安納さん）
http://blogs.technet.com/b/junichia/
IdM実験室（MVP 富士榮さん）
http://idmlab.eidentity.jp/
Always on the clock（MVP 国井さん）
http://sophiakunii.wordpress.com/
日々徒然
http://blog.o365mvp.com
Office365コミュニティ
http://community.office365.com/
【公式ページなど】
【blog】