Office365 ID管理のベストプラクティス(Office365勉強会#6)
28
MVP - Office365 genkiw (渡辺 元気)
-
Upload
genki-watanabe -
Category
Technology
-
view
7.413 -
download
8
description
Office365の3つのIDの利用形態 ①クラウドID ②クラウドID+ディレクトリ同期 ③フェデレーションID+ディレクトリIDの適用範囲についての考察と運用のTIPSを紹介しています。
Transcript of Office365 ID管理のベストプラクティス(Office365勉強会#6)
MVP - Office365 genkiw(渡辺 元気)
名前:渡辺 元気(わたなべ げんき)
職業:通信事業者でクラウドサービスの開発
twitter/Facebook:genkiw
blog:日々徒然 http://blog.o365mvp.com/(Office365の技術ネタを中心に公開)
MVP Office3652012.10~2013.09
Office365の代表的な3つのIDの実装パターンについて紹介
この2年間でOffice365のID関連で新たに更新された内容について紹介
Office365のID管理を行う上でのTipsの紹介
上記を踏まえて現時点において各パターンの適用領域を理解する
クラウドID
(Microsoft Online ID)
フェデレーションID
Office365で認証を実施
連携先で認証を実施
クラウド上のアカウント
同期アカウント
Office365で属性変更が可能
同期元(AD)のみ変更が可能
(※基本的に)同期元のみ変更が可能
クラウドID クラウドID+ディレクトリ同期
フェデレーションID+ディレクトリ同期
シナリオ • ADの無い小規模
組織
• ADを持つ中~大規模
組織
• ADを持つ大規模な組
織
メリット • オンプレミスに
サーバー展開不要
• ユーザー・グループ情報を一元管理可能
• Exchange共存シナリオが可能
• 社内ADでSSO
• ユーザー・グループ情報を一元管理可能
• パスワード管理はADで一元管理
• 2要素認証可能
• Exchange共存シナリオが可能
デメリット • SSO不可
• 2要素認証不可
• 2種類の資格情報
• SSO不可
• 2要素認証不可
• 2種類の資格情報
• サーバーの導入
(DirSync)が必須
• サーバーの導入(AD FS, DirSync)が必須
AD FSでのシングルサインオンはWebブラウザアクセス(OWAやSharePoint Online)に限定
⇒ OutlookなどはID/Password入力が必要(Active Directoryと同じ値、保存可能)
ADFS ADFS ProxyADDS
internet
内部 DMZ
Outlook
※Office365によるProxyアクセスの為
Office365に設定された連絡用メールアドレス・携帯番号を利用してパスワード変更
管理者のみ、テナント毎に有効化無効化可能
Exchange Onlineにアクセスしたユーザー名/グループ/IP/プロトコルなどを元にアクセス制御
標準機能でIP制限できるのはこの方式のみ
ADFS ADFS Proxy
CAS MBX
Exchange Online
MFG
X-MS-Forwarded-Client-IPグローバルIP:A
グローバルIP:A
社内
デフォルトポリシー8文字以上16文字以下
パスワードの有効期間90日(無期限化可能)
「小・大文字」「数字」「記号」3種以上(緩和可能)
買収したPhoneFactorの機能(現在プレビュー)
電話/SMS/スマートフォンAPによる認証
1234-5679
電話、SMSの他に専用トークンアプリ(Active Authenticationアプリケーション)
ディレクトリ同期ツールでパスワードも同期
定期的にAD→Office365の片方向の差分同期
クラウドID クラウドID+ディレクトリ同期
フェデレーションID+ディレクトリ同期
シナリオ • ADの無い小規模
組織
• ADを持つ中~大規模
組織
• ADを持つ大規模な組
織
メリット • オンプレミスに
サーバー展開不要 • ユーザー・グループ情報を一元管理可能
• Exchange共存シナリオが可能
• 社内ADでSSO
• ユーザー・グループ情報を一元管理可能
• パスワード管理はADで一元管理
• 2要素認証可能
• Exchange共存シナリオが可能
デメリット • SSO不可
• 2要素認証不可
• 2種類の資格情報
• サーバーの導入
(DirSync)が必須
• サーバーの導入(AD FS, DirSync)が必須
クラウドID クラウドID+ディレクトリ同期
フェデレーションID+ディレクトリ同期
シナリオ • ADの無い小規模
組織
• ADを持つ中~大規模
組織
• ADを持つ大規模な組
織
メリット • オンプレミスに
サーバー展開不要 • ユーザー・グループ情報を一元管理可能
• Exchange共存シナリオが可能
• 社内ADでSSO
• ユーザー・グループ情報を一元管理可能
• パスワード管理はADで一元管理
• 2要素認証可能
• Exchange共存シナリオが可能
デメリット • SSO不可
• 2要素認証不可
• 2種類の資格情報
• サーバーの導入
(DirSync)が必須
• サーバーの導入(AD FS, DirSync)が必須
クラウドID クラウドID+ディレクトリ同期
フェデレーションID+ディレクトリ同期
シナリオ • ADの無い小規模
組織
• ADを持つ中~大規模
組織
• ADを持つ大規模な組
織
メリット • オンプレミスに
サーバー展開不要
• 2要素認証可能
• ユーザー・グループ情報を一元管理可能
• パスワード管理はADで一元管理
• 2要素認証可能
• Exchange共存シナリオが可能
• 社内ADでSSO
• ユーザー・グループ情報を一元管理可能
• パスワード管理はADで一元管理
• 2要素認証可能
• Exchange共存シナリオが可能
• アクセス制限可能
デメリット • SSO不可
• 2要素認証不可
• 2種類の資格情報
• サーバーの導入
(DirSync)が必須
• サーバーの導入(AD FS, DirSync)が必須
?
≒?
社内
Windows Server 2012 R2のAD FSでは「Workplace Join」によるBYOD環境への対応
ADDS
ADFS
DRS WAP(ADFS Proxy)
internet
DMZ
iOSWindows8.1
デバイスを登録
標準で多要素認証を意識したシステムとなっており、連携が強化されている
ログオンしてくるユーザーの• ユーザー/グループ• デバイスの登録/未登録• 内部/外部をベースに多要素認証を要求するポリシーが作成可能
AD FSクレームルールの拡張
詳しくは、Windows Server 2012 R2 Previewをダウンロードするともれなく貰える勉強会キットで「最新の仮想環境で最新の BYOD を体験するための
テスト環境構築手順書」
クラウドID クラウドID+ディレクトリ同期
フェデレーションID+ディレクトリ同期
シナリオ • ADの無い小規模
組織
• ADを持つセキュリ
ティ上の制約の比較
的緩やかな組織
• ADを持つ組織
メリット • オンプレミスに
サーバー展開不要
• ユーザー・グループ情報とパスワードを一元管理可能
• ユーザー・グループ情報とパスワードを一元管理可能
• きめ細やかなアクセス制御が可能
• アクセスログを自社で保有、監査可能
デメリット • SSO不可
• 2要素認証不可
• 2種類の資格情報
• サーバーの導入なら
びに運用が必須
• サーバーの導入ならびに運用が必須
• 社内外からのADへの接続性を強く担保する必要
ディレクトリ同期は通常は3時間に1度しか同期されない(更新間隔の変更は非サポート)
登録、変更直後や社内IdMとの連携などの為、手動実行できるVBScriptを作成しておくと便利
災害時やパンデミック時、社外からのアクセス制御を解除して、自宅から接続できるように
長期化する可能性がある場合、ADパスワード無期限化もしくは変更画面の公開を実施
【スクリプト例】
Add-PSSnapin Microsoft.Adfs.PowerShell
$BackupRule = (Get-ADFSRelyingPartyTrust).IssuanceAuthorizationRules
$FilePath = "c:¥work¥adfs_claims_backup_"+(Get-Date -Format yyyyMMdd)+".bak"
Set-Content -Path $FilePath -value $BackupRule
$Rule = ' => issue(Type =
"http://schemas.Microsoft.com/authorization/claims/permit", Value = "true");'
Set-ADFSRelyingPartyTrust -TargetName "Microsoft Office 365 ID プラットフォーム" -
IssuanceAuthorizationRules $Rule
長期でADにログインできないユーザー対策
基本的にIISADMPWDや ASP.NETのサンプルを元に自力で作成
CodePlexに「Adfs Change Password」が公開中http://adfschangepassword.codeplex.com/
大規模災害でADの運用が継続出来なくなった場合など、ADFSを簡単に解除できる状態に
初期パスワードを設定する必要があるので、予め定めてスクリプト化しておく。
AD+ディレクトリ同期サーバが生きている場合はディレクトリ同期ツールで同期しても良い【スクリプト例】
Import-Module MSOnline
$LiveCred = New-Object System.Management.Automation.PSCredential
"[email protected]",(ConvertTo-SecureString -AsPlainText "P@ssw0rd"
-Force)
Connect-MsolService -Cred $LiveCred
Set-MsolDomainAuthentication -Authentication Managed -DomainName contoso.com
Get-MsolUser -all | Set-MsolUserPassword -NewPassword P@ssw0rd
前述のADFS解除のPowerShellの実行やディレクトリ同期ツールの実行の為、ADFSの場合でも1つ以上のクラウドIDを残すことが推奨
多要素認証は有効化できないので、別途強化することを検討する
定期的にパスワードを変える(年や月を混ぜたパスフレーズにするなど、スクリプト化を意識)
ユーザーIDをadmin(以前のdefault)から変更する
ADFSProxy
SPLAの利用によるOSのVersion Up負担軽減
クラウド上にADやADFSを置くことによりDR対策
運用自体をアウトソースすることも可能
VPN
ADDS Office365
internet
ADDSファイルサーバ等
本社
ADFS
支店 支店
クラウドID クラウドID+ディレクトリ同期
フェデレーションID+ディレクトリ同期
シナリオ • ADの無い小規模
組織
• ADを持つセキュリ
ティ上の制約の比較
的緩やかな組織
• ADを持つ組織、特に
企業等でセキュリ
ティ要件の強い組織
メリット • オンプレミスに
サーバー展開不要
• ユーザー・グループ情報とパスワードを一元管理可能
• ユーザー・グループ情報とパスワードを一元管理可能
• きめ細やかなアクセス制御が可能
• アクセスログを自社で保有、監査可能
デメリット • SSO不可
• 2要素認証不可
• 2種類の資格情報
• サーバーの導入なら
びに運用が必須
• サーバーの導入ならびに運用が必須
• 社内外からのADへの接続性を強く担保する必要
フィールドSEあがりの安納です (Microsoft 安納さん)http://blogs.technet.com/b/junichia/
IdM実験室(MVP 富士榮さん)http://idmlab.eidentity.jp/
Always on the clock(MVP 国井さん)http://sophiakunii.wordpress.com/
日々徒然http://blog.o365mvp.com
Office365コミュニティhttp://community.office365.com/
Windows Server 2012 R2 Preview 評価用リソースhttp://technet.microsoft.com/ja-jp/evalcenter/dn205287.aspx
【公式ページなど】
【blog】
