SlideShare a Scribd company logo

Azure Active Directory 利用開始への第一歩

Download as PPTX, PDF
Yusuke Kodama
Yusuke Kodama

Azure AD Webinar session 2-1 https://aka.ms/AzureADWebinar

Technology
1 of 24
Azure AD Webinar シリーズ #6 Azure Active Directory 利用開始への第一歩 Azure Active Directory Customer Success Team
• 開発チームのメンバーがお届けする日本語の Webinar (グローバルで展開されている Webinar の日本語版) • Azure AD の基礎 (L100–200) のうち特に重要でかつ 見落としやすいトピックをピックアップ
Azure AD 利用開始前に導入チームがすべき準備事項を理解する 13:30-14:00: Presentation 1. Azure AD 導入計画 2. Azure AD 情報収集 資料 URL : http://aka.ms/webinarppt
「Azure AD をフル活用せよ」 - CIO
I want to provide my employees secure and easy access to every application from any location and any device I need my customers, partners, and users to access the apps they need from everywhere and collaborate seamlessly I want to cut costs, get self-service capabilities and automate Join/Move/Leave processes [dev use case] I want to protect access to my resources from advanced threats I need to comply with industry regulation and national data protection laws Conditional Access Multi-Factor Authentication Addition of custom cloud apps Remote Access to on-premises apps Privileged Identity Management Dynamic Groups Identity Protection Azure AD DS Office 365 App Launcher Group-Based Licensing Access Panel/MyApps Azure AD Connect Connect Health Provisioning- Deprovisioning Azure AD Join Self-Service capabilities MDM-auto enrollment / Enterprise State Roaming Security Reporting Access Reviews HR App Integration B2B collaboration Azure AD B2C SSO to SaaS Microsoft Authenticator - Password-less Access
クラウドの世界では機能ベースのキャッチアップ/適用は難しい 20 を超えるチームがそれぞれの機能を並行で開発中 各機能を深く正しく理解して自組織で使えるかを評価する Azure AD という製品全体で実現できるシナリオを理解して自組織に適用する
覚えてほしい基本の利活用方法 8 選 • どこからでもアプリを利用できる環境を実現したい 1. ADFS を廃止しクラウド Only な認証を実現 2. アプリの利用シーン (場所、デバイス、ユーザーなど) を整理し適切なアクセス制御を実装する 3. SaaS アプリケーションを認証/ID プロビジョニング連携する 4. AppProxy を用いて VPN/DMZ なしで社内アプリを外部公開 5. 外部パートナーに自社アプリケーションを利用させたい • セキュリティを強化したい 6. クラウド上の特権 ID を時限性にして保護する 7. 機械学習を利用して危険な ID を検知し (自動で) 対処する 8. セルフサービスのパスワードリセットを導入
1. ADFS を廃止しクラウド Only の認証を実現 • ADFS/WAP の構築/運用コストがゼロに • 認証が Azure AD (Microsoft データセンター) で完結するので、認証パフォーマンスや可用性を気 にしなくてよい • オンプレ側の災害対策が不要になる • 攻撃の口をオンプレミスに持たないので、セキュア 利用する機能 どのようなメリットがある? もっと詳しく • ハイブリッド ID ソリューションの適切な認証方法を選択する (http://aka.ms/auth-options) • Azure AD Webinar セッション > 適切な Azure AD 認証方式の選択の決め手 (http://aka.ms/AzureADWebinar) • Azure AD deployment plans > ADFS to Password Hash Sync (http://aka.ms/deploymentplans) • de:code 2018 セッション AD FS では守れない?!アカウント乗っ取りを防ぐためにすべき 3 つのこと ~ユーザー企業の実例のご紹介~ (https://youtu.be/g2mB_EKqi-g) • Password Hash Sync (PHS) + SSSO • Path Through Authentication (PTA) + SSSO
参考:Deployment Plans
2. アプリの利用シーンを整理し適切なアクセス制御を実装する • Azure AD の制御機能を使えばネットワークロ ケーションではなく、デバイス状態を判定した正しい クラウド時代のアクセス制御が可能 • ADFS クレームルールよりも細かい制御が可能 • 上記の制御を、Office 365 アプリだけでなく Azure AD と連携しているその他のアプリケーショ ン (SaaS, オンプレアプリ) に対しても適用可能 利用する機能 どのようなメリットがある? もっと詳しく • Docs: 条件付きアクセスとは (https://docs.microsoft.com/ja-jp/azure/active-directory/conditional-access/overview) • Azure AD Webinar セッション > IP ベースのアクセス制御からの脱却してよりセキュアな環境を構築しよう(http://aka.ms/AzureADWebinar) • Azure AD deployment plans > Conditional access (http://aka.ms/deploymentplans) • Identity and device access configurations (http://aka.ms/m365goldenconfig) • Conditional Access • Multi-Factor Authentication On-premises applicationsBlock access Wipe device Enforce MFA Conditions MFA Location (IP range) Device state Risk User group Allow access Cloud apps On- premises
参考:条件付きアクセス Microsoft Cloud 3rd Party SaaS Apps On Premises Apps Microsoft Azure Prevent data leak Disable print Restrict download Enforce MFA Block sign-in Allow sign-in Access Control Restrictions OS Platform Is Compliant / Domain joined Is lost or stolen Device Risk Device User identity Group membership Session Risk User Mobile or Cloud app Per app policy App Location IP range ApplicationsPolicy ControlsPolicy Conditions Windows Defender Azure AD Identity Protection Service https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-conditional-access-azure-portal
3. SaaS アプリケーションを認証/ID プロビジョニング連携する • O365 と SaaS を SSO • Azure AD から SaaS に ID をプロビジョニング • Office 365 と同じセキュリティを SaaS にも (SaaS への非機能要求のレベルを下げられる) • オンプレフェデレーションサービスは不要、Azure AD と直接連携 利用する機能 どのようなメリットがある? もっと詳しく • Docs : SaaS SSO 概要 (https://docs.microsoft.com/ja-jp/azure/active-directory/manage-apps/what-is-single-sign-on) • Azure AD Webinar セッション > Azure AD の SaaS アプリケーション認証への活用 (http://aka.ms/AzureADWebinar) • Azure AD deployment plans > Single sign-on (http://aka.ms/deploymentplans) • Azure AD deployment plans > User provisioning (http://aka.ms/deploymentplans) • Azure AD SaaS integration • Azure AD outbound/inbound provisioning Salesforceのアクセスポリシー 例: 社外からのアクセスは多要素認証を強制 AWSのアクセスポリシー 例: 社外からのアクセスはブロックする Exchange Online のアクセスポリシー 例: 管理されたデバイスからのみ許可 Azure AD のログ機能 SaaS への SSO 許可/拒否はユーザー/グループ毎に可能 Azure AD の認証セキュリティ機能を利用可能
4. AppProxy を用いて VPN/DMZ なしで社内アプリを外部公開 • 端末を VPN 接続させずに社内アプリケーションを 外部ネットワークから利用することが可能になる • DMZ にサーバー不要 = 外部からの攻撃の口を 持つ必要がない。 • Azure AD によるアクセスコントロール (Conditional Access) や多要素認証による認 証強化をオンプレアプリに対して適用することが可 能 利用する機能 どのようなメリットがある? もっと詳しく • Azure AD deployment plans > Azure AD Application Proxy (http://aka.ms/deploymentplans) • Tech Summit Session : ネットワークエンジニア必見! VPN/DMZ は要らなくなる!? Application Proxy で実現するセキュアなアクセス https://info.microsoft.com/JA-SCRTY-CNTNT-FY18-11Nov-18-Networkengineer-MGC0001441_01Registration-ForminBody.html • Azure AD Application Proxy 社内ネットワーク https://appX-contoso.msappproxy.net/ connectorconnector Microsoft Azure Active Directory connector app app app app connector Application Proxy Azure or 3rd Party IaaS
5. 外部パートナーに自社アプリケーションを利用させたい • パートナー向けアカウント払い出しの仕組みの構築、 管理が不要となる。パートナー企業ユーザーとして も利用までのリードタイムが短縮され便利 • パートナー企業のユーザーが有効でなくなった場合 (退職、休職など) の際に自動で自社アプリの利用 ができなくなる • 相手先組織が Azure AD を使っていなくても可 利用する機能 どのようなメリットがある? もっと詳しく • Docs: Azure AD B2B とは (https://docs.microsoft.com/ja-jp/azure/active-directory/b2b/what-is-b2b) • Azure AD Webinar セッション > Azure AD で実現するスムーズな外部パートナー協業 (http://aka.ms/AzureADWebinar) • Azure AD B2B ゲストアカウント パスワード情報を持たないアカウント =このテナントでは認証できない 招待
6. クラウド上の特権を時限性にして保護する • 必要な時だけロールを有効化する仕組みを構築 作業なしにすぐに利用開始できる • アカウントが乗っ取りを受けた際に特権の行使を防 ぐための施策 • 特権を誰が、いつ、どのような目的で利用したかと 正確に記録する • アカウントのアクセス権の棚卸も可能 利用する機能 どのようなメリットがある? もっと詳しく • Docs: 特権アカウント管理のベストプラクティス (https://docs.microsoft.com/ja-jp/azure/active-directory/users-groups-roles/directory-admin-roles-secure) • Azure AD Webinar セッション > Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策(http://aka.ms/AzureADWebinar) • 無償評価を開始する方法 (https://github.com/teppeiy/AzureAD-Tips/blob/master/Security/Discover-vulnerability.md) • Privileged Identity Management (P2 ライセンスは使う人分のみの購入でよい。PIM による 効果の影響が及ぶ範囲のユーザー数分のライセンスが必 要) 一般ユーザー 権限 管理者権限 一般ユーザー 権限 一定期間が過ぎると 権限が失効 権限の申請 (承認有無は選択可能) ユーザー 制御可能な権限は特権 (全体管理者 など) だけではなく Azure AD で定義さ れているロールすべて。 さらに、Azure RBAC のロールも対象
7. 機械学習を利用して危険な ID を検知し (自動で) 対処する • 構築不要、ボタン一つで有効化 • 機械学習により組織内に潜在的に存在するユー ザー、デバイス、認証に対する脅威を検出できる • 脅威が検出されたことがレポートとして出力されるこ とに加え、条件付きアクセスとの組み合わせにより 自動でレスポンスすることができる 利用する機能 どのようなメリットがある? もっと詳しく • Docs: Identity Protection 概要 (http://aka.ms/ipdocs) • 無償評価を開始する方法 (https://github.com/teppeiy/AzureAD-Tips/blob/master/Security/Discover-vulnerability.md) • Identity Protection (P2 ライセンスが必要) Leaked credentials Infected devices Configuration vulnerabilities 条件付きアクセス による自動対応 MFA を強制 アクセスをブロック パスワード変更を強制 Brute force attacks Suspicious sign- in activities Events Query Reporting API
8. セルフサービスパスワードリセットを導入する • セルフサービス化によるヘルプデスクへの問い合わせ 数削減 • パスワード変更の口をオンプレミスデータセンターに 持つことなく、クラウドからのパスワード管理が可能と なる • 確実な本人確認 • 一般的に推測しやすいパスワードや企業で使われ やすい文字列 (Microsoft など) は自動ではじく ような実装となっており、セキュア 利用する機能 どのようなメリットがある? もっと詳しく • Docs: SSPR 機能説明 (https://docs.microsoft.com/ja-jp/azure/active-directory/authentication/concept-sspr-howitworks) • Azure AD Webinar セッション > Azure AD セルフサービス機能を用いてコスト削減 (http://aka.ms/AzureADWebinar) • Self-service password Reset Azure AD Active Directory Azure AD Connect SSPR Service ユーザー パスワード更新 パスワード更新 (PHS 有効の場合) クラウドからパスワードをリセット
Azure AD 導入プランの例: O365 導入との並行検討 カテゴリ M1 M2 M3 M4 マイルストーン O365 導入 Azure AD 条件付きアクセス Azure AD SSPR Azure AD SaaS 連携 Azure AD その他 O365 導入スタート (設計は済んでいる状態) • Office 365 導入 (Notes からの移行) のプロジェクトと同時並行で実施のケース (製造業:20,000 ユーザー規模) ライセンス付与方式 パイロットスタート O365 構築 アクセスコントロール 要件整理 テスト パイロット 展開開始 条件付きアクセス 設計書作成 本番導入 設計 周知 準備 テスト 段階的に周知 段階移行スタート PoC SaaS 連携 設計 テスト 本番導入 Azure AD 運用設計 ロール設計 アプリ設計 ライセンス管理 監視 Portal 設定 など レビュー レビュー AD 同期構成の検討 Azure AD Connect 設計 Azure AD Connect 構築 同期ルール設定
難易度 * 効果表現のモデル いますぐ着手すべき施策今すぐ導入可能 早期の実績作成として 中-長期的な導入を目指し 計画をスタート
Azure AD 担当者がフォローするべき情報ソース • 必ずフォローすべき Blog • EMS Blog: https://cloudblogs.microsoft.com/enterprisemobility/ Azure AD (EMS) 開発チームメンバーが新たに登場した/プレビューが開始された機能についての情報を いち早く公開。また、Azure AD 管理者がおさえておくべきセキュリティホワイトペーパーなどもこちらに投稿さ れる。 • Japan Azure Identity Support Blog: https://blogs.technet.microsoft.com/jpazureid “Azure Identity サポートのブログでは、新機能に関しての紹介だけでなく、日本の多くの Azure 利用 者からサポート依頼を直接受けている Azure Identity サポート エンジニアという立場から、時には私ども の視点を交えて、皆様のお役に立つ情報を発信しています。” • Azure AD Program Manager が提供する Tips 集 お客様への技術支援の中で、よくあるご質問や、Docs で提供されているよりも詳しい日本 語の解説が必要と感じたトピックを随時アップデートしています • http://aka.ms/aadtips
Azure AD 利活用の進め方 本日の資料 URL : http://aka.ms/webinarppt
Coming topics 日程 (仮) トピック 8/30(木) 13:30-14:15 Azure Active Directory 利用開始への第一歩 Getting Ready for Azure AD 9/13木) 13:30-14:15 IP ベースのアクセス制御からの脱却してよりセキュアな環境を構築しよう Implement zero trust security using device based conditional 9/27(木) 13:30-14:15 Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策 Key things O365 administrators must do for securing corporate identity 10/11(金) 13:30-14:15 Azure AD の SaaS アプリケーション認証への活用 Utilize Azure AD for 3rp Party app authentication 10/25(木) 13:30-14:15 Azure AD で実現するスムーズな外部パートナー協業 Accelerate partner collaboration through Azure AD aka.ms/AzureADWebinar
ご参加ありがとうございました! 終了後、アンケートへのご回答お願いいたします! 今後の Webinar でどんな話を聞きたいか、教えてください。

Recommended

詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編
詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編
詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編
Yusuke Kodama
 
IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~
IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~
IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~
Trainocate Japan, Ltd.
 
Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策
Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策
Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策
Yusuke Kodama
 
Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~
Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~
Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~
junichi anno
 
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
Shinichiro Kosugi
 
Hybrid Azure AD Join 動作の仕組みを徹底解説
Hybrid Azure AD Join 動作の仕組みを徹底解説Hybrid Azure AD Join 動作の仕組みを徹底解説
Hybrid Azure AD Join 動作の仕組みを徹底解説
Yusuke Kodama
 
Azure Network 概要
Azure Network 概要Azure Network 概要
Azure Network 概要
Takeshi Fukuhara
 
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法についてAzure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について
Shinya Yamaguchi
 

Recommended

詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編
詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編
詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編
Yusuke Kodama
 
IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~
IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~
IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~
Trainocate Japan, Ltd.
 
Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策
Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策
Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策
Yusuke Kodama
 
Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~
Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~
Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~
junichi anno
 
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
Shinichiro Kosugi
 
Hybrid Azure AD Join 動作の仕組みを徹底解説
Hybrid Azure AD Join 動作の仕組みを徹底解説Hybrid Azure AD Join 動作の仕組みを徹底解説
Hybrid Azure AD Join 動作の仕組みを徹底解説
Yusuke Kodama
 
Azure Network 概要
Azure Network 概要Azure Network 概要
Azure Network 概要
Takeshi Fukuhara
 
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法についてAzure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について
Shinya Yamaguchi
 
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法についてAzure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について
Shinya Yamaguchi
 
一歩先行く Azure Computing シリーズ(全3回) 第2回 Azure VM どれを選ぶの? Azure VM 集中講座
一歩先行く Azure Computing シリーズ(全3回) 第2回 Azure VM どれを選ぶの? Azure VM 集中講座一歩先行く Azure Computing シリーズ(全3回) 第2回 Azure VM どれを選ぶの? Azure VM 集中講座
一歩先行く Azure Computing シリーズ(全3回) 第2回 Azure VM どれを選ぶの? Azure VM 集中講座
Minoru Naito
 
Microsoft Azure Storage 概要
Microsoft Azure Storage 概要Microsoft Azure Storage 概要
Microsoft Azure Storage 概要
Takeshi Fukuhara
 
Azure AD の新しいデバイス管理パターンを理解しよう
Azure AD の新しいデバイス管理パターンを理解しようAzure AD の新しいデバイス管理パターンを理解しよう
Azure AD の新しいデバイス管理パターンを理解しよう
Yusuke Kodama
 
Azure active directory によるデバイス管理の種類とトラブルシュート事例について
Azure active directory によるデバイス管理の種類とトラブルシュート事例についてAzure active directory によるデバイス管理の種類とトラブルシュート事例について
Azure active directory によるデバイス管理の種類とトラブルシュート事例について
Shinya Yamaguchi
 
Microsoft Azure のセキュリティ
Microsoft Azure のセキュリティMicrosoft Azure のセキュリティ
Microsoft Azure のセキュリティ
junichi anno
 
Azure Monitor Logで実現するモダンな管理手法
Azure Monitor Logで実現するモダンな管理手法Azure Monitor Logで実現するモダンな管理手法
Azure Monitor Logで実現するモダンな管理手法
Takeshi Fukuhara
 
Keycloak入門
Keycloak入門Keycloak入門
Keycloak入門
Hiroyuki Wada
 
ログ管理のベストプラクティス
ログ管理のベストプラクティスログ管理のベストプラクティス
ログ管理のベストプラクティス
Akihiro Kuwano
 
SAP on Azure インフラ設計解説:HA/DR、Backupからパフォーマンス最適化まで
SAP on Azure インフラ設計解説:HA/DR、Backupからパフォーマンス最適化までSAP on Azure インフラ設計解説:HA/DR、Backupからパフォーマンス最適化まで
SAP on Azure インフラ設計解説:HA/DR、Backupからパフォーマンス最適化まで
Hitoshi Ikemoto
 
IP ベースのアクセス制御から脱却してよりセキュアな環境を構築しよう
IP ベースのアクセス制御から脱却してよりセキュアな環境を構築しようIP ベースのアクセス制御から脱却してよりセキュアな環境を構築しよう
IP ベースのアクセス制御から脱却してよりセキュアな環境を構築しよう
Yusuke Kodama
 
ハイブリッド時代のID基盤構成の基礎
ハイブリッド時代のID基盤構成の基礎ハイブリッド時代のID基盤構成の基礎
ハイブリッド時代のID基盤構成の基礎
Naohiro Fujie
 
IDaaS を正しく活用するための認証基盤設計
IDaaS を正しく活用するための認証基盤設計IDaaS を正しく活用するための認証基盤設計
IDaaS を正しく活用するための認証基盤設計
Trainocate Japan, Ltd.
 
JPC2018[E4]Microsoft Azure ならこうする、こうできる! ~AWS 技術者向け 最新 Microsoft Azure サービス解説...
JPC2018[E4]Microsoft Azure ならこうする、こうできる! ~AWS 技術者向け 最新 Microsoft Azure サービス解説...JPC2018[E4]Microsoft Azure ならこうする、こうできる! ~AWS 技術者向け 最新 Microsoft Azure サービス解説...
JPC2018[E4]Microsoft Azure ならこうする、こうできる! ~AWS 技術者向け 最新 Microsoft Azure サービス解説...
MPN Japan
 
Azure App Service Overview
Azure App Service OverviewAzure App Service Overview
Azure App Service Overview
Takeshi Fukuhara
 
Azure Active Directory Domain Services (Azure ADDS) キホンのキ
Azure Active Directory Domain Services (Azure ADDS) キホンのキAzure Active Directory Domain Services (Azure ADDS) キホンのキ
Azure Active Directory Domain Services (Azure ADDS) キホンのキ
Tetsuya Yokoyama
 
シングルサインオンの歴史とSAMLへの道のり
シングルサインオンの歴史とSAMLへの道のりシングルサインオンの歴史とSAMLへの道のり
シングルサインオンの歴史とSAMLへの道のり
Shinichi Tomita
 
AWS Organizations連携サービスの罠(Security JAWS 第26回 発表資料)
AWS Organizations連携サービスの罠(Security JAWS 第26回 発表資料)AWS Organizations連携サービスの罠(Security JAWS 第26回 発表資料)
AWS Organizations連携サービスの罠(Security JAWS 第26回 発表資料)
NTT DATA Technology & Innovation
 
DBP-009_クラウドで実現するスケーラブルなデータ ウェアハウス Azure SQL Data Warehouse 解説
DBP-009_クラウドで実現するスケーラブルなデータ ウェアハウス Azure SQL Data Warehouse 解説DBP-009_クラウドで実現するスケーラブルなデータ ウェアハウス Azure SQL Data Warehouse 解説
DBP-009_クラウドで実現するスケーラブルなデータ ウェアハウス Azure SQL Data Warehouse 解説
decode2016
 
実装して理解するLINE LoginとOpenID Connect入門
実装して理解するLINE LoginとOpenID Connect入門実装して理解するLINE LoginとOpenID Connect入門
実装して理解するLINE LoginとOpenID Connect入門
Naohiro Fujie
 
【de:code 2020】 Apps on Azure AD - アプリケーション連携 WHY と HOW
【de:code 2020】 Apps on Azure AD - アプリケーション連携 WHY と HOW【de:code 2020】 Apps on Azure AD - アプリケーション連携 WHY と HOW
【de:code 2020】 Apps on Azure AD - アプリケーション連携 WHY と HOW
日本マイクロソフト株式会社
 
モダンアクセスコントロール実現に向けた戦略策定方法
モダンアクセスコントロール実現に向けた戦略策定方法モダンアクセスコントロール実現に向けた戦略策定方法
モダンアクセスコントロール実現に向けた戦略策定方法
Yusuke Kodama
 

More Related Content

What's hot

一歩先行く Azure Computing シリーズ(全3回) 第2回 Azure VM どれを選ぶの? Azure VM 集中講座
一歩先行く Azure Computing シリーズ(全3回) 第2回 Azure VM どれを選ぶの? Azure VM 集中講座一歩先行く Azure Computing シリーズ(全3回) 第2回 Azure VM どれを選ぶの? Azure VM 集中講座
一歩先行く Azure Computing シリーズ(全3回) 第2回 Azure VM どれを選ぶの? Azure VM 集中講座
Minoru Naito
 
シングルサインオンの歴史とSAMLへの道のり
シングルサインオンの歴史とSAMLへの道のりシングルサインオンの歴史とSAMLへの道のり
シングルサインオンの歴史とSAMLへの道のり
Shinichi Tomita
 

What's hot (20)

Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法についてAzure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について
 
一歩先行く Azure Computing シリーズ(全3回) 第2回 Azure VM どれを選ぶの? Azure VM 集中講座
一歩先行く Azure Computing シリーズ(全3回) 第2回 Azure VM どれを選ぶの? Azure VM 集中講座一歩先行く Azure Computing シリーズ(全3回) 第2回 Azure VM どれを選ぶの? Azure VM 集中講座
一歩先行く Azure Computing シリーズ(全3回) 第2回 Azure VM どれを選ぶの? Azure VM 集中講座
 
Microsoft Azure Storage 概要
Microsoft Azure Storage 概要Microsoft Azure Storage 概要
Microsoft Azure Storage 概要
 
Azure AD の新しいデバイス管理パターンを理解しよう
Azure AD の新しいデバイス管理パターンを理解しようAzure AD の新しいデバイス管理パターンを理解しよう
Azure AD の新しいデバイス管理パターンを理解しよう
 
Azure active directory によるデバイス管理の種類とトラブルシュート事例について
Azure active directory によるデバイス管理の種類とトラブルシュート事例についてAzure active directory によるデバイス管理の種類とトラブルシュート事例について
Azure active directory によるデバイス管理の種類とトラブルシュート事例について
 
Microsoft Azure のセキュリティ
Microsoft Azure のセキュリティMicrosoft Azure のセキュリティ
Microsoft Azure のセキュリティ
 
Azure Monitor Logで実現するモダンな管理手法
Azure Monitor Logで実現するモダンな管理手法Azure Monitor Logで実現するモダンな管理手法
Azure Monitor Logで実現するモダンな管理手法
 
Keycloak入門
Keycloak入門Keycloak入門
Keycloak入門
 
ログ管理のベストプラクティス
ログ管理のベストプラクティスログ管理のベストプラクティス
ログ管理のベストプラクティス
 
SAP on Azure インフラ設計解説:HA/DR、Backupからパフォーマンス最適化まで
SAP on Azure インフラ設計解説:HA/DR、Backupからパフォーマンス最適化までSAP on Azure インフラ設計解説:HA/DR、Backupからパフォーマンス最適化まで
SAP on Azure インフラ設計解説:HA/DR、Backupからパフォーマンス最適化まで
 
IP ベースのアクセス制御から脱却してよりセキュアな環境を構築しよう
IP ベースのアクセス制御から脱却してよりセキュアな環境を構築しようIP ベースのアクセス制御から脱却してよりセキュアな環境を構築しよう
IP ベースのアクセス制御から脱却してよりセキュアな環境を構築しよう
 
ハイブリッド時代のID基盤構成の基礎
ハイブリッド時代のID基盤構成の基礎ハイブリッド時代のID基盤構成の基礎
ハイブリッド時代のID基盤構成の基礎
 
IDaaS を正しく活用するための認証基盤設計
IDaaS を正しく活用するための認証基盤設計IDaaS を正しく活用するための認証基盤設計
IDaaS を正しく活用するための認証基盤設計
 
JPC2018[E4]Microsoft Azure ならこうする、こうできる! ~AWS 技術者向け 最新 Microsoft Azure サービス解説...
JPC2018[E4]Microsoft Azure ならこうする、こうできる! ~AWS 技術者向け 最新 Microsoft Azure サービス解説...JPC2018[E4]Microsoft Azure ならこうする、こうできる! ~AWS 技術者向け 最新 Microsoft Azure サービス解説...
JPC2018[E4]Microsoft Azure ならこうする、こうできる! ~AWS 技術者向け 最新 Microsoft Azure サービス解説...
 
Azure App Service Overview
Azure App Service OverviewAzure App Service Overview
Azure App Service Overview
 
Azure Active Directory Domain Services (Azure ADDS) キホンのキ
Azure Active Directory Domain Services (Azure ADDS) キホンのキAzure Active Directory Domain Services (Azure ADDS) キホンのキ
Azure Active Directory Domain Services (Azure ADDS) キホンのキ
 
シングルサインオンの歴史とSAMLへの道のり
シングルサインオンの歴史とSAMLへの道のりシングルサインオンの歴史とSAMLへの道のり
シングルサインオンの歴史とSAMLへの道のり
 
AWS Organizations連携サービスの罠(Security JAWS 第26回 発表資料)
AWS Organizations連携サービスの罠(Security JAWS 第26回 発表資料)AWS Organizations連携サービスの罠(Security JAWS 第26回 発表資料)
AWS Organizations連携サービスの罠(Security JAWS 第26回 発表資料)
 
DBP-009_クラウドで実現するスケーラブルなデータ ウェアハウス Azure SQL Data Warehouse 解説
DBP-009_クラウドで実現するスケーラブルなデータ ウェアハウス Azure SQL Data Warehouse 解説DBP-009_クラウドで実現するスケーラブルなデータ ウェアハウス Azure SQL Data Warehouse 解説
DBP-009_クラウドで実現するスケーラブルなデータ ウェアハウス Azure SQL Data Warehouse 解説
 
実装して理解するLINE LoginとOpenID Connect入門
実装して理解するLINE LoginとOpenID Connect入門実装して理解するLINE LoginとOpenID Connect入門
実装して理解するLINE LoginとOpenID Connect入門
 

Similar to Azure Active Directory 利用開始への第一歩

【de:code 2020】 Apps on Azure AD - アプリケーション連携 WHY と HOW
【de:code 2020】 Apps on Azure AD - アプリケーション連携 WHY と HOW【de:code 2020】 Apps on Azure AD - アプリケーション連携 WHY と HOW
【de:code 2020】 Apps on Azure AD - アプリケーション連携 WHY と HOW
日本マイクロソフト株式会社
 
[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際
[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際
[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際
de:code 2017
 

Similar to Azure Active Directory 利用開始への第一歩 (20)

【de:code 2020】 Apps on Azure AD - アプリケーション連携 WHY と HOW
【de:code 2020】 Apps on Azure AD - アプリケーション連携 WHY と HOW【de:code 2020】 Apps on Azure AD - アプリケーション連携 WHY と HOW
【de:code 2020】 Apps on Azure AD - アプリケーション連携 WHY と HOW
 
モダンアクセスコントロール実現に向けた戦略策定方法
モダンアクセスコントロール実現に向けた戦略策定方法モダンアクセスコントロール実現に向けた戦略策定方法
モダンアクセスコントロール実現に向けた戦略策定方法
 
[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際
[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際
[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際
 
Azure AD セルフサービス機能を用いてコスト削減
Azure AD セルフサービス機能を用いてコスト削減Azure AD セルフサービス機能を用いてコスト削減
Azure AD セルフサービス機能を用いてコスト削減
 
MicrosoftのOSSへの取り組み
MicrosoftのOSSへの取り組みMicrosoftのOSSへの取り組み
MicrosoftのOSSへの取り組み
 
20171011_最新のハイブリッドID管理基盤パターン
20171011_最新のハイブリッドID管理基盤パターン20171011_最新のハイブリッドID管理基盤パターン
20171011_最新のハイブリッドID管理基盤パターン
 
Azure DevOpsとセキュリティ
Azure DevOpsとセキュリティAzure DevOpsとセキュリティ
Azure DevOpsとセキュリティ
 
適切な Azure AD 認証方式の選択の決め手
適切な Azure AD 認証方式の選択の決め手適切な Azure AD 認証方式の選択の決め手
適切な Azure AD 認証方式の選択の決め手
 
Azure AD によるリソースの保護 how to protect and govern resources under the Azure AD
Azure AD によるリソースの保護 how to protect and govern resources under the Azure ADAzure AD によるリソースの保護 how to protect and govern resources under the Azure AD
Azure AD によるリソースの保護 how to protect and govern resources under the Azure AD
 
AAD authentication for azure app v0.1.20.0317
AAD authentication for azure app v0.1.20.0317AAD authentication for azure app v0.1.20.0317
AAD authentication for azure app v0.1.20.0317
 
Azure AD の SaaS アプリケーション認証への活用
Azure AD の SaaS アプリケーション認証への活用Azure AD の SaaS アプリケーション認証への活用
Azure AD の SaaS アプリケーション認証への活用
 
Azure Arc 概要
Azure Arc 概要Azure Arc 概要
Azure Arc 概要
 
SAP on Azure Cloud Workshop Material Japanese 20190221
SAP on Azure Cloud Workshop Material Japanese 20190221SAP on Azure Cloud Workshop Material Japanese 20190221
SAP on Azure Cloud Workshop Material Japanese 20190221
 
Windows Azure Active Directory for your cloud applications
Windows Azure Active Directory for your cloud applicationsWindows Azure Active Directory for your cloud applications
Windows Azure Active Directory for your cloud applications
 
20 分で理解する Azure Active Directory 最新アップデートと利活用シナリオ
20 分で理解する Azure Active Directory 最新アップデートと利活用シナリオ20 分で理解する Azure Active Directory 最新アップデートと利活用シナリオ
20 分で理解する Azure Active Directory 最新アップデートと利活用シナリオ
 
G tech2016 デジタルトランスフォーメーションを牽引するAzure+OSSのスキル習得ポイント
G tech2016 デジタルトランスフォーメーションを牽引するAzure+OSSのスキル習得ポイントG tech2016 デジタルトランスフォーメーションを牽引するAzure+OSSのスキル習得ポイント
G tech2016 デジタルトランスフォーメーションを牽引するAzure+OSSのスキル習得ポイント
 
Azure ADアプリケーションを使用した認証のあれやこれ ASP.NET Core編
Azure ADアプリケーションを使用した認証のあれやこれ ASP.NET Core編Azure ADアプリケーションを使用した認証のあれやこれ ASP.NET Core編
Azure ADアプリケーションを使用した認証のあれやこれ ASP.NET Core編
 
Serverless Application Security on AWS
Serverless Application Security on AWSServerless Application Security on AWS
Serverless Application Security on AWS
 
Office365のための多要素認証
Office365のための多要素認証Office365のための多要素認証
Office365のための多要素認証
 
20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本
 

Recently uploaded

Recently uploaded (12)

Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
 
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
 
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
 
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアルLoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
 
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
 
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
 
Utilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native IntegrationsUtilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native Integrations
 
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
 
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイスLoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
 
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
 
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
 
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
 

Azure Active Directory 利用開始への第一歩

  • 1. Azure AD Webinar シリーズ #6 Azure Active Directory 利用開始への第一歩 Azure Active Directory Customer Success Team
  • 2. • 開発チームのメンバーがお届けする日本語の Webinar (グローバルで展開されている Webinar の日本語版) • Azure AD の基礎 (L100–200) のうち特に重要でかつ 見落としやすいトピックをピックアップ
  • 3. Azure AD 利用開始前に導入チームがすべき準備事項を理解する 13:30-14:00: Presentation 1. Azure AD 導入計画 2. Azure AD 情報収集 資料 URL : http://aka.ms/webinarppt
  • 5. I want to provide my employees secure and easy access to every application from any location and any device I need my customers, partners, and users to access the apps they need from everywhere and collaborate seamlessly I want to cut costs, get self-service capabilities and automate Join/Move/Leave processes [dev use case] I want to protect access to my resources from advanced threats I need to comply with industry regulation and national data protection laws Conditional Access Multi-Factor Authentication Addition of custom cloud apps Remote Access to on-premises apps Privileged Identity Management Dynamic Groups Identity Protection Azure AD DS Office 365 App Launcher Group-Based Licensing Access Panel/MyApps Azure AD Connect Connect Health Provisioning- Deprovisioning Azure AD Join Self-Service capabilities MDM-auto enrollment / Enterprise State Roaming Security Reporting Access Reviews HR App Integration B2B collaboration Azure AD B2C SSO to SaaS Microsoft Authenticator - Password-less Access
  • 7. 覚えてほしい基本の利活用方法 8 選 • どこからでもアプリを利用できる環境を実現したい 1. ADFS を廃止しクラウド Only な認証を実現 2. アプリの利用シーン (場所、デバイス、ユーザーなど) を整理し適切なアクセス制御を実装する 3. SaaS アプリケーションを認証/ID プロビジョニング連携する 4. AppProxy を用いて VPN/DMZ なしで社内アプリを外部公開 5. 外部パートナーに自社アプリケーションを利用させたい • セキュリティを強化したい 6. クラウド上の特権 ID を時限性にして保護する 7. 機械学習を利用して危険な ID を検知し (自動で) 対処する 8. セルフサービスのパスワードリセットを導入
  • 8. 1. ADFS を廃止しクラウド Only の認証を実現 • ADFS/WAP の構築/運用コストがゼロに • 認証が Azure AD (Microsoft データセンター) で完結するので、認証パフォーマンスや可用性を気 にしなくてよい • オンプレ側の災害対策が不要になる • 攻撃の口をオンプレミスに持たないので、セキュア 利用する機能 どのようなメリットがある? もっと詳しく • ハイブリッド ID ソリューションの適切な認証方法を選択する (http://aka.ms/auth-options) • Azure AD Webinar セッション > 適切な Azure AD 認証方式の選択の決め手 (http://aka.ms/AzureADWebinar) • Azure AD deployment plans > ADFS to Password Hash Sync (http://aka.ms/deploymentplans) • de:code 2018 セッション AD FS では守れない?!アカウント乗っ取りを防ぐためにすべき 3 つのこと ~ユーザー企業の実例のご紹介~ (https://youtu.be/g2mB_EKqi-g) • Password Hash Sync (PHS) + SSSO • Path Through Authentication (PTA) + SSSO
  • 10. 2. アプリの利用シーンを整理し適切なアクセス制御を実装する • Azure AD の制御機能を使えばネットワークロ ケーションではなく、デバイス状態を判定した正しい クラウド時代のアクセス制御が可能 • ADFS クレームルールよりも細かい制御が可能 • 上記の制御を、Office 365 アプリだけでなく Azure AD と連携しているその他のアプリケーショ ン (SaaS, オンプレアプリ) に対しても適用可能 利用する機能 どのようなメリットがある? もっと詳しく • Docs: 条件付きアクセスとは (https://docs.microsoft.com/ja-jp/azure/active-directory/conditional-access/overview) • Azure AD Webinar セッション > IP ベースのアクセス制御からの脱却してよりセキュアな環境を構築しよう(http://aka.ms/AzureADWebinar) • Azure AD deployment plans > Conditional access (http://aka.ms/deploymentplans) • Identity and device access configurations (http://aka.ms/m365goldenconfig) • Conditional Access • Multi-Factor Authentication On-premises applicationsBlock access Wipe device Enforce MFA Conditions MFA Location (IP range) Device state Risk User group Allow access Cloud apps On- premises
  • 11. 参考:条件付きアクセス Microsoft Cloud 3rd Party SaaS Apps On Premises Apps Microsoft Azure Prevent data leak Disable print Restrict download Enforce MFA Block sign-in Allow sign-in Access Control Restrictions OS Platform Is Compliant / Domain joined Is lost or stolen Device Risk Device User identity Group membership Session Risk User Mobile or Cloud app Per app policy App Location IP range ApplicationsPolicy ControlsPolicy Conditions Windows Defender Azure AD Identity Protection Service https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-conditional-access-azure-portal
  • 12. 3. SaaS アプリケーションを認証/ID プロビジョニング連携する • O365 と SaaS を SSO • Azure AD から SaaS に ID をプロビジョニング • Office 365 と同じセキュリティを SaaS にも (SaaS への非機能要求のレベルを下げられる) • オンプレフェデレーションサービスは不要、Azure AD と直接連携 利用する機能 どのようなメリットがある? もっと詳しく • Docs : SaaS SSO 概要 (https://docs.microsoft.com/ja-jp/azure/active-directory/manage-apps/what-is-single-sign-on) • Azure AD Webinar セッション > Azure AD の SaaS アプリケーション認証への活用 (http://aka.ms/AzureADWebinar) • Azure AD deployment plans > Single sign-on (http://aka.ms/deploymentplans) • Azure AD deployment plans > User provisioning (http://aka.ms/deploymentplans) • Azure AD SaaS integration • Azure AD outbound/inbound provisioning Salesforceのアクセスポリシー 例: 社外からのアクセスは多要素認証を強制 AWSのアクセスポリシー 例: 社外からのアクセスはブロックする Exchange Online のアクセスポリシー 例: 管理されたデバイスからのみ許可 Azure AD のログ機能 SaaS への SSO 許可/拒否はユーザー/グループ毎に可能 Azure AD の認証セキュリティ機能を利用可能
  • 13. 4. AppProxy を用いて VPN/DMZ なしで社内アプリを外部公開 • 端末を VPN 接続させずに社内アプリケーションを 外部ネットワークから利用することが可能になる • DMZ にサーバー不要 = 外部からの攻撃の口を 持つ必要がない。 • Azure AD によるアクセスコントロール (Conditional Access) や多要素認証による認 証強化をオンプレアプリに対して適用することが可 能 利用する機能 どのようなメリットがある? もっと詳しく • Azure AD deployment plans > Azure AD Application Proxy (http://aka.ms/deploymentplans) • Tech Summit Session : ネットワークエンジニア必見! VPN/DMZ は要らなくなる!? Application Proxy で実現するセキュアなアクセス https://info.microsoft.com/JA-SCRTY-CNTNT-FY18-11Nov-18-Networkengineer-MGC0001441_01Registration-ForminBody.html • Azure AD Application Proxy 社内ネットワーク https://appX-contoso.msappproxy.net/ connectorconnector Microsoft Azure Active Directory connector app app app app connector Application Proxy Azure or 3rd Party IaaS
  • 14. 5. 外部パートナーに自社アプリケーションを利用させたい • パートナー向けアカウント払い出しの仕組みの構築、 管理が不要となる。パートナー企業ユーザーとして も利用までのリードタイムが短縮され便利 • パートナー企業のユーザーが有効でなくなった場合 (退職、休職など) の際に自動で自社アプリの利用 ができなくなる • 相手先組織が Azure AD を使っていなくても可 利用する機能 どのようなメリットがある? もっと詳しく • Docs: Azure AD B2B とは (https://docs.microsoft.com/ja-jp/azure/active-directory/b2b/what-is-b2b) • Azure AD Webinar セッション > Azure AD で実現するスムーズな外部パートナー協業 (http://aka.ms/AzureADWebinar) • Azure AD B2B ゲストアカウント パスワード情報を持たないアカウント =このテナントでは認証できない 招待
  • 15. 6. クラウド上の特権を時限性にして保護する • 必要な時だけロールを有効化する仕組みを構築 作業なしにすぐに利用開始できる • アカウントが乗っ取りを受けた際に特権の行使を防 ぐための施策 • 特権を誰が、いつ、どのような目的で利用したかと 正確に記録する • アカウントのアクセス権の棚卸も可能 利用する機能 どのようなメリットがある? もっと詳しく • Docs: 特権アカウント管理のベストプラクティス (https://docs.microsoft.com/ja-jp/azure/active-directory/users-groups-roles/directory-admin-roles-secure) • Azure AD Webinar セッション > Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策(http://aka.ms/AzureADWebinar) • 無償評価を開始する方法 (https://github.com/teppeiy/AzureAD-Tips/blob/master/Security/Discover-vulnerability.md) • Privileged Identity Management (P2 ライセンスは使う人分のみの購入でよい。PIM による 効果の影響が及ぶ範囲のユーザー数分のライセンスが必 要) 一般ユーザー 権限 管理者権限 一般ユーザー 権限 一定期間が過ぎると 権限が失効 権限の申請 (承認有無は選択可能) ユーザー 制御可能な権限は特権 (全体管理者 など) だけではなく Azure AD で定義さ れているロールすべて。 さらに、Azure RBAC のロールも対象
  • 16. 7. 機械学習を利用して危険な ID を検知し (自動で) 対処する • 構築不要、ボタン一つで有効化 • 機械学習により組織内に潜在的に存在するユー ザー、デバイス、認証に対する脅威を検出できる • 脅威が検出されたことがレポートとして出力されるこ とに加え、条件付きアクセスとの組み合わせにより 自動でレスポンスすることができる 利用する機能 どのようなメリットがある? もっと詳しく • Docs: Identity Protection 概要 (http://aka.ms/ipdocs) • 無償評価を開始する方法 (https://github.com/teppeiy/AzureAD-Tips/blob/master/Security/Discover-vulnerability.md) • Identity Protection (P2 ライセンスが必要) Leaked credentials Infected devices Configuration vulnerabilities 条件付きアクセス による自動対応 MFA を強制 アクセスをブロック パスワード変更を強制 Brute force attacks Suspicious sign- in activities Events Query Reporting API
  • 17. 8. セルフサービスパスワードリセットを導入する • セルフサービス化によるヘルプデスクへの問い合わせ 数削減 • パスワード変更の口をオンプレミスデータセンターに 持つことなく、クラウドからのパスワード管理が可能と なる • 確実な本人確認 • 一般的に推測しやすいパスワードや企業で使われ やすい文字列 (Microsoft など) は自動ではじく ような実装となっており、セキュア 利用する機能 どのようなメリットがある? もっと詳しく • Docs: SSPR 機能説明 (https://docs.microsoft.com/ja-jp/azure/active-directory/authentication/concept-sspr-howitworks) • Azure AD Webinar セッション > Azure AD セルフサービス機能を用いてコスト削減 (http://aka.ms/AzureADWebinar) • Self-service password Reset Azure AD Active Directory Azure AD Connect SSPR Service ユーザー パスワード更新 パスワード更新 (PHS 有効の場合) クラウドからパスワードをリセット
  • 18. Azure AD 導入プランの例: O365 導入との並行検討 カテゴリ M1 M2 M3 M4 マイルストーン O365 導入 Azure AD 条件付きアクセス Azure AD SSPR Azure AD SaaS 連携 Azure AD その他 O365 導入スタート (設計は済んでいる状態) • Office 365 導入 (Notes からの移行) のプロジェクトと同時並行で実施のケース (製造業:20,000 ユーザー規模) ライセンス付与方式 パイロットスタート O365 構築 アクセスコントロール 要件整理 テスト パイロット 展開開始 条件付きアクセス 設計書作成 本番導入 設計 周知 準備 テスト 段階的に周知 段階移行スタート PoC SaaS 連携 設計 テスト 本番導入 Azure AD 運用設計 ロール設計 アプリ設計 ライセンス管理 監視 Portal 設定 など レビュー レビュー AD 同期構成の検討 Azure AD Connect 設計 Azure AD Connect 構築 同期ルール設定
  • 20. Azure AD 担当者がフォローするべき情報ソース • 必ずフォローすべき Blog • EMS Blog: https://cloudblogs.microsoft.com/enterprisemobility/ Azure AD (EMS) 開発チームメンバーが新たに登場した/プレビューが開始された機能についての情報を いち早く公開。また、Azure AD 管理者がおさえておくべきセキュリティホワイトペーパーなどもこちらに投稿さ れる。 • Japan Azure Identity Support Blog: https://blogs.technet.microsoft.com/jpazureid “Azure Identity サポートのブログでは、新機能に関しての紹介だけでなく、日本の多くの Azure 利用 者からサポート依頼を直接受けている Azure Identity サポート エンジニアという立場から、時には私ども の視点を交えて、皆様のお役に立つ情報を発信しています。” • Azure AD Program Manager が提供する Tips 集 お客様への技術支援の中で、よくあるご質問や、Docs で提供されているよりも詳しい日本 語の解説が必要と感じたトピックを随時アップデートしています • http://aka.ms/aadtips
  • 21. Azure AD 利活用の進め方 本日の資料 URL : http://aka.ms/webinarppt
  • 22. Coming topics 日程 (仮) トピック 8/30(木) 13:30-14:15 Azure Active Directory 利用開始への第一歩 Getting Ready for Azure AD 9/13木) 13:30-14:15 IP ベースのアクセス制御からの脱却してよりセキュアな環境を構築しよう Implement zero trust security using device based conditional 9/27(木) 13:30-14:15 Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策 Key things O365 administrators must do for securing corporate identity 10/11(金) 13:30-14:15 Azure AD の SaaS アプリケーション認証への活用 Utilize Azure AD for 3rp Party app authentication 10/25(木) 13:30-14:15 Azure AD で実現するスムーズな外部パートナー協業 Accelerate partner collaboration through Azure AD aka.ms/AzureADWebinar
  • 23.