1/102

曹祖聖

台灣微軟資深講師

jimycao@syset.com

http://teacher.syset.com

MCP, MCP+I, MCSA, MCSE, MCDBA, MCAD, MCSD, MCTS, MCITP, MCPD, MCT, MVP

2/102

企業開始強調行動性

裝置遺失或遭竊所導致的資料外洩是最主要的智慧型手機資安風險 – 歐洲網路和安全委員會

29% 的全球當前工作人力使用3種以上的裝置，並且在不同的地點工作，使用不同的 apps

67% 的人使用智慧型手機來工作，70% 使用平板電腦來工作的人選擇他們自己的裝置

超過 80%的員工在工作中使用未核准的軟體即服務 (SaaS)應用程式

3/102

各式各樣的裝置正在改變傳統 IT公司的途徑

裝置

跨平台的部署和管理應用程式是相當困難的

應用程式

滿足客戶在業務上的挑戰

資料

使用者需要很有效率地來保持法規遵循和降低風險

使用者期待可以在任何地點進行工作並且可以存取他們所以的工作資源

使用者

4/102

裝置 應用程式使用者

實現以使用者為中心的 IT

讓使用者更容易使用

用戶可以在工作上選用不同的裝置，並可以一致地存取到公司資源

整合您的環境

在內部部屬及雲端之間提供單一的應用程式和裝置管理

保護您的資料

協助保護您的企業資訊，並進行風險管理

管理 存取 保護

資料

5/102

真實世界的 SaaS 應用程式與使用裝置

Salesforce.com

force.comAmazon.com

AWS

Private cloud

EC2

System Center

6/102

使用者

微軟帳號alice@outlook.com

微軟帳號

使用者

組織帳號alice@contoso.com

微軟 Azure Active Directory

7/102

一個完整的身份與取存管理的雲端解決方案

它包含了目錄服務、進階的身份管理、應用程式存取管理與開發平台

Azure Active Directory Premium 提供私有雲、混合雲、公有雲環境一個身份識別與存取控制的能力

什麼是Azure Active Directory ?

8/102

9/102

10/102

Azure Active Directory Premium 整合概觀

PC 與行動裝置

微軟雲端應用程式

非微軟雲端應用程式

Active Directory

其它身份提供者

11/102

https://account.windowsazure.com/organization

12/102

13/102

14/102

15/102

16/102

17/102

Entity Query Query result

Users https://graph.windows.net/contoso.com/users?api-version=2013-

04-05List all users

https://graph.windows.net/contoso.com/users/admin@contoso.c

omGet a specific user by user

principal name

https://graph.windows.net/contoso.com/users?$filter=surname

eq 'Smith'Find users by surname

https://graph.windows.net/contoso.com/users/admin@contoso.co

m/managerGet manager for the specified user

https://graph.windows.net/contoso.com/users/admin@contoso.co

m/directReportsList the direct reports for the

specified user

https://graph.windows.net/contoso.com/users/admin@contoso.co

m[/$links]/memberOfList the group memberships for the

specified user (non-transitive)

Roles https://graph.windows.net/contoso.com/roles List all roles

Groups https://graph.windows.net/contoso.com/groups List all groups

https://graph.windows.net/contoso.com/groups/3f575eef-bb04-

44a5-a9af-eee9f547e3f9/membersList members for the specified

group

Contacts https://graph.windows.net/contoso.com/contacts List all contacts

18/102

http://www.microsoft.com/en-us/server-cloud/products/enterprise-mobility-suite/try.aspx#fbid=78uSJPLcoHW

19/102

http://azure.microsoft.com/en-us/pricing/free-trial/

20/102

21/102

22/102

雲端的目錄服務

23/102

Azure AD 身份驗證 –純雲端

使用者帳號使用者

24/102

Azure AD 身份驗證 –帳號同步式

密碼雜湊

使用者帳號

本地端Active Directory

DirSync 工具

使用者

登入

透過 Identity Synchronization 服務將使用者帳戶的屬性 (含密碼雜湊) 同步到雲端，所有使用者身份驗證都由 Azure Active Directory 處理

25/102

Azure AD 身份驗證 –聯邦式

密碼雜湊

使用者帳號

本地端Active Directory

DirSync 工具

使用者

登入

ADFS驗證

驗證

使用 Identity Synchronization 工具將使用者帳戶的屬性同步到雲端，使用者身份驗證由 ADFS 轉回本地端 Active Directory 處理

26/102

WS-Federation

WS-Trust

SAML 2.0

Metadata

Shibboleth

Graph API

27/102

密碼同步 ADFS SSO

使用一致的使用者密碼來存取應用程式

在本地端控制密碼原則

支援多因子驗證

不需要重覆輸入密碼

由本地端進行身份驗證

進一步進行用戶端存取過濾

28/102

contoso.local

資料層10.2.2.0/24

應用程式層10.2.3.0/24

Web 前端10.2.4.0/24

後端 AD

10.2.1.0/24可用性群組

可用性群組

WFE1WFE2

DC1DC2

負載平衡器

SQLSharePoint

Microsoft Azure 虛擬網路 - 10.2.0.0

WFE3

可用性群組

29/102

Point-to-Site

VPN

Point-to-Site

VPN

DC

contoso.local

資料層10.2.2.0/24

應用程式層10.2.3.0/24

Web 前端10.2.4.0/24

後端 AD

10.2.1.0/24可用性群組

可用性群組

WFE1WFE2

DC1DC2

負載平衡器

SQLSharePoint

Microsoft Azure 虛擬網路 - 10.2.0.0

WFE3

可用性群組

30/102

contoso.local

本地端Active Directory

Site-to-Site VPN

使用Windows Server 2012

R2 做為 IKEv2 VPN 閘道

Point-to-Site

VPN

資料層10.2.2.0/24

應用程式層10.2.3.0/24

Web 前端10.2.4.0/24

後端 AD

10.2.1.0/24可用性群組

可用性群組

WFE1WFE2

DC1DC2

負載平衡器

SQLSharePoint

Microsoft Azure 虛擬網路 - 10.2.0.0

WFE3

可用性群組

31/102

32/102

33/102

34/102

超過 1200 個預先整合完成的 SaaS APP

連接與同步

• 本地端 AD 與雲端 AD

• 本地端其它目錄服務與雲端 AD

雲端的目錄服務

35/102

預先整合完成的 SaaS APP

36/102

超過 1200 個預先整合完成的 SaaS APP

連接與同步

• 本地端 AD 與雲端 AD

• 本地端其它目錄服務與雲端AD

雲端的目錄服務

開發人員可以透過開放的Azure AD API 建構企業的雲端APP

身份與應用程式都在同一個地方

37/102

http://www.microsoft.com/en-us/download/details.aspx?id=44225

https://msdn.microsoft.com/en-us/library/azure/dn790204.aspx

38/102

39/102

40/102

41/102

42/102

43/102

44/102

45/102

46/102

47/102

48/102

49/102

50/102

51/102

52/102

53/102

54/102

55/102

使用 Identity Synchronization 工具將使用者帳戶的屬性同步到雲端，使用者身份驗證由 ADFS 轉回本地端 Active Directory 處理

56/102

57/102

應用程式提供者

身份提供者

應用程式Security Token Service (STS)

Security Token

(Outgoing

Claims)

Security Token

(Incoming

Claims)

使用 SAML 格式傳送 Claims

58/102

真實世界的 STS

STS

token token

STStoken token

RP

59/102

60/102

61/102

ADFS 組成元件

網域控制站(屬性儲存區)

提供宣告屬性

ADFS

Web Application Proxy

Federation Service Proxy應用程式伺服器Relying Party

網域控制站(屬性儲存區)

ADFS

提供宣告屬性Relying-Party

Trust

Claims-Provider Trust

內部網路 伙伴網路

adfs.adatum.com

adfs.adatum.com

62/102

外部用戶端

ADFS

Federation

Service

Proxy

Web伺服器

網域控制站

DMZ 企業內部網路

3

2

4

77

6 5

1

8

63/102

ADFS – B2B SSO

A 公司 (Account Partner) B 公司 (Resource Partner)

內部用戶端

ADFS

ADFS

Web 伺服器

網域控制站

聯邦式信任

7

6

8

5

4

3

2

1 11

9

10

64/102

ADFS –微軟線上服務 SSO

ADFS (IP)

你的企業 微軟

內部用戶端

微軟線上 ADFS

Office 365, Azure

網域控制站

聯邦式信任

7

6

8

4

3

2

1 11

10

9

5

65/102

66/102

67/102

68/102

69/102

http://go.microsoft.com/fwlink/?LinkID=286152

http://go.microsoft.com/fwlink/p/?linkid=236297

$cred=Get-Credential

Connect-MsolService –Credential $cred

70/102

Set-MsolAdfscontext –Computer adfs.demo.com

以下指令擇一執行:

New-MsolFederatedDomain -DomainName demo.com

Convert-MsolDomainToFederated –DomainName demo.com

71/102

按指示，在 contoso.com 中建立以下記錄(擇一)

DNS TXT 記錄@，值為 MS=ms24458965

MX 記錄@，值為 ms24458965.msv1.invalid、優先順序值設為 32767

增加記錄之後，等 15min ~ 72 hr，再執行一次 (擇一):

New-MsolFederatedDomain -DomainName demo.com

Convert-MsolDomainToFederated –DomainNamedemo.com

72/102

73/102

集中管理預先整合的SaaS APP 與其它雲端應用程式

透過進階的存取管理能力，進一步加強商業流程安全性

統一的身份與存取管理主控台

集中管理身份與存取

你的雲端 APP 隨時隨處可用

IT 管理人員

74/102

75/102

授權使用者

管理自己的帳戶

個人化公司應用程式入口網站http://myapps.microsoft.com

+ 行動 APP

76/102

管理自己的帳戶

自助密碼重設與委派雲端使用者群組管理

個人化公司應用程式入口網站http://myapps.microsoft.com

+ 行動 APP

授權使用者

77/102

https://account.activedirectory.windowsazure.com/applications

https://account.activedirectory.windowsazure.com/profile/

78/102

79/102

透過安全報表來追蹤可疑的存取、提供即時的警示、進行後續的分析

內建安全相關功能

監控與保護企業應用程式存取

80/102

81/102

透過安全報表來追蹤可疑的存取、提供即時的警示、進行後續的分析

內建安全相關功能

監控與保護企業應用程式存取

使用第二步驟身份驗證

X X X X X

X X X X X

X X X X X

82/102

任何以下兩種以上的身份驗證:

• 你記得的: 密碼、PIN 碼

• 你手邊的: 手機、信用卡、硬體

• 生物辨識: 指紋、視網膜掃描、

83/102

在 Azure Active Directory Premium 中內建的進階身份與存取服務

透過第二步驟的驗證手續，避免未經授權的本地應用程式或雲端應用程式存取

目前廣為所有企業與個人所使用

什麼第二步驟身份驗證 ?

84/102

第二步驟身份驗證運作方式

行動 APP 電話

ALERT

1 4 5 6 7 6

簡訊

85/102

內部 APP

RADIUSLDAP

IIS RDS/VDI

Multi-Factor

AuthenticationServer

Multi-Factor

Authentication

Service

雲端 APP

使用者必須使用手機或其它行動裝置進行第二步驟驗證，才可以使用應用程式2使用者在任何裝置上，使用他

們已知的帳號和密碼登入1

Windows Server AD or Other LDAP

第二步驟身份驗證運作方式

86/102

87/102

自訂 AAD 商標

88/102

89/102

Cloud App Discovery

代理程式

收集資訊 Active DirectoryCloud App Discovery

90/102

Cloud App Discovery

91/102

http://blogs.technet.com/b/ad/archive/2014/04/28/a-new-azure-ad-module-in-preview-cloud-app-discovery.aspx

https://appdiscovery.azure.com/

92/102

93/102

94/102

https://msdn.microsoft.com/zh-tw/library/azure/jj151815.aspx

https://admodify.codeplex.com/

95/102

https://technet.microsoft.com/zh-tw/library/dn750846.aspx

https://testconnectivity.microsoft.com

http://support.microsoft.com/kb/2684395

https://technet.microsoft.com/en-us/library/jj710171.aspx

96/102

安裝Microsoft Azure PowerShell (用WPI 裝)

Azure Active Directory Module

救回不小心刪除的使用者Get-MsolUser -ReturnDeletedUsers

| ? {$_.UserPrincipalName -like "tim*"} | Restore-MsolUser

參考:

http://technet.microsoft.com/library/jj151815.aspx

97/102

手動啓動 Azure AD 同步Import-Module DirSyncStart-OnlineCoexistenceSyncSet-FullPasswordSync

停用同步$msolcred = Get-CredentialConnect-MsolService -Credential $msolcred

Set-MsolDirSyncEnabled –EnableDirSync $false

$ci = Get-MSOLCompanyInformation$ci.DirectorySynchronizationEnabled

AAD 同步每 3 小時一次、密碼每 2 分鐘一次 !

98/102

-SupportMultiDomain

-SupportMultipleDomain

-SupportMultipleDomain

99/102

檢查同步工具版本，使用 PowerShellGP ('hklm:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Microsoft Online Directory Sync').DisplayVersion

使用 AAD Sync 做為 ADFS 的備援機制http://social.technet.microsoft.com/wiki/contents/articles/17857.dirsync-how-to-switch-from-single-sign-on-to-password-sync.aspx

100/102

Azure AD Free Azure AD PremiumMulti-factor

authentication

Directory as a service Up to

500,000 objects No limit

User and group management

Single sign-on for pre-integrated SaaS and custom

applications

10 apps per

user No limit

Microsoft Directory Synchronization Tool

(Windows Server Active Directory extension)

User-based access management and provisioning

Group-based access management and provisioning

Self-service group management for cloud users

Self-service password change for cloud users

Self-service password reset for cloud users

Security reports ( MFA )

Advanced security reporting (based on machine learning)

Usage reporting

Company branding

(logon pages and Access Panel customization)

Multi-factor authentication (all available features on

Windows Azure and on-premises environments)

Service-level agreement (SLA)

Forefront Identity Manager CAL + Forefront Identity

Manager Server

101/102

結論

PC 與行動裝置

微軟雲端應用程式

非微軟雲端應用程式

Active Directory

其它身份提供者

102/102

http://azure.microsoft.com/en-us/documentation/services/active-directory/

http://azure.microsoft.com/en-us/documentation/services/active-directory/

https://msdn.microsoft.com/en-us/library/azure/jj205462.aspx