The Microsoft Conference 2014

ROOM E

MN-242

The Microsoft Conference 2014

ROOM E

本セッションの資料について

• 本セッションの資料と映像を後日オンラインにて公開予定です。

• 掲載時期につきましては、追って事務局からのメールにてご案内させていただきます。

ユーザー利便性についてお話します

このセッションの内容

いまDynamic

Identity

Framework

Hybrid

Identity

1. Hybrid Identity

2. Dynamic Identity Framework

近未来の ID 管理基盤！

“ID 管理”の最適なロードマップを描く！

Hybrid Identity とは

業務生産性を向上させるための施策Azure Active Directory とオンプレミス Active Directory を連携した ID 管理基盤

Azure Active DirectoryWindows Server

Active Directory

ADと AADは全く異なるもの

Azure Active DirectoryActive Directory(オンプレミス or Azure IaaS)

≠

• ドメイン参加• グループポリシー• パスワードポリシー• デバイス認証

• クラウドアプリ認証• 多要素認証 (MFA)

• ディレクトリ同期

企業セキュリティの要 クラウドアプリ利用

IT担当者はさまざまな課題と戦っている情報システム部のクライアントインフラ担当

東野智子 (30 歳)

思った以上に会社がクラウド化してる

課題 ざっくりいうと IT セキュリティガバナンス

改善方法認証管理

デバイス管理

その他もろもろ・・

社外から業務出来る環境を提供せねば

システム統合を急げと言われても・・

実はみんなクラウド使ってるらしいんです。

お悩み➀

お悩み➀おのおのの部門/部署がそれぞれでクラウド (SaaS) の利用を開始しているらしい。すべて把握出来ていない。

アプリごとに異なる ID 管理ポリシー= ID 情報漏えい機会の増加

ユーザーはアプリ数分の ID を管理= ユーザー生産性の低下

情報システム部のクライアントインフラ担当

東野智子 (30 歳)

1 つの ID での認証環境の提供

どんな認証基盤が便利なのか

O 365 ID SaaS ID

オンプレミス アプリ

組織 ID

クラウド

オンプレミス

SaaS SaaS

SaaS ID

オンプレミス アプリ

クラウド

オンプレミス

SaaS SaaS

統一の ID & 1 回きりの認証

社内SaaS

自社 App

システム構成概要Dynamics OnlineIntuneOffice 365

2000 以上の SaaS アプリ認証に対応

ユーザーの同期

フェデレーション信頼

認証連携(SSO)

The Microsoft Conference 2014

DEMOクラウドアプリ認証- シングルサインオン -

ユーザーがアプリを使うまで

社内

アプリケーションパネル

➀

②

②

③

④

システム統合を急げって言うんです。

お悩み②

お悩み②

認証基盤統合 (Active Directory 統合)は時間とコストがとてもかかる→ これらが最適な時ももちろんある。効果 vs (コスト & 時間) の判断が必要

グループ企業の合併に伴うシステム統合を急ぐよう言われている・・・

情報システム部のクライアントインフラ担当

東野智子 (30 歳)

Azure Active Directory に ID 統合する

ID 統合のコストは非常に大きい

• 既存ネットワーク インフラの統合(IP フラット化や FW 整理)

• 統合対象拠点間での ID/システム管理ルールの標準化• 責任分解点の調整• 統合先フォレスト構築用ハードウェア準備• Active Directory の構築/設定

• ID 移行ツールの開発 (ADMT)• ID 同期ツールの開発 (FIM)

IDをクラウドへ統合

信頼関係

AD 統合をしない統合

信頼関係

認証用ドメインがない構成も可能

クラウド ID

フェデレーションID

たまにはお洒落なカフェで仕事したいと言われます。

お悩み③

お悩み③クラウドを導入するのだから、どこからでも、どんな端末からでも使いたいと多方面から言われる・・・

認証の口を社外に公開している= やぶられることは企業 IT の危機に直結

情報システム部のクライアントインフラ担当

東野智子 (30 歳)

社内デバイスでの、社内からのアクセスのみを許可している= クラウド アプリケーションによる生産性向上の恩恵を十分に享受できていない

認証セキュリティを強固にする

一番簡単な方法が多要素認証

多要素認証アプリ 電話 SMS

Azureのサービスを利用して多要素認証を実現

フェデレーション信頼

連携

呼出

多要素認証実施 ＝

コンディションによるMFA制御

MFA 呼出

ユーザー名

グループ名

ネットワーク

デバイス

デバイス認証も効果的な施策です

1

デバイス登録サービス（DRS）

事前登録

デバイス登録

使いたいデバイス

デバイス認証

2 通常認証

3 多要素認証

The Microsoft Conference 2014

DEMOクラウドアプリ認証- 多要素認証 -

Office 365 ユーザーの皆様へ

皆様は既に AAD ユーザーです以下のご要望に迅速に対応可能です

※O365 MFAとの違いは末尾に添付

SSO 基盤の構築(ID 基盤の AAD への統合)

• Azure Active Directory Premium

• Azure Active Directory Sync Tool

• Active Directory Federation Service (2012 R2)

多要素認証の実装 • Azure MFA

• Azure Active Directory Premium

• Active Directory Federation Service (2012 R2)

デバイス認証の実装 • Azure Active Directory Premium

• Active Directory Federation Service (2012 R2)

Hybrid Identity に必要な製品

とはいえ

Dynamic Identity Framework とは

製品ではなく、フレームワーク

現実的なロードマップを作るため

ID 管理基盤評価の 4 本柱

管理 認証

認可 監査

Contoso ドラッグ

アプリ

アプリ

Contoso Drug Forest

Contoso US Contoso EU

Contoso Fin Contoso IT

ID管理システム

アプリ

SaaS

連携PG

管理 認証

認可 監査

Contoso ドラッグ

アプリ

アプリ

Contoso Drug Forest

Contoso US Contoso EU

Contoso Fin Contoso IT

ID管理システム

アプリ

SaaS

連携PG

管理 認証

認可 監査

Contoso ドラッグ

アプリ

アプリ

Contoso Drug Forest

Contoso US Contoso EU

Contoso Fin Contoso IT

ID管理システム

アプリ

SaaS

連携PG

管理 認証

認可 監査

Contoso ドラッグ

アプリ

アプリ

Contoso Drug Forest

Contoso US Contoso EU

Contoso Fin Contoso IT

ID管理システム

アプリ

SaaS

連携PG

管理 認証

認可 監査

Contoso ドラッグ

アプリ

アプリ

Contoso Drug Forest

Contoso US Contoso EU

Contoso Fin Contoso IT

ID管理システム

アプリ

SaaS

連携PG

管理 認証

認可 監査

評価観点➀: 管理

ID 管理基盤の集約 プロビジョニング デプロビジョニング ID 情報の更新 ID 情報の同期 グループ管理 パスワードの管理 アプリケーション権限管理 セルフサービス機能 変更管理

管理

認証

評価観点②: 認証

認証方式のユーザー利便性 認証情報ソースの統一性 認証プロトコル 認証の強度

認可

評価観点③: 認可

権限付与方式 アクセスポリシー 認可実施箇所

監査

評価観点④: 監査

監査情報の収集方式 アクセスログ取得方式 変更ログ アラート発行方式 レポート作成方式 レポートのタイプ

項目ごとに必要な施策を導く現状の問題

管理

認証

目標の状態 施策

認可

監査

セルフサービス機能の実装

セルフサービス機能の実装

シンプルでフル自動

シングルサインオン

多要素認証の実装

外部からのアプリ利用許可

AD 属性ベースの自動権限付与

権限の一元管理

中央監査ストアの実装

標準仕様のレポート

DIF アセスメント • Dynamic Identity Framework アセスメントサービス(マイクロソフトコンサルティングサービス)

より詳しい計画を立てるには

2 週間 – 4 週間

期間

• キックオフ• ワークショップ• インタビュー• 分析 (ロードマップ作成)• 次アクションのディスカッション

実施タスク

将来のポジション

“いま” を正しく把握する

ヒアリングロードマップ

策定現在の

ポジション

実現可能 (! ) な中長期的計画

要件に応じた目標設定

各担当者への多角的質疑

成熟度評価

Hybrid Identity

だれに? 何を聞く？

成熟度レベルにより評価する

基本 標準化 合理化 動的

成熟度 高い低い

部分的な自動化個別 ID 基盤

競争優位性業務敏捷性

自動化統合 ID 管理企業統一の戦略高い費用対効果

自動化個別 ID 基盤

項目ごとに目標レベルを定める現状

目標

まとめ

ユーザーに便利で業務効率を高める環境を提供しましょう

Hybrid Identity

Dynamic Identity Framework

何をどの順序で行うか決めましょう

関連セッション

PR-151 マイクロソフト社員が実践する時間と場所にとらわれない働き方

MN-222 【営業職・初心者歓迎】ハイブリッドな認証基盤で生産性を高めるために必要な基礎知識

MN-251 Azure Rights Management による社外ユーザーとのセキュアなコンテンツ共有の実現

MN-261 【開発者歓迎】 Azure Active Directory を利用した多彩なユーザー認証

MN-271 【開発者歓迎】多要素認証 Deep Dive～ハイブリッド認証基盤だからこそ実現できる柔軟で高機能な多要素認証

© 2014 Microsoft Corporation. All rights reserved. Microsoft, Windows and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.

The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on

the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Appendix. MFA 比較表