Office365の3つのIDの利用形態　①クラウドID　②クラウドID＋ディレクトリ同期　③フェデレーションID＋ディレクトリIDの適用範囲についての考察と運用のTIPSを紹介しています。

1. MVP - Office365
genkiw（渡辺 元気）

2. 名前：渡辺 元気（わたなべ げんき）
職業：通信事業者でクラウドサービスの開発
twitter/Facebook：genkiw
blog：日々徒然 http://blog.o365mvp.com/
（Office365の技術ネタを中心に公開）
MVP Office365
2012.10～2013.09

3. Office365の代表的な3つのIDの実装パターン
について紹介
この2年間でOffice365のID関連で新たに更新
された内容について紹介
Office365のID管理を行う上でのTipsの紹介
上記を踏まえて現時点において各パターンの
適用領域を理解する

5. クラウドID
(Microsoft Online ID)
フェデレーションID
Office365で認証を実施
連携先で認証を実施
クラウド上のアカウント
同期アカウント
Office365で属性変更が可能
同期元（AD）のみ変更が可能
（※基本的に）
同期元のみ変更が可能

6. クラウドID クラウドID
＋ディレクトリ同期
フェデレーションID
＋ディレクトリ同期
シナリオ • ADの無い小規模
組織
• ADを持つ中～大規模
組織
• ADを持つ大規模な組
織
メリット • オンプレミスに
サーバー展開不要
• ユーザー・グループ
情報を一元管理可能
• Exchange共存シナリ
オが可能
• 社内ADでSSO
• ユーザー・グループ
情報を一元管理可能
• パスワード管理はAD
で一元管理
• 2要素認証可能
• Exchange共存シナ
リオが可能
デメリット • SSO不可
• 2要素認証不可
• 2種類の資格情報
• SSO不可
• 2要素認証不可
• 2種類の資格情報
• サーバーの導入
(DirSync)が必須
• サーバーの導入(AD
FS, DirSync)が必須

7. AD FSでのシングルサインオンはWebブラウザ
アクセス（OWAやSharePoint Online)に限定
⇒ OutlookなどはID/Password入力が必要
（Active Directoryと同じ値、保存可能）
ADFS ADFS ProxyADDS
internet
内部 DMZ
Outlook
※Office365による
Proxyアクセスの為

8. Office365に設定された連絡用メールアドレス・
携帯番号を利用してパスワード変更
管理者のみ、テナント毎に有効化無効化可能

9. Exchange Onlineにアクセスしたユーザー名/グ
ループ/IP/プロトコルなどを元にアクセス制御
標準機能でIP制限できるのはこの方式のみ
ADFS ADFS Proxy
CAS MBX
Exchange Online
MFG
X-MS-Forwarded-Client-IP
グローバルIP：A
グローバルIP：A
社内

10. デフォルトポリシー
8文字以上16文字以下
パスワードの有効期間90日（無期限化可能）
「小・大文字」「数字」「記号」3種以上（緩和可能）

11. 買収したPhoneFactorの機能（現在プレビュー）
電話/SMS/スマートフォンAPによる認証
1234-5679

12. 電話、SMSの他に専用トークンアプリ（Active
Authenticationアプリケーション）

13. ディレクトリ同期ツールでパスワードも同期
定期的にAD→Office365の片方向の差分同期

14. クラウドID クラウドID
＋ディレクトリ同期
フェデレーションID
＋ディレクトリ同期
シナリオ • ADの無い小規模
組織
• ADを持つ中～大規模
組織
• ADを持つ大規模な組
織
メリット • オンプレミスに
サーバー展開不要 • ユーザー・グループ
情報を一元管理可能
• Exchange共存シナリ
オが可能
• 社内ADでSSO
• ユーザー・グループ
情報を一元管理可能
• パスワード管理はAD
で一元管理
• 2要素認証可能
• Exchange共存シナ
リオが可能
デメリット • SSO不可
• 2要素認証不可
• 2種類の資格情報
• サーバーの導入
(DirSync)が必須
• サーバーの導入(AD
FS, DirSync)が必須
クラウドID クラウドID
＋ディレクトリ同期
フェデレーションID
＋ディレクトリ同期
シナリオ • ADの無い小規模
組織
• ADを持つ中～大規模
組織
• ADを持つ大規模な組
織
メリット • オンプレミスに
サーバー展開不要 • ユーザー・グループ
情報を一元管理可能
• Exchange共存シナリ
オが可能
• 社内ADでSSO
• ユーザー・グループ
情報を一元管理可能
• パスワード管理はAD
で一元管理
• 2要素認証可能
• Exchange共存シナ
リオが可能
デメリット • SSO不可
• 2要素認証不可
• 2種類の資格情報
• サーバーの導入
(DirSync)が必須
• サーバーの導入(AD
FS, DirSync)が必須
クラウドID クラウドID
＋ディレクトリ同期
フェデレーションID
＋ディレクトリ同期
シナリオ • ADの無い小規模
組織
• ADを持つ中～大規模
組織
• ADを持つ大規模な組
織
メリット • オンプレミスに
サーバー展開不要
• 2要素認証可能
• ユーザー・グループ
情報を一元管理可能
• パスワード管理はAD
で一元管理
• 2要素認証可能
• Exchange共存シナリ
オが可能
• 社内ADでSSO
• ユーザー・グループ
情報を一元管理可能
• パスワード管理はAD
で一元管理
• 2要素認証可能
• Exchange共存シナ
リオが可能
• アクセス制限可能
デメリット • SSO不可
• 2要素認証不可
• 2種類の資格情報
• サーバーの導入
(DirSync)が必須
• サーバーの導入(AD
FS, DirSync)が必須
？
≒？

15. 社内
Windows Server 2012 R2のAD FSでは
「Workplace Join」によるBYOD環境への対応
ADDS
ADFS
DRS WAP(ADFS Proxy)
internet
DMZ
iOSWindows8.1
デバイスを
登録

16. 標準で多要素認証を意識したシステムとなって
おり、連携が強化されている
ログオンしてくるユーザーの
• ユーザー/グループ
• デバイスの登録/未登録
• 内部/外部
をベースに多要素認証を要求
するポリシーが作成可能
AD FSクレームルールの拡張

17. 詳しくは、Windows Server 2012 R2 Previewをダ
ウンロードするともれなく貰える勉強会キットで
「最新の仮想環境で最新の BYOD を体験するための
テスト環境構築手順書」

18. クラウドID クラウドID
＋ディレクトリ同期
フェデレーションID
＋ディレクトリ同期
シナリオ • ADの無い小規模
組織
• ADを持つセキュリ
ティ上の制約の比較
的緩やかな組織
• ADを持つ組織
メリット • オンプレミスに
サーバー展開不要
• ユーザー・グループ
情報とパスワードを
一元管理可能
• ユーザー・グループ
情報とパスワードを
一元管理可能
• きめ細やかなアクセ
ス制御が可能
• アクセスログを自社
で保有、監査可能
デメリット • SSO不可
• 2要素認証不可
• 2種類の資格情報
• サーバーの導入なら
びに運用が必須
• サーバーの導入なら
びに運用が必須
• 社内外からのADへの
接続性を強く担保す
る必要

20. ディレクトリ同期は通常は3時間に1度しか同期
されない（更新間隔の変更は非サポート）
登録、変更直後や社内IdMとの連携などの為、
手動実行できるVBScriptを作成しておくと便利

21. 災害時やパンデミック時、社外からのアクセス
制御を解除して、自宅から接続できるように
長期化する可能性がある場合、ADパスワード
無期限化もしくは変更画面の公開を実施
【スクリプト例】
Add-PSSnapin Microsoft.Adfs.PowerShell
$BackupRule = (Get-ADFSRelyingPartyTrust).IssuanceAuthorizationRules
$FilePath = "c:¥work¥adfs_claims_backup_"+(Get-Date -Format yyyyMMdd)+".bak"
Set-Content -Path $FilePath -value $BackupRule
$Rule = ' => issue(Type =
"http://schemas.Microsoft.com/authorization/claims/permit", Value = "true");'
Set-ADFSRelyingPartyTrust -TargetName "Microsoft Office 365 ID プラットフォーム" -
IssuanceAuthorizationRules $Rule

22. 長期でADにログインできないユーザー対策
基本的にIISADMPWDや ASP.NETのサンプルを
元に自力で作成
CodePlexに「Adfs Change Password」が公開中
http://adfschangepassword.codeplex.com/

23. 大規模災害でADの運用が継続出来なくなった
場合など、ADFSを簡単に解除できる状態に
初期パスワードを設定する必要があるので、
予め定めてスクリプト化しておく。
AD+ディレクトリ同期サーバが生きている場合
はディレクトリ同期ツールで同期しても良い
【スクリプト例】
Import-Module MSOnline
$LiveCred = New-Object System.Management.Automation.PSCredential
"admin@contoso.onmicrosoft.com",(ConvertTo-SecureString -AsPlainText "P@ssw0rd"
-Force)
Connect-MsolService -Cred $LiveCred
Set-MsolDomainAuthentication -Authentication Managed -DomainName contoso.com
Get-MsolUser -all | Set-MsolUserPassword -NewPassword P@ssw0rd

24. 前述のADFS解除のPowerShellの実行やディレ
クトリ同期ツールの実行の為、ADFSの場合でも
1つ以上のクラウドIDを残すことが推奨
多要素認証は有効化できないので、別途強化
することを検討する
定期的にパスワードを変える（年や月を混ぜたパ
スフレーズにするなど、スクリプト化を意識）
ユーザーIDをadmin（以前のdefault）から変更する

25. ADFS
Proxy
SPLAの利用によるOSのVersion Up負担軽減
クラウド上にADやADFSを置くことによりDR対策
運用自体をアウトソースすることも可能
VPN
ADDS Office365
internet
ADDS
ファイルサーバ等
本社
ADFS
支店 支店

27. クラウドID クラウドID
＋ディレクトリ同期
フェデレーションID
＋ディレクトリ同期
シナリオ • ADの無い小規模
組織
• ADを持つセキュリ
ティ上の制約の比較
的緩やかな組織
• ADを持つ組織、特に
企業等でセキュリ
ティ要件の強い組織
メリット • オンプレミスに
サーバー展開不要
• ユーザー・グループ
情報とパスワードを
一元管理可能
• ユーザー・グループ
情報とパスワードを
一元管理可能
• きめ細やかなアクセ
ス制御が可能
• アクセスログを自社
で保有、監査可能
デメリット • SSO不可
• 2要素認証不可
• 2種類の資格情報
• サーバーの導入なら
びに運用が必須
• サーバーの導入なら
びに運用が必須
• 社内外からのADへの
接続性を強く担保す
る必要

28. フィールドSEあがりの安納です （Microsoft 安納さん）
http://blogs.technet.com/b/junichia/
IdM実験室（MVP 富士榮さん）
http://idmlab.eidentity.jp/
Always on the clock（MVP 国井さん）
http://sophiakunii.wordpress.com/
日々徒然
http://blog.o365mvp.com
Office365コミュニティ
http://community.office365.com/
Windows Server 2012 R2 Preview 評価用リソース
http://technet.microsoft.com/ja-jp/evalcenter/dn205287.aspx
【公式ページなど】
【blog】