Post on 30-Jun-2015
description
Microsoft IT CAMP
Windows Server 2012 R2勉強会キット~ BYOD - Workplace Join編
はじめに
3
BYOD をより効率的/効果的に
Accessibility Security Manageability
Active Directory• Federation Service
• Device Registration Service
• Multi Factor AuthN.
• Dynamic Access Control
• Rights Management Service
• Workplace Join
• Work Folders
• Web Application Proxy
• Windows Intune
• System Center
Configuration Manager
個人のデバイスを安全に受け入れ、個人デバイスから社内リソースへのアクセシビリティを高める
ユーザー、デバイス、ロケーションなどの多要素認証により、個人デバイスの社内アクセスを制限
個人デバイスに対し企業内管理ポリシーを適用
People-Centric IT(PCIT)
デバイス アプリケーション 社内データ
管理基盤、セキュリティポリシー、アクセスコントロール
ユーザー
People-Centric IT シナリオの全体像
• DirectAccess• VPN
ユーザーはどこからでも、どのデバイスからでもアクセス可能
ユーザーとデバイスはActive Directoryによって統合認証される
DesktopVirtualization(VDI)
社内リソース
Mobile DeviceManagement
Device Management
Admin
3タイプのクライアントとアクセス方法
https RDP
https https/http
IPv6 over IPSecIPv6 over IPv4 (w/ IPSec)
IPv6 packets on HTTPS
透過的
透過的
NEW!!
社内リソース
2012 R2
Gateway
個人デバイスから社内リソースの利用
WEB
File Server
①社内ネットワークに対する認証• デバイス認証• ユーザー認証• その他の認証
⑤シングルサインオン
③ファイルのアクセス権
• 社外秘データの持ち出し防止
④個人デバイスのセキュリティ• 社内データの漏えい防止
• 暗号化、リモートワイプ• パスワードロック
②リソースに対する認証• デバイス認証• ユーザー認証• その他の認証
Web Application Proxy• AD FS Proxy 機能を兼ね備えたリバースプロキシー
社内 Web Application(外部 https → 内部 http/https) 社内 フィルサーバー(Work Folder)
• Pre-Authentication(事前認証) 機能
AD FS 連携
パススルー(認証なし)
• アプリケーション(URI)単位に認証ポリシーを設定可能
https https/http
社内リソース
2012 R2
Active Directory
Federation Service
アーキテクチャ - “事前認証=パススルー”の場合
Web Application ProxyActive Directory
Domain Service
事前認証
パススルー
• 単なるリバースプロキシーとして動作• 事前認証は行われない
② HTTP/HTTPS
統合認証が有効ならば、ポップアップが表示される
③
認証/
認可
① HTTPS
Active Directory
Federation Service
アーキテクチャ - “事前認証=AD FS” の場合
Web Application ProxyActive Directory
Domain Service
事前認証
AD FS
• AD FS の認証ポリシーにのっとって事前認証が行われる• Web Application の認証は、事前認証の後で行われる
⑤ HTTP/HTTPS
認証ポリシー
③いろいろなやりとり
⑥認証/
認可
① HTTPS
事前認証=AD FS の場合
Start
AD FS AD DS
クレーム処理エンジン
Web
Application
Proxy
事前認証プロセス
アクセス
• デバイスクレームとユーザークレームを使用したきめの細かいアクセス制御• クレーム規則言語を使用
• AD FS に対応していないアプリケーションの事前認証も可能!!
Start
ユーザー認証
デバイス認証
追加認証
事前認証
デバイスクレーム
アクセス可否を判定
ユーザークレーム
https
AD FS による事前認証ポリシー
デバイス認証Active Directory にデバイスが登録されているかどうかを確認する
プライマリ認証(ユーザー認証)
• Form 認証
• Windows 統合
• 証明書
マルチファクター認証
<条件>• ユーザー/グループ
• 登録/非登録デバイス
• 外部/内部ネットワーク
<認証方式>
• 証明書(Smart Card)• PhoneFactor
• その他
Web Application に到達する前に、Web Application Proxy で認証が可能
無効
有効
NOYES
NG
OK
事前認証完了
NG OK
無効
有効
Workplace join のアーキテクチャ
Start
① デバイスのローカルユーザーまたは Microsoft Account でサインイン
AD FS
AD DS
②「職場のネットワークに参加」Domain UserID/Password クレーム処理
エンジンデバイス登録サービス(DRS)
③認証
④デバイスクレーム
⑤デバイス登録Web
Application
Proxy
事前認証プロセス アクセス
初回認証時に、今後SSOで使用されるIDとパスワードがデバイスの属性としてADに登録される
Start
⑥証明書インストール
(復習):AD DS と AD FS の関係
AD DS :ユーザーとデバイスを「認証」するAD FS :認証されたユーザーとデバイスの“クレーム”を含んだ「トークン」を発行
詳しくは明日のセッションへ!
AD FS
認証したかどうか
認証したユーザーの属性情報 認証したかどうか
認証したユーザーを認可
認証したユーザーの属性情報によって認可
Windows Server 2012 R2 AD FS 新機能
• 認証ポリシー• クレーム対応アプリ/非対応アプリ の事前認証として利用• Web Application Proxy との連携• 認証方式を選択可能
• エクストラネット認証の方式• イントラネット認証の方式• デバイス認証の要否• マルチファクター認証の要否
• クレームの拡張• デバイス クレーム• ロケーション クレーム
• OAuth 2.0 対応• WS-Federation、SAML 2.0 は既存
• insiderCorporateNetwork :true/false• X-ms-proxy:プロキシサーバーのコンピューター名• AppIdentifier:接続先の web アプリケーション• x-ms-forwarded-client-ip:クライアントのIPアドレス• X-ms-lient-ip:プロキシーのIPアドレス
AD FS 管理コンソールー認証ポリシー
プライマリ認証 他要素認証
IF
THEN
デバイス認証
• Active Directory にデバイスが登録されているかどうかを確認
• デバイスが正しく登録されていれば“デバイスクレーム”を発行• Registrationid : デバイスの登録 ID• Displayname :コンピューター名• Identifier :デバイスのGUID• Ostype :OSのタイプ• Osversion :OSのバージョン• isManaged :MDM 管理対象デバイスかどうか• isRegisteredUser :デバイスに関連づけられたユーザーかどうか
• 「登録されているデバイス」とは?
• ドメインに参加している Windows PC• Workplace Joinした Windows 8.1 デバイス• Workplace Joinした iOS デバイス
Workplace Join とは
独立したデバイス
Workplace
JoinedDomain
JoinedStart Start
No control Partial control Full control企業
利用者 No access Partial access Full access
ーーーー BYOD devices ーーーー
安全性
• ドメインに参加していない個人デバイスを AD DS に登録すること※ デバイスのローカルユーザー単位の設定
• デバイス認証後にデバイスクレームが発行される
デバイス レジストレーション サービス(DRS)(Workplace Join)
Start
AD FS
AD DS
①「職場のネットワークに参加」
Domain UserID/Password クレーム処理エンジン
デバイス登録サービス(DRS)
②ユーザー認証
③デバイスクレーム
④デバイス登録
Start
⑤証明書インストール
• 個人デバイスを Active Directory ドメインに登録する機能(ドメイン参加ではない)• デバイス認証が可能になり、個人デバイスの社内リソースへのアクセスを、デバイスクレー
ムを使用して制御できるようになる• 以下のコマンドで有効化する
• Enable-AdfsDeviceRegistration –PrepareActiveDirectory
個人デバイス
HTTPS
登録された個人デバイスデバイス登録時に使用したユーザーIDと、Web Proxyの初回ログオン時に入力したユーザーID。 SSOに使用されるユーザーIDは RegisteredUsers 。
ここまでのまとめ
• Workplace Join を使用すると、個人デバイスを AD DS に登録できる• デバイスを登録すると「デバイス認証」の対象となる• Web Application Proxy は AD FS を使用して事前認証が可能
• デバイス認証• ユーザー認証• その他の認証
Workplace Join した個人デバイスだけに社内Web Applicationへのアクセス権を与えることができる
AD DS
ファイルサーバーをどう公開するか
Start
AD FSWeb
Application
Proxy
事前認証File Server
https://workfolder.contoso.com/
Work Folder
同期
Work Folder• ファイルサーバーを HTTPS で公開• ローカルデバイスに「自分のデータのみ」を同期• MDM システムとの連携で企業データのみをリモートワイプ
重要データの流出対策• ファイル サーバー リソース マネージャ(FSRM)
• 自動分類、スクリーニング• Rights Management Service(RMS)
• 暗号化、アクセス権限設定• ダイナミック アクセス 制御(DAC)
File Server 重要データ保管庫
重要Data
機密Data
FSRM
個人情報
重要Data
参照期限
印刷禁止
コピペ禁止
保存禁止
暗号化
RMS
重要Data
読み取り
暗号化
分類
スクリーニング
ユーザークレームUser.Department = Finance
User.Clearance = High
デバイスクレームDevice.Department = Finance
Device.Managed = True
リソース属性
Resource.Department = Finance
Resource.Impact = High
ダイナミックアクセス制御(DAC)• ユーザー、デバイス、リソースの属性をベースにアクセスポリシーを作成• 重要データのアクセスポリシーをグループポリシーで統制する• ファイルサーバー単位に適用
File serverAD DS
アクセスポリシー
DAC のアーキテクチャ
ユーザークレーム デバイスクレーム
リソース属性
社内デバイス
Access
Rule
AD DS
<IF>• ユーザー = 経理部• デバイス = 社内• リソース = 重要<Then>• フルコントロール
ファイルサーバー
②ルールを配信
①ルールを登録
Access
Rule
• GPOによりファイルサーバー全体に「アクセルルール」を適用
BYOD さらなる課題
企業内セキュリティポリシーの個人デバイスへの適用• スクリーンロック• パスワードポリシー• デバイス暗号化• 構成管理(VPN、Wifi)• マルウェア対策• 業務アプリケーション配布(サイドローディング)• 企業データのワイプ• デバイスの初期化
Accessibility
Security
Manageability
Mobile Device Management
Windows 8.1/RTWindows 8/RT, Windows Phone 8iOSAndroid
統合管理コンソール
モバイルデバイスの管理
Windows PCs(x86/64, Intel SoC), Windows to GoWindows Embedded
Mac OS X
Linux/unix
Windows Intune Connector
企業内デバイスの管理
Windows AzureActive Directory
AD DS & AD FS
Federatio
n
WebApplication
Proxy
29
事前準備
構築する環境の全体像
Windows Server 2012 R2
ドメインコントローラー証明書サービスフェデレーションサービス
IIS内部DNS サービス内部DHCP サービス
Windows Server 2012 R2
Work Folder
Windows 8 評価版Windows Server 2012 R2
Web Application
Proxy 外部 DNS サービス 外部 DHCP サービス
環境構築手順 概要
1. ハードウェアとソフトウェアの準備環境の構築
用意するもの
1. ハードウェア• PC 1台
• Hyper-V をサポートしていること• メモリ 8 GB (ゲスト OS 全体で 4GB 程度を使用)• HDD (外付けHDD または SSD 推奨)
• 空き容量 100GB 程度
2. ソフトウェア• Windows Server 2012 R2 評価版
• http://technet.microsoft.com/ja-jp/evalcenter/dn205286.aspx
• Windows 8 Enterprise 評価版
2. Hyper-V ホストの準備
スイッチ名 種類 用途
External 外部
社内 プライベート • 演習内で「企業内ネットワーク」として使用する
インターネット プライベート • 演習内で「外部ネットワーク」として使用する
3. ゲスト OS の準備
ゲストOSのホスト名
起動メモリ
動的メモリ
仮想スイッチ IPアドレス DNS OS ドメイン参加
DEMO-DC 512MB 使用する 社内 192.168.0.1/24 192.168.0.1 Windows Server 2012 R2 評価版 DC
DEMO-WF 512MB 使用する 社内 192.168.0.2/24 192.168.0.1 Windows Server 2012 R2 評価版 する
DEMO-PROXY 512MB 使用する 社内インターネット
192.168.0.3/24
172.0.0.1/24
192.168.0.1
192.168.0.1
Windows Server 2012 R2 評価版 する
DEMO-Client 512MB 使用する インターネット DHCP Windows 8.1 評価版 必要なし
Active Directory Domain - contoso.com
最終的なシステム構成
DEMO-PROXY
Web App Proxy外部 DHCP
外部 DNS
DEMO-DC
AD DS/CS/FS
IIS内部DNS
内部DHCP
DEMO-WF
Work Folders
ベース環境の構築
ベース環境の構築手順
作業項目 対象サーバー
1 Active Directory ドメインのインストールと構成 DEMO-DC
2 ドメインに参加 DEMO-PROXY, DEMO-WF
3 証明書サービスのインストールと構成 DEMO-DC
4 AD FS のインストールと構成 DEMO-DC
5 サンプルWEBアプリケーションの構築 DEMO-DC
6 ドメインに参加 DEMO-PROXY, DEMO-WF
7 DEMO-PROXY に DNS/DHCP サービスをインストールして構成する DEMO-PROXY
8 DEMO-DC に DHCP サービスをインストールして構成する DEMO-DC
9 DEMO-CLIENT の準備 DEMO-CLIENT
10 オンラインレスポンダーの構成 DEMO-DC,DEMO-PROXY
1. Active Directory ドメインの構築
Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)
New-ADServiceAccount FsGmsa -DNSHostName adfs1.contoso.com -ServicePrincipalNames http/adfs1.contoso.com
2. ドメインに参加
3. 証明書サービスのインストールと構成
enterpriseregistration
webserv webserv.contoso.com は小文字で入力してください
4. AD FS のインストールと構成
-ADDeviceRegistration -ServiceAccountName Contoso¥FsGmsa$
Enable-AdfsDeviceRegistration
webserv
5. IIS のインストールと構成
(参考)Windows Server 2012 R2 で新しくサポートされた「世代2」の仮想マシンを使用している場合、既定では DVD ドライブが作成されていません。一旦仮想 OS をシャットダウン後、「ハードウェアの追加」で「SCSIコントローラー」を「追加」して「DVDドライブ」を作成してください。
① インターネットに接続可能なPCを使用して、以下のページから Windows Identity Framework SDK 3.5 をダウンロードする
http://www.microsoft.com/ja-jp/download/details.aspx?id=4451
6. サンプルWEBアプリの準備
サンプルアプリの準備
① C:¥Inetpub フォルダ配下に、ClaimApp フォルダを作成する
② C:¥program files (x86)
¥Windows Identity Foundation SDK
¥v3.5
¥Samples
¥Quick Start
¥Web Application
¥PassiveRedirectBasedClaimsAwareWebAppフォルダ配下のファイルを全て、C:¥Inetpub¥ClaimApp 配下にコピーする
④ 「ExpectedClaims」を検索し、2回目にヒットした IF 文をコメントアウトする
//if ( ExpectedClaims.Contains( claim.ClaimType ) )
//{
WriteClaim( claim, table );
//}この行だけコメントアウトしない
IIS の設定
① サーバーマネージャーの「ツール」メニューから「インターネットインフォメーションサービス(IIS)マネージャーを起動
② 「DEMO-DC」-「アプリケーション プール」を選択③ アプリケーションプール一覧で「DefaultAppPool」の「詳細設定」を開く
④ 「ユーザープロファイルの読み込み」を「True」に設定⑤ 「OK」⑥ 「DefaultAppPool」の「基本設定」を開く
⑦ .NET CLRバージョンを v2.0.50727 に変更して「OK」
WEBサイトの設定
① 「サイト」-「Default Web Site」を右クリックして「バインドの編集」を選択
② 「追加」をクリック③ 「種類」で「HTTPS」を選択、「ポート番号」を「443」、
「SSL証明書」で「 webserv.contoso.com 」を選択して「OK」
④ 「閉じる」⑤ 「Default Web Site」を右クリックして「アプリケーションの
追加」を選択⑥ 「エイリアス」に「claimapp 」と指定⑦ 「物理パス」に「 C:¥inetpub¥ClaimApp 」を設定⑧ 「OK」
WEB アプリを、インストール済の AD FS と関連づけるための設定を行う
① C:¥Program Files (x86)¥Windows Identity Foundation SDK¥v3.5¥FedUtil.exe を起動② 「アプリケーション構成の場所」に「C:¥inetpub¥ClaimApp¥web.config 」を指定③ 「アプリケーション URI」に「 https://webserv.contoso.com/claimapp/ 」を指定
④ 「次へ」
⑤ 「既存の STS を使う」を選択⑥ 「STS WS-Federation メタデータのドキュメントの場所」に以下のパスを指定する
https://adfs1.contoso.com/federationmetadata/2007-06/federationmetadata.xml
「場所のテスト」を実行して、右のように表示されれば指定したパスは正しい。
⑦ 「次へ」
⑧ 「証明書チェーンの検証を無効にする」を選択して「次へ」
⑨ 「暗号化しない」を選択して「次へ」
⑩ 「次へ」⑪ 「完了」⑫ 「アプリケーションが正常に構成されました」が表示されたら「OK」
AD FS の証明書利用者信頼(RP)に WEB アプリを登録する
① サーバーマネージャーのツールメニューから「AD FS の管理」を起動② 「AD FS」-「信頼関係」-「証明書利用者信頼」を右クリックして「証明書利用者信頼の追加」を選択
③ 「証明書利用者信頼の追加ウィザード」が起動するので「開始」④ 「データソースの選択」画面で「オンラインまたはローカル ネットワークで公開...」を選択⑤ フェデーレーションメタデータのアドレスに ClaimApp の URL を指定して「次へ」
https://webserv.contoso.com/claimapp/
⑥ 「表示名」に「 ClaimApp 」と指定して「次へ」
⑦ 「現時点ではこの証明書利用者信頼に多要素認証を構成しない」を選択して「次へ」
⑧ 「すべてのユーザーに対してこの証明書利用者へのアクセスを許可する」を選択して「次へ」
⑨ 「次へ」⑩ 「ウィザードの終了時にこの証明書利用者信頼の[要求規則の編集]ダイアログを開く」をチェックし
て「閉じる」
⑪ 「webserv.contoso.com の要求規則の編集」画面が表示されたら「発行変換規則」タブを選択し、「規則の追加」をクリック
⑫ 要求規則テンプレートで「カスタム規則を使用して要求を送信」を選択して「次へ」
⑬ 「クレーム名」として「All Claims」を指定⑭ 「カスタム規則」欄に以下を入力
c:[ ]
=> issue(claim = c);
⑮ 「完了」⑯ 「OK」⑰ AD FS 管理コンソールには、以下のように ClaimApp が登録される
7. DEMO-DC に DHCP サービスをインストール
8. DEMO-PROXY に DNS/DHCP/OCSP サービスをインストールして構成する
9. DEMO-CLIENT の準備
10.オンラインレスポンダーの構成
機関情報アクセス拡張機能の構成
機関情報アクセス (AIA)」を選択
DEMO-PROXY に RootCA 証明書をインストールする
demo-proxy.contoso.com は小文字で入力してください
Web Application Proxy 1
Web Application Proxy の構築と構成
作業項目 対象サーバー
1 外部 DNS に社内アプリケーションを登録 DEMO-PROXY
2 Web Application Proxy をインストール DEMO-PROXY
3 adfs1.contoso.com の秘密キー付証明書の発行 DEMO-DC
4 Web Application Proxy を構成する DEMO-PROXY
5 WebServ 用 サーバー証明書をインストール DEMO-PROXY
6 WebServ の ClaimApp を Web Application Proxy で公開 DEMO-PROXY
7 クライアントからの接続テスト DEMO-CLIENT
1. adfs1.contoso.com の秘密キー付証明書の発行とインストール
2. WebServ 用 サーバー証明書をインストール
webserv
webserv
3. 外部 DNS に社内アプリケーションを登録
4. Web Application Proxy をインストール
5. Web Application Proxy を構成する
6. WebServ の ClaimApp を Web Application Proxy で公開
WebServ の ClaimApp を Web Application Proxy で公開
7. クライアントからの接続テスト
Workplace Join
1. クライアントにインストールした証明書にOCSP を設定する
2.
(HINT)
うまく登録できない場合には以下をチェックしてください。
• AD FS が起動しているか• DEMO-PROXY に設定したオンラインレスポンダーが正しく動作しているか• クライアントにインストールしたRooCA 証明書の OCSP 設定が正しいか
3. 登録されたデバイスを確認する
4. 動作確認
© 2013 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.