[Japan Tech summit 2017] SEC 004

Microsoft Tech Summit 2017本情報の内容（添付文書、リンク先などを含む）は、Microsoft Tech Summit 2017 開催日（2017 年 11 月 8日 - 9 日）時点のものであり、予告なく変更される場合があります。

3

Azure AD Connect サーバー

同期エンジン ++

4



オンプレミス

Windows Server ツール

5

Active Directory

Azure AD Connect サーバーオンプレミス

繋ぐAzure

Active Directory

クラウド

Office 365

6

Active Directory


Azure Active Directory

クラウド

Office 365

オンプレミス

ファイアウォールで保護された世界

インターネットの世界

組織のアカウントの認証サービス

クラウドアカウントの認証サービス

Kerberos プロトコル

SAML プロトコル

繋ぐ

7

オンプレミス Active Directory

ユーザー

グループ

Azure AD

ユーザー

グループ

オンプレミス Active Directory Azure AD

ユーザー管理者

・ユーザー名・パスワード

・ユーザー名・パスワード

業務アプリ

ドメインのパスワードポリシー

Azure AD のパスワード

ポリシー


Azure AD のパスワード

ポリシー

どっちも管理するのは大変・・・

アカウントがいっぱいでパスワードを覚えきれない・・・

8

2. オンプレミスから Azure AD に

シングルサインインオンできる

1. オンプレミスから Azure AD に、

アカウントを同期できる

オンプレミスActive Directory

Azure AD

Azure AD Connectサーバー

オンプレミスのアカウントだけ管理すればよい！


Azure AD


オンプレミスのユーザー名とパスワードだけ覚えておけばよい

管理者ユーザー


9


＋シームレスシングルサインオン（sSSO）

3. AD FS フェデレーション

1. パスワード同期

2. パススルー認証

10

シームレスシングルサインオン（sSSO）

？？

？

？

？

？？？

？

？？

？

？

？

？

11

Azure AD Connect で構成できるサインイン方式の、

どれを、どのように選択するのがよいのか？

みなさまが判断できるようになることを目標に、

12


Azure AD

ディレクトリ同期

Office 365 ライセンス

ドメインユーザー

13

1. 「ディレクトリ同期」の重要な属性

2. Azure AD Connect で構成するサインインオプションの特徴

3. みなさんは、どれを選択しますか？

15

オンプレミス Active Directory Azure Active Directory

ユーザー

グループグループ

メールが有効な連絡先

ユーザー


（既定 30分サイクル)

一部、書き戻しをサポート（パスワード、デバイス、グループ）

メールが有効な連絡先

HTTP/HTTPS（80/443）

16

オンプレミス Active Directory Azure Active DirectoryAzure AD Connect

1

①読み込む①読み込む

②書き込む

17

ソースアンカー（Source Anchor）

18


msDS-ConsistencyGuid これです！

19


ObjectGUID

msDS-ConsistencyGuid

読み込む

Azure AD Connect


書き込む

immutableID

生成

格納

作成

生成

ソースアンカーの値を格納

20


msDS-ConsistencyGuid


immutableID

ソースアンカーの値を格納

ソースアンカー今後は、これらの属性を比較することで、

「完全一致」を確認する

21



すでにユーザー登録が終わっている２つのディレクトリを、後で同期することになったら？

userPrincipalName :

@abcxx.tech

userPrincipalName :

[email protected]

これは、Azure AD にサインインする時のユーザー名です

22

・ userPrincipalName

・ msDS-ConsistencyGuid

・ immutableID

・ソースアンカーの大元 “objectGUID”（既定）

23


25


2-4. シームレスシングルサインオン（sSSO）

2-1. AD FS フェデレーション

2-3. パスワード同期

2-2. パススルー認証

26

Azure AD Connectの構成画面


2-1. AD FS フェデレーション

27

ドメインコントローラー

認証

AD FSサーバー


・ SSO・多要素認証・条件付き

アクセス

AD FSプロキシ

AD FS 1

28

Azure AD

Office 365

ユーザー


AD FSサーバードメインコントローラー

認証シングルサインオン


ユーザー名

29

Azure AD

Office 365




AD FS サーバーファーム

AD FSプロキシサーバーファーム

境界ネットワーク

ユーザー

認証

シングルサインオン


ユーザー名、パスワード

30

Azure AD

フェデレーション信頼



AD FSサーバーファーム

・可用性を考慮して、AD FS サーバーと AD FS プロキシを展開・ SSL サーバー証明書の管理（更新）・ Azure AD との “フェデレーション信頼” の構成・インフラストラクチャーの障害対策の計画

この構成には、技術力が求められる2

AD FSプロキシサーバーファーム


31

サーバーファームのリモート展開、フェデレーション信頼の構成、フェデレーション SSL 証明書の更新、ログイン検証など


AD FS プロキシサーバーファーム

Azure AD Connect

3

Azure ADフェデレーション信頼


32


34


35

・オンプレミスに、Windows Server 2012 R2 以降のサーバーを展開しておく

・境界ネットワークに、Windows Server 2012 R2 以降のサーバーを展開しておく

・フェデレーションドメイン名を決める

・ SSL 証明書を取得する

・内部/外部 DNS サーバーを構成する

・フェデレーションドメイン名で接続できることを確認しておく

など

4

36


パススルー認証

（AuthN）エージェント


2-2. パススルー認証

37

Azure AD Office 365



パススルー

※ Azure AD ユーザーのパスワードは、クラウドに保存されていない


ユーザー

パスワードの検証


1

38

Azure AD Office 365




エージェント HTTPS

2

パススルー

※パスワード検証要求を待ち受けて応答するだけ


ユーザー

39

パススルー認証3


スタンドアロンのパススルー

認証エージェント

（2台目）Azure AD Connectサーバー（1台目）


エージェント

認証

よりシンプルなサーバー構成

41



パスワード同期

エージェント

2-3. パスワード同期

42

ディレクトリ同期（既定 30 分間隔）

パスワード同期（2 分間隔、変更不可）





エージェント

※オンプレミスのユーザーパスワードが、同期によって、クラウドに保存される



1

43

Azure AD Office 365

ドメインコントローラーユーザー名、

パスワード



ユーザー

パスワード同期認証

※ Azure AD ユーザーのパスワードは、クラウドに保存されている

2

44

パスワード同期3



エージェント

ステージングモード

（2台目）

Azure AD Connectサーバー（1台目）


エージェント

最もシンプルなサーバー構成

Azure AD

認証パスワード

保存

45

Azure AD





パスワードをクラウドに保存して大丈夫・・・？

4

ユーザーのパスワードを

保存

47



Azure AD

“Password”


MD4 + salt + PBKDF2

+ HMAC-SHA256

ユーザー

“Password”

48

“Password”

49

f15abd57801840f3348ddccafb677f6a

50

”

51

3280fec20a8389842d5aaebaacda9e4fd09b2c80af816111ff

e90a9f83f20527※ PBKDF = Password based Key Derivation Function（RFC 2898）

52

1c0912757d1aa5bc672a94f5aa3c89a580c475dcd90823ed646d02423d2c8da0

53

”

1c0912757d1aa5bc672a94f5aa3c89a580c475dcd90823ed646d02423d2c8da0

f15abd57801840f3348ddccafb677f6a

3280fec20a8389842d5aaebaacda9e4fd09b2c80af816111ffe90a9f83f20527

“Password”

54


Pass-the Hash : 不正に入手したパスワードのハッシュ値を悪用して、組織に侵入する、なりすまし攻撃

55

復習

Azure AD Office 365



パススルー

※ Azure AD ユーザーのパスワードは、クラウドに保存されていない


リモートからアクセスするドメインユーザー

パスワードの検証


56

復習

Azure AD Office 365

ドメインコントローラーユーザー名、

パスワード



パスワード同期認証

※ Azure AD ユーザーのパスワードは、クラウドに保存されている

リモートからアクセスするドメインユーザー

57

Azure AD Office 365






認証

Azure AD ユーザーのパスワードは、クラウドに保存されていない

パススルー

認証


58

Azure AD Office 365






Azure AD ユーザーのパスワードは、クラウドに保存されている


認証


認証

59

持っていません

60


パスワード同期 + sSSO パススルー認証＋ sSSO

2-4. シームレスシングルサインオン（sSSO）

61

シームレスシングルサインオン1



パススルー認証を有効化

63

Kerberos の複合化キーを Azure AD と共有

シームレスシングルサインオン1



AZUREADSSOACC

Azure AD共有

64


AZUREADSSOACC

Azure AD

Azure Active Directory シームレスシングルサインオン: よく寄せられる質問

定期的にロールオーバー

65

2


66

いいえ

69

長所があります

■

■

https://blogs.technet.microsoft.com/uktechnet/2017/09/27/mastering-identity-with-azure-active-directory-episode-8-integrating-with-on-premises-ad-and-ad-fs/

■ https://www.itpromentor.com/compare-sso/

70

71

オプションパスワード同期 + sSSO パススルー認証 + sSSO AD FS

展開コストの高さと複雑さ低中高

オンプレミスに展開するサーバーの数最低 1 台、

推奨 2 台（ステージングモード）最低 1 台、

推奨 2 台（エージェント冗長化）最低 1 台、

推奨 2 台（サーバーファーム）

境界ネットワークに展開するサーバーの数不要不要最低 : 1 台、

推奨 : 2 台（高可用性）

サーバーの自動フェールオーバーのサポートいいえ

（ステージングモード）はい

（エージェントの冗長化）はい

（ファーム構成）

SSL 証明書が必要いいえいいえはい

System Center Operations Manager による、オンプレミスコンポーネントの監視

いいえいいえはい

Azure AD Connect Health による、オンプレミスコンポーネントの監視

一部(Azure AD Premium P1)

ーはい

(Azure AD Premium P1)

自動更新管理ーエージェントの自動更新証明書の自動ロールオーバー

組織ネットワークとインターネット間の接続がダウンしても、リモートから Azure AD にサインインできる

はいいいえいいえ

72

https://aka.ms/aadconnecthealth

※ 最低 1 つの Azure AD Premium P1 ライセンス必要

73


オンプレミスデバイスからAzure AD へのシングルサインオン

はいはいはい

オンプレスパスワードを使用するサインインはいはいはい

リモートから Azure AD へのアクセスをオンプレミスで認証する

いいえはいはい

UPN 属性によるサインインはいはいはい

<ドメイン名>\<sAMAccountName属性> によるサインイン


サインインページのカスタマイズはい

（Azure AD Premium P1）はい


CSS や JavaScript によるカスタマイズいいえいいえはい

74


証明書ベースの認証いいえいいえはい

オンプレスユーザーが無効化されると、Azure AD ユーザーも無効化になる

同期サイクルである 30 分後（既定）に反映される

はいはい

オンプレスユーザーがロックアウトされると、Azure AD ユーザーの認証が失敗する


オンプレスユーザーのパスワードが期限切れによるロックアウト


信頼関係がある複数のAD フォレストのユーザーの認証

はいはいはい

信頼関係がない複数のAD フォレストのユーザーの認証

はいいいえはい

（AD FS 2016）

サードパーティーの LDAP ディレクトリによるサインイン


（AD FS 2016）

75


パスワードをクラウドに同期するはい

（よりセキュアにハッシュされて格納）いいえ

いいえ（Fall-back としてパスワード同

期を使用できる）

セルフパスワードリセットはい（Azure AD Premium P1）

はい（Azure AD Premium P1）

はい（Azure AD Premium P1）

パスワードの書き戻しはいはいはい

オンプレミスのパスワードポリシーの適用

一部（パスワードの複雑性のポリシー、パスワードの有効期限のポリシー）

はいはい

パスワード期限切れ通知のサポートいいえいいえはい

Azure AD ID 保護はい


（Azure AD Premium P2）いいえ

オンプレミスユーザーアカウントのロックアウト保護

ースマートロックアウトエクストラネットロックアウト

76


オンプレミスの多要素認証ソリューションいいえいいえはい

クラウドアプリケーションへのAzure の多要素認証ソリューション

はいはいはい

Azure MFA サーバーいいえいいえはい

サードパーティー MFAはい



カスタム MFA いいえいいえはい

Win10 の Windows Hello for Business（キーベース）

はいはいはい

（AD FS 2016）

Win10 の Windows Hello for Business（証明書ベース）

はい（with MDM）

はい（with MDM)

はい

Azure AD の条件付きアクセスはいはいはい

77


デバイス登録 : Win10 はいはいはい

デバイス登録 : Win7/8.1 Coming Soon はいはい

レガシープロトコルのブロック Coming Soon (Premium) Coming Soon (Premium) はい

イントラネットからのみレガシープロトコルの許可（Office 2010 など）

Coming Soon (Premium) Coming Soon (Premium) はい

ブラウザーはいはいはい

Exchange Active Sync (EAS) はい Coming Soon はい

ネイティブアプリケーション (レガシー認証) はい Coming Soon はい

ネイティブアプリケーション (モダン認証) はいはいはい

81

Azure AD Office 365



シングルサインオン

復習

82


リモートからアクセスしている


Azure AD

認証認証

83




Azure AD

認証

それは、組織内の全ユーザーを対象としていますか？

認証

フェデレーションドメイン名をユーザー名に含む、全ユーザーが対象

フェデレーションドメイン名を含むユーザーは、Azure AD に直接作成できなくなります

パススルーのドメイン名を含むユーザーも、Azure AD に新規作成でき、

直接 AzureAD に作成したユーザーは対象外（同期ユーザーのみ対象）

84




Azure AD

認証

85




Azure AD

認証

87

高


WAP サーバーファーム


AD FS フェデレーション

パススルー認証パスワード同期

スタンドアロンのパススルー認証

エージェント

（エージェント2台目）


（エージェント1台目）


エージェント


エージェント

Azure AD Connectサーバーステージングモード

（2台目）


（1台目）


エージェント

低中

オンプレミス

89

・アクセスブロック・デバイスワイプ

アクセス許可

クラウドアプリケーション

正当なユーザー

信頼できる場所

デバイスの状態

ユーザー

サインインのリスク

Azure AD条件付きアクセス

ポリシー

Azure の多要素認証

サインイン

オンプレミス

社内アプリケーション

Azure AD

多要素認証の強制

正当なユーザーに対する、

細やかなアクセス制御

ユーザー認証を強力にする

92

顔虹彩指紋

生体

本人しか持ちえない情報本人が持っているデバイス

＋

＋

本人が持っているデバイス

誰もが知り得る情報

ユーザー名を入力

本人だけが知っている情報

PIN コードを入力

＋

＋

＋

プライベートキー

パブリックキー

認証

Public

パブリックキー

認証

Public

プライベートキー



93

Windows 10

参加と認証

オンプレミス Active Directory ドメイン


参加と認証

または

AD FS 2016サーバー

＋

Intune

＋

96

Azure AD へのシングルサインオン方式の

選択は、

ぜひ、

組織全体のセキュリティ対策と組み合わせて、

検討してください

97

多要素認証の要求

アクセス許可

アクセスのブロック

強制的なパスワードリセット***

***

アクセスの制限

制御

ユーザー

準拠デバイス

信頼できる場所

アプリケーション

条件

機会学習

ポリシー

リアルタイム評価エンジン

リスク

3

ポリシー適用

怪しいユーザーアクションを機械学習で自動検出

顔虹彩指紋

生体

強力な認証

クラウドアプリケーション

オンプレミス

社内アプリケーション

参考 : Microsoft Ignite 2017 「BRK2019」セッションスライドより

98

初めての方にも理解していただける内容になっています。

この本の 10 章で、Azure AD Connectの基本的な構成方法を解説しています。

Session ID Title

SEC005ネットワークエンジニア必見！VPN/DMZ は要らなくなる！？Azure AD Application Proxy で実現するセキュアなアクセス

SEC006Office 365 関係者に告ぐ「”脱 AD FS”の準備は整った」Azure AD による SSO とアクセス制御

SEC007Azure AD B2C と LINE 連携により実現する学校や企業における次世代 ID/メッセージ基盤

SEC009Azure AD による Web API の保護～ Azure API Management をセキュリティの観点で解説

99

■

■

■

■

101

■

■

■ https://docs.microsoft.com/ja-jp/windows/access-protection/hello-for-business/hello-identity-

verification

102

[Japan Tech summit 2017] SEC 004

Technology

Transcript of [Japan Tech summit 2017] SEC 004