Microsoft Tech Summit 2017本情報の内容（添付文書、リンク先などを含む）は、Microsoft Tech Summit 2017 開催日（2017 年 11 月 8日 - 9 日）時点のものであり、予告なく変更される場合があります。

2

3

Azure AD Connect サーバー

同期エンジン ++

4

Azure AD Connect サーバー

同期エンジン ++

オンプレミス

Windows Server ツール

5

Active Directory

Azure AD Connect サーバーオンプレミス

繋ぐAzure

Active Directory

クラウド

Office 365

6

Active Directory

Azure AD Connect サーバー

Azure Active Directory

クラウド

Office 365

オンプレミス

ファイアウォールで保護された世界

インターネットの世界

組織のアカウントの認証サービス

クラウド アカウントの認証サービス

Kerberos プロトコル

SAML プロトコル

繋ぐ

7

オンプレミス Active Directory

ユーザー

グループ

Azure AD

ユーザー

グループ

オンプレミス Active Directory Azure AD

ユーザー管理者

・ ユーザー名・ パスワード

・ ユーザー名・ パスワード

業務アプリ

ドメインのパスワードポリシー

Azure AD のパスワード

ポリシー

ドメインのパスワードポリシー

Azure AD のパスワード

ポリシー

どっちも管理するのは大変 ・・・

アカウントがいっぱいでパスワードを覚えきれない・・・

8

2. オンプレミスから Azure AD に

シングル サインインオン できる

1. オンプレミスから Azure AD に、

アカウントを同期 できる

オンプレミスActive Directory

Azure AD

Azure AD Connectサーバー

オンプレミスのアカウントだけ管理すればよい！

オンプレミスActive Directory

Azure AD

Azure AD Connectサーバー

オンプレミスのユーザー名とパスワードだけ覚えておけばよい

管理者 ユーザー

ドメインのパスワードポリシー

9

オンプレミスActive Directory

＋ シームレス シングルサインオン（sSSO）

3. AD FS フェデレーション

1. パスワード同期

2. パススルー認証

10

シームレス シングルサインオン（sSSO）

？？

？

？

？

？？ ？

？

？？

？

？

？

？

11

Azure AD Connect で構成できるサインイン方式の、

どれを、どのように 選択 するのがよいのか？

みなさまが 判断 できるようになることを目標に、

12

オンプレミスActive Directory

Azure AD

ディレクトリ同期

Office 365 ライセンス

ドメインユーザー

13

1. 「ディレクトリ同期」 の重要な属性

2. Azure AD Connect で構成するサインイン オプションの特徴

3. みなさんは、どれを選択しますか？

15

オンプレミス Active Directory Azure Active Directory

ユーザー

グループ グループ

メールが有効な連絡先

ユーザー

ディレクトリ同期

（既定 30分サイクル)

一部、書き戻しをサポート（パスワード、デバイス、グループ）

メールが有効な連絡先

HTTP/HTTPS（80/443）

16

オンプレミス Active Directory Azure Active DirectoryAzure AD Connect

1

①読み込む①読み込む

②書き込む

17

ソース アンカー（Source Anchor）

18

オンプレミス Active Directory

msDS-ConsistencyGuid これです！

19

オンプレミス Active Directory

ObjectGUID

msDS-ConsistencyGuid

読み込む

Azure AD Connect

Azure Active Directory

書き込む

immutableID

生成

格納

作成

生成

ソースアンカーの値を格納

20

オンプレミス Active Directory

msDS-ConsistencyGuid

Azure Active Directory

immutableID

ソースアンカーの値を格納

ソースアンカー 今後は、これらの属性を比較することで、

「完全一致」 を確認する

21

オンプレミス Active Directory

Azure Active Directory

すでにユーザー登録が終わっている２ つのディレクトリを、後で同期することになったら？

userPrincipalName :

@abcxx.tech

userPrincipalName :

yamada@abcxx.tech

これは、Azure AD にサインインする時のユーザー名です

22

・ userPrincipalName

・ msDS-ConsistencyGuid

・ immutableID

・ ソース アンカーの大元 “objectGUID”（既定）

23

オンプレミス Active Directory

25

オンプレミスActive Directory

2-4. シームレス シングルサインオン（sSSO）

2-1. AD FS フェデレーション

2-3. パスワード同期

2-2. パススルー認証

26

Azure AD Connectの構成画面

Azure AD Connectサーバー

2-1. AD FS フェデレーション

27

ドメインコントローラー

認証

AD FSサーバー

オンプレミス Active Directory

・ SSO・ 多要素認証・ 条件付き

アクセス

AD FSプロキシ

AD FS 1

28

Azure AD

Office 365

ユーザー

オンプレミスActive Directory

AD FSサーバードメインコントローラー

認証シングルサインオン

ディレクトリ同期

ユーザー名

29

Azure AD

Office 365

ドメインコントローラー

Azure AD Connectサーバー

オンプレミスActive Directory

AD FS サーバー ファーム

AD FSプロキシサーバー ファーム

境界ネットワーク

ユーザー

認証

シングルサインオン

ディレクトリ同期

ユーザー名、パスワード

30

Azure AD

フェデレーション信頼

ドメインコントローラー

Azure AD Connectサーバー

AD FSサーバーファーム

・ 可用性を考慮して、AD FS サーバーと AD FS プロキシを展開・ SSL サーバー証明書の管理（更新）・ Azure AD との “フェデレーション信頼” の構成・ インフラストラクチャーの障害対策の計画

この構成には、技術力が求められる2

AD FSプロキシサーバー ファーム

境界ネットワーク

31

サーバー ファームのリモート展開、フェデレーション信頼の構成、フェデレーション SSL 証明書の更新、ログイン検証 など

AD FS サーバー ファーム

AD FS プロキシ サーバー ファーム

Azure AD Connect

3

Azure ADフェデレーション信頼

Azure AD Connectの構成画面

32

同期エンジン ++

34

同期エンジン ++

35

・ オンプレミスに、Windows Server 2012 R2 以降のサーバーを展開しておく

・ 境界ネットワークに、Windows Server 2012 R2 以降のサーバーを展開しておく

・ フェデレーション ドメイン名 を決める

・ SSL 証明書 を取得する

・ 内部/外部 DNS サーバーを構成する

・ フェデレーション ドメイン名で 接続 できることを確認しておく

など

4

36

Azure AD Connect サーバー

パススルー認証

（AuthN）エージェント

Azure AD Connectの構成画面

2-2. パススルー認証

37

Azure AD Office 365

ドメインコントローラー

Azure AD Connect サーバー

パススルー

※ Azure AD ユーザーのパスワードは、クラウドに保存されていない

ディレクトリ同期

ユーザー

パスワードの検証

ユーザー名、パスワード

1

38

Azure AD Office 365

ドメインコントローラー

Azure AD Connectサーバー

パススルー認証

エージェント HTTPS

2

パススルー

※パスワード検証要求を待ち受けて応答するだけ

ユーザー名、パスワード

ユーザー

39

パススルー認証3

ドメインコントローラー

スタンドアロンのパススルー

認証エージェント

（2台目）Azure AD Connectサーバー（1台目）

パススルー認証

エージェント

認証

よりシンプルなサーバー構成

41

Azure AD Connectサーバー

Azure AD Connectの構成画面

パスワード同期

エージェント

2-3. パスワード同期

42

ディレクトリ同期（既定 30 分間隔）

パスワード同期（2 分間隔、変更不可）

Azure AD Connect サーバー

オンプレミス Active Directory

Azure Active Directory

パスワード同期

エージェント

※オンプレミスのユーザーパスワードが、同期によって、クラウドに保存される

ドメインコントローラー

ドメインのパスワードポリシー

1

43

Azure AD Office 365

ドメインコントローラー ユーザー名、

パスワード

Azure AD Connectサーバー

ディレクトリ同期

ユーザー

パスワード同期 認証

※ Azure AD ユーザーのパスワードは、クラウドに保存されている

2

44

パスワード同期3

ドメインコントローラー

パスワード同期

エージェント

ステージングモード

（2台目）

Azure AD Connectサーバー（1台目）

パスワード同期

エージェント

最もシンプルなサーバー構成

Azure AD

認証パスワード

保存

45

Azure AD

ディレクトリ同期

パスワード同期

ドメインコントローラー

Azure AD Connectサーバー

パスワードをクラウドに保存して大丈夫 ・・・？

4

ユーザーのパスワードを

保存

46

47

Azure AD Connect サーバー

オンプレミスActive Directory

Azure AD

“Password”

ドメイン コントローラー

MD4 + salt + PBKDF2

+ HMAC-SHA256

ユーザー

“Password”

48

“Password”

49

f15abd57801840f3348ddccafb677f6a

50

”

51

3280fec20a8389842d5aaebaacda9e4fd09b2c80af816111ff

e90a9f83f20527※ PBKDF = Password based Key Derivation Function（RFC 2898）

52

1c0912757d1aa5bc672a94f5aa3c89a580c475dcd90823ed646d02423d2c8da0

53

”

1c0912757d1aa5bc672a94f5aa3c89a580c475dcd90823ed646d02423d2c8da0

f15abd57801840f3348ddccafb677f6a

3280fec20a8389842d5aaebaacda9e4fd09b2c80af816111ffe90a9f83f20527

“Password”

54

オンプレミス Active Directory

Pass-the Hash : 不正に入手したパスワードのハッシュ値を悪用して、組織に侵入する、なりすまし攻撃

55

復習

Azure AD Office 365

ドメインコントローラー

Azure AD Connect サーバー

パススルー

※ Azure AD ユーザーのパスワードは、クラウドに保存されていない

ディレクトリ同期

リモートからアクセスするドメイン ユーザー

パスワードの検証

ユーザー名、パスワード

56

復習

Azure AD Office 365

ドメインコントローラー ユーザー名、

パスワード

Azure AD Connectサーバー

ディレクトリ同期

パスワード同期 認証

※ Azure AD ユーザーのパスワードは、クラウドに保存されている

リモートからアクセスするドメイン ユーザー

57

Azure AD Office 365

ドメインコントローラー

ドメインユーザー

Azure AD Connectサーバー

ユーザー名、パスワード

ディレクトリ同期

認証

Azure AD ユーザーのパスワードは、クラウドに保存されていない

パススルー

認証

ユーザー名、パスワード

58

Azure AD Office 365

ドメインコントローラー

ドメインユーザー

Azure AD Connectサーバー

ディレクトリ同期

パスワード同期

Azure AD ユーザーのパスワードは、クラウドに保存されている

ユーザー名、パスワード

認証

ユーザー名、パスワード

認証

59

持っていません

60

Azure AD Connectサーバー

パスワード同期 + sSSO パススルー認証 ＋ sSSO

2-4. シームレス シングルサインオン（sSSO）

61

シームレスシングルサインオン1

ドメインコントローラー

Azure AD Connectサーバー

パススルー認証を有効化

63

Kerberos の複合化キーを Azure AD と共有

シームレスシングルサインオン1

ドメインコントローラー

Azure AD Connectサーバー

AZUREADSSOACC

Azure AD共有

64

ドメインコントローラー

AZUREADSSOACC

Azure AD

Azure Active Directory シームレス シングル サインオン: よく寄せられる質問

定期的にロール オーバー

65

2

ドメインコントローラー

66

いいえ

68

69

長所があります

■

■

https://blogs.technet.microsoft.com/uktechnet/2017/09/27/mastering-identity-with-azure-active-directory-episode-8-integrating-with-on-premises-ad-and-ad-fs/

■ https://www.itpromentor.com/compare-sso/

70

71

オプション パスワード同期 + sSSO パススルー認証 + sSSO AD FS

展開コストの高さと複雑さ 低 中 高

オンプレミスに展開するサーバーの数最低 1 台、

推奨 2 台（ステージング モード）最低 1 台、

推奨 2 台（エージェント冗長化）最低 1 台、

推奨 2 台（サーバー ファーム）

境界ネットワークに展開するサーバーの数 不要 不要最低 : 1 台、

推奨 : 2 台（高可用性）

サーバーの自動フェールオーバーのサポートいいえ

（ステージング モード）はい

（エージェントの冗長化）はい

（ファーム構成）

SSL 証明書が必要 いいえ いいえ はい

System Center Operations Manager による、オンプレミス コンポーネントの監視

いいえ いいえ はい

Azure AD Connect Health による、オンプレミス コンポーネントの監視

一部(Azure AD Premium P1)

ーはい

(Azure AD Premium P1)

自動更新管理 ー エージェントの自動更新 証明書の自動ロールオーバー

組織ネットワークとインターネット間の接続がダウンしても、リモートから Azure AD にサインインできる

はい いいえ いいえ

72

https://aka.ms/aadconnecthealth

※ 最低 1 つの Azure AD Premium P1 ライセンス必要

73

オプション パスワード同期 + sSSO パススルー認証 + sSSO AD FS

オンプレミス デバイスからAzure AD への シングル サインオン

はい はい はい

オンプレス パスワードを使用するサインイン はい はい はい

リモートから Azure AD へのアクセスをオンプレミスで認証する

いいえ はい はい

UPN 属性によるサインイン はい はい はい

<ドメイン名>\<sAMAccountName属性> によるサインイン

いいえ いいえ はい

サインイン ページのカスタマイズはい

（Azure AD Premium P1）はい

（Azure AD Premium P1）はい

CSS や JavaScript によるカスタマイズ いいえ いいえ はい

74

オプション パスワード同期 + sSSO パススルー認証 + sSSO AD FS

証明書ベースの認証 いいえ いいえ はい

オンプレス ユーザーが無効化されると、Azure AD ユーザーも無効化になる

同期サイクルである 30 分後（既定）に反映される

はい はい

オンプレス ユーザーがロックアウトされると、Azure AD ユーザーの認証が失敗する

いいえ はい はい

オンプレス ユーザーのパスワードが期限切れによるロックアウト

いいえ はい はい

信頼関係がある複数のAD フォレストのユーザーの認証

はい はい はい

信頼関係がない複数のAD フォレストのユーザーの認証

はい いいえはい

（AD FS 2016）

サードパーティーの LDAP ディレクトリによるサインイン

いいえ いいえはい

（AD FS 2016）

75

オプション パスワード同期 + sSSO パススルー認証 + sSSO AD FS

パスワードをクラウドに同期するはい

（よりセキュアにハッシュされて格納）いいえ

いいえ（Fall-back としてパスワード同

期を使用できる）

セルフ パスワード リセット はい（Azure AD Premium P1）

はい（Azure AD Premium P1）

はい（Azure AD Premium P1）

パスワードの書き戻し はい はい はい

オンプレミスのパスワード ポリシーの適用

一部（パスワードの複雑性のポリシー、パスワードの有効期限のポリシー）

はい はい

パスワード期限切れ通知のサポート いいえ いいえ はい

Azure AD ID 保護はい

（Azure AD Premium P2）はい

（Azure AD Premium P2）いいえ

オンプレミス ユーザー アカウントのロックアウト保護

ー スマート ロックアウト エクストラネット ロックアウト

76

オプション パスワード同期 + sSSO パススルー認証 + sSSO AD FS

オンプレミスの多要素認証ソリューション いいえ いいえ はい

クラウド アプリケーションへのAzure の多要素認証ソリューション

はい はい はい

Azure MFA サーバー いいえ いいえ はい

サード パーティー MFAはい

（Azure AD Premium P2）はい

（Azure AD Premium P2）はい

カスタム MFA いいえ いいえ はい

Win10 の Windows Hello for Business（キー ベース）

はい はいはい

（AD FS 2016）

Win10 の Windows Hello for Business（証明書ベース）

はい（with MDM）

はい（with MDM)

はい

Azure AD の条件付きアクセス はい はい はい

77

オプション パスワード同期 + sSSO パススルー認証 + sSSO AD FS

デバイス登録 : Win10 はい はい はい

デバイス登録 : Win7/8.1 Coming Soon はい はい

レガシー プロトコルのブロック Coming Soon (Premium) Coming Soon (Premium) はい

イントラネットからのみレガシー プロトコルの許可（Office 2010 など）

Coming Soon (Premium) Coming Soon (Premium) はい

ブラウザー はい はい はい

Exchange Active Sync (EAS) はい Coming Soon はい

ネイティブ アプリケーション (レガシー認証) はい Coming Soon はい

ネイティブ アプリケーション (モダン認証) はい はい はい

78

79

80

81

Azure AD Office 365

ドメイン コントローラー

ドメインユーザー

シングルサインオン

復習

82

ドメイン コントローラー

リモートからアクセスしている

ドメイン ユーザー

Azure AD

認証 認証

83

ドメイン コントローラー

リモートからアクセスしている

ドメイン ユーザー

Azure AD

認証

それは、組織内の全ユーザーを対象としていますか？

認証

フェデレーション ドメイン名をユーザー名に含む、全ユーザーが対象

フェデレーション ドメイン名を含むユーザーは、Azure AD に直接作成できなくなります

パススルーのドメイン名を含むユーザーも、Azure AD に新規作成でき、

直接 AzureAD に作成したユーザーは対象外（同期ユーザーのみ対象）

84

ドメイン コントローラー

リモートからアクセスしている

ドメイン ユーザー

Azure AD

認証

85

ドメイン コントローラー

リモートからアクセスしている

ドメイン ユーザー

Azure AD

認証

86

87

高

AD FS サーバー ファーム

WAP サーバー ファーム

境界ネットワーク

AD FS フェデレーション

パススルー認証 パスワード同期

スタンドアロンのパススルー認証

エージェント

（エージェント2台目）

Azure AD Connectサーバー

（エージェント1台目）

パススルー認証

エージェント

パスワード同期

エージェント

Azure AD Connectサーバーステージングモード

（2台目）

Azure AD Connectサーバー

（1台目）

パスワード同期

エージェント

低中

オンプレミス

88

89

・アクセスブロック・デバイス ワイプ

アクセス許可

クラウド アプリケーション

正当なユーザー

信頼できる場所

デバイスの状態

ユーザー

サインインのリスク

Azure AD条件付きアクセス

ポリシー

Azure の多要素認証

サインイン

オンプレミス

社内アプリケーション

Azure AD

多要素認証の強制

正当なユーザーに対する、

細やかなアクセス制御

ユーザー認証を強力にする

91

92

顔 虹彩 指紋

生体

本人しか持ちえない情報 本人が持っているデバイス

＋

＋

本人が持っているデバイス

誰もが知り得る情報

ユーザー名を入力

本人だけが知っている情報

PIN コードを入力

＋

＋

＋

プライベート キー

パブリック キー

認証

Public

パブリック キー

認証

Public

プライベート キー

ドメイン ユーザー

ドメイン ユーザー

93

Windows 10

参加と認証

オンプレミス Active Directory ドメイン

Azure Active Directory

参加と認証

または

AD FS 2016サーバー

＋

Intune

＋

94

95

96

Azure AD へのシングルサインオン方式の

選択は、

ぜひ、

組織全体のセキュリティ対策と組み合わせて、

検討してください

97

多要素認証の要求

アクセス許可

アクセスのブロック

強制的なパスワードリセット***

***

アクセスの制限

制御

ユーザー

準拠デバイス

信頼できる場所

アプリケーション

条件

機会学習

ポリシー

リアル タイム評価エンジン

リスク

3

ポリシー適用

怪しいユーザー アクションを機械学習で自動検出

顔 虹彩 指紋

生体

強力な認証

クラウド アプリケーション

オンプレミス

社内アプリケーション

参考 : Microsoft Ignite 2017 「BRK2019」 セッション スライドより

98

初めての方にも理解していただける内容になっています。

この本の 10 章で、Azure AD Connectの基本的な構成方法を解説しています。

Session ID Title

SEC005ネットワークエンジニア必見！VPN/DMZ は要らなくなる！？Azure AD Application Proxy で実現するセキュアなアクセス

SEC006Office 365 関係者に告ぐ「”脱 AD FS”の準備は整った」Azure AD による SSO とアクセス制御

SEC007Azure AD B2C と LINE 連携により実現する学校や企業における次世代 ID/メッセージ基盤

SEC009Azure AD による Web API の保護～ Azure API Management をセキュリティの観点で解説

99

■

■

■

■

101

■

■

■ https://docs.microsoft.com/ja-jp/windows/access-protection/hello-for-business/hello-identity-

verification

102

103