参考記事

https://blogs.msdn.microsoft.com/samueld/2017/06/13/choosing-the-right-sign-in-option-to-

connect-to-azure-ad-office-365/

Azure AD Domain Service

• AutoPilot

• Azure Active Directory をドメインコントローラーとして使用する機能

• 正確には、Azure AD テナントと同期するドメインコントローラーをAzure VNET 上に自動展開するサービス

• 既定で 2 台のドメインコントローラーが展開される

Azure VNET

Kerberos

ldap

NTLM

Group Policy

File Server

認証,

アクセス制御

ID/Password 同期

• 既存ドメインと統合できない

• Azure AD Domain Service に新規ドメインコントローラーを追加することもできない

• 既存ADドメインとの認証分離

AAD DS ドメインの世界 AAD の世界

ID &

パスワードハッシュ同期

オンプレミス

1. パスワード同期

2. Active Directory Federation Service (ADFS)

3. 3rd party Federation Service

4. パススルー認証（プレビュー）

5. Azure AD シームレス SSO

• Azure AD Connect は生パスワードにアクセスできない

• 統一パスワードだが SSO ではない• 利用者は Office 365 にアクセスする

ために Azure AD に保存されたパスワードで再認証する必要がある

• オンプレミスはMD4、クラウドは

SHA256

MD4 Hashed

Password (unicodePwd)

• Azure AD でパスワードを“リセット/変更”した場合、パスワードをオンプレミスに書き戻す機能

• Azure AD Premium P1/P2 で提供

• 以下の構成でサポートされる• パスワード同期• フェデレーション• パススルー認証

• 以下の操作がサポートされる• 管理者によるリセット/変更• ユーザーによるリセット/変更

• 以下は現時点で未サポート• PowerShell v1、v2、または Azure

AD Graph API を使用したパスワードのリセット

• “Office 管理ポータル”から管理者が開始したエンドユーザーのパスワードのリセット

MD4 Hashed

Password (unicodePwd)

Tenant-specific Service Bus Relay

変更を検知Inbound port の open は不要

Write Back

AD DS SetPassword API

Write Back

Firewall

Decrypt password

by private key

https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-

aadconnectsync-connector-genericldap

• Azure AD federation compatibility list

https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnect-

federation-compatibility

• Use a SAML 2.0 Identity Provider (IdP) for Single Sign On

https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnect-

federation-saml-idp

• SAML 2.0 compliant SP-Lite profile

• Hybrid Identity directory integration tools comparison

https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-hybrid-identity-design-

considerations-tools-comparison

• Microsoft Connectivity Analyzer

https://testconnectivity.microsoft.com/?tabid=Client

Syn

c w

ith

Pa

sswo

rd

Syn

c w

ith

Pa

sswo

rd

• クラウドリソースにアクセスするための認証をオンプレミスADDSで行う

• ハッシュされたパスワードを同期しない• フェデレーションを使用せずにオンプレミ

スで認証する• セルフサービスパスワード変更/リセット

も可能• Azure AD Connect でセットアップする• AD FS の可用性を考慮する必要が無い• AD FS の導入に比べればとにかく楽！

Preview

Tenant-specific Service Bus Relay

Inbound port の open は不要Firewall

Syn

c

Ide

ntity

②ログイン検知③取り出し

④Decrypt password by private key

⑤Check Id/password pair

With Win32 API

>=1.1.557.0

⑥結果

（注）オンプレミスとクラウドで同じID/Passwordを使用できるか、SSOではない！

Supported

• web browser-based applications

• Office 365 client applications that support modern authentication.

• Azure AD Join for Windows 10 devices.

• Exchange ActiveSync support.

• PowerShell v2.0 or later

Unsupported during preview

• Office 2013 or earlier

• Skype for Business client applications, including Skype for Business

2016.

• PowerShell v1.0

• Azure AD にサインインするためのパスワード入力が必要がなくなる

AZUREADSSOACCT

Preview

OS/ブラウザー Internet Explorer Edge Google Chrome Mozilla Firefox Safari

Windows 10 あり なし あり はい*

Windows 8.1 あり あり はい*

Windows 8 あり あり はい*

Windows 7 あり あり はい*

Mac OS X 該当なし はい* はい* はい*

* 追加構成の必要あり

https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnect-sso-

quick-start#browser-considerations

特徴 PC ログオン クラウドアプリ利用時 SSO

Azure AD のみ 単一IdP Azure AD Azure AD 〇

パスワード同期 ADDSとAzure AD両方にパスワード

ADDS Azure AD AAD シームレス SSO と併用する。IDは入力の必要あり。

フェデレーション オンプレミスの認証結果をクラウドに引き継げる

ADDS ADDS 〇

パススルー ADDSに登録されたID/Passwordでクラウド上のリソースにアクセスできる

ADDS ADDS AAD シームレス SSO と併用する。IDは入力の必要あり。

P1

P1

P1P1

P2

P1

Option Password 同期 パススルー ADFS

INFRASTRUCTURE & OPERATIONS

サーバー台数Min: 1Rec: 2

(+'Staging' server)

Min: 1

Rec: 2 for HA

Min: 1

Rec: 2 for HA

DMZ への展開が必要か NO NO

YES（WAP）

Min:1, Rec: 2 for

HA

自動フェールオーバー用のHAシナリオはあるか

NOYES

Service Bus RelayYES

ロードバランサ

SSL 必須 NO NO YES

クラウドからオンプレミスのサーバーを監視できるか

Connect Health

(Premium)Partial

Connect Health

(Premium)

Option Password 同期 パススルー ADFS

AUTHENTICATIONAD - Password Sign-in YES YES YES

AD - Desktop SSO YES YES YES

AD - Soft Certificates

(MDM or GPO provisioned)NO NO YES

AD - Smart Card NO NO YES

AD - Fail Auth if user is disabled

Partial. Typically up to 30

mins for sync cycle to

complete

Immediate Immediate

AD - Fail Auth if user’s password has

expiredNO YES YES

AD - Supports users in multiple trusted AD

forestsYES YES YES

AD - Supports users in multiple untrusted

AD forestsYES NO

YES (2016)untrusted forest can be configured as an LDAP

directory

3rd party LDAP - Password sign-in

See note 4NO NO YES (2016)

Authenticator App as primary Sign-in

(password less)NO NO YES (2016)

Option Password 同期 パススルー ADFS

MFAAzure MFA (SMS, Phone, TOTP) YES YES YES (2016)

Azure MFA Server (+Pin support) NO NO YES

Win10 Hello For Business (Key trust) YES YES YES (2016)

Win10 Hello For Business (Cert trust) NO NOComing Soon

(2016)

3rd party MFA NO NOYES

(link)

Build Custom MFA NO NOYES

(link)

Option Password 同期 パススルー ADFS

APPLICATIONS

Browser YES YES YES

Exchange Active Sync (EAS) YES Coming Soon YES

Native apps (legacy auth) YES Coming Soon YES

Native apps (modern auth) YES YES YES

Win 10 desktop sign-in with

Username/Password(U/P) on a AAD

joined device

YES Coming Soon YES

Option Password 同期 パススルー ADFS

SIGN-IN EXPERIENCE

Customize logo, image and sign-in descriptionYES (premium)

(link)

YES (premium)

(link)

YES

(link)

Customize full layout with CSS customization NO NOYES

(link)

Customize dynamically with Java Script NO NOYES

(link)

Sign In with UPN YES YES YES

Sign In with Domain¥samaccountname NO NO YES

Seamless first time sign-in to O365 native apps on Domain Joined devices

NO NO

YES

Office apps are optimized

on first sign-in to look up the

local UPN and seamlessly

sign-in the user using WS-

Trust Kerberos endpoints from the Identity provider.

Seamless 2nd time sign-in to O365 native apps on Domain Joined devices

YES YES YES

Option Password 同期 パススルー ADFS

PASSWORD EXPIRY NOTIFICATION & CHANGE

Supports password expiry

notification in Office Portal & Win10

desktop

NO NO YES

Custom password change URL link

shown in Office Portal & Win10

desktop

NO NO YES

Integrated password change

experience when user’s password

has expired

NO NO YES

Option Password 同期 パススルー ADFS

DEVICES & ACCESS CONTROL

Device Registration: Win10 DJ YES YES YES

Device Registration: Win7/8.1 DJ Coming Soon YES YES

Block legacy protocolsComing Soon

(Premium)

Coming Soon

(Premium)

YES

(link)

Allow legacy protocols only from

intranet (e.g. Office 2010)

Coming Soon

(Premium)

Coming Soon

(Premium)YES

https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-playbook-intro

Azure Active Directory の概念実証戦略

Appendix

data

生産性

アクセスすべきでない人から秘匿すること

情報

開始

Security as an after thought（結果論）

計画 設計 開発 テスト 展開

セキュリティが「杭」になってしまう原因

なぜシステムが必要なのか?

利用者は目的をもってデバイスを使用する。それはネットワークに接続され、ソリューションを使用する。

ソリューションはサービスによって構成され、インフラストラクチャ上で実行される。

Personas have objectives and use devices that connect via networks and consume solutions composed of services running on infrastructure.

こちら側に重きを置いて設計しようとするから

セキュリティの設計は「人」で行う

なぜシステムが必要なのか?

利用者は目的をもってデバイスを使用する。それはネットワークに接続され、ソリューションを使用する。

ソリューションはサービスによって構成され、インフラストラクチャ上で実行される。

Personas have objectives and use devices that connect via networks and consume solutions composed of services running on infrastructure.

人を中心に設計する

Identity

Authentication（認証）

Authorization（認可）

Accountability（説明責任）Auditing

Audit Log

Access

Active DirectoryFamily

Tanaka

Password

ほぼTanaka-san

PIN

生体ネットワークを流れない

漏洩しやすい

確実に“本人であること”を保証する仕組みを実装する

認証されたユーザーの

権限を明確にする

情報

Authentication

Monitoring

Access Control

Encryption

Single sign-on

Identity Provider（Authority）

55

Private Enterprise

On-premise

Cloud

Active Directory ドメイン

Active Directory は中を守るもの

56

Private Enterprise

On-premise

Cloud

自宅 出張先 喫茶店 海外

Active Directory ドメイン

2008年～働き方の変化と Consumerization of IT の波

57

Private Enterprise

On-premise

Cloud

自宅 出張先 喫茶店

SaaS

海外

Active Directory ドメイン

クラウドとモバイルデバイスの登場

城下町

関所人

モノ

他の城下町との連携

59

Private Enterprise

On-premise

Cloud

自宅 出張先 喫茶店

SaaS

海外

Active Directory ドメイン

関所となるセキュリティハブの必要性

関所

60

Private Enterprise

On-premise

Cloud

自宅 出張先 喫茶店

SaaS

海外

Active Directory ドメイン

関所となるセキュリティハブの必要性

Azure AD

Azure AD Join

パスワード連携

OMA-DM

オンプレミス

SAML 2.0

WS-FederationOpenID Connect

OAuth 2.0

Identity is Control Plane

ID管理

認証

Active

Directory

U/P Sync

SSO

業界標準プロトコルのサポート

他社 SaaS との ID 連携

Microsoft

Passport

Windows Hello

Windows 10Browser

セキュリティポリシー

アプリ配布/利用制限

暗号化,権限管理,追跡

BYOD/CYOD

社内業務

SAML 2.0WS-Fed.

Azure

Machine

Learning

Intune

SubscriptionRBA

C

…

Proxy

Connector

KCD

ID 同期

条件付きｱｸｾｽ特権 ID 管理RBAC 多要素認証必須

アクセスOK

アクセス不可ID連携

Information

Protection

MDM/

MAM/

MCM

B2B

Azure IaaSDomain

Services

VPN

Kerberos

ldap

NTLM

Group Policy

SPNego

IWA

アクセスパネルBusiness

Store

SCIM 2.0

監査ﾛｸﾞ解析ｼｬﾄﾞｳIT検出ﾘｽｸﾍﾞｰｽ認証

MS Account

Identity Provider（Authority）

63

IdP の構成

Azure

MFA

オンプレミス

パブリッククラウド

Azure Active Directory

• パスワードの管理

• オンプレミスのIDとアクセス制御

• 長年蓄積されたオンプレミスのITガバナンス

• Kerberos からクラウドへのチケット変換

• クラウドサービスに対するIDとアクセス制御

• サービス間のシングルサインオン

Kerberos の世界

HTTP の世界Identity

Federation

Active Directory

ドメイン

64

Active Directory ドメインの構成

ディレクトリ

認証サーバー

Kerberos

セキュリティ

トークンサービス

その他

認証サーバー

業務アプリ

サーバー Authority

SAML 2.0/

WS-Federation

同期

WS-Fed

https

SAML

リバースプロキシー

（含 認証）

Conditional

Access

MicrosoftIdentityManager

Kerberos/

ldap/NTLM Firewall

WS-Fed

https

SAML

AD DS：Active Directory Domain Service

AD FS：Active Directory Federation Service

WAP：Web Application Proxy

Windows Server 2012 R2 ～

• Azure Active Directory をドメインコントローラーとして使用する機能

• 正確には、Azure AD テナントと同期するドメインコントローラーをAzure VNET 上に自動展開するサービス

• 既定で 2 台のドメインコントローラーが展開される

Azure VNET

Kerberos

ldap

NTLM

Group Policy

File Server

認証,

アクセス制御

ID/Password 同期

Azure VNET

Kerberos

ldap

NTLM

Group Policy

File Server

認証,

アクセス制御

ID/Password 同期

VPN GW

VPN

Agent

最大250台/VNET辺り

難点

• 既存ドメインと統合できない

• Azure AD Domain Service に新規ドメインコントローラーを追加することもできない

• 既存ADドメインとの認証分離

AAD DS ドメインの世界 AAD の世界

Federation

ID &

パスワードハッシュ同期

オンプレミス

Azure アプリケーションプロキシ

Azure

MFA

オンプレミス

パブリッククラウド

Azure Active Directory Azure Application Proxy

Azure Proxy

Connector

事前認証

代理認証

Azure AD パスワード連携

Access Panel MyApps

Azure AD にサインインしていれば、アクセスパネルがパスワード入力を代行してくれる

事前に登録しておく

Form に入力する ID とパスワードはAzure ADに暗号化して保存

フォーム認証が必要なアプリ

①サインイン② SSO

© 2017 Microsoft Corporation. All rights reserved.

本情報の内容（添付文書、リンク先などを含む）は、作成日時点でのものであり、予告なく変更される場合があります。